【正しい順序】

1. ステップ 1: 診断設定 + ログ送信
2. ステップ 2: Sentinel 有効化
3. ステップ 3: Data Connector 有効化
4. ステップ 4: Analytics Rule + Workbook

【各ステップの理由】

• ステップ 1 診断設定 + ログ送信: Azure Firewall の診断設定で AzureFirewallNetworkRule / AzureFirewallApplicationRule / AzureFirewallDnsProxy ログを Log Analytics Workspace に送信します。
• ステップ 2 Sentinel 有効化: 対象 Workspace 上で Microsoft Sentinel を有効化し、SIEM / SOAR 機能を起動します。
• ステップ 3 Data Connector 有効化: Sentinel の Azure Firewall Data Connector を有効化することで、ログが Sentinel 正規化テーブルに取り込まれます。
• ステップ 4 Analytics Rule + Workbook: KQL ベースの Analytics Rule で重大度の高い検知を Incident 化し、Microsoft 公開 Workbook で可視化します。

【誤った順序の問題点】

• Connector を先に有効化: Sentinel 未有効状態では Connector 概念自体が存在せず、設定不可能です。
• Analytics Rule なしで運用: Incident 化されないと SOC オペレーション (調査 / 対応) がキックされず、検知が活用されません。

【参考】

Sentinel Connectors