SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする

Microsoft Defender for Cloud では、セキュリティ アラートを最も一般的なセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、および IT サービス管理 (ITSM) ソリューションにストリーミングできます。 セキュリティ アラートは、リソースに対する脅威を検出したときに Defender for Cloud によって生成される通知です。 Defender for Cloud では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。 Defender for Cloud では、攻撃を修復するための詳細な手順も提供されます。 アラート データは 90 日間保持されます。

現在使用されている最も一般的なソリューション (以下が含まれます) のすべてでアラート データを表示できるようにする組み込みの Azure ツールがあります。

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM の QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel にアラートをストリーミングする

Defender for Cloud は、Azure のクラウドネイティブ SIEM および SOAR ソリューションである Microsoft Sentinel とネイティブに統合されます。

Microsoft Sentinel の詳細情報

Microsoft Sentinel の Defender for Cloud 用コネクタ

Microsoft Sentinel には、サブスクリプションレベルとテナント レベルで Microsoft Defender for Cloud 用の組み込みコネクタが含まれています。

Defender for Cloud を Microsoft Sentinel に接続すると、Microsoft Sentinel に取り込まれた Defender for Cloud アラートの状態が 2 つのサービス間で同期されます。 たとえば、Defender for Cloud でアラートが閉じられた場合、そのアラートは Microsoft Sentinel でも閉じられたものとして表示されます。 Defender for Cloud でアラートの状態を変更すると、Microsoft Sentinel のアラートの状態も更新されますが、同期された Microsoft Sentinel アラートを含む Microsoft Sentinel インシデント の状態は更新されません。

双方向アラート同期機能を有効にすると、元の Defender for Cloud アラートの状態が、それらの Defender for Cloud アラートのコピーを含む Microsoft Sentinel インシデントと自動的に同期されます。 そのため、たとえば、Defender for Cloud アラートを含む Microsoft Sentinel インシデントが閉じられると、対応する元のアラートが Defender for Cloud によって自動的に閉じられます。

詳細は「Microsoft Defender for Cloud から Defender for Cloud アラートに接続する」を参照してください。

注意

双方向アラート同期機能は Azure Government クラウドでは利用できません。

すべての監査ログの Microsoft Sentinel への取り込みを構成する

Microsoft Sentinel で Defender for Cloud アラートを調査するもう 1 つの方法は、監査ログを Microsoft Sentinel にストリーム配信する方法です。

ヒント

Microsoft Sentinel は、Microsoft Sentinel で分析するために取り込まれ、Azure Monitor Log Analytics ワークスペースに保存されたデータの量に基づいて課金されます。 Microsoft Sentinel には、柔軟で予測可能な価格モデルが用意されています。 Microsoft Sentinel の価格ページを確認してください

QRadar と Splunk にアラートをストリーミングする

Splunk と QRadar へのセキュリティ アラートのエクスポートでは、Event Hubs と組み込みのコネクタが使用されます。 PowerShell スクリプトまたは Azure portal を使用して、サブスクリプションまたはテナントのセキュリティ アラートをエクスポートするための要件を設定できます。 次に、各 SIEM に固有の手順を使用して、SIEM プラットフォームにソリューションをインストールする必要があります。

前提条件

アラートをエクスポートするための Azure サービスを設定する前に、次のものが用意されていることを確認してください。

  • Azure サブスクリプション (無料アカウントを作成する)
  • Azure リソース グループ (リソース グループの作成)
  • アラート スコープ (サブスクリプション、管理グループ、テナント) 上の所有者ロール、または次の特定のアクセス許可。
    • イベント ハブとイベント ハブ ポリシーの書き込みアクセス許可
    • 既存の Azure AD アプリケーションを使用していない場合は、Azure AD アプリケーションのアクセス許可を作成します
    • Azure Policy 'DeployIfNotExist' を使用している場合は、ポリシーのアクセス許可を割り当てます

手順 1. Azure サービスを設定する

次のいずれかを使用して、継続的エクスポートをサポートするように Azure 環境を設定できます。

  • PowerShell スクリプト (推奨)

    PowerShell スクリプトをダウンロードして実行します。 必要なパラメーターを入力すると、スクリプトによってすべての手順が自動的に実行されます。 スクリプトが完了すると、SIEM プラットフォームにソリューションをインストールするために使用する情報が出力されます。

  • Azure ポータル

    Azure portal で実行する手順の概要を次に示します。

    1. Event Hubs 名前空間とイベント ハブを作成する
    2. "送信" アクセス許可を持つイベント ハブのポリシーを定義します。
    3. QRadar にアラートをストリーミングする場合 - イベント ハブ "リッスン" ポリシーを作成し、QRadar で使用するポリシーの接続文字列をコピーして保存します。
    4. コンシューマー グループを作成し、SIEM プラットフォームで使用する名前をコピーして保存します。
    5. 定義されたイベント ハブへのセキュリティ アラートの継続的なエクスポートを有効にします。
    6. QRadar にアラートをストリーミングする場合 - ストレージ アカウントを作成し、QRadar で使用するアカウントに接続文字列をコピーして保存します。
    7. Splunk にアラートをストリーミングしている場合:
      1. Azure Active Directory (AD) アプリケーションを作成します。
      2. テナント、アプリ ID、アプリパスワードを保存します。
      3. 以前に作成したイベントハブから読み取るためのアクセス許可を Azure AD アプリケーションに付与します。

    詳細な手順については、「Splunk と QRadar にエクスポートするために Azure リソースを準備する」を参照してください。

手順 2. 組み込みコネクタを使用して、イベント ハブを任意のソリューションに接続する

各 SIEM プラットフォームには、Azure Event Hubs からのアラートを受信できるようにするためのツールが用意されています。 プラットフォーム用のツールをインストールして、アラートの受信を開始します。

ツール Azure でホスト 説明
IBM QRadar いいえ Microsoft Azure DSM および Microsoft Azure Event Hub プロトコルは、IBM サポート Web サイトからダウンロードすることができます。
Splunk いいえ Microsoft Cloud Services 用の Splunk アドオンは、Splunkbase で使用できるオープン ソース プロジェクトです。

プロキシの使用時や Splunk Cloud での実行時など、アドオンをご自分の Splunk インスタンスにインストールできない場合は、イベント ハブの新着メッセージによりトリガーされる Splunk 向け Azure 関数を使用して、Splunk HTTP イベント コレクターにこれらのイベントを転送できます。

継続的なエクスポートを使用してアラートをストリーミングする

ArcSightSumoLogicSyslog サーバーLogRhythm, Logz.io Cloud Observability Platform、およびその他の監視ソリューションにアラートをストリーミングするには、継続的なエクスポートと Azure Event Hubs を使用して Defender for Cloud を接続します。

注意

テナントレベルでアラートをストリーミングするには、この Azure policy を使用し、ルート管理グループでスコープを設定します。 「Defender for Cloud のアクセス許可」で説明されているように、ルート管理グループに対するアクセス許可が必要です。Microsoft Defender for Cloud のアラートと推奨のためにイベント ハブにエクスポートをデプロイします

  1. サブスクリプション レベルで Defender for Cloud アラートを専用のイベント ハブにストリーミングするために、連続エクスポートを有効にします。 Azure Policy を使用して管理グループ レベルでこれを行うには、「連続エクスポートの自動化の構成を大規模に作成する」を参照してください。

  2. 組み込みコネクタを使用して、イベント ハブを任意のソリューションに接続します。

    ツール Azure でホスト 説明
    sumologic いいえ イベント ハブから Azure 監査アプリのログを収集する」で、イベント ハブのデータを使用するように SumoLogic を設定する手順が説明されています。
    ArcSight いいえ ArcSight スマート コネクタ コレクションの一部として、ArcSight Azure イベント ハブ スマート コネクタが提供されています。
    Syslog サーバー いいえ Azure Monitor データを Syslog サーバーに直接ストリーム配信したい場合は、Azure 関数ベースのソリューションを使用できます。
    LogRhythm いいえ LogRhythm を設定してイベント ハブからログを収集するための手順については、こちらを参照してください。
    Logz.io はい 詳細については、Azure で実行される Java アプリ用の Logz.io を使用した監視とログ記録の概要に関するページを参照してください。
  3. 必要に応じて、未加工のログをイベント ハブにストリーミングし、任意のソリューションに接続します。 「使用可能なデータの監視」で詳細を確認してください。

エクスポートされたデータ型のイベント スキーマを表示するには、Event Hubs のイベント スキーマにアクセスします。

Microsoft Graph Security API を使用してサードパーティ アプリケーションにアラートをストリーミングする

Microsoft Sentinel や Azure Monitor の代わりに、Defender for Cloud に組み込まれている Microsoft Graph Security API との連携を利用することができます。 構成は不要であり、追加のコストは発生しません。

この API を使用して、テナント全体 (および多くの Microsoft セキュリティ製品のデータ) から、サードパーティ製の SIEM とその他の一般的なプラットフォームにアラートをストリーミングできます。

次のステップ

このページでは、選択した SIEM、SOAR、または ITSM ツールで Microsoft Defender for Cloud アラート データを使用できるようにする方法について説明しました。 関連資料については、以下を参照してください。