次の方法で共有


Microsoft Defender XDR での Microsoft Defender for Cloud のアラートとインシデント

適用対象:

Microsoft Defender for Cloud は、Microsoft Defender 拡張検出および応答 (XDR) と統合されています。 この統合により、セキュリティ チームは Microsoft Defender ポータル内で Defender for Cloud のアラートとインシデントにアクセスできます。 この統合により、クラウド リソース、デバイス、ID にまたがる調査に、より豊かなコンテキストが提供されます。

Microsoft Defender XDR とのパートナーシップにより、セキュリティ チームは、クラウド環境で発生する疑わしいイベントや悪意のあるイベントなど、攻撃の全体像を把握できます。 セキュリティ チームは、アラートとインシデントの即時の相関関係を通じて、この目標を達成できます。

Microsoft Defender XDR は、保護、検出、調査、対応の機能を組み合わせた包括的なソリューションを提供します。 このソリューションは、デバイス、電子メール、コラボレーション、ID、クラウド アプリに対する攻撃から保護します。 検知および調査機能はクラウド領域にまで拡張され、セキュリティ運用チームに、運用効率を大幅に向上させる統合ビューが提供されます。

インシデントとアラートは、Microsoft Defender XDR のパブリック API の一部になりました。 この統合により、単一の API を使用して、あらゆるシステムにセキュリティ アラート データをエクスポートできます。 Microsoft Defender for Cloud として、可能な限り最高のセキュリティ ソリューションをユーザーに提供することを約束します。この統合は、その目標達成に向けた重要な一歩です。

前提条件

Defender for Cloud のアラートと相関関係を表示するためのアクセス許可は、テナント全体に対して自動的に行われます。 特定のサブスクリプションの表示はサポートされていません。 アラート サブスクリプション ID フィルターを使用して、アラートキューとインシデント キュー内の特定の Defender for Cloud サブスクリプションに関連付けられている Defender for Cloud アラートを表示します。 フィルターの詳細については、こちらをご覧ください。

統合は、Defender for Cloud に適切なMicrosoft Defender XDR統合ロールベースのアクセス制御 (RBAC) ロールを適用することによってのみ使用できます。 Azure Active Directory において、Defender XDR 統合 RBAC を使用せずに Defender for Cloud のアラートと関連付けを表示するには、グローバル管理者またはセキュリティ管理者である必要があります。

Microsoft Defender XDR での調査エクスペリエンス

次の表では、Defender for Cloud アラートを使用した Microsoft Defender XDR での検出と調査のエクスペリエンスについて説明します。

領域 説明
インシデント すべての Defender for Cloud インシデントは、Microsoft Defender XDR に統合されます。
- インシデント キュー内のクラウド リソース資産の検索がサポートされます。
- 攻撃ストーリー グラフにはクラウド リソースが表示されます。
- インシデント ページの資産タブにはクラウド リソースが表示されます。
- 各仮想マシンには、関連するすべてのアラートとアクティビティを含む独自のエンティティ ページがあります。

他の Defender ワークロードからのインシデントの重複はありません。
警告 マルチクラウド、内部および外部のプロバイダーのアラートを含むすべての Defender for Cloud アラートは、Microsoft Defender XDR に統合されます。 Defenders for Cloud アラートは、Microsoft Defender XDR アラート キューに表示されます。
Microsoft Defender XDR
cloud resource 資産がアラートの [資産] タブに表示されます。 リソースは、Azure、Amazon、または Google Cloud リソースとして明確に識別されます。

Defender for Cloud のアラートは、テナントに自動的に関連付けられます。

他の Defender ワークロードからのアラートの重複はありません。
アラートとインシデントの相関 アラートとインシデントは自動的に相関し、セキュリティ運用チームに強固なコンテキストを提供することで、クラウド環境における攻撃ストーリーを把握できます。
脅威の検出 仮想エンティティとデバイス エンティティの正確な一致により、正確かつ効果的な脅威検出を実現します。
Unified API Defender for Cloud のアラートとインシデントが Microsoft Defender XDR のパブリック API に含まれるようになりました。これにより、お客様は、1 つの API を使用してセキュリティ アラート データを他のシステムにエクスポートできます。

Defender for Cloud からの情報アラートは、関連する重大度の高いアラートに焦点を当てることができるように、Microsoft Defender ポータルに統合されていません。 この戦略により、インシデントの管理が合理化され、アラートの疲労が軽減されます。

XDR での高度なハンティング

Microsoft Defender XDR の高度なハンティング機能は、Defender for Cloud のアラートとインシデントを含むように拡張されています。 この統合により、セキュリティ チームは、すべてのクラウド リソース、デバイス、ID を 1 つのクエリで追求できます。

Microsoft Defender XDR の高度なハンティング エクスペリエンスは、セキュリティ チームに、環境全体の脅威を追求するカスタム クエリを柔軟に作成できるように設計されています。 Defender for Cloud のアラートとインシデントとの統合により、セキュリティ チームはクラウド リソース、デバイス、ID 全体で脅威を追求することができます。

高度なハンティングで CloudAuditEvents テーブルを使用すると、コントロール プレーン イベントを調査し追求し、カスタム検出を作成して、疑わしい Azure Resource Manager と Kubernetes (KubeAudit) コントロール プレーンのアクティビティを表示できます。  

高度なハンティングの CloudProcessEvents テーブル を使用すると、プロセスの詳細を含む情報を使用して、クラウド インフラストラクチャで呼び出された疑わしいアクティビティのカスタム検出をトリアージ、調査、および作成できます。   

Microsoft Sentinel のお客様

Microsoft Defender XDR インシデントを統合、Defender for Cloud アラートを取り込んでいる Microsoft Sentinel のお客様は、重複するアラートとインシデントを防ぐために、次の手順を実行する必要があります。

  1. Microsoft Sentinel で、 テナント ベースの Microsoft Defender for Cloud (プレビュー) データ コネクタを構成します。 このデータ コネクタは、Microsoft Sentinel コンテンツ ハブから入手できる Microsoft Defender for Cloud ソリューションに含まれています。

    テナント ベースの Microsoft Defender for Cloud (プレビュー) データ コネクタは、すべてのサブスクリプションからのアラート収集を、Microsoft Defender XDR インシデント コネクタを介してストリーミングされるテナントベースの Defender for Cloud インシデントと同期します。 Defender for Cloud インシデントは、テナントのすべてのサブスクリプションに関連付けられます。

    Defender ポータルで複数の Microsoft Sentinel ワークスペースを使用している場合は、関連付けられた Defender for Cloud インシデントがプライマリ ワークスペースにストリーミングされます。 詳細については、「Defender ポータルの複数のMicrosoft Sentinel ワークスペース」を参照してください。

  2. サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) データ コネクタを切断して、アラートの重複を防ぎます。

  3. スケジュールされた (通常のクエリの種類) または Microsoft セキュリティ (インシデントの作成) ルールのいずれかで、Defender for Cloud アラートからインシデントを作成するために使用される分析ルールをオフにします。

    必要に応じて、 自動化ルールを使用して ノイズの多いインシデントを閉じるか、 Defender ポータルの組み込みのチューニング機能を 使用して特定のアラートを抑制します。

Microsoft Defender XDR インシデントを Microsoft Sentinel に統合し、サブスクリプションベースの設定を維持し、テナントベースの同期を回避する場合は、Microsoft Defender XDR からのインシデントとアラートの同期をオプトアウトします。

  1. Microsoft Defender ポータルで、[ 設定] > Microsoft Defender XDR に移動します。

  2. アラート サービスの設定で、Microsoft Defender for Cloud アラートを探します。

  3. [ アラートなし ] を選択して、すべての Defender for Cloud アラートをオフにします。 このオプションを選択すると、Microsoft Defender XDR への新しい Defender for Cloud アラートの取り込みを停止します。 以前に取り込まれたアラートは、アラートまたはインシデント ページに残ります。

詳細については、以下を参照してください:

セキュリティ アラート - リファレンス ガイド