アラートを監視ソリューションにストリーミングする

  • [アーティクル]

Microsoft Defender for Cloud には、セキュリティ アラートをさまざまなセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、IT サービス管理 (ITSM) ソリューションにストリーミングする機能があります。 リソース上で脅威が検出されると、セキュリティ アラートが生成されます。 Defender for Cloud では、問題の迅速な調査に必要な追加の情報と共に、アラートに優先順位を付けてアラート ページに一覧表示します。 検出された脅威を修復するのに役立つ詳細な手順が提供されます。 すべてのアラート データは 90 日間保持されます。

次のソリューションでは、アラート データを確実に表示できる組み込みの Azure ツールが利用できます。

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • IBM の QRadar
  • Palo Alto Networks
  • ArcSight

Defender XDR API を使ってアラートを Defender XDR にストリーミングする

Defender for Cloud は、Microsoft Defender XDR とネイティブに統合することで、Defender XDR のインシデントとアラート API を使って、アラートとインシデントを Microsoft 以外のソリューションにストリーミングできます。 Defender for Cloud のお客様は、すべての Microsoft Security 製品に対して 1 つの API にアクセスでき、この統合をアラートとインシデントを簡単にエクスポートする方法として使用できます。

SIEM ツールを Defender XDR と統合する方法について確認します。

Microsoft Sentinel にアラートをストリーミングする

Defender for Cloud は、Azure のクラウドネイティブ SIEM および SOAR ソリューションである Microsoft Sentinel とネイティブに統合されます。

Microsoft Sentinel の Defender for Cloud 用コネクタ

Microsoft Sentinel には、サブスクリプション レベルとテナント レベルで Microsoft Defender for Cloud 用の組み込みコネクタが含まれています。

次のことを実行できます。

Defender for Cloud を Microsoft Sentinel に接続すると、Microsoft Sentinel に取り込まれた Defender for Cloud アラートの状態が 2 つのサービス間で同期されます。 たとえば、Defender for Cloud でアラートが閉じられた場合、そのアラートは Microsoft Sentinel でも閉じられたものとして表示されます。 Defender for Cloud でアラートの状態を変更すると、Microsoft Sentinel のアラートの状態も更新されます。 ただし、同期された Microsoft Sentinel アラートを含む Microsoft Sentinel インシデントの状態は更新されません。

双方向アラート同期機能を有効にして、元の Defender for Cloud アラートの状態を、Defender for Cloud アラートのコピーを含む Microsoft Sentinel インシデントと自動的に同期できます。 たとえば、Defender for Cloud アラートを含む Microsoft Sentinel インシデントが閉じられると、対応する元のアラートは Defender for Cloud によって自動的に閉じられます。

Microsoft Defender for Cloud からアラートを接続する方法に関するページを参照してください。

Note

双方向アラート同期機能は Azure Government クラウドでは利用できません。

すべての監査ログの Microsoft Sentinel への取り込みを構成する

Microsoft Sentinel で Defender for Cloud アラートを調査するもう 1 つの方法は、監査ログを Microsoft Sentinel にストリーム配信する方法です。

ヒント

Microsoft Sentinel は、Microsoft Sentinel で分析するために取り込まれ、Azure Monitor Log Analytics ワークスペースに保存されたデータの量に基づいて課金されます。 Microsoft Sentinel には、柔軟で予測可能な価格モデルが用意されています。 Microsoft Sentinel の価格ページを確認してください

QRadar と Splunk にアラートをストリーミングする

セキュリティ アラートを Splunk および QRadar にエクスポートするには、Event Hubs と組み込みコネクタを使う必要があります。 PowerShell スクリプトまたは Azure portal を使用して、サブスクリプションまたはテナントのセキュリティ アラートをエクスポートするための要件を設定できます。 要件が整ったら、各 SIEM に固有の手順を使って、SIEM プラットフォームにソリューションをインストールする必要があります。

前提条件

アラートをエクスポートするための Azure サービスを設定する前に、次のものが用意されていることを確認してください。

  • Azure サブスクリプション (無料アカウントを作成する)
  • Azure リソース グループ (リソース グループの作成)
  • アラート スコープ (サブスクリプション、管理グループ、テナント) 上の所有者ロール、または次の特定のアクセス許可。
    • イベント ハブと Event Hubs ポリシーの書き込みアクセス許可
    • 既存の Microsoft Entra アプリケーションを使用していない場合は、Microsoft Entra アプリケーションのアクセス許可を作成します
    • Azure Policy 'DeployIfNotExist' を使用している場合は、ポリシーのアクセス許可を割り当てます

Azure サービスを設定する

次のいずれかを使用して、継続的エクスポートをサポートするように Azure 環境を設定できます。

  1. PowerShell スクリプトをダウンロードして実行します。

  2. 必要なパラメーターを入力します。

  3. スクリプトを実行します。

スクリプトではすべての手順を実行します。 スクリプトが完了したら、出力を使ってソリューションを SIEM プラットフォームにインストールします。

Azure portal

  1. Azure portal にサインインします。

  2. Event Hubs を検索して選択します。

  3. Event Hubs 名前空間とイベント ハブを作成します

  4. Send アクセス許可を持つイベント ハブのポリシーを定義します。

アラートを QRadar にストリーミングしている場合:

  1. イベント ハブ Listen ポリシーを作成します。

  2. QRadar で使うポリシーの接続文字列をコピーして保存します。

  3. コンシューマー グループを作成します。

  4. SIEM プラットフォームで使う名前をコピーして保存します。

  5. 定義されたイベント ハブへのセキュリティ アラートの継続的なエクスポートを有効にします。

  6. ストレージ アカウントの作成。

  7. QRadar で使うアカウントに接続文字列をコピーして保存します。

詳細な手順については、「Splunk と QRadar にエクスポートするために Azure リソースを準備する」を参照してください。

Splunk にアラートをストリーミングしている場合:

  1. Microsoft Entra アプリケーションを作成します。

  2. テナント、アプリ ID、アプリパスワードを保存します。

  3. 以前に作成したイベントハブから読み取るためのアクセス許可を Microsoft Entra アプリケーションに付与します。

詳細な手順については、「Splunk と QRadar にエクスポートするために Azure リソースを準備する」を参照してください。

組み込みコネクタを使用して、イベント ハブを任意のソリューションに接続する

各 SIEM プラットフォームには、Azure Event Hubs からのアラートを受信できるようにするためのツールが用意されています。 プラットフォーム用のツールをインストールして、アラートの受信を開始します。

ツール Azure でホスト 説明
IBM QRadar いいえ Microsoft Azure DSM および Microsoft Azure Event Hub プロトコルは、IBM サポート Web サイトからダウンロードすることができます。
Splunk いいえ Microsoft Cloud Services 用の Splunk アドオンは、Splunkbase で使用できるオープン ソース プロジェクトです。

プロキシの使用時や Splunk Cloud での実行時など、アドオンをご自分の Splunk インスタンスにインストールできない場合は、イベント ハブの新着メッセージによりトリガーされる Splunk 向け Azure 関数を使用して、Splunk HTTP イベント コレクターにこれらのイベントを転送できます。

継続的なエクスポートを使用してアラートをストリーミングする

ArcSightSumoLogicSyslog サーバーLogRhythm, Logz.io Cloud Observability Platform、およびその他の監視ソリューションにアラートをストリーミングするには、連続エクスポートと Azure Event Hubs を使って Defender for Cloud を接続します。

Note

テナントレベルでアラートをストリーミングするには、この Azure policy を使用し、ルート管理グループでスコープを設定します。 「Defender for Cloud のアクセス許可」で説明されているように、ルート管理グループに対するアクセス許可が必要です。Microsoft Defender for Cloud のアラートと推奨のためにイベント ハブにエクスポートをデプロイします

連続エクスポートでアラートをストリーミングするには:

  1. 連続エクスポートを有効にします。

  2. 組み込みコネクタを使用して、イベント ハブを任意のソリューションに接続します。

    ツール Azure でホスト 説明
    sumologic いいえ イベント ハブから Azure 監査アプリのログを収集する」で、イベント ハブのデータを使用するように SumoLogic を設定する手順が説明されています。
    ArcSight いいえ ArcSight スマート コネクタ コレクションの一部として、ArcSight Azure イベント ハブ スマート コネクタが提供されています。
    Syslog サーバー いいえ Azure Monitor データを Syslog サーバーに直接ストリーム配信したい場合は、Azure 関数ベースのソリューションを使用できます。
    LogRhythm いいえ LogRhythm を設定してイベント ハブからログを収集するための手順については、こちらを参照してください。
    Logz.io はい 詳細については、Azure で実行される Java アプリ用の Logz.io を使用した監視とログ記録の概要に関するページを参照してください。

  3. (省略可能) 未加工のログをイベント ハブにストリーミングし、任意のソリューションに接続します。 「使用可能なデータの監視」で詳細を確認してください。

エクスポートされたデータ型のイベント スキーマを表示するには、Event Hubs のイベント スキーマにアクセスします。

Microsoft Graph Security API を使って、Microsoft 以外のアプリケーションにアラートをストリーミングする

Defender for Cloud には Microsoft Graph Security API と組み込みで統合されており、追加の構成要件は必要ありません。

この API を使うと、テナント全体 (および多くの Microsoft Security 製品からのデータ) からのアラートを Microsoft 以外の SIEM やその他の一般的なプラットフォームにストリーミングできます。

Note

アラートをエクスポートするために推奨される方法は、クラウド データの Microsoft Defender を継続的にエクスポートすることです。

次のステップ

このページでは、選択した SIEM、SOAR、または ITSM ツールで Microsoft Defender for Cloud アラート データを使用できるようにする方法について説明しました。 関連資料については、以下を参照してください。