Microsoft Defender for Cloud アラートを Microsoft Sentinel に取り込む

  • [アーティクル]

Microsoft Defender for Cloud の統合されたクラウド ワークロード保護により、ハイブリッドワークロードとマルチクラウド ワークロード全体の脅威を検出して迅速に対応できます。

このコネクタを使用すると、Microsoft Sentinel に Defender for Cloud からセキュリティ アラート を取り込むことができるので、より広範な組織の脅威コンテキストで、Defender アラートと生成されたインシデントを表示、分析、対応できます。

Microsoft Defender For Cloud の Defender プランがサブスクリプションごとに有効になっているため、このデータ コネクタもサブスクリプションごとに個別に有効または無効になります。

PREVIEW の新しい テナント ベースの Microsoft Defender for Cloud コネクタを使用すると、各サブスクリプションを個別に有効にする必要なく、テナント全体で Defender for Cloud アラートを収集できます。 また、 Defender for Cloud と Microsoft Defender XDR (旧称 Microsoft 365 Defender) の統合を活用して、すべての Defender for Cloud アラートが、Microsoft Defender XDR インシデント統合 を通じて受け取るインシデントに完全に含まれるようにします。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

アラートの同期

  • Microsoft Defender for Cloud を Microsoft Sentinel に接続すると、Microsoft Sentinel に取り込まれたセキュリティ アラートの状態が 2 つのサービス間で同期されます。 たとえば、 Defender for Cloud でアラートが閉じられた場合、そのアラートは Microsoft Sentinel でも閉じられたものとして表示されます。

  • Defender for Cloud でアラートの状態を変更しても、Microsoft Sentinel アラートを含む Microsoft Sentinel インシデントの状態には影響 "せず"、アラート自体の状態のみに影響します。

双方向アラート同期

双方向同期を有効にすると、元のセキュリティ アラートの状態と、それらのアラートを含む Microsoft Sentinel インシデントの状態が自動的に同期されます。 そのため、たとえば、セキュリティ アラートを含む Microsoft Sentinel インシデントが閉じられると、Microsoft Defender for Cloud で対応する元のアラートが自動的に閉じられます。

前提条件

  • Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • Microsoft Sentinel に接続するサブスクリプションに対する共同作成者または所有者のロールが必要です。

  • コネクタを有効にするサブスクリプションごとに、Microsoft Defender for Cloud 内で少なくとも 1 つのプランを有効にする必要があります。 サブスクリプションで Microsoft Defender プランを有効にするには、そのサブスクリプションのセキュリティ管理者ロールを持っている必要があります。

  • コネクタを有効にするサブスクリプションごとに、SecurityInsights リソース プロバイダーを登録する必要があります。 リソース プロバイダーの登録状態と登録方法に関するガイダンスを確認します。

  • 双方向同期を有効にするには、その関連するサブスクリプションで共同作成者セキュリティ管理者のロールを持っている必要があります。

  • Microsoft Sentinel のコンテンツ ハブから Microsoft Defender for Cloud 用のソリューションをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

Microsoft Defender for Cloud に接続する

  1. Microsoft Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーで、 [Microsoft Defender for Cloud] を選択し、詳細ペインで [コネクタ ページを開く] を選択します。

  3. [構成] に、テナント内のサブスクリプションの一覧と、サブスクリプションと Microsoft Defender for Cloud との接続の状態が表示されます。 アラートを Microsoft Sentinel にストリーミングする各サブスクリプションの横にある [状態] トグルを選択します。 一度に複数のサブスクリプションを接続する場合は、関連するサブスクリプションの横にあるチェック ボックスをオンにし、一覧の上にあるバーの [接続] ボタンを選択します。

    注意

    • チェック ボックスと [接続] トグルは、必要なアクセス許可を持っているサブスクリプションのものだけがアクティブになります。
    • [接続] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがマークされている場合にのみアクティブになります。

  4. サブスクリプションで双方向同期を有効にするには、一覧でそのサブスクリプションを見つけ、 [双方向同期] 列のドロップダウン リストから [有効] を選択します。 一度に複数のサブスクリプションで双方向同期を有効にするには、サブスクリプションのチェック ボックスをオンにし、一覧の上のバーにある [双方向同期を有効にする] ボタンを選択します。

    注意

    • チェック ボックスとドロップダウン リストは、必要なアクセス許可を持っているサブスクリプションのものだけがアクティブになります。
    • [双方向同期を有効にする] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがマークされている場合にのみアクティブになります。

  5. 一覧の [Microsoft Defender プラン] 列で、Microsoft Defender プランがサブスクリプションで有効になっているかどうか (コネクタを有効にするための前提条件) を確認できます。 この列の各サブスクリプションの値は、空白 (Defender プランが有効になっていないことを意味します)、"すべて有効"、"一部有効" のいずれかになります。"一部有効" の場合は、選択できる [すべて有効] リンクも使用され、そのサブスクリプションの Microsoft Defender for Cloud configuration ダッシュボードが表示されます。このダッシュボードで、有効にする Defender プランを選択できます。 一覧の上のバーにある [すべてのサブスクリプションに対して Microsoft Defender を有効にする] リンク ボタンをクリックすると、Microsoft Defender for Cloud の [作業の開始] ページに移動します。そこで、Microsoft Defender for Cloud を有効にするサブスクリプションをすべて選択することができます。

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. Microsoft Defender for Cloud からのアラートによって Microsoft Sentinel でインシデントが自動的に生成されるようにするかどうかを選択できます。 [インシデントの作成] で、 [有効化] を選択して、アラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 次に、 [アクティブな規則] タブの [分析] でこのルールを編集できます。

    ヒント

    アラートのカスタム分析ルールを Microsoft Defender for Cloud から構成する場合は、アラートの重要度を考慮して、情報アラートに対してインシデントを開かないようにします。

    Microsoft Defender for Cloud の情報アラート自体は、セキュリティ リスクを表すものではありません。情報アラートは、既存の未解決のインシデントのコンテキストのみに関連します。 詳細については、Microsoft Defender for Cloud のセキュリティ アラートとインシデントに関するページを参照してください。

データを検索して分析する

注意

双方向のアラート同期には、数分かかる場合があります。 アラートの状態の変更は、すぐには表示されない場合があります。

  • セキュリティ アラートは、Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。

  • Log Analytics でセキュリティ アラートに対してクエリを実行するには、最初に、次の情報をクエリ ウィンドウにコピーします。

    SecurityAlert 
| where ProductName == "Azure Security Center"

  • その他の便利なサンプル クエリ、分析ルール テンプレート、推奨されるブックについては、コネクタ ページの [次のステップ] タブを参照してください。

次のステップ

このドキュメントでは、Microsoft Defender for Cloud を Microsoft Sentinel に接続し、それらの間でアラートを同期する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。