Microsoft Defender for Cloud アラートを Microsoft Sentinel に接続する

注意

Azure Sentinel は現在 Microsoft Sentinel と呼ばれており、今後数週間でこれらのページを更新する予定です。 最近の Microsoft のセキュリティ強化の詳細を確認してください。

背景

Note

  • Microsoft Defender for Cloud は以前は Azure Security Center と呼ばれていました。
  • Defender for Cloud の強化されたセキュリティ機能は、総称して Azure Defender と呼ばれていました。

Microsoft Defender For Cloud の統合されたクラウドワークロード保護により、ハイブリッドおよびマルチクラウドのワークロード全体にわたる脅威を検出し、迅速に対応することができます。

このコネクタを使用すると、Defender for Cloud からのセキュリティ アラートを Microsoft Sentinel にストリーミングできるので、セキュリティ アラートとそれらによって生成されるインシデントをより広範な組織の脅威コンテキストで表示、分析、対応できます。

Microsoft Defender For Cloud の強化されたセキュリティ機能がサブスクリプションごとに有効になっているため、このデータコネクタもサブスクリプションごとに個別に有効または無効になります。

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

アラートの同期

  • Microsoft Defender for Cloud を Microsoft Sentinel に接続すると、Microsoft Sentinel に取り込まれたセキュリティ アラートの状態が 2 つのサービス間で同期されます。 たとえば、 Defender for Cloud でアラートが閉じられた場合、そのアラートは Microsoft Sentinel でも閉じられたものとして表示されます。

  • Defender for Cloud でアラートの状態を変更しても、Microsoft Sentinel アラートを含む Microsoft Sentinel インシデントの状態には影響 "せず"、アラート自体の状態のみに影響します。

双方向アラート同期

  • 双方向同期を有効にすると、元のセキュリティ アラートの状態と、それらのアラートを含む Microsoft Sentinel インシデントの状態が自動的に同期されます。 そのため、たとえば、セキュリティ アラートを含む Microsoft Sentinel インシデントが閉じられると、Microsoft Defender for Cloud で対応する元のアラートが自動的に閉じられます。

前提条件

  • Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • ストリーミングするログのサブスクリプションでのセキュリティ閲覧者ロールが必要です。

  • コネクタを有効にするサブスクリプションごとに、Microsoft Defender for Cloud 内で少なくとも 1 つのプランを有効にする必要があります。 サブスクリプションで Microsoft Defender プランを有効にするには、そのサブスクリプションのセキュリティ管理者ロールを持っている必要があります。

  • 双方向同期を有効にするには、その関連するサブスクリプションで共同作成者セキュリティ管理者のロールを持っている必要があります。

Microsoft Defender for Cloud に接続する

  1. Microsoft Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーで、 [Microsoft Defender for Cloud] を選択し、詳細ペインで [コネクタ ページを開く] を選択します。

  3. [構成] に、テナント内のサブスクリプションの一覧と、サブスクリプションと Microsoft Defender for Cloud との接続の状態が表示されます。 アラートを Microsoft Sentinel にストリーミングする各サブスクリプションの横にある [状態] トグルを選択します。 一度に複数のサブスクリプションを接続する場合は、関連するサブスクリプションの横にあるチェック ボックスをオンにし、一覧の上にあるバーの [接続] ボタンを選択します。

    注意

    • チェック ボックスと [接続] トグルは、必要なアクセス許可を持っているサブスクリプションのものだけがアクティブになります。
    • [接続] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがマークされている場合にのみアクティブになります。
  4. サブスクリプションで双方向同期を有効にするには、一覧でそのサブスクリプションを見つけ、 [双方向同期] 列のドロップダウン リストから [有効] を選択します。 一度に複数のサブスクリプションで双方向同期を有効にするには、サブスクリプションのチェック ボックスをオンにし、一覧の上のバーにある [双方向同期を有効にする] ボタンを選択します。

    注意

    • チェック ボックスとドロップダウン リストは、必要なアクセス許可を持っているサブスクリプションのものだけがアクティブになります。
    • [双方向同期を有効にする] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがマークされている場合にのみアクティブになります。
  5. 一覧の [Microsoft Defender プラン] 列で、Microsoft Defender プランがサブスクリプションで有効になっているかどうか (コネクタを有効にするための前提条件) を確認できます。 この列の各サブスクリプションの値は、空白 (Defender プランが有効になっていないことを意味します)、"すべて有効"、"一部有効" のいずれかになります。"一部有効" の場合は、選択できる [すべて有効] リンクも使用され、そのサブスクリプションの Microsoft Defender for Cloud configuration ダッシュボードが表示されます。このダッシュボードで、有効にする Defender プランを選択できます。 一覧の上のバーにある [すべてのサブスクリプションに対して Microsoft Defender を有効にする] リンク ボタンをクリックすると、Microsoft Defender for Cloud の [作業の開始] ページに移動します。そこで、Microsoft Defender for Cloud を有効にするサブスクリプションをすべて選択することができます。

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. Microsoft Defender for Cloud からのアラートによって Microsoft Sentinel でインシデントが自動的に生成されるようにするかどうかを選択できます。 [インシデントの作成] で、 [有効化] を選択して、アラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 次に、 [アクティブな規則] タブの [分析] でこのルールを編集できます。

    ヒント

    アラートのカスタム分析ルールを Microsoft Defender for Cloud から構成する場合は、アラートの重要度を考慮して、情報アラートに対してインシデントを開かないようにします。

    Microsoft Defender for Cloud の情報アラート自体は、セキュリティ リスクを表すものではありません。情報アラートは、既存の未解決のインシデントのコンテキストのみに関連します。 詳細については、Microsoft Defender for Cloud のセキュリティ アラートとインシデントに関するページを参照してください。

データを検索して分析する

注意

双方向のアラート同期には、数分かかる場合があります。 アラートの状態の変更は、すぐには表示されない場合があります。

  • セキュリティ アラートは、Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。

  • Log Analytics でセキュリティ アラートに対してクエリを実行するには、最初に、次の情報をクエリ ウィンドウにコピーします。

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • その他の便利なサンプル クエリ、分析ルール テンプレート、推奨されるブックについては、コネクタ ページの [次のステップ] タブを参照してください。

次のステップ

このドキュメントでは、Microsoft Defender for Cloud を Microsoft Sentinel に接続し、それらの間でアラートを同期する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。