Microsoft Defender XDR から Microsoft Sentinel にデータを接続する

  • [アーティクル]

インシデント統合を備えた Microsoft Sentinel の Microsoft Defender XDR コネクタを使用すると、すべての Microsoft Defender XDR インシデントとアラートを Microsoft Sentinel にストリーミングし、両方のポータル間でインシデントの同期を維持できます。 Microsoft Defender XDR インシデントには、すべてのアラート、エンティティ、その他の関連情報が含まれます。 また、Microsoft Defender XDR のコンポーネント サービスである Microsoft Defender for Endpoint、Microsoft Defender for IdentityMicrosoft Defender for Office 365Microsoft Defender for Cloud Apps からのアラートのほか、Microsoft Purview データ損失防止やMicrosoft Entra ID 保護。 Microsoft Defender XDR コネクタは、Microsoft Defender for Cloud からのインシデントも提供しますが、これらのインシデントからアラートとエンティティを同期するには、Microsoft Defender for Cloud コネクタを有効にする必要があります。そうしないと、Microsoft Defender for Cloud インシデントは空で表示されます。 Microsoft Defender for Cloud で使用できるコネクタの詳細について説明します

このコネクタを使用すると、これら "すべての" Defender コンポーネントから Microsoft Azure Sentinel に詳細な捜索イベントをストリーミングすることもできます。これにより、これらの Defender コンポーネントの詳細な捜索クエリを Microsoft Sentinel にコピーすること、Sentinel アラートを Defender コンポーネントの未加工のイベント データを使用して強化し、追加の分析情報を提供すること、保有期間を長くしてログを Log Analytics に格納することができます。

インシデント統合と高度なハンティング イベント収集の詳細については、Microsoft Defender XDR と Microsoft Sentinel の統合に関する説明を参照してください

Microsoft Defender XDR コネクタが一般公開されました。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

  • Microsoft Defender XDR の前提条件で説明されているように、Microsoft Defender XDR の 有効なライセンスが必要です

  • ユーザーには、ログをストリーミングするテナントの全体管理者またはセキュリティ管理者のロールを割り当てる必要があります。

  • ユーザーは、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • コネクタ設定を変更するには、ユーザーは Microsoft Sentinel ワークスペースが関連付けられているのと同じ Microsoft Entra テナントのメンバーである必要があります。

  • Microsoft Sentinel のコンテンツ ハブから Microsoft Defender XDRソリューションをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

MDI による Active Directory の同期の前提条件

  • お使いのテナントが、Microsoft Defender for Identity にオンボードされている必要があります。

  • MDI センサーがインストールされている必要があります。

Microsoft Defender XDR に接続する

Microsoft Sentinel で、[データ コネクタ] を選択し、ギャラリーから Microsoft Defender XDR を選択し、[コネクタ ページを開く] を選択します

[構成] セクションには 3 つの部分があります。

  1. インシデントとアラート を接続すると、Microsoft Defender XDR と Microsoft Sentinel の基本的な統合が可能になり、2 つのプラットフォーム間でインシデントとそのアラートが同期されます。

  2. [Connect entities] (エンティティを接続する) では、Microsoft Defender for Identity を通してオンプレミスの Active Directory ユーザー ID を Microsoft Sentinel に統合できます。

  3. [Connect events] (イベントを接続する) では、Defender コンポーネントから生の高度なハンティング イベントを収集できます。

以下では、これらについて詳しく説明します。 詳細については、 Microsoft Defender XDR と Microsoft Sentinel の統合を参照してください。

インシデントとアラートを接続する

Microsoft Defender XDR インシデントとそのすべてのアラートを取り込み、Microsoft Sentinel インシデント キューに同期するには:

  1. インシデントの重複を避けるために、[これらの製品の Microsoft インシデント作成ルールをすべてオフにすることをお勧めします。] というラベルの付いたチェック ボックスをオンにします。
    (Microsoft Defender XDR コネクタが接続されると、このチェック ボックスは表示されません)。

  2. [インシデントとアラートの接続] ボタンを 選択します。

Note

Microsoft Defender XDR コネクタを有効にすると、すべての Microsoft Defender XDR コンポーネントのコネクタ (この記事の冒頭でメンションされたもの) がバックグラウンドで自動的に接続されます。 コンポーネントのいずれかのコネクタを切断するには、まず Microsoft Defender XDR コネクタを切断する必要があります。

Microsoft Defender XDR インシデント データに対してクエリを実行するには、クエリ ウィンドウで次のステートメントを使用します。

SecurityIncident
| where ProviderName == "Microsoft 365 Defender"

エンティティを接続する

Microsoft Defender for Identity を使って、オンプレミスの Active Directory から Microsoft Sentinel にユーザー エンティティを同期します。

Microsoft Defender for Identity (MDI) を使用してオンプレミスの Active Directoryユーザーを同期するための前提条件を満たしていることを確認します。

  1. [UEBA 構成ページに移動する] リンクを選びます。

  2. [Entity behavior configuration] (エンティティの動作の構成) ページで、UEBA をまだ有効にしていない場合は、ページの上部にあるトグルを [オン] に移動します。

  3. [Active Directory (プレビュー)] チェック ボックスをオンにして、[適用] を選びます。

    Screenshot of UEBA configuration page for connecting user entities to Sentinel.

イベントを接続する

Microsoft Defender for Endpoint または Microsoft Defender for Office 365 から詳細な捜索イベントを収集する場合は、対応する詳細な捜索テーブルから次の種類のイベントを収集できます。

  1. 収集するイベントの種類があるテーブルのチェック ボックスをオンにします。

    テーブル名 イベントの種類
    DeviceInfo コンピューター情報 (OS 情報を含む)
    DeviceNetworkInfo 物理アダプター、IP および MAC アドレス、接続されているネットワークとドメインを含む、デバイスのネットワーク プロパティ
    DeviceProcessEvents プロセスの作成と関連イベント
    DeviceNetworkEvents ネットワーク接続と関連イベント
    DeviceFileEvents ファイルの作成、変更、およびその他のファイル システム イベント
    DeviceRegistryEvents レジストリ エントリの作成と変更
    DeviceLogonEvents デバイスでのサインインとその他の認証イベント
    DeviceImageLoadEvents DLL 読み込みイベント
    DeviceEvents Windows Defender ウイルス対策や Exploit Protection などのセキュリティ制御によってトリガーされるイベントを含む、複数のイベントの種類
    DeviceFileCertificateInfo エンドポイントで証明書の検証イベントから取得された署名付きファイルの証明書情報

  2. [変更の適用] をクリックします。

  3. Log Analytics で高度なハンティング テーブルに対してクエリを実行するには、クエリ ウィンドウの上の一覧からテーブル名を入力します。

データ インジェストを検証する

コネクタ ページのデータ グラフは、データを取り込んでいることを示しています。 インシデント、アラート、およびイベントごとに 1 行ずつ表示されており、イベント行は有効なすべてのテーブル全体のイベント ボリュームの集計であることがわかります。 コネクタを有効にすると、次の KQL クエリを使用して、より具体的なグラフを生成できます。

受信した Microsoft Defender XDR インシデントのグラフには、次の KQL クエリを使用します。

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

次の KQL クエリを使用して、1 つのテーブルのイベント ボリュームのグラフを生成します (DeviceEvents テーブルを、必要な選択したテーブルに変更します)。

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

[次のステップ] タブには、便利なブック、サンプル クエリ、含まれている分析ルール テンプレートがいくつか表示されます。 これらのクエリは、そこから実行するか、変更して保存することができます。

次のステップ

このドキュメントでは、Microsoft Defender XDR コネクタを使用して、Microsoft Defender XDR インシデントと、Microsoft Defender コンポーネント サービスからの高度なハンティング イベント データを Microsoft Sentinel に統合する方法について説明しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。