Microsoft Defender XDR の統合を使用して Microsoft Defender for Cloud インシデントを取り込む

  • [アーティクル]

Microsoft Defender for Cloud は、Microsoft Defender XDR (旧称 Microsoft 365 Defender) と統合されるようになりました。 この統合により、Defender XDR は Defender for Cloud からアラートを収集し、そこから Defender XDR インシデントを作成できます。

この統合によって、Defender XDR のインシデント統合を有効にしている Microsoft Sentinel のお客様は、Microsoft Defender XDR を通じて Defender for Cloud インシデントを取り込み、同期できるようになりました。

この統合をサポートするには、次のいずれかの Microsoft Defender for Cloud データ コネクタを設定する必要があります。設定しないと、Microsoft Defender XDR コネクタを介した Microsoft Defender for Cloud のインシデントに、関連するアラートとエンティティが表示されません。

  • Microsoft Sentinel には新しいテナント ベースの Microsoft Defender for Cloud (プレビュー) コネクタがあります。 このコネクタを使うと、Microsoft Sentinel のお客様は、すべての Defender for Cloud サブスクリプションに対するコネクタの登録を監視および維持しなくても、テナント全体について Defender for Cloud のアラートを受け取ることができます。 Microsoft Defender XDR と Microsoft Defender for Cloud の統合もテナント レベルで実装されるため、この新しいコネクタを使用することをお勧めします。

  • また、サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) コネクタを使用することもできます。 このコネクタは推奨されません。Microsoft Sentinel に接続されていない Defender for Cloud サブスクリプションがそのコネクタ内にあると、そのサブスクリプションからのインシデントには、関連するアラートとエンティティが表示されないためです。

上記のコネクタは両方とも、Defender XDR インシデント統合を有効にしているかどうかに関係なく、Defender for Cloud アラートを取り込むときに使用できます。

重要

この統合と新しいコネクタの使用方法を選択する

この統合の使用の選択方法と、完全なインシデントまたはアラートのみのどちらを取り込むかは、Microsoft Defender XDR インシデントに関して既に行っていることに大きく依存します。

  • Defender XDR インシデントを既に取り込んでいる場合、またはそれをすぐに行い始めるつもりの場合は、この新しいテナント ベースのコネクタを有効にすることを強くお勧めします。 Defender XDR インシデントには、テナント内のすべての Defender for Cloud サブスクリプションからの、Defender for Cloud ベースのインシデントと完全に設定されたアラートが含まれるようになります。

    この状況で、従来のサブスクリプション ベースの Defender for Cloud コネクタにしたまま、新しいテナント ベースのコネクタに接続しない場合は、空のアラートを含む Defender for Cloud インシデントを受け取る可能性があります (コネクタが登録されていないサブスクリプションの場合)。

  • Microsoft Defender XDR のインシデント統合を有効にする予定がない場合でも、有効にしているコネクタのバージョンに関係なく、Defender for Cloud の "アラート" を受け取ることができます。 ただし、その場合でも、新しいテナント ベースのコネクタには、コネクタで Defender for Cloud サブスクリプションの一覧を監視および管理するためのアクセス許可が必要ないという利点があります。

  • Defender XDR の統合を "有効にしてある" が、Defender for Cloud の "アラート" のみを受け取る必要があり、"インシデント" は受け取りたくない場合は、自動化ルールを使って、Defender for Cloud インシデントは到着したらすぐに終了させることができます。

    それが適切な解決策でない場合、またはサブスクリプションごとに Defender for Cloud からアラートを収集したい場合は、Microsoft Defender XDR ポータルで Defender for Cloud の統合を完全にオプトアウトしてから、従来のサブスクリプション ベースのバージョンの Defender for Cloud コネクタを使って、それらのアラートを受け取ることができます。

Microsoft Sentinel で統合を設定する

Microsoft 365 Defender コネクタでインシデントの統合をまだ有効にしていない場合は、最初に有効にします。

その後、新しいテナント ベースの Microsoft Defender for Cloud (プレビュー) コネクタを有効にします。 このコネクタは、コンテンツ ハブの Microsoft Defender for Cloud ソリューション バージョン 3.0.0 から入手できます。 このソリューションの以前のバージョンがある場合は、コンテンツ ハブでアップグレードできます。

以前に従来のサブスクリプション ベースの Defender for Cloud コネクタ ([Subscription-based Microsoft Defender for Cloud (Legacy)] (サブスクリプション ベースの Microsoft Defender for Cloud (レガシ)) と表示されます) を有効にしていた場合は、ログでアラートが重複するのを防ぐために無効にすることをお勧めします。

Defender for Cloud アラートからインシデントを作成するスケジュールされたルールまたは Microsoft セキュリティ分析ルールがある場合は、Microsoft 365 Defender によって作成されて同期された既製のインシデントを受け取るので、これらのルールを無効にすることをお勧めします。

インシデントを作成したくない特定の種類の Defender for Cloud アラートがある場合は、自動化ルールを使ってこれらのインシデントをすぐに終了させるか、Microsoft 365 Defender ポータルの組み込みのチューニング機能を使用することができます。

次のステップ

この記事では、Microsoft Defender for Cloud と Microsoft Defender XDR の統合を使って、インシデントとアラートを Microsoft Sentinel に取り込む方法について説明しました。

Microsoft Defender for Cloud と Microsoft Defender XDR の統合の詳細を理解してください。