Microsoft Defender XDR の統合を使用して Microsoft Defender for Cloud インシデントを取り込む

Microsoft Defender for Cloud は、Microsoft Defender XDR (旧称 Microsoft 365 Defender) と統合されるようになりました。 現在プレビュー段階のこの統合により、Defender XDR は Defender for Cloud からアラートを収集し、そこから Defender XDR インシデントを作成できます。

この統合により、Defender XDR インシデント統合を有効にした Microsoft Sentinel のお客様は、Microsoft Defender XDR を介して Defender for Cloud インシデントを取り込んで同期できるようになりました。

この統合をサポートするには、次のいずれかの Microsoft Defender for Cloud データ コネクタを設定する必要があります。そうしないと、Microsoft Defender XDR コネクタを経由する Microsoft Defender for Cloud のインシデントには、関連するアラートとエンティティは表示されません。

  • Microsoft Sentinel には、テナントベースの新しい Microsoft Defender for Cloud (プレビュー) コネクタがあります。 このコネクタを使用すると、Microsoft Sentinel のお客様は、すべての Defender for Cloud サブスクリプションに対するコネクタの登録を監視してメインしなくても、テナント全体で Defender for Cloud アラートを受け取ることができます。 Microsoft Defender XDR と Microsoft Defender for Cloud の統合もテナント レベルで実装されるため、この新しいコネクタを使用することをお勧めします。

  • または、サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) コネクタを使用することもできます。 このコネクタは推奨されません。コネクタ内に Microsoft Sentinel に接続されていない Defender for Cloud サブスクリプションがある場合、それらのサブスクリプションからのインシデントには関連するアラートとエンティティが表示されないためです。

上記メンション両方のコネクタを使用して、Defender XDR インシデント統合を有効にしているかどうかに関係なく、Defender for Cloud アラートを取り込むことができます。

重要

Defender for Cloud と Defender XDR の統合、およびテナント ベースの Microsoft Defender for Cloud コネクタは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

この統合と新しいコネクタの使用方法を選択する

この統合の使用の選択方法と、完全なインシデントまたはアラートのみのどちらを取り込むかは、Microsoft Defender XDR インシデントに関して既に行っていることに大きく依存します。

  • Defender XDR インシデントを既に取り込んでいる場合、またはそれをすぐに行い始めるつもりの場合は、この新しいテナント ベースのコネクタを有効にすることを強くお勧めします。 Defender XDR インシデントには、テナント内のすべての Defender for Cloud サブスクリプションからの、Defender for Cloud ベースのインシデントと完全に設定されたアラートが含まれるようになります。

    この状況で、従来のサブスクリプション ベースの Defender for Cloud コネクタにしたまま、新しいテナント ベースのコネクタに接続しない場合は、空のアラートを含む Defender for Cloud インシデントを受け取る可能性があります (コネクタが登録されていないサブスクリプションの場合)。

  • Microsoft Defender XDR のインシデント統合を有効にする予定がない場合でも、有効にしているコネクタのバージョンに関係なく、Defender for Cloud の "アラート" を受け取ることができます。 ただし、その場合でも、新しいテナント ベースのコネクタには、コネクタで Defender for Cloud サブスクリプションの一覧を監視および管理するためのアクセス許可が必要ないという利点があります。

  • Defender XDR の統合を "有効にしてある" が、Defender for Cloud の "アラート" のみを受け取る必要があり、"インシデント" は受け取りたくない場合は、自動化ルールを使って、Defender for Cloud インシデントは到着したらすぐに終了させることができます。

    それが適切な解決策でない場合、またはサブスクリプションごとに Defender for Cloud からアラートを収集したい場合は、Microsoft Defender XDR ポータルで Defender for Cloud の統合を完全にオプトアウトしてから、従来のサブスクリプション ベースのバージョンの Defender for Cloud コネクタを使って、それらのアラートを受け取ることができます。

Microsoft Sentinel で統合を設定する

Microsoft 365 Defender コネクタでインシデントの統合をまだ有効にしていない場合は、最初に有効にします。

その後、新しいテナント ベースの Microsoft Defender for Cloud (プレビュー) コネクタを有効にします。 このコネクタは、コンテンツ ハブの Microsoft Defender for Cloud ソリューション バージョン 3.0.0 から入手できます。 このソリューションの以前のバージョンがある場合は、コンテンツ ハブでアップグレードできます。

以前に従来のサブスクリプション ベースの Defender for Cloud コネクタ ([Subscription-based Microsoft Defender for Cloud (Legacy)] (サブスクリプション ベースの Microsoft Defender for Cloud (レガシ)) と表示されます) を有効にしていた場合は、ログでアラートが重複するのを防ぐために無効にすることをお勧めします。

Defender for Cloud アラートからインシデントを作成するスケジュールされたルールまたは Microsoft セキュリティ分析ルールがある場合は、Microsoft 365 Defender によって作成されて同期された既製のインシデントを受け取るので、これらのルールを無効にすることをお勧めします。

インシデントを作成したくない特定の種類の Defender for Cloud アラートがある場合は、自動化ルールを使ってこれらのインシデントをすぐに終了させるか、Microsoft 365 Defender ポータルの組み込みのチューニング機能を使用することができます。

次のステップ

この記事では、Microsoft Defender for Cloud と Microsoft Defender XDR の統合を使って、インシデントとアラートを Microsoft Sentinel に取り込む方法について説明しました。

Microsoft Defender for Cloud と Microsoft Defender XDR の統合の詳細を理解してください。