Microsoft Defender XDR と Microsoft Sentinel の統合

  • [アーティクル]

Microsoft Sentinel の Microsoft Defender XDR インシデント統合により、すべての Microsoft Defender XDR インシデントを Microsoft Sentinel にストリーミングし、両方のポータル間で同期を保つことができます。 Microsoft Defender XDR のインシデントには、関連するすべてのアラート、エンティティ、関連情報が含まれており、Microsoft Sentinel でトリアージと事前調査を実行するのに十分なコンテキストが用意されています。 Sentinel では、インシデントが Microsoft Defender XDR と双方向で同期されたままになるため、ユーザーはインシデント調査で両方のポータルの利点を活用できます。

この統合により、Microsoft 365 セキュリティ インシデントは、組織全体の主要なインシデント キューの一部として、Microsoft Sentinel 内から管理できるようになります。これにより、Microsoft 365 インシデントを、他のすべてのクラウドおよびオンプレミス システムのものと合わせて確認し、関連付けることができます。 同時に、Microsoft Defender XDR の独自の強みと機能を活用して、詳細な調査や、Microsoft 365 エコシステム全体での Microsoft 365 固有のエクスペリエンスを実現できます。 Microsoft Defender XDR を使用すると、複数の Microsoft 365 製品からのアラートが強化され、グループ化されます。これにより、SOC のインシデント キューのサイズが縮小され、解決にかかる時間が短縮します。 Microsoft Defender XDR スタックの一部であるコンポーネント サービスは次のとおりです。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Cloud

Microsoft Defender XDR によってアラートが収集されるその他のサービスには、次のものがあります。

Microsoft Defender XDR では、これらのコンポーネントや他のサービスからアラートが収集されるだけではなく、独自のアラートが生成されます。 これらのすべてのアラートからインシデントを作成し、Microsoft Sentinel に送信します。

一般的なユース ケースとシナリオ

  • Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームへの Microsoft Sentinel のオンボード。ここで、Microsoft Defender XDR 統合を有効にすることが早い段階で必要になります。

  • 1 回のクリックで、Microsoft Defender XDR インシデント (Microsoft Defender XDR コンポーネントのすべてのアラートとエンティティを含む) を Microsoft Sentinel に接続できます。

  • 状態、所有者、終了の理由について、Sentinel インシデントと Microsoft Defender XDR インシデントの間で双方向同期を行います。

  • Microsoft Sentinel で Microsoft Defender XDR アラートのグループ化と強化の機能を適用することで、解決までの時間が短縮します。

  • Microsoft Sentinel インシデントとその並行 Microsoft Defender XDR インシデント間のコンテキスト内ディープ リンクを使用して、両方のポータルでの調査を容易にします。

Microsoft Defender XDR への接続

("Microsoft Defender XDR インシデントと Microsoft インシデントの作成ルール" はここでリダイレクトされます)。

Microsoft Sentinel 用 Microsoft Defender XDR ソリューションをインストールし、Microsoft Defender XDR データ コネクタでインシデントとアラートを収集できるようにします。 Microsoft Defender XDR インシデントは、Microsoft Defender XDR で生成されるとすぐに、アラートの製品名フィールドの Microsoft Defender XDR (または、コンポーネント サービスの名前のいずれか) と併せて、Microsoft Sentinel インシデント キューに表示されます。

  • Microsoft Defender XDR でインシデントが生成されてから Microsoft Sentinel に表示されるまで、最大で 10 分かかることがあります。

  • Microsoft Defender XDR からのアラートとインシデント (SecurityAlertSecurityIncident の各テーブルに設定される項目) は、Microsoft Sentinel に無料で取り込まれ、同期されます。 個々の Defender コンポーネントからのその他のデータの種類 ([詳細な捜索] のテーブル、DeviceInfoDeviceFileEventsEmailEvents など) では、すべて、インジェストは有料です。

  • Microsoft Defender XDR コネクタを有効にすると、そのコンポーネント サービス (Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps、Microsoft Entra ID Protection) によって作成されたアラートが Microsoft Defender XDR に送信され、インシデントにグループ化されます。 アラートとインシデントの両方が、Microsoft Defender XDR コネクタを介して Microsoft Sentinel に送信されます。 個々のコンポーネント コネクタを事前に有効にしていた場合は、接続されたままの状態として表示されますが、それらを介してデータは送信されません。

    このプロセスの例外は、Microsoft Defender for Cloud です。 Microsoft Defender XDR との統合は、Defender XDR を通じて Defender for Cloud インシデントを受信することを意味しますが、Defender for Cloud アラートを受信するには、Microsoft Defender for Cloud コネクタも有効にする必要があります。 使用可能なオプションと詳細については、「Microsoft Defender XDR の統合を使用して Microsoft Defender for Cloud インシデントを取り込む」を参照してください。

  • 同様に、同じアラートに対して重複するインシデントを作成しないようにするには、Microsoft Defender XDR に接続する際、Microsoft Defender XDR で統合された製品 (Defender for Endpoint、Defender for Identity、Defender for Office 365、Defender for Cloud Apps、Microsoft Entra ID Protection) の Microsoft インシデント作成ルールを無効にします。 これは、Defender XDR に独自のインシデント作成ルールがあるためです。 この変更には、次のような影響があります。

    • Microsoft Sentinel のインシデント作成ルールでは、インシデントの作成に使用されるアラートをフィルター処理できました。 これらのルールを無効にすると、Microsoft Defender ポータルでアラートのチューニングを構成するか、自動化ルールを使用して作成したくないインシデントを抑制する (閉じる) ことで、アラート フィルター機能を維持できます。

    • Microsoft Defender XDR 相関エンジンはインシデントの作成を管理し、作成したインシデントに自動的に名前を付けるので、インシデントのタイトルを事前に定義することはできなくなります。 この変更は、インシデント名を条件として使用する、作成したすべての自動化ルールに影響を与える可能性があります。 この落とし穴を回避するには、自動化ルールをトリガーするための条件として、インシデント名以外の基準 (タグを使用することをお勧めします) を使用します。

Microsoft Sentinel および双方向同期での Microsoft Defender XDR インシデントの処理

Microsoft Defender XDR インシデントは、製品名「Microsoft Defender XDR」および他の Sentinel インシデントと同様の詳細や機能が含まれた Microsoft Sentinel インシデント キューに表示されます。 各インシデントには、Microsoft Defender ポータルの並列インシデントへのリンクが含まれます。

インシデントが Microsoft Defender XDR で進化し、より多くのアラートやエンティティが追加されると、それに応じて Microsoft Sentinel インシデントが更新されます。

Microsoft Defender XDR または Microsoft Sentinel で Microsoft Defender XDR インシデントの状態、終了理由、または割り当てに加えられた変更は、他のインシデント キューでも同様に更新されます。 同期は、インシデントに対する変更が適用されるとすぐに、両方のポータルで遅延なく行なわれます。 最新の変更内容を確認するには、最新の情報に更新する必要がある場合があります。

Microsoft Defender XDR では、1 つのインシデントからのすべてのアラートが別のものに転送され、インシデントがマージされることがあります。 このマージが起きると、Microsoft Sentinel のインシデントに変更が反映されます。 一方のインシデントには両方の元のインシデントからの全アラートが含まれ、他方のインシデントは自動的に閉じられ、"リダイレクト済み" のタグが追加されます。

Note

Microsoft Sentinel のインシデントには、最大で 150 のアラートが含まれることがあります。 Microsoft Defender XDR インシデントでは、これより多く発生することがあります。 アラートが 150 を超える Microsoft Defender XDR インシデントが Microsoft Sentinel に同期されている場合、Sentinel インシデントは "150 以上" のアラートを持つものとして表示され、アラートの完全なセットを確認できる Microsoft Defender XDR の並列インシデントへのリンクが表示されます。

高度なハンティング イベント収集

Microsoft Defender XDR コネクタを使用すると、高度な検出イベント (生のイベント データの種類) を、Microsoft Defender XDR およびそのコンポーネント サービスから Microsoft Sentinel にストリーミングすることもできます。 (2022 年 4 月時点)高度な検出イベントを "すべての" Microsoft Defender XDR コンポーネントから収集し、Microsoft Sentinel ワークスペースの専用テーブルに直接ストリーミングできるようになりました。 これらのテーブルは Microsoft Defender ポータルで使用されているのと同じスキーマに基づいて構築されており、ユーザーは高度な検出イベントの完全なセットへの完全なアクセス権を得て、次のことを行うことができます。

  • 既存の Microsoft Defender for Endpoint、Office 365、Identity、Cloud Apps の高度なハンティング クエリを Microsoft Sentinel に簡単にコピーする。

  • 生のイベント ログを使用して、アラート、ハンティング、調査に関する追加の分析情報を取得し、Microsoft Sentinel のその他のデータ ソースのイベントとこれらのイベントを関連付ける。

  • Microsoft Defender XDR またはそのコンポーネントの 30 日間の既定の保有期間を超えて、延長された保有期間でログを保存する。 これを行うには、ワークスペースの保有期間を構成するか、Log Analytics でテーブルごとの保有期間を構成します。

次のステップ

このドキュメントでは、Microsoft Defender XDR コネクタを使用して Microsoft Defender XDR を Microsoft Sentinel と一緒に使用することの利点について学習しました。