Microsoft Defender XDR と Microsoft Sentinel の統合

• 適用対象:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Microsoft Defender XDR を Microsoft Sentinel と統合して、すべての Defender XDR インシデントと高度な追求のイベントを Microsoft Sentinel にストリーミングし、Azure portal と Microsoft Defender ポータルの間でインシデントとイベントの同期を維持します。 Defender XDR からのインシデントには、すべての関連付けられたアラート、エンティティ、関連情報が含まれ、Microsoft Sentinel でトリアージと事前調査を実行するのに十分なコンテキストを提供します。 Microsoft Sentinel においてインシデントが Defender XDR と双方向的に同期された状態になると、インシデント調査において両方のポータルの利点を活用できるようになります。

または、Microsoft Sentinel を Defender XDR と共に Defender ポータル内の統合セキュリティ オペレーション プラットフォームにオンボードします。 統合セキュリティ オペレーション プラットフォームでは、Microsoft Sentinel、Defender XDR、サイバーセキュリティ用に構築された生成 AI の全機能が統合されています。 詳細については、次のリソースを参照してください。

• ブログ記事: Microsoft 統合セキュリティ オペレーション プラットフォームの一般提供
• Microsoft Defender ポータルの Microsoft Sentinel
• Microsoft Copilot in Microsoft Defender

Microsoft Sentinel と Defender XDR

以下のいずれかの方法を使用して、Microsoft Sentinel と Microsoft Defender XDR サービスを統合できます。

• Microsoft Defender XDR サービス データを Microsoft Sentinel に取り込み、Microsoft Sentinel データを Azure portal に表示します。 Microsoft Sentinel の Defender XDR コネクタを有効にします。

• Microsoft Sentinel と Defender XDR を、Microsoft Defender ポータル上の単一の統合セキュリティ オペレーション プラットフォームに統合します。 この場合は、Microsoft Sentinel データを、残りの Defender インシデント、アラート、脆弱性、およびその他のセキュリティ データと共に、Microsoft Defender ポータルで直接表示します。 Microsoft Sentinel の Defender XDR コネクタを有効にして、Microsoft Sentinel を Defender ポータル上の統合オペレーション プラットフォームにオンボードします。

適切なタブを選択して、使用する統合方法によって Microsoft Sentinel の Defender XDR との統合がどのように異なるかを確認します。

Azure Portal

次の図では、Microsoft の XDR ソリューションが Microsoft Sentinel とシームレスに統合する方法が示されています。

この図の内容は次のとおりです。

• 組織全体のシグナルからの分析情報は、Microsoft Defender XDR と Microsoft Defender for Cloud に送られます。
• Microsoft Defender XDR と Microsoft Defender for Cloud は、Microsoft Sentinel コネクタを介して SIEM ログ データを送信します。
• その後、SecOps チームは、Microsoft Sentinel と Microsoft Defender XDR で特定された脅威を分析し、対応できます。
• Microsoft Sentinel はマルチクラウド環境のサポートを提供し、サードパーティのアプリやパートナーと統合されます。

Defender ポータル

次の図は、Microsoft の XDR ソリューションが、統合セキュリティ オペレーション プラットフォームを使用して、どのように Microsoft Sentinel とシームレスに統合されているかを示しています。

この図の内容は次のとおりです。

• 組織全体のシグナルからの分析情報は、Microsoft Defender XDR と Microsoft Defender for Cloud に送られます。
• Microsoft Sentinel はマルチクラウド環境のサポートを提供し、サードパーティのアプリやパートナーと統合されます。
• Microsoft Sentinel データは、組織のデータと共に Microsoft Defender ポータルに取り込まれます。
• その後、SecOps チームは、Microsoft Defender ポータルで Microsoft Sentinel と Microsoft Defender XDR によって特定された脅威を分析し、対応できます。

インシデント相関関係とアラート

Defender XDR と Microsoft Sentinel の統合により、Microsoft Sentinel 内で Defender XDR のインシデントを表示および管理できるようになります。 これにより、組織全体にプライマリ インシデント キューが提供されます。 Defender XDR インシデントを確認して他のすべてのクラウドおよびオンプレミス システムのインシデントと関連付けます。 同時に、この統合によって、Defender XDR の独自の強みと機能を活用して、詳細な調査や、Microsoft 365 エコシステム全体での Defender 固有のエクスペリエンスを実現できます。

Defender XDR は複数の Microsoft Defender 製品からのアラートをエンリッチしてグループ化し、SOC のインシデント キューのサイズを縮小して解決にかかる時間を短縮します。 Microsoft Sentinel への Defender XDR の統合の中には、以下の Microsoft Defender 製品とサービスからのアラートも含まれています。

• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender for Cloud Apps
• Microsoft Defender 脆弱性の管理

Defender XDR によってアラートが収集されるその他のサービスには以下が含まれます。

• Microsoft Purview データ損失防止 (詳細情報)
• Microsoft Entra ID 保護 (詳細情報)

Defender XDR コネクタは、Microsoft Defender for Cloud からのインシデントも取り込みます。 これらのインシデントからのアラートとエンティティも同期するには、Microsoft Sentinel の Defender for Cloud コネクタを有効にする必要があります。 そうしないと、Defender for Cloud インシデントは空白で表示されます。 詳細については、「Microsoft Defender XDR 統合を使用した Microsoft Defender for Cloud インシデントの取り込み」を参照してください。

これらのコンポーネントや他のサービスからのアラートの収集に加え、Defender XDR はそれ自体のアラートも生成します。 これらのすべてのアラートからインシデントを作成し、Microsoft Sentinel に送信します。

一般的なユース ケースとシナリオ

以下のユース ケースとシナリオでは、Defender XDR を Microsoft Sentinel と統合することを検討してください。

• Microsoft Sentinel を Microsoft Defender ポータル内の統合セキュリティ オペレーション プラットフォームへとオンボードする。 Defender XDR コネクタの有効化が前提条件となります。

• Defender XDR インシデント (Defender XDR コンポーネントからのすべてのアラートとエンティティを含む) の Microsoft Sentinel へのワンクリック接続を実現する。

• 状態、所有者、終了理由についての Microsoft Sentinel インシデントと Defender XDR インシデントの間の双方向同期を可能にする。

• Microsoft Sentinel で Defender XDR アラートのグループ化とエンリッチメントの機能を適用することで、解決にかかる時間を短縮する。

• Microsoft Sentinel インシデントとそれに相当する Defender XDR インシデント間のコンテキストを含む深い繋がりを使用して両方のポータルにわたる調査を容易にする。

統合セキュリティ オペレーション プラットフォームでの Microsoft Sentinel の Defender XDR との統合の機能の詳細については、「Microsoft Defender ポータルでの Microsoft Sentinel」を参照してください。

Microsoft Defender XDR への接続

Microsoft Sentinel の Microsoft Defender XDR コネクタを有効にして、すべての Defender XDR インシデントおよびアラート情報を Microsoft Sentinel に送信し、インシデントを同期させます。

• まず、コンテンツ ハブから Microsoft Sentinel 用の Microsoft Defender XDR ソリューションをインストールします。 次に、Microsoft Defender XDR データ コネクタを有効にして、インシデントとアラートを収集します。 詳細については、「Microsoft Defender XDR から Microsoft Sentinel へのデータの接続」を参照してください。

• Defender XDR データ コネクタでアラートとインシデント収集を有効にすると、Defender XDR インシデントは、それらが Defender XDR で生成された直後に Microsoft Sentinel インシデント キューに現れます。 Microsoft Defender XDR 内でインシデントが生成されてからそれが Microsoft Sentinel に表示されるまで、最大で 10 分かかる可能性があります。 これらのインシデントでは、[製品名のアラート] フィールドに、Microsoft Defender XDR またはコンポーネント Defender サービスの名前の 1 つ 含まれます。

• Microsoft Sentinel ワークスペースを Defender ポータル上で統合セキュリティ オペレーション プラットフォームにオンボードするには、「Microsoft Sentinel を Microsoft Defender XDR に接続する」を参照してください。

インジェスト コスト

Defender XDR からのアラートとインシデント (SecurityAlert と SecurityIncident テーブルに入力される項目を含む) は、Microsoft Sentinel に無料で取り込まれ同期されます。 個々の Defender コンポーネントからのその他すべてのデータの種類 (Advanced hunting テーブルの DeviceInfo、DeviceFileEvents、EmailEvents など) に関しては、インジェストに対して課金が行われます。 詳細については、「コストを計画し、Microsoft Sentinel の価格と課金を理解する」を参照してください。

データ インジェストの動作

Defender XDR コネクタが有効であると、Defender XDR 統合製品によって作成されたアラートは Defender XDR に送信され、インシデントにグループ化されます。 アラートとインシデントの両方が、Defender XDR コネクタを通して Microsoft Sentinel に送信されます。 このプロセスの例外は、Defender for Cloud です。 テナントベースの Defender for Cloud アラートを有効にして、Defender XDR 経由ですべてのアラートとインシデントを受信するか、サブスクリプション ベースのアラートを維持し、Azure portal の Microsoft Sentinel 内でインシデントに昇格させるオプションがあります。 利用可能なオプションと詳細については、以下の記事を参照してください。

• Microsoft Defender ポータルの Microsoft Defender for Cloud
• Microsoft Defender XDR 統合を使用した Microsoft Defender for Cloud インシデントの取り込み

Microsoft インシデント作成ルール

"同じアラートに対して重複するインシデント" を作成することを防ぐために、Defender XDR を接続する際に、Defender XDR 統合製品に対する Microsoft インシデント作成ルール設定はオフにされます。 Defender XDR 統合製品には、Microsoft Defender for Identity、Microsoft Defender for Office 365 などがあります。 また、Microsoft インシデント作成ルールは、統合セキュリティ オペレーション プラットフォームではサポートされません。 Defender XDR には独自のインシデント作成ルールがあります。 この変更には、次のような影響があります。

• Microsoft Sentinel のインシデント作成ルールでは、インシデントの作成に使用されるアラートをフィルター処理できました。 これらのルールが無効な状態では、Microsoft Defender ポータルでアラート チューニングを構成するか、自動化ルールを使用して不要なインシデントを抑制する (または閉じる) ことで、アラート フィルター機能を維持できます。

• Defender XDR コネクタを有効にすると、インシデントのタイトルを事前に定義することはできなくなります。 Defender XDR 相関関係エンジンがインシデントの作成を管理し、作成されたインシデントに自動的に名前を付けます。 この変更は、インシデント名を条件として使用する作成済みの自動化ルールすべてに影響を与える可能性があります。 この落とし穴を回避するには、自動化ルールをトリガーするための条件としてインシデント名以外の条件を使用します。 "タグ" を使用することをお勧めします。

• Microsoft Sentinel のインシデント作成ルールを、Microsoft Purview インサイダー リスク管理などの Defender XDR に統合されていない Microsoft のセキュリティ ソリューションや製品に対して使用し、Defender ポータル上で統合セキュリティ オペレーション プラットフォームにオンボードする予定である場合は、インシデント作成ルールをスケジュール化された分析ルールに置き換えます。

Microsoft Sentinel および双方向同期での Microsoft Defender XDR インシデントの処理

Defender XDR インシデントは、Microsoft Defender XDR という製品名で、その他の Microsoft Sentinel インシデントと同様の詳細や機能が含まれた状態で Microsoft Sentinel インシデント キューに表示されます。 各インシデントには、Microsoft Defender ポータルの並列インシデントへのリンクが含まれます。

Defender XDR 内でインシデントが進化し、それに対してより多くのアラートやエンティティが追加されると、それに応じて Microsoft Sentinel インシデントが更新されます。

Defender XDR または Microsoft Sentinel で Defender XDR インシデントの状態、終了理由、または割り当てに加えられた変更は、他のインシデント キューでも同様に更新されます。 同期は、インシデントに対する変更が適用されるとすぐに、両方のポータルで遅延なく行なわれます。 最新の変更内容を確認するには、最新の情報に更新する必要がある場合があります。

Defender XDR では、1 つのインシデントからのすべてのアラートが別のインシデントに転送され、それらのインシデントがマージされることがあります。 このマージが起きると、Microsoft Sentinel のインシデントに変更が反映されます。 一方のインシデントには両方の元のインシデントからのすべてのアラートが含まれるようになり、他方のインシデントは自動的に閉じられ、"リダイレクト済み" のタグが追加されます。

Note

Microsoft Sentinel のインシデントには、最大で 150 のアラートが含まれることがあります。 Defender XDR インシデントはこれよりも多くを保持することができます。 150 個を超えるアラートを持つ Defender XDR インシデントが Microsoft Sentinel に同期される場合、Microsoft Sentinel インシデントは “150+” のアラートを持つものとして表示され、アラートの完全なセットを確認できる Defender XDR 内の対応インシデントへのリンクが提供されます。

高度なハンティング イベント収集

Defender XDR コネクタを使用すると、高度な追求イベント (生のイベント データの一種) を、Defender XDR およびそのコンポーネント サービスから Microsoft Sentinel にストリーミングすることもできます。 すべての Defender XDR コンポーネントから高度な追求イベントを収集し、それらを Microsoft Sentinel ワークスペース内の専用テーブルに直接ストリーミングします。 これらのテーブルは Defender ポータルで使用されているのと同じスキーマに基づいて構築されているため、ユーザーにはすべての高度な検出イベントへの完全なアクセス権が与えられ、以下のタスクを行うことができるようになります。

• 既存の Microsoft Defender for Endpoint、Office 365、Identity、Cloud Apps の高度なハンティング クエリを Microsoft Sentinel に簡単にコピーする。

• 生のイベント ログを使用して、アラート、ハンティング、調査に関する追加の分析情報を取得し、Microsoft Sentinel のその他のデータ ソースのイベントとこれらのイベントを関連付ける。

• Defender XDR またはそのコンポーネントの既定のリテンション期間である 30 日間を超えるより長いリテンション期間でログを保存する。 これを行うには、ワークスペースの保有期間を構成するか、Log Analytics でテーブルごとの保有期間を構成します。

関連するコンテンツ

このドキュメントでは、Microsoft Sentinel の Defender XDR コネクタを有効にする利点を学習しました。

• Microsoft Defender XDR から Microsoft Sentinel にデータを接続する
• Defender ポータル上で統合セキュリティ オペレーション プラットフォームを使用するには、「Microsoft Defender XDR をMicrosoft Sentinel に接続する」を参照してください。
• さまざまな Microsoft 365 クラウドと Azure クラウド内にある Microsoft Defender XDR のさまざまなデータ型の可用性を確認します。