Microsoft Sentinel は、Microsoft Defender XDR を使用して Microsoft Defender ポータルで、または単独で使用できます。 SIEM と XDR 全体で統一されたエクスペリエンスを提供し、より高速で正確な脅威の検出と対応、よりシンプルなワークフロー、および運用効率の向上を実現します。
この記事では、Microsoft Sentinel エクスペリエンスを Azure portal から Defender ポータルに移行する方法について説明します。 Azure portal で Microsoft Sentinel を使用する場合は、統合されたセキュリティ操作と最新の機能のために Microsoft Defender に移行します。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を 参照するか、 YouTube プレイリストをご覧ください。
[前提条件]
開始する前に、次の点に注意してください。
- この記事は、Microsoft Sentinel のエクスペリエンスを Defender ポータルに移行する Microsoft Sentinel に対して有効になっている既存のワークスペースをお持ちのお客様を対象としています。 新しい顧客の場合は、 Defender ポータルでの統合セキュリティ操作の展開 に関するページを参照して、Defender ポータルで Microsoft Sentinel 用の新しいワークスペースを作成する方法を確認してください。
- 関連する場合は、各手順のリンクされた記事に詳細な前提条件があります。
- 一部の Microsoft Sentinel 機能には、Defender ポータルに新しい場所があります。 詳細については、「 クイック リファレンス」を参照してください。
移行環境の計画と設定
対象ユーザー: セキュリティ アーキテクト
ビデオ:
計画ガイダンスを確認し、前提条件を完了させて、導入する。
すべての計画ガイダンスを確認し、すべての前提条件を完了してから、ワークスペースを Defender ポータルにオンボードします。 詳細については、次の記事を参照してください。
Defender ポータルで統合セキュリティ操作用に展開します。 この記事は、Microsoft Sentinel やその他のサービスのワークスペースを Defender ポータルにオンボードしていない新規のお客様を対象としていますが、Defender ポータルに移行する場合は参照として使用してください。
Microsoft Sentinel を Defender ポータルに接続します。 この記事では、ワークスペースを Defender ポータルにオンボードするための前提条件を示します。 Defender XDR なしで Microsoft Sentinel を使用する場合は、Microsoft Sentinel と Defender ポータルの間の接続をトリガーするための追加の手順を実行する必要があります。
データ ストレージとプライバシーの違いを確認する
Azure portal を使用すると、データストレージ、プロセス、リテンション期間、共有に関する Microsoft Sentinel ポリシー が適用されます。 Defender ポータルを使用すると、Microsoft Sentinel データを操作する場合でも、代わりに Microsoft Defender XDR ポリシー が適用されます。
次の表では、Azure ポータルと Defender ポータル間でエクスペリエンスを比較できるように、追加の詳細とリンクを示します。
| サポートの領域 | Azure portal | Defender ポータル |
|---|---|---|
| BCDR | お客様は、自分のデータをレプリケートする責任を負います | Microsoft Defender は、コントロール ウィンドウで BCDR の自動化を使用します。 |
| データの保存と処理 | - データストレージの場所 - サポートされているリージョン |
データストレージの場所 |
| データ保有期間 | データ保有期間 | データ保有期間 |
| データ共有 | データ共有 | データ共有 |
詳細については、以下を参照してください。
マルチワークスペースとマルチテナント管理を構成する
Defender はマルチ テナント ポータルを介して複数のテナント間で 1 つ以上のワークスペースをサポートします。これは、インシデントとアラートの管理、テナント間での脅威の検出、および顧客間でのマネージド セキュリティ サービス パートナー (MSP) の表示を可能にする中心的な場所として機能します。
マルチワークスペース シナリオでは、マルチテナント ポータルを使用して、テナントごとに 1 つのプライマリ ワークスペースと複数のセカンダリ ワークスペースを接続できます。 1 つのテナントのオンボードと同様に、各ワークスペースをテナントごとに個別に Defender ポータルにオンボードします。
詳細については、以下を参照してください。
Azure Lighthouse のドキュメント。 Azure Lighthouse を使用すると、オンボードされたワークスペース全体で、他のテナントの Microsoft Sentinel データを使用できます。 たとえば、高度なハンティングルールと分析ルールで
workspace()演算子を使用して、クロスワークスペースクエリを実行できます。Microsoft Entra B2B。 Microsoft Entra B2B を使用すると、テナント間でデータにアクセスできます。 GDAP は Microsoft Sentinel データではサポートされていません。
設定とコンテンツを構成して確認する
対象ユーザー: セキュリティ エンジニア
ビデオ: Microsoft Defender でのコネクタの管理
データ収集の確認と構成
Microsoft Sentinel が Microsoft Defender と統合されている場合、データ収集とテレメトリ フローの基本的なアーキテクチャはそのまま残ります。 Microsoft Defender 製品やその他のデータ ソースに関係なく、Microsoft Sentinel で構成された既存のコネクタは、中断することなく動作を続けます。
Log Analytics の観点から見ると、Microsoft Sentinel の Microsoft Defender への統合では、基になるインジェスト パイプラインやデータ スキーマに変更はありません。 フロントエンドの統一にもかかわらず、Microsoft Sentinel バックエンドは、データ ストレージ、検索、関連付けのために Log Analytics と完全に統合されたままになります。
Microsoft Defender for Cloud との統合
- Defender for Cloud のテナント ベースのデータ コネクタを使用している場合は、イベントとアラートの重複を防ぐために必ずアクションを実行してください。
- 代わりに従来のサブスクリプション ベースのコネクタを使用している場合は、必ず Microsoft Defender へのインシデントとアラートの同期をオプトアウトしてください。
詳細については、「 Microsoft Defender のアラートとインシデント」を参照してください。
Defender ポータルでのデータ コネクタの可視性
ワークスペースを Defender にオンボードした後、次のデータ コネクタは統合セキュリティ操作に使用され、Defender ポータルの [データ コネクタ ] ページには表示されません。
- クラウドアプリ向けのMicrosoft Defender
- Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
- Microsoft Defender for Identity
- Microsoft Defender for Office 365 (プレビュー)
- Microsoft Defender XDR
- サブスクリプションベースの Microsoft Defender for Cloud (レガシ)
- テナントベースの Microsoft Defender for Cloud (プレビュー)
これらのデータ コネクタは、引き続き Azure portal の Microsoft Sentinel に表示されます。
エコシステムを構成する
Microsoft Sentinel の ワークスペース マネージャー は Defender ポータルでは使用できませんが、ワークスペース間でコードとしてコンテンツを配布するには、次のいずれかの代替機能を使用します。
リポジトリからコードとしてコンテンツをデプロイする (パブリック プレビュー) 統合 CI/CD ワークフローを使用して、GitHub または Azure DevOps の YAML または JSON ファイルを使用して、Microsoft Sentinel と Defender 全体で構成を管理およびデプロイします。
マルチテナント ポータル。 Microsoft Defender マルチテナント ポータルでは、複数のテナント間でのコンテンツの管理と配布がサポートされています。
それ以外の場合は、Defender ポータルのコンテンツ ハブからさまざまな種類のセキュリティ コンテンツを含むソリューション パッケージを展開し続けます。 詳細については、「Microsoft Sentinel のあらかじめ用意されたコンテンツの検出と管理」を参照してください。
分析ルールを構成する
Microsoft Sentinel 分析ルールは、検出、構成、管理のために Defender ポータルで使用できます 。 ウィザード、リポジトリ、Microsoft Sentinel API を使用した作成、更新、管理など、分析ルールの機能は変わりません。 インシデントの相関関係と多段階攻撃検出も Defender ポータルで引き続き機能します。 Azure portal の Fusion 分析ルールによって管理されるアラート相関機能は、Defender ポータルの Defender XDR エンジンによって処理され、すべてのシグナルが 1 か所に統合されます。
Defender ポータルに移動するときは、次の変更に注意することが重要です。
| 特徴 | 説明 |
|---|---|
| カスタム検出ルール | Defender XDR データと Microsoft Sentinel データの両方を含む検出ユース ケースがあり、Defender XDR データを 30 日以上保持する必要がない場合は、Microsoft Sentinel テーブルと Defender XDR テーブルの両方のデータに対してクエリを実行する カスタム検出ルール を作成することをお勧めします。 これは、Defender XDR データを Microsoft Sentinel に取り込む必要なくサポートされます。 詳細については、「 Microsoft Defender の高度なハンティングで Microsoft Sentinel カスタム関数を使用する」を参照してください。 |
| アラートの関連付け | Defender ポータルでは、アラート シナリオに関係なく、Microsoft Defender データと Microsoft Sentinel から取り込まれたサード パーティのデータの両方に対するアラートに関連付けが自動的に適用されます。 1 つのインシデントでアラートを相互に関連付けるために使用される条件は、Defender ポータルの独自の内部相関ロジックの一部です。 詳細については、「 Defender ポータルでのアラートの関連付けとインシデントのマージ」を参照してください。 |
| アラートのグループ化とインシデントのマージ | アラートグループ化の構成は分析ルールに引き続き表示されますが、 Defender XDR 関連付けエンジン は、Defender ポータルで必要に応じてアラートのグループ化とインシデントのマージを完全に制御します。 これにより、マルチステージ攻撃に関連するアラートをまとめることで、完全な攻撃ストーリーを包括的に把握できます。 たとえば、アラートごとにインシデントを生成するように構成された複数の個別の分析ルールが、Defender XDR 関連付けロジックと一致すると、インシデントがマージされる可能性があります。 |
| アラートの可視性 | アラートのみをトリガーするように Microsoft Sentinel 分析ルール が構成されており、インシデントの作成が無効になっている場合、これらのアラートは Defender ポータルに表示されません。 ただし、 高度なハンティング クエリ エディターでは SecurityAlerts テーブル スキーマは認識されませんが、クエリと分析ルールでテーブルを使用することはできます。 |
| アラートのチューニング | Microsoft Sentinel ワークスペースが Defender にオンボードされると、Microsoft Sentinel 分析ルールのインシデントを含むすべてのインシデントが Defender XDR エンジンによって生成されます。 その結果、以前は Defender XDR アラートでのみ使用できる Defender ポータルのアラート チューニング機能 を、Microsoft Sentinel からのアラートに適用できるようになりました。 この機能を使用すると、一般的なアラートの解決を自動化し、誤検知を減らし、ノイズを最小限に抑えることでインシデント対応を効率化できるため、アナリストは重要なセキュリティ インシデントに優先順位を付けることができます。 |
| Fusion: 高度なマルチステート攻撃検出 | Fusion 分析ルールは、Azure portal で、Fusion 相関エンジンによって行われたアラートの相関関係に基づいてインシデントを作成します。これは、Microsoft Sentinel を Defender ポータルにオンボードすると無効になります。 Defender ポータルでは、Microsoft Defender XDR のインシデント作成と相関関係の機能を使用して Fusion エンジンの機能を置き換えるため、アラートの関連付け機能は失われません。 詳細については、「Microsoft Sentinel の高度なマルチステージ攻撃の検出」を参照してください |
自動化ルールとプレイブックを構成する
Microsoft Sentinel では、プレイブックは 、Azure Logic Apps に組み込まれているワークフローに基づいています。これは、企業全体のシステム間でタスクとワークフローをスケジュール、自動化、調整するのに役立つクラウド サービスです。
Defender ポータルで作業する場合、Microsoft Sentinel の自動化ルールとプレイブックには、次の制限事項が適用されます。 移行を行うときに、環境に変更を加える必要がある場合があります。
| 機能 | 説明 |
|---|---|
| アラート トリガーを使用した自動化ルール | Defender ポータルでは、アラート トリガーを使ったオートメーション ルールは Microsoft Sentinel アラートに対してのみ機能します。 詳細については、「 アラート作成トリガー」を参照してください。 |
| インシデント トリガーを使用した自動化ルール | Azure portal と Defender ポータルの両方で、 インシデント プロバイダー の条件プロパティは削除されます。すべてのインシデントには、インシデント プロバイダーとして Microsoft XDR が含まれています ( [ProviderName ] フィールドの値)。 その時点で、既存の自動化ルールは、Microsoft Sentinel と Microsoft Defender XDR の両方のインシデントで実行されます。これには、 インシデント プロバイダー の条件が Microsoft Sentinel または Microsoft 365 Defender のみに設定されているものも含まれます。 ただし、特定の分析ルール名を指定するオートメーション ルールは、指定された分析ルールによって作成されたアラートを含むインシデントに対してのみ実行されます。 つまり、 分析ルール名 の条件プロパティを、Microsoft Sentinel にのみ存在する分析ルールに定義して、Microsoft Sentinel でのみインシデントに対して実行するようにルールを制限できます。 詳細については、「 インシデント トリガーの条件」を参照してください。 |
| プレイブック トリガーの待機時間 | Microsoft Defender インシデントが Microsoft Sentinel に表示されるまでに最大 5 分かかる場合があります。 この遅延が発生する場合、プレイブックのトリガーも遅延されます。 |
| 既存のインシデント名の変更 | Defender ポータルでは一意のエンジンを使用してインシデントとアラートを関連付けます。 ワークスペースを Defender ポータルにオンボードするときに、関連付けを適用すると、既存のインシデント名が変更される可能性があります。 したがって、オートメーション ルールが常に正しく実行されるようにするには、オートメーション ルールの条件基準としてインシデントのタイトルを使用することは避け、代わりにインシデントに含まれるアラートを作成した分析ルールの名前と、より具体的な説明が必要な場合はタグを使用することをお勧めします。 |
| [更新者] フィールド | 詳細については、「 インシデント更新トリガー」を参照してください。 |
| インシデント タスクを追加する自動化ルール | オートメーション ルールでインシデント タスクが追加された場合、タスクは Azure portal のみに表示されます。 |
| インシデントから直接自動化ルールを作成する | インシデントから直接自動化ルールを作成 することは、Azure portal でのみサポートされます。 Defender ポータルで作業している場合は、[Automation ] ページから 自動化ルールを最初から作成します。 |
| Microsoft インシデント作成ルール | Microsoft インシデント作成ルールは、Defender ポータルではサポートされません。 詳細については、 Microsoft Defender XDR インシデントと Microsoft インシデント作成ルールに関するセクションを参照してください。 |
| Defender ポータルからの自動化規則の実行 | アラートがトリガーされ、Defender ポータルでインシデントが作成または更新されてから自動化ルールが実行されるまでに、最大で 10 分かかる場合があります。 このタイム ラグは、インシデントは Defender ポータルで作成されてから、自動化ルールのために Microsoft Sentinel に転送されるためです。 |
| [アクティブなプレイブック] タブ | Defender ポータルにオンボードした後、既定では、[ アクティブなプレイブック ] タブには、オンボードされたワークスペースのサブスクリプションを含む定義済みのフィルターが表示されます。 Azure portal で、サブスクリプション フィルターを使用して、他のサブスクリプションのデータを追加します。 詳細については、「 テンプレートから Microsoft Sentinel プレイブックを作成およびカスタマイズする」を参照してください。 |
| オンデマンドでのプレイブックの手動実行 | Defender ポータルでは、現在、次の手順はサポートされていません。 |
| インシデントでのプレイブックの実行には、Microsoft Sentinel の同期が必要です | Defender ポータルからインシデントに対してプレイブックを実行しようとして 、"このアクションに関連するデータにアクセスできません。数分後に画面を更新してください " というメッセージが表示される場合は、インシデントがまだ Microsoft Sentinel に同期されていないことを意味します。 インシデントが同期された後にインシデント ページを更新して、プレイブックを正常に実行します。 |
| インシデント: インシデントへのアラートの追加 / インシデントからのアラートの削除 |
ワークスペースを Defender ポータルにオンボードした後は、インシデントへのアラートの追加やインシデントからのアラートの削除はサポートされないため、これらのアクションもプレイブック内からはサポートされません。 詳細については、 Defender ポータルでのアラートの関連付け方法とインシデントのマージ方法について説明します。 |
| 複数のワークスペースでの Microsoft Defender XDR 統合 | XDR データを 1 つのテナント内の複数のワークスペースと統合した場合、データは Defender ポータルのプライマリ ワークスペースにのみ取り込まれるようになります。 自動化ルールを関連するワークスペースに転送して、それらを実行し続けます。 |
| 自動化と相関エンジン | 関連付けエンジンは、複数のシグナルからのアラートを 1 つのインシデントに結合する場合があり、その結果、予期していなかったデータを自動で受信する可能性があります。 期待される結果が確実に表示されるように、自動化規則を確認することをお勧めします。 |
API の構成
Defender ポータルの統合エクスペリエンスでは、API からのインシデントとアラートに注目すべき変更が導入されています。 Microsoft Graph REST API v1.0 に基づく API 呼び出しがサポートされています。これは、アラート、インシデント、高度なハンティングなどの自動化に使用できます。
Microsoft Sentinel API は、分析ルール、自動化ルールなど、Microsoft Sentinel リソースに対するアクションを引き続きサポートしています。 統合インシデントとアラートを操作する場合は、Microsoft Graph REST API を使用することをお勧めします。
Microsoft Sentinel SecurityInsights API を使用して Microsoft Sentinel インシデントと対話する場合は、応答本文の変更により、自動化条件を更新し、基準をトリガーすることが必要になる場合があります。
次の表に、応答スニペットで重要なフィールドを示し、Azure ポータルと Defender ポータル間でそれらを比較します。
| 機能 | Azure portal | Defender ポータル |
|---|---|---|
| インシデントへのリンク | incidentUrl: Microsoft Sentinel ポータルのインシデントへの直接 URL |
providerIncidentUrl : この追加フィールドは、インシデントへの直接リンクを提供します。このリンクを使用して、この情報を ServiceNow などのサード パーティのチケットシステムと同期できます。 incidentUrl は引き続き使用できますが、Microsoft Sentinel ポータルを指しています。 |
| 検出をトリガーし、アラートを発行したソース | alertProductNames |
alertProductNames: GET に ?$expand=alerts を追加する必要があります。 たとえば、 https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts のように指定します。 |
| アラート プロバイダーの名前 | providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| アラートを作成したサービスまたは製品 | Azure portal に存在しない | serviceSource たとえば、"microsoftDefenderForCloudApps" |
| 注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー | Azure portal に存在しない | detectionSource たとえば、"cloudAppSecurity" |
| このアラートを発行した製品の名前 | Azure portal に存在しない | productName たとえば、"Microsoft Defender for Cloud Apps" |
Defender ポータルで操作を実行する
対象ユーザー: セキュリティ アナリスト
ビデオ:
- Microsoft Defender で Microsoft Sentinel のコンテンツと脅威インテリジェンスを検出して管理する
- Microsoft Defender でオートメーションとワークブックを作成する
- Microsoft Defender でのアラートの関連付け
- Microsoft Defender でのインシデント調査
- Microsft Defender でのケース管理
- Microsoft Defender での高度なハンティング
- Microsoft Defender での SOC の最適化
Defender ポータルのインシデントトリアージ プロセスを更新する
Azure portal で Microsoft Sentinel を使用している場合は、Defender ポータルでユーザー エクスペリエンスが大幅に強化されています。 SOC プロセスを更新し、アナリストを再トレーニングする必要がある場合は、設計によってすべての関連情報が 1 か所に統合され、より効率的で効率的なワークフローが提供されます。
Defender ポータルの統合インシデント キューは、製品全体のすべてのインシデントを 1 つのビューに統合し、アナリストが複数のクロスセキュリティ ドメイン アラートを含むインシデントをトリアージする方法に影響を与えます。 例えば次が挙げられます。
- 従来、アナリストは特定のセキュリティ ドメインまたは専門知識に基づいてインシデントをトリアージし、多くの場合、ユーザーやホストなどのエンティティごとのチケットを処理します。 このアプローチでは、統合されたエクスペリエンスが対処することを目的とする死角を作成できます。
- 攻撃者が横方向に移動すると、セキュリティ ドメインが異なるために、関連するアラートが別々のインシデントになる可能性があります。 統合されたエクスペリエンスでは、包括的なビューを提供することで、この問題を排除し、関連するすべてのアラートが関連付けおよび管理されるようにします。
アナリストは、Defender ポータルで検出ソースと製品名を表示したり、フィルターを適用して共有したりして、より効率的なインシデントとアラートのトリアージを行うこともできます。
統合トリアージ プロセスは、アナリストのワークロードを削減し、階層 1 と階層 2 のアナリストの役割を組み合わせる場合にも役立ちます。 ただし、統合トリアージ プロセスには、より広範で深いアナリストの知識が必要な場合もあります。 スムーズに移行できるように、新しいポータル インターフェイスでトレーニングすることをお勧めします。
詳細については、「Microsoft Defender ポータルでのインシデントとアラート」を参照してください。
Defender ポータルでのアラートの関連付けとインシデントのマージ方法を理解する
Defender の関連付けエンジンは、個別のインシデント内のアラート間の一般的な要素を認識すると、インシデントをマージします。 新しいアラートが相関関係の条件を満たすと、Microsoft Defender によって集計され、すべての検出ソースから新しいインシデントに関連する他のアラートと関連付けられます。 Microsoft Sentinel を Defender ポータルにオンボードすると、統合インシデント キューによってより包括的な攻撃が明らかにされ、アナリストの効率が向上し、完全な攻撃ストーリーが提供されます。
複数ワークスペースのシナリオでは、プライマリ ワークスペースからのアラートのみが Microsoft Defender XDR データと関連付けられます。 インシデントがマージされない特定のシナリオもあります。
Microsoft Sentinel を Defender ポータルにオンボードした後、インシデントとアラートに次の変更が適用されます。
| 特徴 | 説明 |
|---|---|
| ワークスペースのオンボード直後の遅延 | Microsoft Defender インシデントが Microsoft Sentinel と完全に統合されるまでに最大 5 分かかる場合があります。 これは、自動攻撃中断など、Microsoft Defender によって直接提供される機能には影響しません。 |
| セキュリティ インシデント作成ルール | 重複するインシデントが作成されないように、アクティブな Microsoft セキュリティ インシデント作成ルール はすべて非アクティブ化されます。 他の種類の分析ルールのインシデント作成設定はそのまま残り、Defender ポータルで構成できます。 |
| インシデント プロバイダー名 | Defender ポータルでは、 インシデント プロバイダー名 は常に Microsoft XDR です。 |
| インシデントに対するアラートの追加/削除 | インシデントに対する Microsoft Sentinel アラートの追加または削除は、Defender ポータルでのみサポートされます。 Defender ポータルでインシデントからアラートを削除するには、 アラートを別のインシデントに追加する必要があります。 |
| コメントの編集 | Defender ポータルまたは Azure portal でインシデントにコメントを追加しますが、既存のコメントの編集は Defender ポータルではサポートされていません。 Azure portal でコメントに加えられた編集は、Defender ポータルに同期されません。 |
| インシデントのプログラムによる作成と手動による作成 | API を介して Microsoft Sentinel で、ロジック アプリのプレイブックで、または Azure portal から手動で作成されたインシデントは、Defender ポータルに同期されません。 これらのインシデントは、Azure portal と API で引き続きサポートされています。 「Microsoft Sentinel で独自のインシデントを手動で作成する」を参照してください。 |
| 終了したインシデントを再度開く | Defender ポータルでは、新しいアラートが追加された場合に閉じられたインシデントを再度開くために、Microsoft Sentinel 分析ルールでアラートのグループ化を設定することはできません。 この場合、閉じられたインシデントは再度開かれず、新しいアラートによって新しいインシデントがトリガーされます。 |
| タスク | Defender ポータルでは、インシデント タスクを使用できません。 詳細については、「Microsoft Sentinel でタスクを使用してインシデントを管理する」を参照してください。 |
詳細については、Microsoft Defender ポータルのインシデントとアラート、および Microsoft Defender ポータルでのアラートの関連付けとインシデントのマージに関する説明を参照してください。
高度な追求による調査の変更に注意してください
Microsoft Sentinel を Defender ポータルにオンボードしたら、[ 高度なハンティング ] ページで既存のすべての Kusto クエリ言語 (KQL) クエリと関数にアクセスして使用します。
次のようないくつかの違いがあります。
- 高度な検出では、ブックマークはサポートされていません。 代わりに、Defender ポータルの Microsoft Sentinel > Threat Management > Hunting でブックマークがサポートされます。
- SecurityAlert テーブルは Advanced hunting>Schema テーブルの一覧には表示されませんが、クエリでは引き続きサポートされています。
詳細については、「 Microsoft Defender の Microsoft Sentinel データを使用した高度なハンティング(特に 既知の問題の一覧)」および 「Microsoft Sentinel を使用したハンティング中のデータの追跡」を参照してください。
Defender ポータルでエンティティを使用して調査する
Microsoft Defender ポータルでは、エンティティは通常、アカウント、ホスト、メールボックスなどの 資産、または 証拠 (IP アドレス、ファイル、URL など) のいずれかです。
Microsoft Sentinel を Defender ポータルにオンボードすると、 ユーザー、 デバイス、IP アドレスのエンティティ ページが 1 つのビューに統合され、エンティティのアクティビティとコンテキストと Microsoft Sentinel と Microsoft Defender XDR の両方のデータが包括的に表示されます。
また、Defender ポータルには、SIEM と XDR をまたいで検索できるように、すべてのエンティティからの結果を一元化するグローバル検索バーも用意されています。
詳細については、「 Microsoft Sentinel のエンティティ ページ」を参照してください。
Defender ポータルで UEBA を使用して調査する
User and Entity Behavior Analytics (UEBA) のほとんどの機能は、Defender ポータルでは Azure portal と同じですが、次の例外があります。
インシデントからの脅威インテリジェンスへのエンティティの追加は、Azure portal でのみサポートされます。 詳細については、「脅威インジケーターにエンティティを追加する」を参照してください。
Microsoft Sentinel を Defender ポータルにオンボードした後、Defender ポータルで使用される
IdentityInfoテーブルには、Defender XDR と Microsoft Sentinel の両方の統合フィールドが含まれます。 Azure portal で使用されたときに存在していた一部のフィールドは、Defender ポータルで名前が変更されるか、まったくサポートされていません。 これらのフィールドへの参照がないかクエリを確認し、必要に応じて更新することをお勧めします。 詳細については、 IdentityInfo テーブルを参照してください。
Microsoft Defender 脅威インテリジェンスを使用するように調査プロセスを更新する
Azure portal から Defender ポータルに移行する Microsoft Sentinel のお客様の場合、使い慣れた脅威インテリジェンス機能は 、Intel 管理下の Defender ポータルに保持され、Defender ポータルで使用できる他の脅威インテリジェンス機能と共に強化されます。 サポートされる機能は、次のようなライセンスによって異なります。
| 特徴 | 説明 |
|---|---|
| 脅威の分析 | Microsoft Defender XDR のお客様向けにサポートされています。 Microsoft セキュリティ研究者が提供する製品内ソリューション。新たな脅威、アクティブな脅威、およびそれらの影響に関する分析情報を提供することで、セキュリティ チームを支援するように設計されています。 データは、カード、データ行、フィルターなどを含む直感的なダッシュボードに表示されます。 |
| Intel Profiles | Microsoft Defender 脅威インテリジェンスのお客様向けにサポートされています。 脅威と動作を脅威アクター プロファイル別に分類することで、追跡と関連付けがより簡単になります。 これらのプロファイルには、攻撃で使用される戦術、手法、ツールに関連するすべての侵害インジケーター (IoC) が含まれます。 |
| Intel Explorer | Microsoft Defender 脅威インテリジェンスのお客様向けにサポートされています。 使用可能な IoC を統合し、投稿された脅威に関連する記事を提供することで、セキュリティ チームは新たな脅威に対する最新情報を入手できます。 |
| Intel Projects | Microsoft Defender 脅威インテリジェンスのお客様向けにサポートされています。 チームは、関心のある特定のシナリオに関連するすべての成果物をレビューするために、脅威インテリジェンスを "プロジェクト" に統合できます。 |
Defender ポータルで、脅威ハンティング、インシデント対応、Copilot、レポート用の侵害インジケーターと共に ThreatIntelOjbects と ThreatIntelIndicators を使用し、インジケーターとエンティティ間の接続を示すリレーショナル グラフを作成します。
Microsoft Defender Threat Intelligence (MDTI) フィードを使用しているお客様は、MICROSOFT Sentinel の MDTI 用データ コネクタを介して無料版を利用できます。 MDTI ライセンスを持つユーザーは、MDTI データを取り込み、脅威分析、アクティブな脅威レビュー、脅威アクターの調査に Security Copilot を使用することもできます。
詳細については、以下を参照してください。
ワークブックを使用して Microsoft Defender データを視覚化およびレポートする
Azure ワークブックは、引き続き Defender ポータルでのデータの視覚化と操作のための主要なツールとして、Azure ポータルと同様に機能します。
ワークブックを高度なハンティングのデータと共に使用するには、Microsoft Sentinel にログを取り込む必要があります。 ワークブック自体は Defender ポータル内に留まりますが、Azure ポータルでページやリソースを開くようにプログラムされたボタンやリンクは、引き続き Azure ポータルの別のタブを開きます。
詳細については、「Microsoft Sentinel でワークブックを使用してデータを視覚化し監視する」を参照してください。
関連コンテンツ
- 最適な Microsoft Sentinel - Microsoft Defender では今 (ブログ)
- ウェビナーをご覧ください。 統合 SOC プラットフォームへの移行: SOC プロフェッショナル向けのディープ ダイブと対話型 Q&A。
- TechCommunity ブログまたは Microsoft Community Hub でよく寄せられる質問をご覧ください。