この記事では、スタンドアロン コネクタを介して取り込まれるアラートと、Microsoft Sentinel の拡張検出および応答 (XDR) コネクタを介して取り込まれたアラートの違いについて説明します。
スタンドアロン コネクタは、元のセキュリティ製品から直接アラートを取り込みますが、XDR コネクタは Microsoft Defender XDR パイプラインを介してアラートを取り込みます。 これには、Microsoft Defender for Office 365、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Information Rights Management (IRM)、データ損失防止 (DLP)、Microsoft Defender for Cloud (MDC)、Microsoft Defender for Cloud Apps (MDA) などのコネクタが含まれます。
これらの違いは、フィールド マッピング、派生フィールドの動作、スキーマ構造、アラート インジェストに影響を与える可能性があります。これは、既存のクエリ、分析ルール、ブックに影響を与える可能性があります。 XDR コネクタに移行する前に、これらの違いを確認してください。
完全なアラート スキーマについては、 セキュリティ アラート スキーマのリファレンスを参照してください。
CompromisedEntity の動作
XDR コネクタを介してアラートが取り込まれると、CompromisedEntity フィールドは製品間で異なる方法で処理されます。
| プロダクト | XDR アラートでの CompromisedEntity の同等の値 |
|---|---|
| Microsoft Defender for Endpoint (MDE) | アラート エンティティ JSON に "LeadingHost": true するデバイス |
| Microsoft Entra ID (Identity Protection) | 常にユーザーの UPN に設定する |
| ID のMicrosoft Defender (MDI) | 固定文字列 "CompromisedEntity" |
注
MDE アラートでは、CompromisedEntity は "LeadingHost": trueデバイスから派生します。 一部のアラートでは、このフィールドが設定されない場合があります。
MDI アラートでは、CompromisedEntity はホストまたはユーザーを表すので、常にリテラル文字列 "CompromisedEntity"。
フィールド マッピングの変更
一部のフィールドは名前が変更されるか、XDR コネクタからのアラートで異なる値セットを使用します。
| プロダクト | 従来のフィールド/プロパティ | XDR の動作 |
|---|---|---|
| Mde | ExtendedProperties.MicrosoftDefenderAtp.Category | マップ対象 ExtendedProperties.Category |
| Microsoft Defender for Office (MDO) | ExtendedProperties.Status | 従来とは異なる値セットを使用します |
| Microsoft Defender for Office (MDO) | ExtendedProperties.InvestigationName | 利用できません |
構造スキーマ変換 (MDI)
スタンドアロンの Microsoft Defender for Identity (MDI) コネクタでは、プレースホルダー エンティティを使用して追加情報を格納する場合があります。 XDR コネクタでは、この情報は resourceAccessEvents コレクションのプロパティに分割されます。
| レガシ エンティティ/プロパティ | XDR 表現 |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId は、ResourceAccessInfo が定義されているホスト エンティティと同じであるため、不要になりました。
アラート インジェストのフィルター処理
スタンドアロン コネクタで使用できる一部のアラートは、XDR コネクタを介して取り込まれません。
| プロダクト | フィルター処理の動作 |
|---|---|
| Microsoft Defender for Cloud (MDC) | 情報の重大度アラートが取り込まれない |
| Microsoft Entra ID | 既定では、重大度が高い未満のアラートは取り込まれません。顧客は、すべての重大度を含むようにインジェストを構成できます |
スコープの動作 (Microsoft Defender for Cloud)
Microsoft Defender for Cloud アラートでは、XDR コネクタを介して取り込まれると、異なるスコープが使用されます。
| スタンドアロン コネクタスコープ | XDR コネクタのスコープ |
|---|---|
| サブスクリプション レベル | テナントのレベル |
注
すべての MDC アラートは、テナントのプライマリ ワークスペースで使用できます。 アラートのスコープは、Defender XDR 内の MDC サブスクリプション スコープに従います。