Microsoft Defender ポータルでのクラウドのMicrosoft Defender
適用対象:
Microsoft Defender for Cloud がMicrosoft Defender XDRの一部になりました。 セキュリティ チームは、Microsoft Defender ポータル内で Defender for Cloud のアラートとインシデントにアクセスできるようになり、クラウド リソース、デバイス、ID にまたがる調査に関する豊富なコンテキストが提供されます。 さらに、セキュリティ チームは、アラートとインシデントの即時の相関関係を通じて、クラウド環境で発生する疑わしいイベントや悪意のあるイベントなど、攻撃の全体像を把握できます。
Microsoft Defender ポータルは、保護、検出、調査、応答の機能を組み合わせて、デバイス、電子メール、コラボレーション、ID、クラウド アプリに対する攻撃を保護します。 ポータルの検出と調査の機能がクラウド エンティティに拡張され、セキュリティ運用チームは、運用効率を大幅に向上させるために 1 つのウィンドウを提供します。
さらに、Defender for Cloud のインシデントとアラートは、Microsoft Defender XDRのパブリック API の一部になりました。 この統合により、1 つの API を使用して、セキュリティ アラート データを任意のシステムにエクスポートできます。
前提条件
Microsoft Defender ポータルで Defender for Cloud アラートに確実にアクセスするには、「Azure サブスクリプションの接続」に記載されているプランのいずれかにサブスクライブする必要があります。
必要なアクセス許可
Defender for Cloud のアラートと相関関係を表示するには、グローバル管理者または Azure Active Directory のセキュリティ管理者である必要があります。 これらのロールを持たないユーザーの場合、統合は Defender for Cloud に 統合されたロールベースのアクセス制御 (RBAC) ロール を適用することによってのみ使用できます。
注:
Defender for Cloud のアラートと相関関係を表示するアクセス許可は、テナント全体に対して自動的に行われます。 特定のサブスクリプションの表示はサポートされていません。
Microsoft Defender ポータルでの調査エクスペリエンス
次のセクションでは、Defender for Cloud アラートを使用したMicrosoft Defender ポータルでの検出と調査のエクスペリエンスについて説明します。
注:
Defender for Cloud からの情報アラートは、関連する重大度の高いアラートに焦点を当てることができるように、Microsoft Defender ポータルに統合されていません。 この戦略により、インシデントの管理が合理化され、アラートの疲労が軽減されます。
| 分野 | 説明 |
|---|---|
| インシデント | すべての Defender for Cloud インシデントは、Microsoft Defender ポータルに統合されます。 - インシデント キュー 内のクラウド リソース資産の検索がサポートされています。 - 攻撃ストーリー グラフにクラウド リソースが表示されます。 - インシデント ページ の [資産] タブ には、クラウド リソースが表示されます。 - 各仮想マシンには、関連するすべてのアラートとアクティビティを含む独自のデバイス ページがあります。 他の Defender ワークロードからのインシデントの重複はありません。 |
| アラート | マルチクラウド、内部および外部プロバイダーのアラートを含むすべての Defender for Cloud アラートは、Microsoft Defender ポータルに統合されます。 Defender for Cloud アラートは、Microsoft Defender ポータルのアラート キューに表示されます。クラウド リソース資産は、アラートの [資産] タブに表示されます。 リソースは、Azure、Amazon、または Google Cloud リソースとして明確に識別されます。Defender for Cloud アラートは、テナントに自動的に関連付けられます。他の Defender ワークロードからのアラートの重複はありません。 |
| アラートとインシデントの相関関係 | アラートとインシデントは自動的に関連付けられるので、セキュリティ運用チームに堅牢なコンテキストを提供して、クラウド環境の完全な攻撃ストーリーを理解できます。 |
| 脅威の検出 | 仮想エンティティをデバイス エンティティに正確に照合し、精度と効果的な脅威検出を保証します。 |
| 統合 API | Defender for Cloud のアラートとインシデントがMicrosoft Defender XDRのパブリック API に含まれるようになり、お客様は 1 つの API を使用してセキュリティ アラート データを他のシステムにエクスポートできます。 |
Microsoft Sentinel ユーザーへの影響
Microsoft Sentinel のお客様がMicrosoft Defender XDR インシデントを統合し、Defender for Cloud アラートを取り込むには、重複するアラートとインシデントが作成されないように、次の構成変更を行う必要があります。
- テナント ベースの Microsoft Defender for Cloud (プレビュー) コネクタを接続して、すべてのサブスクリプションからのアラートのコレクションを、Microsoft Defender XDR Incidents コネクタを介してストリーミングするテナント ベースの Defender for Cloud インシデントと同期します。
- Cloud (レガシ) アラート コネクタのサブスクリプション ベースのMicrosoft Defenderを切断して、アラートの重複を防ぎます。
- Defender for Cloud アラートからインシデントを作成するために使用される、 スケジュールされた (通常のクエリの種類) または Microsoft セキュリティ (インシデントの作成) ルールのいずれかの分析ルールをオフにします。 Defender for Cloud Incidents は、Defender ポータルで自動的に作成され、Microsoft Sentinel と同期されます。
- 必要に応じて、 自動化ルールを使用して ノイズの多いインシデントを閉じるか、 Defender ポータルの組み込みのチューニング機能を 使用して特定のアラートを抑制します。
次の変更にも注意してください。
- アラートをMicrosoft Defenderポータル インシデントに関連付けるアクションが削除されます。
詳細については、「Microsoft Defender XDR統合によるクラウド インシデントのMicrosoft Defenderの取り込み」を参照してください。
Defender for Cloud アラートをオフにする
Defender for Cloud のアラートは、既定でオンになっています。 サブスクリプションベースの設定を維持し、テナントベースの同期を避けるか、エクスペリエンスからオプトアウトするには、次の手順を実行します。
- Microsoft Defender ポータルで、[設定Microsoft Defender XDR] に移動します>。
- [アラート サービスの設定] で、クラウド アラートのMicrosoft Defenderを探します。
- [ アラートなし ] を選択して、すべての Defender for Cloud アラートをオフにします。 このオプションを選択すると、ポータルへの新しい Defender for Cloud アラートの取り込みを停止します。 以前に取り込まれたアラートは、アラートまたはインシデント ページに残ります。
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示