Microsoft Defender XDR と Microsoft Sentinel の統合

Microsoft Defender XDR を Microsoft Sentinel と統合して、すべての Defender XDR インシデントと高度な追求のイベントを Microsoft Sentinel にストリーミングし、両方のポータル間でインシデントとイベントの同期を維持します。 Defender XDR からのインシデントには、すべての関連付けられたアラート、エンティティ、関連情報が含まれ、Microsoft Sentinel でトリアージと事前調査を実行するのに十分なコンテキストを提供します。 Microsoft Sentinel においてインシデントが Defender XDR と双方向的に同期された状態になると、インシデント調査において両方のポータルの利点を活用できるようになります。

インシデント相関関係とアラート

統合によって、Defender XDR セキュリティ インシデントには、組織全体のプライマリ インシデント キューの一部として Microsoft Sentinel 内から管理するための可視性がもたらされます。 Defender XDR インシデントを確認して他のすべてのクラウドおよびオンプレミス システムのインシデントと関連付けます。 同時に、この統合によって、Defender XDR の独自の強みと機能を活用して、詳細な調査や、Microsoft 365 エコシステム全体での Defender 固有のエクスペリエンスを実現できます。 Defender XDR は複数の Microsoft Defender 製品からのアラートをエンリッチしてグループ化し、SOC のインシデント キューのサイズを縮小して解決にかかる時間を短縮します。 Microsoft Sentinel への Defender XDR の統合の中には、以下の Microsoft Defender 製品とサービスからのアラートも含まれています。

• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Defender for Cloud Apps
• Microsoft Defender 脆弱性の管理

Defender XDR によってアラートが収集されるその他のサービスには以下が含まれます。

• Microsoft Purview データ損失防止 (詳細情報)
• Microsoft Entra ID 保護 (詳細情報)

Defender XDR コネクタは、Microsoft Defender for Cloud からのインシデントも取り込みます。 これらのインシデントからのアラートとエンティティも同期するには、Microsoft Defender for Cloud コネクタを有効にする必要があります。 そうしないと、Microsoft Defender for Cloud インシデントは空のように見えます。 詳細については、「Microsoft Defender XDR 統合を使用した Microsoft Defender for Cloud インシデントの取り込み」を参照してください。

これらのコンポーネントや他のサービスからのアラートの収集に加え、Defender XDR はそれ自体のアラートも生成します。 これらのすべてのアラートからインシデントを作成し、Microsoft Sentinel に送信します。

一般的なユース ケースとシナリオ

以下のユース ケースとシナリオでは、Defender XDR を Microsoft Sentinel と統合することを検討してください。

• Microsoft Sentinel を Microsoft Defender ポータル内の統合セキュリティ オペレーション プラットフォームへとオンボードする。 Defender XDR コネクタの有効化が前提条件となります。 詳細については、「Microsoft Defender XDR に Microsoft Sentinel を接続する」を参照してください。

• Defender XDR インシデント (Defender XDR コンポーネントからのすべてのアラートとエンティティを含む) の Microsoft Sentinel へのワンクリック接続を実現する。

• 状態、所有者、終了理由についての Microsoft Sentinel インシデントと Defender XDR インシデントの間の双方向同期を可能にする。

• Microsoft Sentinel で Defender XDR アラートのグループ化とエンリッチメントの機能を適用することで、解決にかかる時間を短縮する。

• Microsoft Sentinel インシデントとそれに相当する Defender XDR インシデント間のコンテキストを含む深い繋がりを使用して両方のポータルにわたる調査を容易にする。

統合セキュリティ オペレーション プラットフォームでの Microsoft Sentinel の Defender XDR との統合の機能の詳細については、「Microsoft Defender ポータルでの Microsoft Sentinel」を参照してください。

Microsoft Defender XDR への接続

コンテンツ ハブから Microsoft Sentinel 用の Microsoft Defender XDR ソリューションをインストールします。 次に、Microsoft Defender XDR データ コネクタを有効にして、インシデントとアラートを収集します。 詳細については、「Microsoft Defender XDR から Microsoft Sentinel へのデータの接続」を参照してください。

Microsoft Sentinel を Defender ポータルで統合セキュリティ オペレーション プラットフォームにオンボードするには、「Microsoft Sentinel の Microsoft Defender XDR への接続」を参照してください。

Defender XDR データ コネクタでアラートとインシデント収集を有効にすると、Defender XDR インシデントは、それらが Defender XDR で生成された直後に Microsoft Sentinel インシデント キューに現れます。 これらのインシデントでは、[製品名のアラート] フィールドに、Microsoft Defender XDR またはコンポーネント Defender サービスの名前の 1 つ 含まれます。

• Microsoft Defender XDR 内でインシデントが生成されてからそれが Microsoft Sentinel に表示されるまで、最大で 10 分かかる可能性があります。

• Defender XDR からのアラートとインシデント (SecurityAlert と SecurityIncident テーブルに入力されるアイテム) は、Microsoft Sentinel に無料で取り込まれ同期されます。 個々の Defender コンポーネントからのその他すべてのデータの種類 (Advanced hunting テーブルの DeviceInfo、DeviceFileEvents、EmailEvents など) に関しては、インジェストに対して課金が行われます。

• Defender XDR コネクタが有効であると、Defender XDR 統合製品によって作成されたアラートは Defender XDR に送信され、インシデントにグループ化されます。 アラートとインシデントの両方が、Defender XDR コネクタを通して Microsoft Sentinel に送信されます。 個々のコンポーネント コネクタを事前に有効にしていた場合、それらは接続されたままのように見えますが、それらを通してデータは送信されません。

  このプロセスの例外は、Microsoft Defender for Cloud です。 Defender XDR との統合は、Defender XDR を通して Defender for Cloud "インシデント" を受信することを意味しますが、Defender for Cloud "アラート" を受信するには、Microsoft Defender for Cloud コネクタも有効にする必要があります。 利用可能なオプションと詳細については、以下の記事を参照してください。

  • Microsoft Defender ポータルの Microsoft Defender for Cloud
  • Microsoft Defender XDR 統合を使用した Microsoft Defender for Cloud インシデントの取り込み

• 同様に、"同じアラートに対して重複するインシデント" を作成することを防ぐために、Defender XDR を接続する際に、Defender XDR 統合製品に対する Microsoft インシデント作成ルール設定はオフにされます。 これは、Defender XDR に独自のインシデント作成ルールがあるためです。 この変更には、次のような影響があります。

  • Microsoft Sentinel のインシデント作成ルールでは、インシデントの作成に使用されるアラートをフィルター処理できました。 これらのルールが無効な状態では、Microsoft Defender ポータルでアラート チューニングを構成するか、自動化ルールを使用して不要なインシデントを抑制する (閉じる) ことで、アラート フィルター機能を維持できます。

  • Defender XDR 相関関係エンジンがインシデントの作成を管理し、作成したインシデントに自動的に名前を付けるようになるので、インシデントのタイトルを事前に定義することはできなくなります。 この変更は、インシデント名を条件として使用する作成済みの自動化ルールすべてに影響を与える可能性があります。 この落とし穴を回避するには、自動化ルールをトリガーするための条件としてインシデント名以外の条件を使用します。 "タグ" を使用することをお勧めします。

Microsoft Sentinel および双方向同期での Microsoft Defender XDR インシデントの処理

Defender XDR インシデントは、Microsoft Defender XDR という製品名で、その他の Microsoft Sentinel インシデントと同様の詳細や機能が含まれた状態で Microsoft Sentinel インシデント キューに表示されます。 各インシデントには、Microsoft Defender ポータルの並列インシデントへのリンクが含まれます。

Defender XDR 内でインシデントが進化し、それに対してより多くのアラートやエンティティが追加されると、それに応じて Microsoft Sentinel インシデントが更新されます。

Defender XDR または Microsoft Sentinel で Defender XDR インシデントの状態、終了理由、または割り当てに加えられた変更は、他のインシデント キューでも同様に更新されます。 同期は、インシデントに対する変更が適用されるとすぐに、両方のポータルで遅延なく行なわれます。 最新の変更内容を確認するには、最新の情報に更新する必要がある場合があります。

Defender XDR では、1 つのインシデントからのすべてのアラートが別のインシデントに転送され、それらのインシデントがマージされることがあります。 このマージが起きると、Microsoft Sentinel のインシデントに変更が反映されます。 一方のインシデントには両方の元のインシデントからのすべてのアラートが含まれるようになり、他方のインシデントは自動的に閉じられ、"リダイレクト済み" のタグが追加されます。

高度なハンティング イベント収集

Defender XDR コネクタを使用すると、高度な追求イベント (生のイベント データの一種) を、Defender XDR およびそのコンポーネント サービスから Microsoft Sentinel にストリーミングすることもできます。 すべての Defender XDR コンポーネントから高度な追求イベントを収集し、それらを Microsoft Sentinel ワークスペース内の専用テーブルに直接ストリーミングします。 これらのテーブルは、Defender ポータルで使用されるのと同じスキーマに基づいて構築されています。 これにより、高度な追求イベントの完全なセットに完全にアクセスできるようになり、以下のタスクの実行が可能になります。

• 既存の Microsoft Defender for Endpoint、Office 365、Identity、Cloud Apps の高度なハンティング クエリを Microsoft Sentinel に簡単にコピーする。

• 生のイベント ログを使用して、アラート、ハンティング、調査に関する追加の分析情報を取得し、Microsoft Sentinel のその他のデータ ソースのイベントとこれらのイベントを関連付ける。

• Defender XDR またはそのコンポーネントの既定のリテンション期間である 30 日間を超えるより長いリテンション期間でログを保存する。 これを行うには、ワークスペースの保有期間を構成するか、Log Analytics でテーブルごとの保有期間を構成します。

次のステップ

このドキュメントでは、Microsoft Sentinel で Defender XDR コネクタを有効にすることで、Defender XDR を Microsoft Sentinel と共に使用する利点を学習しました。

• Microsoft Defender XDR から Microsoft Sentinel にデータを接続する
• Defender ポータルで統合セキュリティ オペレーション プラットフォームを使用するには、「Microsoft Defender XDR から Microsoft Sentinel へのデータの接続」を参照してください。
• さまざまな Microsoft 365 クラウドと Azure クラウド内にある Microsoft Defender XDR のさまざまなデータ型の可用性を確認します。
• カスタム アラートを作成してインシデントを調査します。