Microsoft Defender ポータルの Microsoft Defender for Cloud

[アーティクル]
07/04/2024

適用対象:

Microsoft Defender for Cloud は、Microsoft Defender XDR の一部になりました。セキュリティチームは、Microsoft Defender ポータル内で Defender for Cloud のアラートとインシデントにアクセスできるようになり、クラウドリソース、デバイス、ID にまたがる調査に関する豊富なコンテキストが提供されます。さらに、セキュリティチームは、アラートとインシデントの即時の相関関係を通じて、クラウド環境で発生する疑わしいイベントや悪意のあるイベントなど、攻撃の全体像を把握できます。

Microsoft Defender ポータルは、保護、検出、調査、応答の機能を組み合わせて、デバイス、電子メール、コラボレーション、ID、クラウドアプリに対する攻撃を保護します。ポータルの検出と調査の機能がクラウドエンティティに拡張され、セキュリティ運用チームは、運用効率を大幅に向上させるために 1 つのウィンドウを提供します。

さらに、Defender for Cloud のインシデントとアラートは、 Microsoft Defender XDR のパブリック API の一部になりました。この統合により、1 つの API を使用して、セキュリティアラートデータを任意のシステムにエクスポートできます。

前提条件

Microsoft Defender ポータルで Defender for Cloud アラートに確実にアクセスするには、「 Azure サブスクリプションの接続」に記載されているプランのいずれかにサブスクライブする必要があります。

必要なアクセス許可

Defender for Cloud のアラートと相関関係を表示するには、グローバル管理者または Azure Active Directory のセキュリティ管理者である必要があります。これらのロールを持たないユーザーの場合、統合は Defender for Cloud に統合されたロールベースのアクセス制御 (RBAC) ロールを適用することによってのみ使用できます。

注:

Defender for Cloud のアラートと相関関係を表示するアクセス許可は、テナント全体に対して自動的に行われます。特定のサブスクリプションの表示はサポートされていません。 アラートサブスクリプション ID フィルターを使用すると、アラートキューとインシデントキュー内の特定の Defender for Cloud サブスクリプションに関連付けられている Defender for Cloud アラートを表示できます。フィルターの詳細については、こちらをご覧ください。

Microsoft Defender ポータルでの調査エクスペリエンス

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

次のセクションでは、Defender for Cloud アラートを使用した Microsoft Defender ポータルでの検出と調査のエクスペリエンスについて説明します。

注:

Defender for Cloud からの情報アラートは Microsoft Defender ポータルに統合されていないため、関連する重大度の高いアラートに集中できます。この戦略により、インシデントの管理が合理化され、アラートの疲労が軽減されます。

分野	説明
インシデント	すべての Defender for Cloud インシデントは、Microsoft Defender ポータルに統合されます。 - インシデントキュー内のクラウドリソース資産の検索がサポートされています。 - 攻撃ストーリーグラフにクラウドリソースが表示されます。 - インシデントページの [資産] タブには、クラウドリソースが表示されます。 - 各仮想マシンには、関連するすべてのアラートとアクティビティを含む独自のデバイスページがあります。他の Defender ワークロードからのインシデントの重複はありません。
アラート	マルチクラウド、内部および外部プロバイダーのアラートを含むすべての Defender for Cloud アラートは、Microsoft Defender ポータルに統合されます。 Defender for Cloud アラートは、Microsoft Defender ポータルのアラートキューに表示されます。クラウドリソース資産は、アラートの [資産] タブに表示されます。リソースは、Azure、Amazon、または Google Cloud リソースとして明確に識別されます Defender for Cloud アラートは自動的に tenant. に関連付けられます。他の Defender ワークロードからのアラートの重複はありません。
アラートとインシデントの相関関係	アラートとインシデントは自動的に関連付けられるので、セキュリティ運用チームに堅牢なコンテキストを提供して、クラウド環境の完全な攻撃ストーリーを理解できます。
脅威の検出	仮想エンティティをデバイスエンティティに正確に照合し、精度と効果的な脅威検出を保証します。
統合 API	Defender for Cloud のアラートとインシデントが Microsoft Defender XDR のパブリック API に含まれるようになり、お客様は 1 つの API を使用してセキュリティアラートデータを他のシステムにエクスポートできます。
高度なハンティング (プレビュー)	組織の Defender for Cloud によって保護されているさまざまなクラウドプラットフォームのクラウド監査イベントに関する情報は、高度なハンティングの CloudAuditEvents テーブルを通じて入手できます。

Microsoft Sentinel ユーザーへの影響

Microsoft Defender XDR インシデントを統合し、Defender for Cloud アラートを取り込む Microsoft Sentinel のお客様は、重複するアラートとインシデントが作成されないように、次の構成変更を行う必要があります。

テナントベースの Microsoft Defender for Cloud (プレビュー) コネクタを接続して、すべてのサブスクリプションからのアラートのコレクションを、Microsoft Defender XDR Incidents コネクタを介してストリーミングしているテナントベースの Defender for Cloud インシデントと同期します。
サブスクリプションベースの Microsoft Defender for Cloud (レガシ) アラートコネクタを切断して、アラートの重複を防ぎます。
Defender for Cloud アラートからインシデントを作成するために使用される、 スケジュールされた (通常のクエリの種類) または Microsoft セキュリティ (インシデントの作成) ルールのいずれかの分析ルールをオフにします。 Defender for Cloud Incidents は、Defender ポータルで自動的に作成され、Microsoft Sentinel と同期されます。
必要に応じて、自動化ルールを使用してノイズの多いインシデントを閉じるか、 Defender ポータルの組み込みのチューニング機能を使用して特定のアラートを抑制します。

次の変更にも注意してください。

Microsoft Defender ポータルインシデントにアラートを関連付けるアクションは削除されます。

詳細については、「 Microsoft Defender for Cloud インシデントを Microsoft Defender XDR 統合で取り込む」を参照してください。

Defender for Cloud アラートをオフにする

Defender for Cloud のアラートは、既定でオンになっています。サブスクリプションベースの設定を維持し、テナントベースの同期を避けるか、エクスペリエンスからオプトアウトするには、次の手順を実行します。

Microsoft Defender ポータルで、[設定>Microsoft Defender XDR] に移動します。
[ アラートサービスの設定] で、 Microsoft Defender for Cloud アラートを探します。
[ アラートなし ] を選択して、すべての Defender for Cloud アラートをオフにします。このオプションを選択すると、ポータルへの新しい Defender for Cloud アラートの取り込みを停止します。以前に取り込まれたアラートは、アラートまたはインシデントページに残ります。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティコミュニティに参加します。

次の方法で共有