次の方法で共有

Microsoft Defender for Cloud アラートを Microsoft Sentinel に取り込む

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender for Cloud の統合クラウド ワークロード保護を使用すると、ハイブリッドワークロードとマルチクラウド ワークロード全体の脅威を検出して迅速に対応できます。 Microsoft Defender for Cloud コネクタを使用すると、Defender for Cloud から Microsoft Sentinel にセキュリティ アラートを取り込むことができるので、より広範な組織の脅威コンテキストで、Defender アラートと生成されたインシデントを表示、分析、対応できます。

Microsoft Defender for Cloud Defender プラン はサブスクリプションごとに有効になります。 Microsoft Sentinel の従来の Defender for Cloud Apps コネクタもサブスクリプションごとに構成されていますが、 テナントベースの Microsoft Defender for Cloud コネクタはプレビュー段階で、テナント全体で Defender for Cloud アラートを収集できます。各サブスクリプションを個別に有効にする必要はありません。 テナント ベースのコネクタは 、Defender for Cloud と Microsoft Defender XDR の統合 とも連携して、すべての Defender for Cloud アラートが 、Microsoft Defender XDR インシデント統合を通じて受け取るインシデントに完全に含まれるようにします。

  • アラートの同期:

    • Microsoft Defender for Cloud を Microsoft Sentinel に接続すると、Microsoft Sentinel に取り込まれたセキュリティ アラートの状態が 2 つのサービス間で同期されます。 たとえば、Defender for Cloud でアラートがクローズされた場合、そのアラートは Microsoft Sentinel でもクローズ済みとして表示されます。

    • Defender for Cloud でアラートの状態を変更しても、Microsoft Sentinel アラートを含む Microsoft Sentinel インシデント の状態には影響せず、アラート自体の状態にのみ影響します。

  • 双方向アラート同期: 双方向同期 を有効にすると、元のセキュリティ アラートの状態が、それらのアラートを含む Microsoft Sentinel インシデントの状態と自動的に同期されます。 そのため、たとえば、セキュリティ アラートを含む Microsoft Sentinel のインシデントがクローズされると、Microsoft Defender for Cloud の対応する元のアラートが自動的にクローズされます。

米国政府機関向けクラウドでの機能の可用性の詳細については、米国 政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。

コネクタでは、他のテナントが所有するサブスクリプションからのアラートの同期は、それらのテナントで Lighthouse が有効になっている場合でも、サポートされません。

前提条件

  • Azure portal で Microsoft Sentinel を使っている必要があります。 Microsoft Sentinel を Defender ポータルにオンボードすると、Defender for Cloud アラートは既に Microsoft Defender XDR に取り込まれており、 テナントベースの Microsoft Defender for Cloud (プレビュー) データ コネクタは Defender ポータルの [データ コネクタ ] ページに表示されません。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。

    Microsoft Sentinel を Defender ポータルにオンボードした場合でも、Microsoft Sentinel で組み込みのセキュリティ コンテンツを使用するために 、Microsoft Defender for Cloud ソリューションをインストールする必要があります。

    この手順は、Microsoft Defender XDR を使わずに Defender ポータルで Microsoft Sentinel を使っているユーザーにも関連があります。

  • ユーザーには次のロールとアクセス許可が必要です。

    • Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

    • Microsoft Sentinel に接続するサブスクリプションに対する 共同作成者 ロールまたは 所有者 ロールが必要です。

    • 双方向同期を有効にするには、関連するサブスクリプションの 共同作成者 または セキュリティ管理者 ロールが必要です。

  • コネクタを有効にするサブスクリプションごとに、Microsoft Defender for Cloud 内で少なくとも 1 つのプランを有効にする必要があります。 サブスクリプションで Microsoft Defender プランを有効にするには、そのサブスクリプションの セキュリティ管理者 ロールが必要です。

  • コネクタを有効にするサブスクリプションごとに、SecurityInsights リソース プロバイダーを登録する必要があります。 リソース プロバイダーの登録状態と登録方法に関するガイダンスを確認します。

Microsoft Defender for Cloud に接続する

  1. Microsoft Sentinel で、コンテンツ ハブから Microsoft Defender for Cloud 用のソリューションをインストールします。 詳細については、「Microsoft Sentinel の既成コンテンツの発見と管理」を参照してください。

  2. [構成>データ コネクタ] を選択します。

  3. [データ コネクタ] ページで、サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) またはテナントベースの Microsoft Defender for Cloud (プレビュー) コネクタを選択し、[コネクタ ページを開く] を選択します。

  4. [ 構成] に、テナント内のサブスクリプションの一覧と、Microsoft Defender for Cloud への接続の状態が表示されます。 アラートを Microsoft Sentinel にストリーミングする各サブスクリプションの横にある [状態] トグルを選択します。 複数のサブスクリプションを一度に接続する場合は、関連するサブスクリプションの横にあるチェック ボックスをオンにして、一覧の上にあるバーの [接続 ] ボタンを選択します。

    • チェック ボックスと [接続 ] トグルは、 必要なアクセス許可を持っているサブスクリプションでのみアクティブです。
    • [ 接続 ] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがオンになっている場合にのみアクティブになります。

  5. サブスクリプションで双方向同期を有効にするには、一覧でサブスクリプションを見つけて、[双方向同期] 列のドロップダウン リストから [有効] を選択します。 一度に複数のサブスクリプションで双方向同期を有効にするには、そのチェック ボックスをオンにして、一覧の上のバーにある [ 双方向同期を有効にする ] ボタンを選択します。

    • チェック ボックスとドロップダウン リストは、 必要なアクセス許可を持っているサブスクリプションでのみアクティブです。
    • [ 双方向同期を有効にする] ボタンは、少なくとも 1 つのサブスクリプションのチェック ボックスがオンになっている場合にのみアクティブです。

  6. 一覧の [Microsoft Defender plans ] 列で、Microsoft Defender プランがサブスクリプションで有効になっているかどうかを確認できます。これは、コネクタを有効にするための 前提条件 です。

    この列の各サブスクリプションの値は空白です。つまり、Defender プランが有効になっていない、 すべて有効、または 一部が有効になっています。 「一部の有効化済み」と表示されている場合も、すべての有効化 リンクを選択することができ、そのリンクをクリックすると、該当するサブスクリプションの Microsoft Defender for Cloud 構成ダッシュボードに移動し、有効にする Defender プランを選択することができます。

    一覧の上のバーにある [ すべてのサブスクリプションに対して Microsoft Defender を有効にする ] リンク ボタンをクリックすると、Microsoft Defender for Cloud の概要ページが表示され、Microsoft Defender for Cloud を完全に有効にするサブスクリプションを選択できます。 次に例を示します。

    Microsoft Defender for Cloud コネクタの構成のスクリーンショット。

  7. Microsoft Defender for Cloud からのアラートによって Microsoft Sentinel でインシデントが自動的に生成されるようにするかどうかを選択できます。 [ インシデントの作成] で、[ 有効] を選択して、 アラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 その後、[ 分析] の [ アクティブな ルール] タブでこのルールを編集できます。

    ヒント

    Microsoft Defender for Cloud からのアラートの カスタム分析ルール を構成する場合は、アラートの重大度を考慮して、情報アラートのインシデントを開かないようにします。

    Microsoft Defender for Cloud の情報アラート自体は、セキュリティ リスクを表すものではありません。情報アラートは、既存の未解決のインシデントのコンテキストのみに関連します。 詳細については、「 Microsoft Defender for Cloud のセキュリティ アラートとインシデント」を参照してください。

データを検索して分析する

セキュリティ アラートは、Log Analytics ワークスペースの SecurityAlert テーブルに格納されます。 Log Analytics でセキュリティ アラートに対してクエリを実行するには、最初に、次の情報をクエリ ウィンドウにコピーします。

SecurityAlert 
| where ProductName == "Azure Security Center"

両方向のアラートの同期には数分かかる場合があります。 アラートの状態の変更は、すぐには表示されない場合があります。

より便利なサンプル クエリ、分析ルール テンプレート、および推奨されるブックについては、コネクタ ページの [次のステップ ] タブを参照してください。

関連するコンテンツ

このドキュメントでは、Microsoft Defender for Cloud を Microsoft Sentinel に接続し、それらの間でアラートを同期する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。