次の方法で共有


Microsoft Defender XDR でのアラートとインシデント

Microsoft Defender for Cloud は、Microsoft Defender XDR と統合されました。 この統合により、セキュリティ チームは Microsoft Defender ポータル内で Defender for Cloud のアラートとインシデントにアクセスできます。 この統合により、クラウド リソース、デバイス、ID にまたがる調査に、より豊かなコンテキストが提供されます。

Microsoft Defender XDR とのパートナーシップにより、セキュリティ チームは、クラウド環境で発生する疑わしいイベントや悪意のあるイベントなど、攻撃の全体像を把握できます。 セキュリティ チームは、アラートとインシデントの即時の相関関係を通じて、この目標を達成できます。

Microsoft Defender XDR は、保護、検出、調査、対応の機能を組み合わせた包括的なソリューションを提供します。 このソリューションは、デバイス、電子メール、コラボレーション、ID、クラウド アプリに対する攻撃から保護します。 Microsoft の検知および調査機能はクラウド エンティティまで拡張し、セキュリティ運用チームの運用効率を大幅に向上させる単一のペインが提供されます。

インシデントとアラートは、Microsoft Defender XDR のパブリック API の一部になりました。 この統合により、単一の API を使用して、あらゆるシステムにセキュリティ アラート データをエクスポートできます。 Microsoft Defender for Cloud として、可能な限り最高のセキュリティ ソリューションをユーザーに提供することを約束します。この統合は、その目標達成に向けた重要な一歩です。

Microsoft Defender XDR での調査エクスペリエンス

次の表では、Defender for Cloud アラートを使用した Microsoft Defender XDR での検出と調査のエクスペリエンスについて説明します。

領域 説明
インシデント すべての Defender for Cloud インシデントは、Microsoft Defender XDR に統合されます。
- インシデント キュー内のクラウド リソース資産の検索がサポートされます。
- 攻撃ストーリー グラフにはクラウド リソースが表示されます。
- インシデント ページの資産タブにはクラウド リソースが表示されます。
- 各仮想マシンには、関連するすべてのアラートとアクティビティを含む独自のエンティティ ページがあります。

他の Defender ワークロードからのインシデントの重複はありません。
警告 マルチクラウド、内部および外部のプロバイダーのアラートを含むすべての Defender for Cloud アラートは、Microsoft Defender XDR に統合されます。 Defenders for Cloud アラートは、Microsoft Defender XDR アラート キューに表示されます。
Microsoft Defender XDR
cloud resource 資産がアラートの [資産] タブに表示されます。 リソースは、Azure、Amazon、または Google Cloud リソースとして明確に識別されます。

Defenders for Cloud アラートは、自動的にテナントに関連付けられます。

他の Defender ワークロードからのアラートの重複はありません。
アラートとインシデントの相関 アラートとインシデントは自動的に相関し、セキュリティ運用チームに強固なコンテキストを提供することで、クラウド環境における攻撃ストーリーを把握できます。
脅威の検出 仮想エンティティとデバイス エンティティの正確な一致により、正確かつ効果的な脅威検出を実現します。
Unified API Defender for Cloud のアラートとインシデントが Microsoft Defender XDR のパブリック API に含まれるようになりました。これにより、お客様は、1 つの API を使用してセキュリティ アラート データを他のシステムにエクスポートできます。

Microsoft Defender XDR でのアラートの処理の詳細について説明します。

XDR での高度なハンティング

Microsoft Defender XDR の高度なハンティング機能は、Defender for Cloud のアラートとインシデントを含むように拡張されています。 この統合により、セキュリティ チームは、すべてのクラウド リソース、デバイス、ID を 1 つのクエリで追求できます。

Microsoft Defender XDR の高度なハンティング エクスペリエンスは、セキュリティ チームに、環境全体の脅威を追求するカスタム クエリを柔軟に作成できるように設計されています。 Defender for Cloud のアラートとインシデントとの統合により、セキュリティ チームはクラウド リソース、デバイス、ID 全体で脅威を追求することができます。

高度なハンティングで CloudAuditEvents テーブルを使用すると、コントロール プレーン イベントを調査し追求し、カスタム検出を作成して、疑わしい Azure Resource Manager と Kubernetes (KubeAudit) コントロール プレーンのアクティビティを表示できます。  

高度なハンティングの CloudProcessEvents テーブル を使用すると、プロセスの詳細を含む情報を使用して、クラウド インフラストラクチャで呼び出された疑わしいアクティビティのカスタム検出をトリアージ、調査、および作成できます。   

Microsoft Sentinel のお客様

Microsoft の統合セキュリティ運用 (SecOps) プラットフォームにオンボードしている Microsoft Sentinel のお客様である場合、Defender for Cloud アラートがすでに Defender XDR に直接取り込まれています。 組み込みのセキュリティ コンテンツを活用するには、Microsoft Sentinel コンテンツ ハブから Microsoft Defender for Cloud ソリューションをインストールしてください。

Microsoft の統合 SecOps プラットフォームを使用していない Microsoft Sentinel のお客様も、Microsoft 365 Defender インシデントとアラート コネクタを使用して、ワークスペース内の Microsoft 365 Defender と Defender for Cloud の統合を利用できます。

まず、Microsoft 365 Defender コネクタでインシデント統合を有効にする必要があります。

次に、テナントベースの Microsoft Defender for Cloud (プレビュー) データ コネクタでサブスクリプションをテナントベースの Defender for Cloud インシデントと同期し、Microsoft 365 Defender インシデント コネクタを介してストリーミングできるようにします。

テナントベースの Microsoft Defender for Cloud (プレビュー) データ コネクタは、Microsoft Defender for Cloud ソリューションバージョン 3.0.0 を通じて、Microsoft Sentinel コンテンツ ハブから入手できます。 このソリューションの以前のバージョンがある場合は、ソリューションのバージョンを更新することをお勧めします。 サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) データ コネクタが有効になっている場合は、ログにアラートが重複しないようにコネクタを切断することをお勧めします。

また、Microsoft Defender for Cloud アラートからインシデントを直接作成する分析ルールを無効にすることもお勧めします。 Microsoft Sentinel オートメーション ルールを使用して、インシデントを直ちに終了し、特定の種類の Defender for Cloud アラートがインシデントにならないようにするか、Microsoft Defender ポータルの組み込みのチューニング機能を使用して、アラートがインシデントにならないようにします。

Microsoft 365 Defender インシデントを Microsoft Sentinel に統合し、サブスクリプションベースの設定を維持し、テナントベースの同期を回避したい場合、Microsoft 365 Defender コネクタを使用してインシデントとアラートの同期をオプトアウトできます。

詳細については、以下を参照してください:

セキュリティ アラート - リファレンス ガイド