Microsoft Defender XDR でのアラートとインシデント
Microsoft Defender for Cloud は、Microsoft Defender XDR と統合されました。 この統合により、セキュリティ チームは Microsoft Defender ポータル内で Defender for Cloud のアラートとインシデントにアクセスできます。 この統合により、クラウド リソース、デバイス、ID にまたがる調査に、より豊かなコンテキストが提供されます。
Microsoft Defender XDR とのパートナーシップにより、セキュリティ チームは、クラウド環境で発生する疑わしいイベントや悪意のあるイベントなど、攻撃の全体像を把握できます。 セキュリティ チームは、アラートとインシデントの即時の相関関係を通じて、この目標を達成できます。
Microsoft Defender XDR は、保護、検出、調査、対応の機能を組み合わせた包括的なソリューションを提供します。 このソリューションは、デバイス、電子メール、コラボレーション、ID、クラウド アプリに対する攻撃から保護します。 Microsoft の検知および調査機能はクラウド エンティティまで拡張し、セキュリティ運用チームの運用効率を大幅に向上させる単一のペインが提供されます。
インシデントとアラートは、Microsoft Defender XDR のパブリック API の一部になりました。 この統合により、単一の API を使用して、あらゆるシステムにセキュリティ アラート データをエクスポートできます。 Microsoft Defender for Cloud として、可能な限り最高のセキュリティ ソリューションをユーザーに提供することを約束します。この統合は、その目標達成に向けた重要な一歩です。
Microsoft Defender XDR での調査エクスペリエンス
次の表では、Defender for Cloud アラートを使用した Microsoft Defender XDR での検出と調査のエクスペリエンスについて説明します。
領域 | 説明 |
---|---|
インシデント | すべての Defender for Cloud インシデントは、Microsoft Defender XDR に統合されます。 - インシデント キュー内のクラウド リソース資産の検索がサポートされます。 - 攻撃ストーリー グラフにはクラウド リソースが表示されます。 - インシデント ページの資産タブにはクラウド リソースが表示されます。 - 各仮想マシンには、関連するすべてのアラートとアクティビティを含む独自のエンティティ ページがあります。 他の Defender ワークロードからのインシデントの重複はありません。 |
警告 | マルチクラウド、内部および外部のプロバイダーのアラートを含むすべての Defender for Cloud アラートは、Microsoft Defender XDR に統合されます。 Defenders for Cloud アラートは、Microsoft Defender XDR アラート キューに表示されます。 Microsoft Defender XDR cloud resource 資産がアラートの [資産] タブに表示されます。 リソースは、Azure、Amazon、または Google Cloud リソースとして明確に識別されます。 Defenders for Cloud アラートは、自動的にテナントに関連付けられます。 他の Defender ワークロードからのアラートの重複はありません。 |
アラートとインシデントの相関 | アラートとインシデントは自動的に相関し、セキュリティ運用チームに強固なコンテキストを提供することで、クラウド環境における攻撃ストーリーを把握できます。 |
脅威の検出 | 仮想エンティティとデバイス エンティティの正確な一致により、正確かつ効果的な脅威検出を実現します。 |
Unified API | Defender for Cloud のアラートとインシデントが Microsoft Defender XDR のパブリック API に含まれるようになりました。これにより、お客様は、1 つの API を使用してセキュリティ アラート データを他のシステムにエクスポートできます。 |
Microsoft Defender XDR でのアラートの処理の詳細について説明します。
XDR での高度なハンティング
Microsoft Defender XDR の高度なハンティング機能は、Defender for Cloud のアラートとインシデントを含むように拡張されています。 この統合により、セキュリティ チームは、すべてのクラウド リソース、デバイス、ID を 1 つのクエリで追求できます。
Microsoft Defender XDR の高度なハンティング エクスペリエンスは、セキュリティ チームに、環境全体の脅威を追求するカスタム クエリを柔軟に作成できるように設計されています。 Defender for Cloud のアラートとインシデントとの統合により、セキュリティ チームはクラウド リソース、デバイス、ID 全体で脅威を追求することができます。
高度なハンティングで CloudAuditEvents テーブルを使用すると、Microsoft Defender for Cloud のクラウド監査イベントを追求し、カスタム検出を作成して、疑わしい Azure Resource Manager と Kubernetes (KubeAudit) コントロール プレーンのアクティビティを表示できます。
Sentinel のお客様
Microsoft Sentinel のお客様は、Microsoft 365 Defender インシデントとアラート コネクタを使用して、ワークスペース内の Microsoft 365 Defender と Defender for Cloud の統合を利用できます。
まず、Microsoft 365 Defender コネクタでインシデント統合を有効にする必要があります。
次に、Tenant-based Microsoft Defender for Cloud (Preview)
コネクタでサブスクリプションをテナントベースの Defender for Cloud インシデントと同期し、Microsoft 365 Defender インシデント コネクタを介してストリーミングできるようにします。
コネクタは、Microsoft Defender for Cloud ソリューション バージョン 3.0.0 を介してコンテンツ ハブで使用できます。 このソリューションの以前のバージョンがある場合は、コンテンツ ハブでアップグレードできます。
従来のサブスクリプション ベースの Microsoft Defender for Cloud アラート コネクタが有効になっている場合は (このコネクタが Subscription-based Microsoft Defender for Cloud (Legacy)
として表示されます)、ログにアラートが重複しないようにコネクタを切断することをお勧めします。
Defender for Cloud アラートからのインシデントの作成から、有効になっている分析ルール (スケジュール済みまたは Microsoft 作成ルールを使用) を無効にすることをお勧めします。
自動化ルールを使用すると、インシデントを直ちに終了し、特定の種類の Defender for Cloud アラートがインシデントにならないようにすることができます。 Microsoft 365 Defender ポータルの組み込みのチューニング機能を使用して、アラートがインシデントにならないようにすることもできます。
Microsoft 365 Defender インシデントを Sentinel に統合し、サブスクリプションベースの設定を維持し、テナントベースの同期を回避したいお客様は、Microsoft 365 Defender コネクタを介してインシデントとアラートの同期をオプトアウトできます。
Defender for Cloud と Microsoft 365 Defender でデータのプライバシーがどのように処理されるかについて説明します。