Microsoft Defender XDR コネクタを接続する
インシデント統合を備えた Microsoft Defender 拡張検出と応答 (XDR) コネクタを使用すると、すべての Microsoft Defender XDR インシデントとアラートを Microsoft Sentinel にストリーミングできます。 このコネクタにより、両方のポータル間でインシデントの同期が維持されます。 Microsoft Defender XDR インシデントには、すべてのアラート、エンティティ、その他の関連情報が含まれます。 これらはグループ化され、Microsoft Defender XDR のコンポーネント サービス、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps からのアラートによって強化されます。 Microsoft Defender XDR コネクタを接続することは、Microsoft Defender XDR で "統合セキュリティ運用プラットフォーム" または統合セキュリティ情報イベント管理 (SIEM) と XDR エクスペリエンスを構成するための前提条件です。
コネクタを使用すると、上記のすべてのコンポーネントから Microsoft Sentinel に高度なハンティング イベントをストリーミングすることもできます。 これにより、これらの Defender コンポーネントの詳細なハンティング クエリを Microsoft Azure Sentinel にコピーすること、Sentinel アラートを Defender コンポーネントの未加工のイベント データを使用して強化し、追加の分析情報を提供すること、保有期間を長くしてログを Log Analytics に格納することができます。
コネクタをデプロイするには、次の手順に従います。
Microsoft Sentinel の左側のナビゲーション メニューから、[構成] を展開し、[データ コネクタ] を選択します。
Microsoft Defender XDR コネクタを選択します。
プレビュー ウィンドウで [コネクタ ページを開く] を選択します。
[手順] タブで、"前提条件" を確認し、必要なアクセス許可とライセンスがあることを確認します。
次に、[構成] セクションで、[インシデントとアラートを接続する] ボタンを選択します。
Note
[これらの製品の Microsoft インシデント作成ルールをすべてオフにすることをお勧めします] チェックボックスをオフにすると、インシデント キューに重複が発生する可能性があります。
特定の製品から "UEBA エンティティ" や "イベント" のログ (ユーザー/エンティティ行動分析) を接続することもできます。
[エンティティの接続] を選択し [イベントの接続] セクションを選択します。
"イベント" の場合は、収集するイベントの種類のチェック ボックスをオンにして、[変更の適用] を選択します。