Microsoft Sentinel を Microsoft Defender XDRに接続する！

1. Defender XDR と Sentinel の接続

2024年 4月に Defender XDR と Microsoft Sentinel の接続がパブリックプレビューになりました。
2024 年 7 月に Defender XDR と Microsoft Sentinel の接続が一般提供 (generally available) になりました。Defender XDR と Microsoft Sentinel を統合し、Microsoft Unified Security Operation Platform (USX) と呼ばれています。

• Microsoft Sentinel を Microsoft Defender XDRに接続する (プレビュー)
  • https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-sentinel-onboard?view=o365-worldwide

※ 2024年7月に追記 ===
一般公開に関するブログや FAQ が公開されていますので、リンクを追記します。

• Simplified Zero Trust security with the Microsoft Entra Suite and unified security operations platform, now generally available
  • https://www.microsoft.com/en-us/security/blog/2024/07/11/simplified-zero-trust-security-with-the-microsoft-entra-suite-and-unified-security-operations-platform-now-generally-available/
• Unified Security Operations Platform - Technical FAQ!
  • https://techcommunity.microsoft.com/t5/microsoft-sentinel-blog/unified-security-operations-platform-technical-faq/ba-p/4189136
    ====

Microsoft Defender XDR と Microsoft Sentinel を接続することで、以下の機能が Defender XDR ポータル統合されます。大きなポイントとしては、Sentinel に MDE や MDI など M365 Defenderの生ログを取り込むことなく、Sentinel に取り込んだ 3rd パーティ製品ログと相関分析できることでしょうか。

• Microsoft Sentinel とMicrosoft Defender XDRにまたがる高度なハンティング
• 統合インシデント
• AI
• オートメーション
• ガイド付きエクスペリエンス
• キュレーションされた脅威インテリジェンス

前提条件

Defender XDR と Sentinel の統合には以下の前提条件があります。

• Microsoft Sentinel が有効になっている Log Analytics ワークスペース
• インシデントとアラートに対して Microsoft Sentinel で有効になっているMicrosoft Defender XDR (旧称 Microsoft 365 Defender) のデータ コネクタ
• Microsoft Entra テナントにオンボードされたMicrosoft Defender XDR
• Defender ポータルで Microsoft Sentinel をオンボードして使用するための適切なロールを持つ Azure アカウント

接続を実行するユーザーに必要なロールの詳細はドキュメントを参照ください。

https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-sentinel-onboard?view=o365-worldwide#prerequisites

Defender XDR と Sentinel のどちらもご利用の方にはメリットが大きいと思います、ぜひ有効化してみてください！

2. Defender XDR と Sentinel を接続してみる

Defender XDR と Sentinel の接続は、簡単な操作で実施できます。

[Defender XDR ポータル] (https://security.microsoft.com) に接続すると、ホーム画面に ワークスペースを接続する ボタンが表示されています。

接続する Sentinel ワークスペースを選択します。

Defender XDR のアラート作成用の分析ルールが無効化されたり、特定のサービスプリンシパルに Microsoft Sentinel 共同作成者のロールが割り当たるため、表示された内容をご確認ください。
接続 をクリックすると、Defender XDR と Sentinel の接続が開始されます。

• Microsoft Sentinel ワークスペース内のログ テーブル、クエリ、関数は、Microsoft Defender XDR 内の高度な追求でも使用できます
• Microsoft Sentinel 共同作成者 ロールが、サブスクリプション内の Microsoft Threat Protection アプリと WindowsDefenderATP アプリに割り当てられます
• インシデントが重複しないように、アクティブな [Microsoft Security インシデント作成ルール](https://go.microsoft.com/fwlink/?linkid=2252434) は非アクティブ化されます。この変更は、Microsoft アラートのインシデント作成ルールのみに適用され、他の分析ルールには適用されません
• Microsoft Defender XDR 製品に関連するアラートはすべて、整合性の確保のために、メインの Microsoft Defender XDR データ コネクタから直接ストリーミングされます。ワークスペースでこのコネクタからのインシデントとアラートが有効になっていることを確認してください

少し待つと、接続が完了します。

接続完了後の Defender XDR ポータル

接続が完了すると、Sentinel の情報を確認できるようになります。

• 高度な追求
  高度な追求から、Sentinel ワークスペースに取り込んだテーブルの情報を確認できます。
  

また、レコードを展開することで、下方向にスクロールできるようになっています。

Sentinel の操作もできるようになっています。
検索ジョブを実行できます。

ブックの確認もできます。

ブックの表示は Azure ポータルからになりました。

コンテンツハブはインストール操作もできます。

分析ルールの操作もできます。

分析ルールの作成もできます。

その他にも Sentinel の操作を行えるので色々試していただき、Defender XDR ポータルをシングルコンソールとして捜査することで、運用オペレーションの負荷改善などにつながればと思います！

Copilot for Security の活用

2024年4月1日に一般提供になった Copilot for Security も Defender XDR ポータルに組み込まれました。
インシデントを開くとサマリを表示し、推奨されるオペレーションがあれば、表示してれます。

また、高度な追求では、KQL のクエリを生成する機能も提供されています。表示されたクエリを高度な追求で実行して動作確認し、Sentinel のスケジュール分析ルールを作成することも、Defender XDR ポータルで実施できるようになります。

まとめ

Defender XDR と Sentinel を接続することで、Microsoft 製品だけでなくサードパーティ製品も含めた SOC オペレーションを Defender XDR ポータルから行えるようになります。Copilot for Security によるインシデントの要約やハンティングクエリの生成などを活用することで、サードパーティログを含めた脅威ハンティングやインシデント対応の支援もできるため、運用の効率化やセキュリティの高度化につなげることができそうです。
新人エンジニアでも対応できる幅も広がるかと思いますので、ぜひお試しください！