2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Defender XDR 統合を使用して Defender for Cloud アラートを Microsoft Sentinel に統合する!

Last updated at Posted at 2024-06-13

はじめに

Defender for Cloud (以下 MDC) で検出したセキュリティアラートを Microsoft Sentinel (以下 Sentinel) に同期することで、Sentinel でセキュリティアラートを一元管理することができます。

2024年1月、 Defender XDR に MDC セキュリティアラートが取り込まれるアップデートが適用されました。
Defender for Cloud データコネクタと Defender XDR 統合による MDC アラートの Sentinel への取り込みの違いについて確認したいと思います。

MDC のデータコネクタ

MDC データコネクタは、有効化するだけで MDC セキュリティアラートを Sentinel に取り込む機能です。

Sentinel のコンテンツハブから Defender for Cloud コンテンツをインストールすると、2 つの MDC データコネクタがインストールされます。

1.サブスクリプションベースのデータコネクタ
- https://learn.microsoft.com/ja-jp/azure/sentinel/data-connectors/subscription-based-microsoft-defender-for-cloud-legacy
2.テナントベースのデータコネクタ
- https://learn.microsoft.com/ja-jp/azure/sentinel/data-connectors/tenant-based-microsoft-defender-for-cloud

このデータコネクタを利用することで、MDC のセキュリティアラート・インシデントを Sentinel と同期をすることができるようになります。こんなイメージです。

image.png

image.png

インストールされたコンテンツに 2 つのデータコネクタが含まれています。それぞれの違いを見てみます。
image.png

1.サブスクリプションベースのデータコネクタ

サブスクリプションベースのデータコネクタは以前から提供されている接続方法で、サブスクリプションごとに有効化します。データコネクタを有効化するには、アラートを接続するサブスクリプションの「所有者」もしくは「共同作成者」ロールが必要です。
双方向の同期を有効にすることで、MDC セキュリティアラートの状態 と Sentinel インシデントの状態を双方向同期してくれます。調査後に MDC、Sentinel どちらか一方でアラート/インシデントをクローズ処理すれば、状態が反映されます。
image.png

2.テナントベースのデータコネクタ (プレビュー)

テナントベースのデータコネクタは、2024年6月時点ではプレビュ-として提供されています。
このデータコネクタは、ワークスペースの Read と Write および、Entra ID テナントの 「セキュリティ管理者」もしくは「グローバル管理者」ロールが必要です。
「接続」するだけで、Entra テナントで利用しているすべてのサブスクリプションの MDC セキュリティアラートを Sentinel ワークスペースに取り込むことができるようになります。新規に作成されたサブスクリプションも対象になるため、サブスクリプションごとに管理する必要がなくなるメリットがあります。

image.png

3. Sentinel でのインシデント作成

MDC データコネクタから取り込んだセキュリティアラートは SecurityAlert テーブルに保存されます。取り込んだセキュリティアラートから Sentinel のインシデントを作成するには Microsoft Security の分析ルールを有効化する必要があります。

image.png

「Create incidents based on Microsoft Defender for Cloud」を有効化することで、MDC で検出したセキュリティアラートから Sentinel のインシデントが作成されます。

image.png

なお、SecurityAlert テーブルを確認すると、セキュリティアラートの情報が確認できます。

image.png

注意
サブスクリプションベースデータコネクタで双方向の同期を有効にしたインシデントは、MDC と Sentinel どちらでインシデント処理を完了しても状態が同期されます。
しかし、テナントベースデータコネクタには双方向同期の設定がないため、MDC と Sentinel のセキュリティアラート・インシデントをそれぞれで管理する必要があるので注意してください。

テナントベースデータコネクタで連携された MDC セキュリティアラートを解決済みに変更しても Sentinel のインシデントには同期されませんでした。

そのため、MDC アラートを Sentinel に直接取り込む場合は、サブスクリプションベースデータコネクタを利用するのがお勧めです。

  • MDC のアラートの状態
    image.png

  • Sentinel インシデントの状態
    image.png

Defender XDR と Defender for Cloud アラートの統合

2024年1月のアップデートで、MDC アラートが Defender XDR に統合されました。

image.png

これにより、MDC で検知したセキュリティアラートは Defender XDR ポータル (https://security.microsoft.com/) からも確認でき、アラートの状態も同期される動作になっています。

image.png

情報
Defender XDR への MDC アラート取り込みを無効化することもできます。
image.png

Defender XDR に統合されたことで、Defender XDR で提供されるアラートのグルーピング機能により、Defender for Endpoint や Defender for Office365 などのアラートと相関分析され、アラートがグルーピングされるようになります。これにより、個別のアラートではなく、インシデントとして管理できるようになるため攻撃の流れを把握できるようになります。

image.png

image.png

Defender XDR データコネクタの有効化

Defender XDR データコネクタを利用することで、MDC アラートもグルーピングされた Defender XDR のインシデントを Sentinel に取り込むことができます。Defender XDR のストリーミング API から Sentinel にアラート・インシデントが送信されます。

image.png

Defender XDR データコネクタを利用するには、コンテンツハブから Defender XDR コンテンツをインストールします。

image.png

次に、Defender XDR データコネクタから「インシデントとアラートを接続する」を有効化することで、Defender XDR のインシデント・アラートが Sentinel に取り込まれます。

image.png

注意
すでに MDE、MDO や MDI などのアラートを Sentinel に取り込んでいる場合、その横にあるチェックボックスを有効のまま「インシデントとアラートを接続する」を実施してください。
そうすることで、Microsoft Security 分析ルールとして提供されている MDE や MDO のアラート検知時のインシデント作成ルールを無効化してくれます。念のためご自身でも無効になっていることを確認されたほうが安心です。

image.png

また、Defender for Cloud 向け Microsoft Security 分析ルールは無効化されないため、手動で無効化する必要があります。無効化しないと、Defender XDR データコネクタによるインシデントと、Microsoft Security 分析ルールで作成されたインシデントが重複することになります。

image.png

Defender XDR データコネクタ利用時の注意

Defender XDR データコネクタを利用することで MDC も含めた Defender XDR のアラート・インシデントを Sentinel に取り込みむことができます。

しかし、Defender XDR データコネクタだけでなく Defender for Cloud データコネクタ (サブスクリプションベース、テナントベースどちらでも OK) も有効化しなければ、Defender for Cloud のインシデントに関連するアラートとエンティティが表示されないことに注意してください。

ドキュメントこのように記載されています。

この統合をサポートするには、次のいずれかの Microsoft Defender for Cloud データ コネクタを設定する必要があります。設定しないと、Microsoft Defender XDR コネクタを介した Microsoft Defender for Cloud のインシデントに、関連するアラートとエンティティが表示されません。

  • Microsoft Sentinel には新しいテナント ベースの Microsoft Defender for Cloud (プレビュー) コネクタがあります。 このコネクタを使うと、Microsoft Sentinel のお客様は、すべての Defender for Cloud サブスクリプションに対するコネクタの登録を監視および維持しなくても、テナント全体について Defender for Cloud のアラートを受け取ることができます。 Microsoft Defender XDR と Microsoft Defender for Cloud の統合もテナント レベルで実装されるため、この新しいコネクタを使用することをお勧めします。
  • また、サブスクリプション ベースの Microsoft Defender for Cloud (レガシ) コネクタを使用することもできます。 このコネクタは推奨されません。Microsoft Sentinel に接続されていない Defender for Cloud サブスクリプションがそのコネクタ内にあると、そのサブスクリプションからのインシデントには、関連するアラートとエンティティが表示されないためです。

Defender XDR と MDC のデータコネクタが有効になっている状態でのインシデントは、エンティティも含めて正常に表示されます。

image.png

Defender XDR のみで MDC データコネクタが有効になっていない場合、エンティティや類似のインシデントが表示されないので注意してください。
image.png

まとめ

Defender for Cloud のセキュリティアラートを Sentinel に接続する方法はいくつかあることが理解いただけたかと思います。

MDC から直接 Sentinel に取り込むのか、Defender XDR のインシデントに含めて取り込むかにより、インシデントの内容が異なります。Defender XDR に MDC を統合することで、関連するアラートをグルーピングしたインシデントとして表示されるため、攻撃の状況を把握しやすくなります。

そのため、Microsoft 365 Defender をすでに利用されている、これから MDC や Sentinel を利用される場合は、Defender XDR と MDC テナントベースデータの利用がお勧めです。

もし MDC セキュリティアラートのみを Sentinel に接続するのみの場合は、MDC サブスクリプションベース + Microsoft Security 分析ルールでインシデント管理いただければと思います!

image.png

わかりにくい点などありましたらコメントなどいただけると助かります。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?