編集

Microsoft Defender for Cloud と Microsoft Sentinel を使用したハイブリッド セキュリティの監視

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

この参照アーキテクチャでは、Microsoft Defender for Cloud と Microsoft Sentinel を使用して、オンプレミス、Azure、Azure Stack のワークロードのセキュリティ構成とテレメトリを監視する方法を示します。

アーキテクチャ

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

  • Microsoft Defender for Cloud。 これは、Microsoft がすべての Azure サブスクライバーに提供する、高度な統合されたセキュリティ管理プラットフォームです。 Defender for Cloud は、クラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護プラットフォーム (CSPM) としてセグメント化されています。 CWPP は、ワークロード中心のセキュリティ保護ソリューション (通常はエージェントベース) によって定義されます。 Microsoft Defender for Cloud は、オンプレミスと、Windows および Linux 仮想マシン (VM)、コンテナー、データベース、モノのインターネット (IoT) などのその他のクラウドの両方で、Azure ワークロードの脅威の保護を提供します。 アクティブ化すると、Log Analytics エージェントが Azure Virtual Machines に自動的にデプロイされます。 オンプレミスの Windows および Linux サーバーと VM に対しては、エージェントを手動でデプロイしたり、Microsoft Endpoint Protection マネージャーなどの組織のデプロイ ツールを使用したり、スクリプト化されたデプロイ方法を利用したりすることができます。 Defender for Cloud では、すべての VM、ネットワーク、アプリケーション、およびデータのセキュリティ状態の評価が開始されます。
  • Microsoft Sentinel。 高度な AI およびセキュリティ分析を使用して、企業全体の脅威の検出、捜索、防止、および対応に役立つクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。
  • Azure Stack 。 データセンター、エッジ ロケーション、リモート オフィスなど、選択した環境に Azure のサービスと機能を拡張する製品のポートフォリオです。 Azure Stack の実装では一般に、信頼されたハードウェア パートナーによって構築され、データセンターに配信される 4 台から 16 台のサーバーのラックを利用します。
  • Azure Monitor。 さまざまなオンプレミスおよび Azure ソースから監視テレメトリを収集します。 Microsoft Defender for Cloud や Azure Automation にある管理ツールでも、Azure Monitor にログ データがプッシュされます。
  • Log Analytics ワークスペース。 Azure Monitor では、ログ データが Log Analytics ワークスペースに格納されます。これはデータと構成情報が含まれるコンテナーです。
  • Log Analytics エージェント。 Log Analytics エージェントによって、Azure 内のゲスト オペレーティング システムと VM ワークロードから、他のクラウド プロバイダーから、さらにオンプレミスから監視データが収集されます。 Log Analytics エージェントでは、プロキシ構成がサポートされ、通常、このシナリオでは、Microsoft Operations Management Suite (OMS) ゲートウェイがプロキシとして機能します。
  • オンプレミス ネットワーク。 これは、定義されたシステムからの HTTPS エグレスをサポートするように構成されたファイアウォールです。
  • オンプレミスの Windows および Linux システム。 Log Analytics エージェントがインストールされたシステム。
  • Azure Windows および Linux VM。 Microsoft Defender for Cloud 監視エージェントがインストールされているシステム。

コンポーネント

シナリオの詳細

考えられるユース ケース

このアーキテクチャの一般的な用途は次のとおりです。

  • オンプレミスのセキュリティとテレメトリの監視を Azure ベースのワークロードに統合するためのベストプラクティス
  • Microsoft Defender for Cloud と Azure Stack を統合する
  • Microsoft Defender for Cloud と Microsoft Sentinel を統合する

推奨事項

ほとんどのシナリオには、次の推奨事項が適用されます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

Microsoft Defender for Cloud のアップグレード

この参照アーキテクチャでは、Microsoft Defender for Cloud を使用して、オンプレミスのシステム、Azure VM、Azure Monitor リソース、および他のクラウド プロバイダーでホストされている VM も監視します。 Microsoft Defender for Cloud の価格の詳細については、ここをご覧ください。

カスタマイズされた Log Analytics ワークスペース

Microsoft Sentinel では、Log Analytics ワークスペースへのアクセスが必要です。 このシナリオでは、Microsoft Sentinel で既定の Defender for Cloud Log Analytics ワークスペースを使用できません。 代わりに、カスタマイズされたワークスペースを作成します。 カスタマイズされたワークスペースのデータ保有は、ワークスペースの価格レベルに基づきます。Monitor ログの価格モデルについては、こちらを参照してください。

注意

Microsoft Sentinel は、中国およびドイツ (ソブリン) リージョンを除く、Log Analytics の一般公開 (GA) リージョンのワークスペースで実行できます。 これらのワークスペースをソースとする顧客データを含む可能性がある、インシデント、ブックマーク、アラート ルールなどの Microsoft Sentinel によって生成されるデータは、ヨーロッパ (ヨーロッパを拠点とするワークスペースの場合)、オーストラリア (オーストラリアを拠点とするワークスペースの場合)、または米国東部 (他のすべてのリージョンにあるワークスペースの場合) に保存されます。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

セキュリティ ポリシーでは、指定されたサブスクリプション内のリソースに対して推奨される一連の制御を定義します。 Microsoft Defender for Cloud では、会社のセキュリティ要件および各サブスクリプションのアプリケーションの種類やデータの機密度に従って Azure サブスクリプションのポリシーを定義します。

Microsoft Defender for Cloud で有効にするセキュリティ ポリシーによって、セキュリティに関する推奨事項と監視が制御されます。 セキュリティポリシーの詳細については、「Microsoft Defender For Cloud でのセキュリティポリシーの強化」を参照してください。Microsoft Defender for Cloud では、管理グループ レベルまたはサブスクリプション グループ レベルでのみセキュリティ ポリシーを割り当てることができます。

注意

参照アーキテクチャのパート 1 では、Microsoft Defender for Cloud を有効にして、Azure リソース、オンプレミスのシステム、および Azure Stack システムを監視する方法について詳しく説明します。

コスト最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

先述のように、Azure サブスクリプション以外のコストには次のようなものがあります。

  1. Microsoft Defender for Cloud のコスト。 詳細については、Defender for Cloud の価格に関するページを参照してください。
  2. Azure Monitor ワークスペースでは、課金の粒度が提供されます。 詳細については、「Azure Monitor ログで使用量とコストを管理する」をご覧ください。
  3. Microsoft Sentinel は有料サービスです。 詳細については、Microsoft Sentinel の価格に関するページを参照してください。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

Microsoft Defender for Cloud のロール

リソースが属するサブスクリプションまたはリソース グループの所有者、共同作成者、または閲覧者のロールが自分に割り当てられている場合、Defender for Cloud によって、自分のリソースの構成が評価され、セキュリティの問題と脆弱性が特定され、リソースに関連する情報が表示されます。

これらのロールに加えて、2 つの Defender for Cloud 固有のロールがあります。

  • セキュリティ閲覧者。 このロールに属しているユーザーには、Defender for Cloud に対する読み取り専用権限があります。 推奨事項、アラート、セキュリティ ポリシー、セキュリティの状態を確認できますが、変更することはできません。

  • セキュリティ管理者。このロールに属しているユーザーは、セキュリティ閲覧者と同じ権限があり、さらにセキュリティ ポリシーを更新し、アラートとレコメンデーションを無視することも可能です。 一般に、これらはワークロードを管理するユーザーです。

  • セキュリティ閲覧者セキュリティ管理者のセキュリティ ロールには、Defender for Cloud でのみアクセス権が付与されています。 セキュリティ ロールには、ストレージ、Web、モバイル、IoT など、Azure の他のサービス領域へのアクセス権はありません。

Microsoft Sentinel サブスクリプション

  • Microsoft Sentinel を有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。
  • Microsoft Sentinel を使用するには、ワークスペースが属しているリソース グループに対する共同作成者または閲覧者のアクセス許可が必要です。
  • Microsoft Sentinel は有料サービスです。 詳細については、Microsoft Sentinel の価格に関するページを参照してください。

パフォーマンス効率

パフォーマンス効率とは、ユーザーからの要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

Windows および Linux 用の Log Analytics エージェントは、VM や物理システムのパフォーマンスへの影響をきわめて最小限に抑えるように設計されています。

Microsoft Defender for Cloud の運用プロセスが、通常の運用手順を妨げることはありません。 代わりに、デプロイが受動的に監視され、ユーザーが有効にしたセキュリティ ポリシーに基づいてレコメンデーションが提供されます。

このシナリオのデプロイ

Azure Portal で Log Analytics ワークスペースを作成する

  1. セキュリティ管理者特権を持つユーザーとして Azure portal にサインインします。
  2. Azure Portal で [すべてのサービス] を選択します。 リソースの一覧で、「Log Analytics」と入力します。 入力を始めると、入力内容に基づいて、一覧がフィルター処理されます。 [Log Analytics ワークスペース] を選択します。
  3. [Log Analytics] ページで [追加] を選択します。
  4. 新しい Log Analytics ワークスペースの名前 (Defender for Cloud-SentinelWorkspace など) を指定します。 この名前は、すべての Azure Monitor サブスクリプションでグローバルに一意である必要があります。
  5. 既定の選択が適切でない場合、サブスクリプションをドロップダウン リストから選択します。
  6. [リソース グループ] で、既存のリソース グループを使用することを選択するか、新しいリソース グループを作成します。
  7. [場所] で、使用可能な場所を選択します。
  8. 構成を終了するには、OK をクリックします。 New Workspace created for the architecture

Defender for Cloud を有効にする

セキュリティ管理者特権を持つユーザーとして Azure portal にサインインしている間に、パネルの [Defender for Cloud] を選択します。 [Defender for Cloud - 概要] が開きます。

Defender for Cloud Overview dashboard blade opens

Defender for Cloud では、自分または別のサブスクリプション ユーザーによって以前にオンボードされていないすべての Azure サブスクリプションについて、Free レベルが自動的に有効にされます。

Microsoft Defender for Cloud のアップグレード

  1. Defender for Cloud のメイン メニューから [概要] を選択します。
  2. [今すぐアップグレード] ボタンを選択します。 Defender for Cloud に、使用できるサブスクリプションとワークスペースが一覧表示されます。
  3. 対象となるワークスペースとサブスクリプションを選択すると、ご自身の試用版を開始できます。 以前に作成したワークスペース、ASC-SentinelWorkspace. をドロップダウン メニューから選択します。
  4. Defender for Cloud のメイン メニューで、[無料体験する] を選択します。
  5. [エージェントのインストール] ダイアログ ボックスが表示されます。
  6. [エージェントのインストール] ボタンを選択します。 [Defender for Cloud - カバレッジ] ブレードが表示されるので、選択したサブスクリプションを監視する必要があります。 Security Coverage blade showing your subscriptions should be open

これで自動プロビジョニングを有効にしたので、Defender for Cloud によって、サポートされているすべての Azure VM と、新しく作成したすべての VM に、Windows 用 Log Analytics エージェント (HealthService.exe) と Linux 用 omsagent がインストールされます。 このポリシーを無効にして手動で管理することもできますが、自動プロビジョニングが強く推奨されます。

Windows および Linux で使用できる特定の Defender for Cloud 機能の詳細については、「マシンを対象とする機能」を参照してください。

オンプレミスの Windows コンピューターに対して Microsoft Defender for Cloud の監視を有効にする

  1. Azure portal の [Defender for Cloud - 概要] ブレードで、[使用の開始] タブを選択します。
  2. [Azure 以外のコンピューターの新規追加][構成] を選択します。 Log Analytics のワークスペースの一覧が表示され、 [Defender for Cloud-SentinelWorkspace] が含まれているはずです。
  3. このワークスペースを選択します。 [ダイレクト エージェント] ブレードに、Windows エージェントをダウンロードするためのリンクと、エージェントの構成時に使用するワークスペース ID のキーが表示されます。
  4. ご使用のコンピューターのプロセッサの種類に適用できる [Windows エージェントのダウンロード] リンクを選択してセットアップ ファイルをダウンロードします。
  5. [ワークスペース ID] の右側で、 [コピー] を選択し、ID をメモ帳に貼り付けます。
  6. [主キー] の右側で、 [コピー] を選択し、キーをメモ帳に貼り付けます。

Windows エージェントをインストールする

ターゲット コンピューターにエージェントをインストールするには、次の手順に従います。

  1. ターゲット コンピューターにファイルをコピーし、セットアップを実行します。
  2. [ようこそ] ページで [次へ] をクリックします。
  3. [ライセンス条項] ページの記述内容を確認し、 [同意する] を選択します。
  4. [インストール先フォルダー] ページで、既定のインストール フォルダーを変更するか、そのまま使用して、 [次へ] を選択します。
  5. [エージェントのセットアップ オプション] ページで、エージェントを接続する Azure Log Analytics を選択し、 [次へ] を選択します。
  6. [Azure Log Analytics] ページで、前の手順でメモ帳にコピーしておいたワークスペース IDワークスペース キー (主キー) を貼り付けます。
  7. コンピューターが Azure Government クラウド内の Log Analytics ワークスペースに報告する必要がある場合は、 [Azure クラウド] ドロップダウン リストから [Azure US Government] を選択します。 コンピューターがプロキシ サーバーを介して Log Analytics サービスと通信する必要がある場合は、 [詳細] を選択し、プロキシ サーバーの URL とポート番号を指定します。
  8. 必要な構成設定を指定したら、 [次へ] を選択します。 Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. [インストールの準備完了] ページで、設定内容を確認し、 [インストール] を選択します。
  10. [構成は正常に終了しました] ページで [完了] を選択します。

完了すると、Windows コントロール パネルに Log Analytics エージェントが表示され、構成を確認して、エージェントが接続されていることを確認できます。

エージェントのインストールと構成の詳細については、「Windows コンピューターに Log Analytics エージェントをインストールする」を参照してください。

Log Analytics エージェント サービスでは、イベントおよびパフォーマンス データが収集され、タスクおよび管理パックに定義されたその他のワークフローが実行されます。 Defender for Cloud は、Microsoft Defender for Servers との統合により、そのクラウド ワークロード保護プラットフォームを拡張します。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。

Microsoft Defender for Servers の詳細については、Microsoft Defender for Servers サービスに対するサーバーのオンボードに関するページを参照してください。

オンプレミスの Linux コンピューターに対して Microsoft Defender for Cloud の監視を有効にする

  1. 先述のように、 [使用の開始] タブに戻ります。
  2. [Azure 以外のコンピューターの新規追加][構成] を選択します。 Log Analytics ワークスペースの一覧が表示されます。 一覧に、作成した Defender for Cloud-SentinelWorkspace が含まれているはずです。
  3. [直接エージェント] ブレードの [Linux 用エージェントのダウンロードとオンボード] で、 [コピー] を選択して wget コマンドをコピーします。
  4. メモ帳を開き、このコマンドを貼り付けます。 このファイルを、Linux コンピューターからアクセスできる場所に保存します。

注意

Unix および Linux オペレーティング システムで、wget は、Web から非対話型ファイルをダウンロードするためのツールです。 HTTPS、FTP、およびプロキシがサポートされています。

Linux エージェントでは、Linux 監査デーモン フレームワークが使用されます。 Defender for Cloud では、Log Analytics エージェント内にこのフレームワークの機能が統合されます。これにより、Linux 用 Log Analytics エージェントを使用して、監査レコードを収集し、強化し、イベントに集計することができます。 Defender for Cloud では、Linux のシグナルを使用してクラウドおよびオンプレミスの Linux マシン上で悪意のある動作を検出する新しい分析が継続的に追加されています。

Linux アラートの一覧については、アラートの参照テーブルに関するページを参照してください。

Linux エージェントをインストールする

ターゲットの Linux コンピューターにエージェントをインストールするには、次の手順に従います。

  1. Linux コンピューターで、前に保存したファイルを開きます。 コンテンツ全体を選択してコピーし、ターミナル コンソールを開き、コマンドを貼り付けます。
  2. インストールの完了後、pgrep コマンドを実行して、omsagent がインストールされていることを検証できます。 コマンドから omsagent プロセス ID (PID) が返されます。 エージェントのログは /var/opt/microsoft/omsagent/"ワークスペース ID"/log/ にあります。

新しい Linux コンピューターが Defender for Cloud に表示されるまでに最大 30 分かかることがあります。

Azure Stack VM に対して Microsoft Defender for Cloud を有効にする

Azure サブスクリプションをオンボードした後、Azure Stack Marketplace から Azure Monitor, Update and Configuration Management VM 拡張機能を追加することにより、Defender for Cloud を有効にして、Azure Stack で動作している VM を保護できます。 これを行うには、次の手順を実行します。

  1. 先述のように、 [使用の開始] タブに戻ります。
  2. [Azure 以外のコンピューターの新規追加][構成] を選択します。 Log Analytics ワークスペースの一覧が表示され、作成した Defender for Cloud-SentinelWorkspace が含まれているはずです。
  3. [ダイレクト エージェント] ブレードに、エージェントをダウンロードするためのリンクと、エージェントの構成時に使用するワークスペース ID のキーがあります。 エージェントを手動でダウンロードする必要はありません。 以下の手順で、VM 拡張機能としてインストールされます。
  4. [ワークスペース ID] の右側で、 [コピー] を選択し、ID をメモ帳に貼り付けます。
  5. [主キー] の右側で、 [コピー] を選択し、キーをメモ帳に貼り付けます。

Azure Stack VM に対して Defender for Cloud の監視を有効にする

Microsoft Defender for Cloud では、Azure Stack にバンドルされている Azure Monitor, Update and Configuration Management VM 拡張機能を使用します。 Azure Monitor, Update, and Configuration Management 拡張機能を有効にするには、次の手順に従います。

  1. 新しいブラウザー タブで、Azure Stack ポータルにサインインします。
  2. [仮想マシン] ページを参照し、Defender for Cloud で保護する仮想マシンを選択します。
  3. [拡張機能] を選択します。 この VM にインストールされている VM 拡張機能の一覧が表示されます。
  4. [追加] タブを選択します。 [新しいリソース] メニュー ブレードが開かれ、使用可能な VM 拡張機能の一覧が表示されます。
  5. Azure Monitor, Update, and Configuration Management 拡張機能を選択し、 [作成] を選択します。 [拡張機能のインストール] 構成ブレードが開かれます。
  6. [拡張機能のインストール] 構成ブレードに、前の手順でメモ帳にコピーしておいたワークスペース IDワークスペース キー (主キー) を貼り付けます。
  7. 必要な構成設定の指定が終了したら、 [OK] を選択します。
  8. 拡張機能のインストールが完了すると、その状態が [プロビジョニング成功] と表示されます。 Defender for Cloud ポータルに VM が表示されるまでに、最大で 1 時間かかる場合があります。

Windows 用エージェントのインストールと構成の詳細については、「セットアップ ウィザードを使用してエージェントをインストールする」を参照してください。

Linux エージェントのトラブルシューティングに関する問題については、「Linux 用 Log Analytics エージェントに関する問題のトラブルシューティング方法」を参照してください。

これで、Azure VM と Azure 以外のコンピューターを 1 か所で監視できます。 [Azure Compute] に、すべての VM とコンピューターの概要がレコメンデーションと共に表示されます。 各列は 1 つのレコメンデーションのセットを表し、色は VM またはコンピューター、およびそのレコメンデーションの現在のセキュリティ状態を表します。 Defender for Cloud では、セキュリティ アラートでのこれらのコンピューターの検出も行われます。 Defender for Cloud list of systems monitored on the Compute blade

[計算] ブレードには 2 種類のアイコンが表示されます。

Purple computer icon that represents a non-azure monitored computer Azure 以外のコンピューター

Blue terminal icon that represents an Azure monitored computer Azure コンピューター

Note

参照アーキテクチャのパート 2 では、Microsoft Defender for Cloud からのアラートを接続し、Microsoft Sentinel にストリーミングします。

Microsoft Sentinel の役割は、さまざまなデータ ソースからデータを取り込み、それらのデータ ソース間でデータの関連付けを実行することです。 Microsoft Sentinel では機械学習と AI を利用して、脅威の追求、アラートの検出、脅威の対応をよりスマートに行います。

Microsoft Sentinel をオンボードするには、まずそれを有効にしてから、データ ソースを接続する必要があります。 Microsoft Sentinel には、Microsoft Defender for Cloud、Microsoft Threat Protection ソリューション、Microsoft 365 ソース (Office 365 を含む)、Microsoft Entra ID、Microsoft Defender for Servers、Microsoft Defender for Cloud Apps など、すぐに使用でき、リアルタイムの統合を提供する Microsoft ソリューション用コネクタが多数付属しています。 さらに、Microsoft 以外のソリューション用のより広範なセキュリティ エコシステムへの組み込みコネクタがあります。 Common Event Format、syslog、または Representational State Transfer API を使用して、データ ソースを Microsoft Sentinel に接続することもできます。

Microsoft Sentinel を Microsoft Defender for Cloud と統合するための要件

  1. Microsoft Azure サブスクリプション
  2. Microsoft Defender for Cloud を有効にしたときに作成された既定のワークスペースではない Log Analytics ワークスペース。
  3. Microsoft Defender for Cloud。

前のセクションをすべて実行している場合は、3 つすべての要件が整っているはずです。

グローバルな前提条件

  • Microsoft Sentinel を有効にするには、Microsoft Sentinel ワークスペースが存在するサブスクリプションへの共同作成者のアクセス許可が必要です。
  • Microsoft Sentinel を使用するには、ワークスペースが属しているリソース グループに対する共同作成者または閲覧者のアクセス許可が必要です。
  • 特定のデータ ソースに接続するには、追加のアクセス許可が必要になる場合があります。 Defender for Cloud に接続するための追加のアクセス許可は必要ありません。
  • Microsoft Sentinel は有料サービスです。 詳細については、Microsoft Sentinel の価格に関するページを参照してください。

Microsoft Sentinel を有効にします

  1. Defender for Cloud-Sentinelworkspace に対する共同作成者権限を持つユーザーで Azure portal にサインインします。
  2. Microsoft Sentinel を検索して選択します。 In the Azure portal search for the term
  3. [追加] を選択します。
  4. [Microsoft Sentinel] ブレードで、[Defender for Cloud-Sentinelworkspace] を選択します。
  5. Microsoft Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。
  6. データ コネクタ ギャラリーで、[Microsoft Defender for Cloud] を選択し、[コネクタ ページを開く] ボタンを選択します。 In Microsoft Sentinel showing the open Collectors page
  7. [構成] で、アラートを Microsoft Sentinel にストリーミングするサブスクリプションの横にある [接続] を選択します。 [接続] ボタンは、必要なアクセス許可と Defender for Cloud サブスクリプションがある場合にのみ使用できます。
  8. [接続の状態][接続中] と表示されるようになったはずです。 接続後、 [接続済み] に切り替わります。
  9. 接続を確認したら、Defender for Cloud データ コネクタ設定を閉じ、ページを更新して Microsoft Sentinel でアラートを監視できます。 ログで Microsoft Sentinel との同期が開始されるまでには、しばらく時間がかかる場合があります。 接続後、受信データ グラフにデータの概要と、データの種類の接続状態が表示されます。
  10. Microsoft Defender for Cloud からのアラートによって Microsoft Sentinel でインシデントが自動的に生成されるようにするかどうかを選択できます。 [Create incidents](インシデントの作成)[有効化] を選択して、アラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 次に、 [アクティブな規則] タブの [分析] でこのルールを編集できます。
  11. Microsoft Defender for Cloud のアラートで Log Analytics の関連スキーマを使用するには、SecurityAlert を検索します。

Microsoft Sentinel を SIEM として使用する利点の 1 つは、複数のソース間でデータの関連付けを実現できることです。これにより、組織のセキュリティ関連のイベントをエンドツーエンドで表示できるようになります。

Microsoft Sentinel の詳細については、次の記事を参照してください。

次のステップ

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack