この記事では、スタンドアロン コネクタを介して取り込まれるアラートと、Microsoft Sentinelの拡張検出と応答 (XDR) コネクタを介して取り込まれたアラートの違いについて説明します。
スタンドアロン コネクタは、元のセキュリティ製品からアラートを直接取り込みますが、XDR コネクタはMicrosoft Defender XDR パイプラインを介してアラートを取り込みます。 これには、Office 365、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Information Rights Management (IRM)、データ損失防止 (DLP) のMicrosoft Defenderなどのコネクタが含まれます。Microsoft Defender for Cloud (MDC)、Microsoft Defender for Cloud Apps (MDA)。
これらの違いは、フィールド マッピング、派生フィールドの動作、スキーマ構造、アラート インジェストに影響する可能性があります。これは、既存のクエリ、分析ルール、ブックに影響を与える可能性があります。 XDR コネクタに移行する前に、これらの違いを確認してください。
完全なアラート スキーマについては、「 セキュリティ アラート スキーマリファレンス」を参照してください。
CompromisedEntity の動作
[CompromisedEntity] フィールドは、XDR コネクタを介してアラートが取り込まれると、製品間で異なる方法で処理されます。
| Product | XDR アラートの CompromisedEntity 等価値 |
|---|---|
| Microsoft Defender for Endpoint (MDE) | アラート エンティティ JSON で "LeadingHost": true するデバイス |
| Microsoft Entra ID (Identity Protection) | 常にユーザーの UPN に設定する |
| Microsoft Defender for Identity (MDI) | 固定文字列 "CompromisedEntity" |
注:
MDEアラートでは、CompromisedEntity は"LeadingHost": trueデバイスから派生します。 一部のアラートでは、このフィールドに値が設定されない場合があります。
MDI アラートでは、CompromisedEntity はホストまたはユーザーを表すので、常にリテラル文字列 "CompromisedEntity"。
フィールド マッピングの変更
一部のフィールドの名前が変更されたり、XDR コネクタからのアラートで異なる値セットが使用されたりします。
| Product | レガシ フィールド/プロパティ | XDR の動作 |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | にマップされます ExtendedProperties.Category |
| Microsoft Defender for Office (MDO) | ExtendedProperties.Status | レガシとは異なる値セットを使用します |
| Microsoft Defender for Office (MDO) | ExtendedProperties.InvestigationName | 使用不可 |
構造スキーマ変換 (MDI)
スタンドアロン Microsoft Defender for Identity (MDI) コネクタでは、プレースホルダー エンティティを使用して追加情報を格納する場合があります。 XDR コネクタでは、この情報は resourceAccessEvents コレクションのプロパティに折りたたまれます。
| レガシ エンティティ/プロパティ | XDR 表現 |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId は、ResourceAccessInfo が定義されているホスト エンティティと同一であるため、不要になりました。
アラート インジェスト のフィルター処理
スタンドアロン コネクタで使用できる一部のアラートは、XDR コネクタを介して取り込まれません。
| Product | フィルター処理の動作 |
|---|---|
| Microsoft Defender for Cloud (MDC) | 情報重大度アラートが取り込まれない |
| Microsoft Entra ID | 既定では、重大度が高い以下のアラートは取り込まれません。お客様は、すべての重大度を含むようにインジェストを構成できます |
スコーピング動作 (クラウドのMicrosoft Defender)
クラウド アラートのMicrosoft Defenderは、XDR コネクタを介して取り込まれるときに異なるスコープを使用します。
| スタンドアロン コネクタ スコープ | XDR コネクタ スコープ |
|---|---|
| サブスクリプション レベル | テナントのレベル |
注:
すべての MDC アラートは、テナントのプライマリ ワークスペースで使用できます。 アラートのスコープは、Defender XDR内の MDC サブスクリプション スコープに従います。