演習 - Microsoft Sentinel を Microsoft Defender XDR に接続する
あなたは、Microsoft Defender XDR と Microsoft Sentinel の両方を展開した会社で働いているセキュリティ運用アナリストです。 Microsoft Sentinel を Defender XDR に接続して、Microsoft Defender ポータルで Microsoft Sentinel の準備をする必要があります。
この演習では、次のタスクを実行します。
- Microsoft Defender XDR コンテンツ ハブ ソリューションをインストールします。
- Microsoft Sentinel コネクタをデプロイして、Microsoft Sentinel を Microsoft Defender XDR に接続します。
- Microsoft Sentinel を Microsoft Defender XDR に接続します。
- Microsoft Defender XDR ポータルで Microsoft Sentinel の機能について説明します。
注
この演習の環境は、製品から生成されたシミュレーションです。 シミュレーションには制限があるため、ページ上のリンクが有効にならない場合があり、指定されたスクリプトに該当しないテキストベースの入力はサポートされない場合があります。 "この機能はシミュレーション内では使用できません" というポップアップ メッセージが表示されます。これが発生したら、[OK] を選択し、演習の手順を続行します。
タスク 1: Defender XDR を接続する
このタスクでは、Microsoft Defender XDR コネクタを展開します。
Microsoft Edge ブラウザーで、 Azure portal というリンクを選択して、シミュレートされた環境を開きます。
Azure portal の ホーム ページで、 Microsoft Sentinel アイコンを選択します。
Microsoft Sentinel ページで、Woodgrove-LogAnalyiticWorkspace ワークスペースを選択します。
Microsoft Sentinel ナビゲーション メニューで、[ コンテンツ管理 ] セクションまで下にスクロールして展開します。 次に、[ コンテンツ ハブ] を選択します。
[コンテンツ ハブ] で、Microsoft Defender XDR ソリューションを検索し、リストから選択します。
Microsoft Defender XDR ソリューションの詳細ページで、[インストール] を選択します。
インストールが完了したら、 Microsoft Defender XDR ソリューションを検索して選択します。
Microsoft Defender XDR ソリューションの詳細ページで、[管理] を選択します
[Microsoft Defender XDR] データ コネクタ チェック ボックスをオンにし、[コネクタ ページを開く] を選択します。
[ 構成 ] セクションの [ 手順 ] タブで、[ インシデントとアラートの接続 ] ボタンを選択します。
接続が成功したことを示すメッセージが表示されるはずです。
タスク 2: Microsoft Sentinel と Microsoft Defender XDR を接続する
このタスクでは、シミュレーションを続行し、Microsoft Sentinel ワークスペースを Microsoft Defender XDR に接続します。
Microsoft Sentinel コンテンツ ハブ (ページの上部にある [階層リンク] メニュー リンクを使用) に戻り、ナビゲーション メニューの [全般] セクションから [概要 (プレビュー)] を選択します。
[Get your SIEM and XDR in one place]\(SIEM と XDR を 1 か所で取得する\) メッセージの [詳細情報] ボタンを選択します。
[ 詳細情報 ] ボタンを選択すると、 Microsoft Defender XDR ポータルのブラウザーに新しいタブが開きます。
Defender Defender ポータルのホーム画面の上部に、SIEM と XDR を 1 か所で取得するというメッセージが表示されます。 [ワークスペースの接続] ボタンを選択します。
![Defender XDR の [ワークスペースの接続] ボタンの画面キャプチャ。](../../wwl-sci/integrate-microsoft-defender-xdr-with-microsoft-sentinel/media/siem-xdr-connect-workspace.png)
[ ワークスペースの選択 ] ページ で、woodgrove-loganalyiticsworkspace Microsoft Sentinel ワークスペースを選択します。
[ 次へ ] ボタンを選択します。
[ プライマリ ワークスペースの設定 ] ページで、ドロップダウン メニュー に woodgrove-loganalyiticsworkspace Microsoft Sentinel ワークスペースが表示されます。 [ 次へ ] ボタンを選択します。
[ 確認と終了 ] ページで、ワークスペースの選択が正しいことを確認し、[ ワークスペース が 接続されているときに予期 するもの] セクションの箇条書き項目を確認します。 関連付けボタンを選択します。
ワークスペースに接続しようとしているメッセージが表示されます。 関連付けボタンを選択します。
これで、 ワークスペースが正常に接続されたページに移動 します。
[閉じる] ボタンを選択します。
Defender XDR ポータルの [ホーム] 画面の上部に、"統合された SIEM と XDR の準備ができました" というメッセージのバナーが表示されるはずです。 [ハンティングの開始] ボタンを選択します。
高度なハンティングでは、"Microsoft Sentinel からコンテンツを探索する" というメッセージが表示されます。 高度なハンティング ナビゲーション メニューでは、対応するタブの下に Microsoft Sentinel のテーブル、関数、クエリがあります。
[ スキーマ ] タブの下の Microsoft Sentinel 見出しまで下にスクロールし、 ThreatIntelligenceIndicator テーブルをダブルクリックします。
[クエリ] ウィンドウに、脅威インテリジェンス インジケーターを返す (KQL) クエリが表示されます。 [ クエリの実行 ] ボタンを選択します。
折りたたまれている場合は左側のメイン メニュー ウィンドウを展開し、新しい Microsoft Sentinel メニュー項目を展開します。 検索、脅威の管理、コンテンツ管理、構成の選択が表示されます。
注
Azure Microsoft Sentinel ポータルと Microsoft Defender XDR ポータルの Sentinel には、ポータルの機能に違いがあります。
Microsoft Defender XDR Microsoft Sentinel メニュー項目から、[ 構成 ] と [ データ コネクタ] の順に選択します。
[データ コネクタ] ページに、状態が [接続済み] の Azure アクティビティとその他のデータ コネクタが表示されます。
![Defender XDR の [ワークスペースの接続] ボタンの画面キャプチャ。](../../wwl-sci/integrate-microsoft-defender-xdr-with-microsoft-sentinel/media/siem-xdr-connect-workspace.png#lightbox)
注
他の Microsoft Sentinel 機能を自由に探索して比較できますが、これはシミュレーションであるため、Microsoft Defender ポータルで Microsoft Sentinel を探索する機能は制限されています。 実際の環境では、Microsoft Defender ポータルで Microsoft Sentinel の完全な機能を調べることができます。