ビュー:
Cloud Accountsで、新規および既存のAzureサブスクリプションの両方でMicrosoft Defender for Endpointログ収集を有効にすることができます。この機能を展開することで、リスクのあるまたは悪意のあるエンドポイント活動に関する実用的な洞察を得ることができます。検出モデルは、不正プログラムの実行、不審ファイルの変更、内部活動の試み、機密データへの不正アクセスなどの行動を特定します。
Microsoft Defender for Endpointのログ収集は、Cyber Risk Exposure ManagementとXDRの両方の機能を提供します。
  • Microsoft Defender for Endpoint Log CollectionをAzureサブスクリプションにデプロイすると、Cyber Risk Exposure Managementが自動的に有効になります。Trend Vision OneDeviceInfoおよびDeviceNetworkInfoイベントを収集し、それらをCyber Risk Exposure Managementに送信します。そこで、セキュリティ構成のリスクイベントを確認できます。
    注意
    注意
    Cyber Risk Exposure Managementでは、Microsoft Defender for Endpoint Log Collectionを有効にした結果、評価された各デスクトップまたはサーバに対してCreditsが必要です。詳細については、Trend Vision Oneソリューション、機能、および特徴におけるCreditsの要件を参照してください。
  • オプションで、AzureサブスクリプションのXDRデータ収集を有効にすることができ、これにより検出情報とログデータが以下のセキュリティ運用機能に送信されます:
    • IDENTITY SECURITY
    • DATA SECURITY
    • エンドポイントセキュリティ
    • Cloud Security
    • NETWORK SECURITY
    • Email and Collaboration Security
    XDRデータ収集は、Microsoft Defender for Endpointログ収集のプレリリース期間中にCreditsを必要としません。
注意
注意
Microsoft Defender for Endpointのログ収集を有効にする前に、次の点に注意してください。
  • AzureでKey Vault Secretsロールを割り当てられている必要があります。このロールは、デプロイ中にAzure Key Vaultでシークレットを作成および管理するために必要です。
  • Microsoft Defender for Endpointのログ収集を有効にすると、Microsoft Defenderを構成してイベントをTrend Vision Oneにエクスポートする必要があります。Microsoft Defenderの構成手順は以下の手順に含まれています。

手順

  1. 新規または既存のAzureサブスクリプションに対してMicrosoft Defender for Endpointログ収集を有効にする:
    1. [Cloud Security]Cloud Accountsに移動します。
    2. Azureタブをクリックします。
    3. [サブスクリプションを追加]をクリックするか、リストからAzureサブスクリプションを選択してください。
    4. 新しいサブスクリプションを追加する場合は[機能と権限]ページで、既存のサブスクリプションを設定する場合は[リソースアップデート]タブで、[Microsoft Defender for Endpointログ収集]を有効にします。
  2. XDRデータ収集を有効にするには、[サブスクリプション設定]をクリックしてください。
    1. 収集されたデータをXDRで使用できるようにするには、[XDRデータ収集]を選択してください。
    2. リストからTrend Vision Oneのログリポジトリを選択します。Trend Vision Oneにログリポジトリが追加されていない場合は、リンクをクリックして[Third-Party Log Collection]にログリポジトリを追加します。ログリポジトリを追加した後、リフレッシュアイコンをクリックしてリストにリポジトリを表示し、選択します。
    3. [変更を保存]をクリックします。
  3. 新しいAzureサブスクリプションを追加する場合は、サブスクリプションを追加する手順を完了してください。詳細については、Azureサブスクリプションの追加を参照してください。既存のAzureサブスクリプションを更新する場合は、次の手順に進んでください。
  4. Microsoft Defenderを構成してイベントをエクスポートする:
    1. Microsoft Defenderで、[一般][ストリーミングAPI]に移動します。
    2. 新しいストリーミングAPI設定を作成するには、[追加]をクリックします。
    3. 設定の名前を指定してください。
    4. [Forward events to Event Hub]を選択します。
    5. [Event-Hub Resource ID]フィールドに/subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionIDの最初の8文字}を入力します。
      {subscriptionID}はあなたのAzureサブスクリプションIDです。
    6. [Event-Hub name] フィールドに insights-logs-advancedhunting を入力します。
    7. [Event Types]領域で、すべての[Alerts & Behaviors][デバイス]を選択します。
    8. [送信] をクリックします。

次に進む前に

Trend Vision OneがMicrosoft Defenderのデータを適切な期間保持するようにするために、ログリポジトリの保持期間を設定できます。デフォルトの保持期間は30日です。詳細についてはログリポジトリを参照してください。