Cloud Accountsで、新規および既存のAzureサブスクリプションの両方でMicrosoft Defender for Endpointログ収集を有効にすることができます。この機能を展開することで、リスクのあるまたは悪意のあるエンドポイント活動に関する実用的な洞察を得ることができます。検出モデルは、不正プログラムの実行、不審ファイルの変更、内部活動の試み、機密データへの不正アクセスなどの行動を特定します。
Microsoft Defender for Endpointのログ収集は、Cyber Risk Exposure ManagementとXDRの両方の機能を提供します。
-
Microsoft Defender for Endpoint Log CollectionをAzureサブスクリプションにデプロイすると、Cyber Risk Exposure Managementが自動的に有効になります。Trend Vision Oneは
DeviceInfo
およびDeviceNetworkInfo
イベントを収集し、それらをCyber Risk Exposure Managementに送信します。そこで、セキュリティ構成のリスクイベントを確認できます。注意
Cyber Risk Exposure Managementでは、Microsoft Defender for Endpoint Log Collectionを有効にした結果、評価された各デスクトップまたはサーバに対してCreditsが必要です。詳細については、Trend Vision Oneソリューション、機能、および特徴におけるCreditsの要件を参照してください。 -
オプションで、AzureサブスクリプションのXDRデータ収集を有効にすることができ、これにより検出情報とログデータが以下のセキュリティ運用機能に送信されます:
-
IDENTITY SECURITY
-
DATA SECURITY
-
エンドポイントセキュリティ
-
Cloud Security
-
NETWORK SECURITY
-
Email and Collaboration Security
XDRデータ収集は、Microsoft Defender for Endpointログ収集のプレリリース期間中にCreditsを必要としません。 -
![]() |
注意Microsoft Defender for Endpointのログ収集を有効にする前に、次の点に注意してください。
|
手順
- 新規または既存のAzureサブスクリプションに対してMicrosoft Defender for Endpointログ収集を有効にする:
- に移動します。
- Azureタブをクリックします。
- [サブスクリプションを追加]をクリックするか、リストからAzureサブスクリプションを選択してください。
- 新しいサブスクリプションを追加する場合は[機能と権限]ページで、既存のサブスクリプションを設定する場合は[リソースアップデート]タブで、[Microsoft Defender for Endpointログ収集]を有効にします。
- XDRデータ収集を有効にするには、[サブスクリプション設定]をクリックしてください。
- 収集されたデータをXDRで使用できるようにするには、[XDRデータ収集]を選択してください。
- リストからTrend Vision Oneのログリポジトリを選択します。Trend Vision Oneにログリポジトリが追加されていない場合は、リンクをクリックして[Third-Party Log Collection]にログリポジトリを追加します。ログリポジトリを追加した後、リフレッシュアイコンをクリックしてリストにリポジトリを表示し、選択します。
- [変更を保存]をクリックします。
- 新しいAzureサブスクリプションを追加する場合は、サブスクリプションを追加する手順を完了してください。詳細については、Azureサブスクリプションの追加を参照してください。既存のAzureサブスクリプションを更新する場合は、次の手順に進んでください。
- Microsoft Defenderを構成してイベントをエクスポートする:
- Microsoft Defenderで、[一般] ➞ [ストリーミングAPI]に移動します。
- 新しいストリーミングAPI設定を作成するには、[追加]をクリックします。
- 設定の名前を指定してください。
- [Forward events to Event Hub]を選択します。
- [Event-Hub Resource ID]フィールドに
/subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionIDの最初の8文字}
を入力します。{subscriptionID}
はあなたのAzureサブスクリプションIDです。 - [Event-Hub name] フィールドに
insights-logs-advancedhunting
を入力します。 - [Event Types]領域で、すべての[Alerts & Behaviors]と[デバイス]を選択します。
- [送信] をクリックします。