[Cloud Accounts]で新規および既存のAzureサブスクリプションに対してMicrosoft Defender for Endpointのログ収集を有効にできます。Trend Vision OneはMicrosoft Defenderからデータを収集し、指定したログリポジトリに保存します。その後、データソースとログ管理で表示できます。また、Cyber Risk Exposure Managementでセキュリティ構成のリスクイベントを含むデータを観察することもできます。Trend Vision Oneで機能を有効にした後、Microsoft Defenderを構成してイベントをTrend Vision Oneにエクスポートする必要があります。
 |
注意この機能を有効にするには、AzureでKey Vault Secretsロールが割り当てられている必要があります。このロールは、デプロイ中にAzure Key Vaultでシークレットを作成および管理するために必要です。
|
手順
- 新規または既存のAzureサブスクリプションに対してMicrosoft Defender for Endpointログ収集を有効にする:
- に移動します。
- Azureタブをクリックします。
- [サブスクリプションを追加]をクリックするか、リストからAzureサブスクリプションを選択してください。
- 新しいサブスクリプションを追加する場合は機能と権限ページで、既存のサブスクリプションを構成する場合はリソース更新タブで[Microsoft Defender for Endpoint Log Collection]を有効にします。
- デフォルトでは、Microsoft Defender for Endpointのログ収集はすべてのリージョンに展開されます。リージョンを削除するには、[デプロイメント]リストをクリックし、削除したい各リージョンの横にあるチェックボックスをクリアします。
- XDRのログ収集を有効にしたい場合は、追加設定を構成するために[Scanner settings]をクリックしてください。
- 収集されたデータをXDRで使用できるようにするには、[SecOps Management]を選択してください。
- データをログリポジトリに収集するには、リストからログリポジトリを選択します。ログリポジトリが存在しない場合は、[Data Source and Log Management]でログリポジトリを追加するリンクをクリックします。ログリポジトリを追加した後、リフレッシュアイコンをクリックしてリストにリポジトリを表示し、それを選択します。
- 変更を保存してください。新しいAzureサブスクリプションを追加する場合は、サブスクリプションを追加する手順を完了してください。詳細については、Azureサブスクリプションの追加を参照してください。
- Microsoft Defenderを構成してイベントをエクスポートする:
- Microsoft Defenderで、[一般] > [Streaming API]に移動します。
- 新しいストリーミングAPI設定を作成するには、[追加]をクリックします。
- 設定の名前を指定してください。
- [Forward events to Event Hub]を選択します。
- [Event-Hub Resource ID]フィールドに
/subscriptions/{subscriptionID}/resourceGroups/trendmicro-clm-mde-rg/providers/Microsoft.EventHub/namespaces/clm-eventhub-ns-{subscriptionIDの最初の8文字}を入力します。 - [Event-Hub name] フィールドに
insights-logs-advancedhuntingを入力します。 - [Event Types]領域で、すべての[Alerts & Behaviors]と[デバイス]を選択します。
- [送信] をクリックします。