Microsoft Defender for Cloud

概要

Microsoft Defender for Cloud]1 のログとアラートを収集します。

Defender for Cloud は、Microsoft Azure アプリケーションを監視し、クラウドセキュリティポスチャ管理 (CSPM) を通じて Azure セキュリティリスクを把握し、サーバー、コンテナ、ストレージ、データベース (CWPP) の Azure クラウドワークロードを保護するクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) です。

Datadog Cloud SIEM を有効にすると、すぐに使えるセキュリティルールを使用して、他のセキュリティインフラストラクチャーと一緒に Azure 環境を監視できます。

セットアップ

インストール

このインテグレーションでは、Datadog Azure インテグレーションが有効になっている必要があります。イベントハブを使用して Azure 経由で Datadog にログを転送します。インテグレーションには、ログフォワーダーのバージョンが少なくとも 1.0.1 以降であることが必要です。

構成

イベントハブにログを継続的にエクスポートするように Defender for Cloud を構成します。Datadog 内で追加の構成は必要ありません。

検証

Defender for Cloud でサンプルのアラートを生成するには、Microsoft からのこの指示に従ってください。

Defender for Cloud のログは、ログ管理で source:microsoft-defender-for-cloud を使ってアクセスできます。

Datadog Cloud SIEM を使用している場合は、Microsoft Defender for Cloud の検出ルールが有効になっていることを確認します。

  1. Datadog のメニューで、Security > Configuration に進み、Cloud SIEM を展開します。
  2. “Detection Rules” を選択します。右側の Group By セレクタをクリックし、Source を選択して検出ルールをソース別にグループ化します。
  3. 下にスクロールして、Azure というセクションを展開します。リストをスクロールして、Microsoft Defender for Cloud ルールを見つけます。ルールがオンになっていることを確認します。

収集データ

メトリクス

Microsoft Defender for Cloud には、メトリクスは含まれません。

サービスチェック

Microsoft Defender for Cloud には、サービスのチェック機能は含まれません。

イベント

Microsoft Defender for Cloud には、イベントは含まれません。

トラブルシューティング

Cloud SIEM が Defender for Cloud アラートを受信していることを確認するには、以下の手順に従ってください。

  1. Datadog のメニューで、Security > Configuration に進み、Cloud SIEM を展開します。
  2. Log Sources を選択し、Azure までスクロールします。
  3. Microsoft Defender for Cloud が Installed として表示されているかどうかを確認します。
  4. カラムチャートを見て、ログが受信されていることを確認します。
  5. ログを受信している場合は、Logs > Search に移動し、source:microsoft-defender-for-cloud を検索します。ログが表示されるタイムウィンドウを変更する必要があるかもしれません。
  6. ログを点検し、適切に形成されていることを確認します。

それでも問題が解決しない場合は、Datadog サポートにお問い合わせください。