ある企業が Microsoft Defender XDR と Microsoft Sentinel を併用しています。セキュリティチームは Defender XDR のインシデントを Sentinel 側でも統合管理したいと考えています。この統合を実現するために使用する機能はどれか。
- A. Defender ポータルから手動でインシデントを CSV エクスポートし、Sentinel にインポートする
- B. Azure Monitor のワークブックを使って Defender と Sentinel のデータを結合表示する
- C. Microsoft Sentinel の Defender XDR データコネクタを有効にして双方向同期を設定する
- D. Sentinel のプレイブックで Defender API を定期的にポーリングしてインシデントを同期する
解答と解説を見る
正解: C
Microsoft Sentinel には Microsoft Defender XDR データコネクタが用意されており、有効化することで Defender XDR のインシデント・アラートが Sentinel に自動取り込みされます。さらに双方向同期(Bidirectional Sync)オプションにより、Sentinel 側でインシデントのステータス・コメントを更新すると Defender XDR 側にも反映されます。Aの手動 CSV エクスポートはリアルタイム性がなく運用上非現実的です。Dのプレイブックによるポーリングは実装・運用コストが高く、公式のコネクタ機能を使わない非効率な方法です。Bの Azure Monitor ワークブックは可視化ツールであり、インシデントの統合管理機能はありません。
📚 関連サービスの解説: Microsoft Sentinel ・ Microsoft Defender XDR