🌁

Microsoft XDR 検証シリーズ第1回：Microsoft XDRとは何か？

株式会社プログデンス

2025/06/27に公開

 1. はじめに今回は個人的に興味をもっていた、Microsoft XDR 環境の構築・検証を行っていこうと思います。

記事を 4回にわたり掲載していきます。
第1回目の本記事では、Microsoft XDR とは何か？ を記載します。

 2. Microsoft XDR とは何か？Microsoft の XDR は、「Microsoft Defender XDR 」（旧称：Microsoft 365 Defender）という製品名で提供されています。これは、Microsoft が提供する複数の Defender シリーズ製品を連携させ、相関分析・自動修復・高度な脅威ハンティングを実現する統合型のセキュリティプラットフォームです。

 Microsoft Defender シリーズ
Microsoft Defender for Endpoint（エンドポイント保護）

Microsoft Defender for Office 365（メール/コラボツール保護）

Microsoft Defender for Identity（Active Directory保護）

Microsoft Defender for Cloud Apps（SaaSアプリ監視）

Microsoft Defender XDR（上記製品の統合管理）

 3. なぜ XDR が必要なのかMicrosoft Defender シリーズを連携させているのが XDR、ということですが、そもそもなぜ、XDRが必要なのか、という部分にも触れておきます。
近年、サイバー攻撃はますます巧妙化・複雑化しており、以下のような課題が増えています。

 主な課題攻撃はエンドポイントだけでなく、メール、クラウド、ID（認証情報）など複数の入口から始まる
各セキュリティ製品がバラバラに警告を出す場合、攻撃の全体像が見えにくい
セキュリティ担当者の運用負荷が増大し、対応の遅れが致命的な被害に繋がる可能性がある
このような背景から、複数のセキュリティ領域を統合して、脅威を一元管理・対応できる仕組みが必要となり、XDR（Extended Detection and Response） が登場しました。

 4. Microsoft XDR の主な機能と特徴これから検証を進めますが、現時点で調べた内容をまとめると、下記の通りです。

 主要機能
インシデントの自動統合：各サービスのアラートを1つに統合して攻撃全体を可視化

自動応答と修復機能：感染端末の隔離やユーザー無効化などを自動実行

脅威の相関分析：アラートの関連性をAIで分析

高度な脅威ハンティング：KQLでの詳細なログ調査

アラートの優先度整理：対応すべきアラートを明確化

 5. Microsoft XDR と Microsoft Sentinel との違いMicrosoft でセキュリティ製品を調べると、Microsoft Sentinel というサービスが出てきます。こちらもセキュリティログの収集、インシデントの調査・自動対応、脅威の検出・分析などができる製品です。Microsoft XDRと似ているサービスですが、検証前に調べてみたところ以下のように異なるようです。


項目
Microsoft XDR
Microsoft Sentinel


製品カテゴリ
XDR（拡張型検知と対応）製品群の統合ポータル。Microsoft 365 E5 セキュリティ機能の一部
クラウドネイティブSIEM/SOAR。Azure上で提供されるスケーラブルなログ分析・自動化プラットフォーム

カバー範囲
Microsoft製品群に特化
あらゆるログソース（Microsoft 以外も含む）をカバー可能

データソース
Defender 各製品からのアラート・テレメトリ
オンプレ機器、他クラウド、アプリケーション等
※Microsoft以外も含む

目的
Microsoftシステム内の脅威を統合的に可視化・対応
異種システムを含む全社のログを一元集約し分析・相関

データ保管場所
各サービス内で保管
Azure Log Analytics に集中保管


 使い分けのポイント
Microsoft XDR：「Microsoft 製品が中心の企業に最適」

Microsoft Sentinel：「多種多様な環境の統合監視に最適」
ただし、多くの場合Microsoft XDR と Microsoft Sentinel を併用して使用されていることが多いようです。

 6. まとめ概要ではありますが、現時点で調査した内容を記載しました。まとめると下記の通りです。

 Microsoft XDR の特徴Microsoft XDRは、以下の特徴を持つ統合セキュリティプラットフォーム
✅️ 複数領域を統合し、1画面で可視化
✅️ 攻撃全体を把握して迅速に対応
✅️ Microsoft 365 に最適化されたセキュリティ基盤
これから環境構築、検証を進めていきますので、お時間があれば2回目以降の記事もご確認いただけますと幸いです。

 参考リンクhttps://learn.microsoft.com/ja-jp/defender-xdr/microsoft-365-defender

https://learn.microsoft.com/ja-jp/azure/sentinel/overview?tabs=defender-portal#comparison-with-xdr

項目	Microsoft XDR	Microsoft Sentinel
製品カテゴリ	XDR（拡張型検知と対応）製品群の統合ポータル。Microsoft 365 E5 セキュリティ機能の一部	クラウドネイティブSIEM/SOAR。Azure上で提供されるスケーラブルなログ分析・自動化プラットフォーム
カバー範囲	Microsoft製品群に特化	あらゆるログソース（Microsoft 以外も含む）をカバー可能
データソース	Defender 各製品からのアラート・テレメトリ	オンプレ機器、他クラウド、アプリケーション等 ※Microsoft以外も含む
目的	Microsoftシステム内の脅威を統合的に可視化・対応	異種システムを含む全社のログを一元集約し分析・相関
データ保管場所	各サービス内で保管	Azure Log Analytics に集中保管

株式会社プログデンス

株式会社プログデンス／BtoB向けのITソリューションを提供する企業です。技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible

設定によりコメント欄が無効化されています