MDfEのアラートをSlack通知する - シンプル設定

Microsoft Defender for Endpoint(以下、MDfE)に関する運用ノウハウ第2弾です。

MDfEを入れたあと、アラートをSlack通知したい、と思ったことはありませんか？毎日MDfEのMicrosoft Defender Security Centerにログインして、ダッシュボードを眺めている情シスはとても少ないんじゃないかなって思います。

よって、今回はMDfEのアラートをSlackに通知するという課題を解決します。

Slack通知するという課題を考えたとき、

- MDfEから通知するか、Azure Sentinelから通知するか
- その上でどのように実装するのか

を考える必要があります。

少し調査したところ、実装方法は

パターン1. シンプル設定パターン（本記事）
パターン2. Logic Appを使うパターン
パターン3. MS Flowを使うパターン

の3つぐらいは実装方法がありそうです。

パターン2と3はまだ未検証なので、現段階では詳しく語れないし、実現可能性もわかりません。またそれ以外の実装方法もありそうです。

今回はMDfEからシンプルに設定するパターンを解説します。

実装手順

1. 通知用のアラートチャンネル作成

ここはチャンネル作成だけなので説明割愛

2. SlackアプリのEmail設定

必要な設定を入れて、メールアドレスをメモってください

3. Microsoft Defender for EndpointのEmail通知設定

Microsoft Defender Security CenterのSettings -> Email notifications から設定します。

さっきメモったメールアドレスはここで設定します。

4. テスト

MDfEの設定画面からSend test emailをクリックしてテスト通知します

下記のような通知がSlackに来ていたら正常に設定できています。

実装手順は以上になります。

もしかしたら、こういうのを求めていたわけではない、とがっかりされた方もいるでしょう。しかし個人的には現段階ではこの方法がいいじゃないんかなと思っています。

なぜなら他の実装方法（パターン2やパターン3）はもっと複雑でコストも掛かりそうだからです。これが一番シンプルでラクそうと思っています。

他のパターンも実際に検証してみて最終的にどの実装方法がいいのか自分なりの答えを出してみたいと思います！