Microsoft Azure Sentinel を STIX、TAXII 脅威インテリジェンス フィードに接続する

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

脅威インテリジェンスの送信に最も広く採用されている業界標準は、STIX データ形式と TAXII プロトコルの組み合わせです。 組織が現在の STIX、TAXII バージョン (2.0 または 2.1) をサポートするソリューションから脅威インジケーターを受け取る場合、脅威インテリジェンス - TAXII データ コネクタを使用して、脅威インジケーターを Microsoft Azure Sentinel に取り込むことができます。 このコネクタを使用すると、Microsoft Azure Sentinel の組み込み TAXII クライアントで、TAXII 2.x サーバーから脅威インテリジェンスをインポートできます。

STIX 形式の脅威インジケーターを TAXII サーバーから Microsoft Sentinel にインポートするには、TAXII サーバー API のルートおよびコレクション ID を取得してから、Microsoft Sentinel で [脅威インテリジェンス] - [TAXII データ コネクタ] を有効にする必要があります。

Microsoft Azure Sentinel の脅威インテリジェンスについて、特に Microsoft Azure Sentinel と統合できる TAXII 脅威インテリジェンス フィードについて詳細をご確認ください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

関連項目: 脅威インテリジェンス プラットフォーム (TIP) を Microsoft Azure Sentinel に接続する

前提条件

• コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
• 脅威インジケーターを格納する Microsoft Azure Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
• TAXII 2.0 または TAXII 2.1 の API ルート URI とコレクション ID が必要です。

TAXII サーバー API ルートとコレクション ID を取得する

TAXII 2.x サーバーによって、脅威インテリジェンスのコレクションをホストする URL である API ルートが公開されています。 通常、API ルートとコレクション ID は、TAXII サーバーをホスティングしている脅威インテリジェンス プロバイダーのドキュメント ページで確認できます。

Note

場合によっては、プロバイダーは検出エンドポイントと呼ばれる URL のみを公開します。 cURL ユーティリティを使用して、検出エンドポイントを参照し、API ルートを要求できます。

Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする

TAXII サーバーから Microsoft Azure Sentinel に脅威インジケーターをインポートするには、次の手順に従います。

1. Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。

2. 脅威インテリジェンス ソリューションを見つけて選択します。

3. [インストール/更新] ボタンを選択します。

ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。

脅威インテリジェンス - TAXII データ コネクタを有効にする

1. TAXII データ コネクタを構成するには、[データ コネクタ] メニューを選択します。

2. 脅威インテリジェンス - TAXII データ コネクタ >コネクタ ページを開く ボタンを見つけて選択します。

   

3. この TAXII サーバー コレクションのフレンドリ名と、API ルート URL、コレクション ID、ユーザー名 (必要な場合)、パスワード (必要な場合) を入力し、インジケーターのグループと必要なポーリング頻度を選択します。 [追加] ボタンを選びます。

   

TAXII サーバーへの接続が正常に確立されたことを示す確認メッセージが表示されます。1 つ以上の TAXII サーバーから複数のコレクションに接続するために、必要な回数だけ上記の最後の手順を繰り返すことができます。

数分以内に、脅威インジケーターが Microsoft Azure Sentinel ワークスペースに送られるようになります。 新しいインジケーターは、Microsoft Sentinel ナビゲーション メニューからアクセスできる [脅威インテリジェンス] ブレードで確認できます。

Microsoft Sentinel TAXII クライアントの IP 許可リスト

FS-ISAC などの一部の TAXII サーバーには、Microsoft Sentinel TAXII クライアントの IP アドレスを許可リストに保持するという要件があります。 ほとんどの TAXII サーバーには、この要件はありません。

該当する場合、以下の IP アドレスを許可リストに含めてください。

• 20.193.17.32
• 20.197.219.106
• 20.48.128.36
• 20.199.186.58
• 40.80.86.109
• 52.158.170.36

• 20.52.212.85
• 52.251.70.29
• 20.74.12.78
• 20.194.150.139
• 20.194.17.254
• 51.13.75.153

• 102.133.139.160
• 20.197.113.87
• 40.123.207.43
• 51.11.168.197
• 20.71.8.176
• 40.64.106.65

関連するコンテンツ

このドキュメントでは、TAXII プロトコルを使用して Microsoft Azure Sentinel を脅威インテリジェンス フィードに接続する方法について学習しました。 Microsoft Azure Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。