脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Note

このデータ コネクタは非推奨になる予定です。 正確なタイムラインの詳細については、今後お知らせします。 今後の新しいソリューションでは、新しい脅威インテリジェンスの Upload Indicators API データ コネクタを使います。 詳細については、「Upload Indicators API を使用して脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する」を参照してください。

多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使って、さまざまなソースからの脅威インジケーター フィードを集約しています。 集約されたフィードから、データがキュレーションされて、ネットワーク デバイス、EDR/XDR ソリューション、SIEM (例: Microsoft Sentinel) などのセキュリティ ソリューションに適用されます。 脅威インテリジェンス プラットフォーム データ コネクタでは、これらのソリューションを使用して、脅威インジケーターを Microsoft Sentinel にインポートできます。

TIP データ コネクタは Microsoft Graph Security tiIndicators API と連携してこれを実現するため、コネクタを使用して、API とやり取りする任意のカスタム脅威インテリジェンス プラットフォームから、Microsoft Sentinel (および Microsoft Defender XDR など、ほかの Microsoft セキュリティ ソリューション) にインジケーターを送信できます。

脅威インテリジェンスのインポート パス

Microsoft Sentinel の脅威インテリジェンスについて、特に、Microsoft Sentinel と統合できる脅威インテリジェンス プラットフォーム製品について詳細をご確認ください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

前提条件

  • コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
  • Microsoft Graph Security tiIndicators API との直接統合を使用する TIP 製品またはカスタム アプリケーションにアクセス許可を付与するための、グローバル管理者またはセキュリティ管理者の Microsoft Entra ロール。
  • 脅威インジケーターを格納する Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

手順

統合された TIP またはカスタム脅威インテリジェンス ソリューションから Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。

  1. Microsoft Entra ID からアプリケーション ID とクライアント シークレットを取得する
  2. この情報を TIP ソリューションまたはカスタム アプリケーションに入力する
  3. Microsoft Azure Sentinel で脅威インテリジェンス プラットフォーム データ コネクタを有効にする

Microsoft Entra ID からアプリケーション ID とクライアント シークレットにサインアップする

TIP を使用しているか、カスタム ソリューションを使用しているかにかかわらず、tiIndicators API では、フィードを接続して脅威インジケーターを送信できるようにするための基本的な情報が必要になります。 次の 3 つの情報が必要になります。

  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID
  • クライアント シークレット

この情報は、次の 3 つの手順を含むアプリの登録と呼ばれるプロセスを通じて Microsoft Entra ID から取得できます。

  • アプリを Microsoft Entra ID に登録する
  • アプリから Microsoft Graph tiIndicators API に接続して脅威インジケーターを送信するために必要な、アクセス許可を指定する
  • これらのアクセス許可をこのアプリケーションに付与するために、組織から同意を得ます。

演Microsoft Entra ID でアプリケーションを登録する

  1. Azure portal から、Microsoft Entra ID サービスに移動します。

  2. メニューから [アプリの登録] を選択し、 [新しい登録] を選択します。

  3. アプリケーションの登録を表す名前を選択し、 [シングル テナント] のラジオ ボタンを選択して、 [登録] を選択します。

    アプリケーションを登録する

  4. 表示された画面で、 [アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーします。 これらは、Microsoft Sentinel に脅威インジケーターを送信する TIP またはカスタム ソリューションを構成するために後で必要になる情報の最初の 2 つです。 3 番目のクライアント シークレットが後に来ます。

アプリケーションに必要なアクセス許可を指定する

  1. Microsoft Entra ID サービスのメイン ページに戻ります。

  2. メニューから [アプリの登録] を選択し、新しく登録したアプリを選択します。

  3. メニューで [API Permissions](API の許可) を選択し、 [Add a permission](許可の追加) をクリックします。

  4. [API を選択します] ページで、 [Microsoft Graph] を選択し、Microsoft Graph のアクセス許可の一覧から選択します。

  5. [アプリケーションに必要なアクセス許可の種類] のプロンプトが表示されたら、[アプリケーションのアクセス許可] を選択します。 これは、アプリ ID とアプリ シークレット (API キー) での認証を行うアプリケーションで使用されるアクセス許可の種類です。

  6. [ThreatIndicators.ReadWrite.OwnedBy] を選択し、 [アクセス許可の追加] を選択して、このアクセス許可をアプリのアクセス許可の一覧に追加します。

    アクセス許可を指定する

  1. Microsoft Entra のグローバル管理者は、同意を得るために、アプリの [API のアクセス許可] ページで [<テナント名> に管理者の同意を与えます] ボタンを選択する必要があります。 お使いのアカウントでグローバル管理者の役割をお持ちでない場合、このボタンは使用できず、この手順を実行するには、組織の全体管理者に依頼する必要があります。

    同意する

  2. アプリに同意が与えられると、 [状態] に緑色のチェックマークが表示されます。

アプリが登録され、アクセス許可が付与されたので、リストの最後のもの (アプリのクライアント シークレット) を取得できます。

  1. Microsoft Entra ID サービスのメイン ページに戻ります。

  2. メニューから [アプリの登録] を選択し、新しく登録したアプリを選択します。

  3. メニューで [Certificates & secrets]\(証明書とシークレット\) を選択し [New client secret]\(新しいクライアント シークレット\) をクリックして、アプリのシークレット (API キー) を取得します。

    クライアント シークレットの取得

  4. [Add](追加) をクリックし、クライアント シークレットをコピーします。

    重要

    クライアント シークレットは、ページから離れる前にコピーする必要があります。 このページから離れると、このシークレットを再度取得することはできません。 TIP またはカスタム ソリューションを構成するときに、この値が必要になります。

この情報を TIP ソリューションまたはカスタム アプリケーションに入力する

以上で、Microsoft Sentinel に脅威インジケーターを送信するための TIP またはカスタム ソリューションの構成に必要な 3 つの情報がすべて揃いました。

  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID
  • クライアント シークレット

  1. 必要に応じて、統合された TIP またはカスタム ソリューションの構成に、これらの値を入力します。

  2. ターゲット製品として、Azure Sentinel を指定します。 ("Microsoft Sentinel" を指定すると、エラーが発生します)。

  3. アクションとして、アラートを指定します。

この構成が完了すると、TIP またはカスタム ソリューションから、Microsoft Sentinel を対象とした Microsoft Graph tiIndicators API を介して脅威インジケーターが送信されます。

Microsoft Sentinel で脅威インテリジェンス プラットフォーム データ コネクタを有効にする

統合プロセスの最後の手順は、Microsoft Sentinel で脅威インテリジェンス プラットフォーム データ コネクタを有効にすることです。 コネクタを有効にすると、TIP またはカスタム ソリューションから送信された脅威インジケーターを Microsoft Sentinel で受信できます。 これらのインジケーターは、組織のすべての Microsoft Sentinel ワークスペースで使用できます。 各ワークスペースについて、次の手順に従って脅威インテリジェンス プラットフォーム データ コネクタを有効にします。

  1. Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。

  2. 脅威インテリジェンス ソリューションを見つけて選択します。

  3. [インストール/更新] ボタンを選択します。

ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。

  1. TIP データ コネクタを構成するには、[構成]>[データ コネクタ] を選択します。

  2. [脅威インテリジェンス プラットフォーム] データ コネクタ >[コネクタ ページを開く] ボタンを見つけて選択します。

    TIP データ コネクタが一覧表示されたデータ コネクタ ページを表示するスクリーンショット。

  3. 既にアプリの登録を完了し、脅威インジケーターを送信するように TIP またはカスタム ソリューションを設定したので、あとは [接続] ボタンを選択するだけです。

数分以内に、脅威インジケーターが Microsoft Sentinel ワークスペースに送られるようになります。 新しいインジケーターは、Microsoft Sentinel ナビゲーション メニューからアクセスできる [脅威インテリジェンス] ブレードで確認できます。

関連するコンテンツ

このドキュメントでは、Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事をご覧ください。