Defender 脅威インテリジェンス データ コネクタを使用して、Microsoft Defender 脅威インテリジェンスによって生成されたパブリック、オープンソースかつ忠実度の高いセキュリティ侵害のインジケーター (IOC) を Microsoft Sentinel ワークスペースに取り込めるようになりました。 簡単なワンクリックのセットアップで、Standard および Premium の Defender 脅威インテリジェンス データ コネクタの脅威インテリジェンスを使用して、監視、アラート、追求を行います。
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。 詳細については、 Microsoft Defender ポータルの Microsoft Sentinel を参照してください。
Standard および Premium Defender Threat Intelligence データ コネクタの利点の詳細については、「 脅威インテリジェンスについて」を参照してください。
前提条件
- コンテンツ ハブにスタンドアロン コンテンツまたはソリューションをインストール、更新、削除するには、リソース グループ レベルで Microsoft Sentinel 共同作成者ロールが必要です。
- これらのデータ コネクタを構成するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
- Premium バージョンの Defender Threat Intelligence データ コネクタから脅威インテリジェンスにアクセスするには、販売担当者に連絡して MDTI API Access SKU を購入してください。
Premium ライセンスを取得し、Standard バージョンと Premium バージョンの違いをすべて調べる方法の詳細については、「 Defender Threat Intelligence ライセンスの探索」を参照してください。
Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする
脅威インテリジェンスを Standard および Premium の Defender から Microsoft Sentinel にインポートするには、次の手順に従います。
Azure portal の Microsoft Sentinel の場合、[コンテンツ管理] で [コンテンツ ハブ] を選択します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Content 管理>Content ハブを選択します。
脅威インテリジェンス ソリューションを見つけて選択します。
Install/Update ボタンを選択します。
ソリューション コンポーネントを管理する方法の詳細については、「すぐに使用できる コンテンツの検出と展開」を参照してください。
Defender 脅威インテリジェンス データ コネクタを有効にする
Azure portal の Microsoft Sentinel の場合、[構成] で [データ コネクタ] を選択します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configuration>Data コネクタを選択します。
Defender 脅威インテリジェンス データ コネクタの Standard または Premium を見つけて選びます。 [ コネクタ ページを開く ] ボタンを選択します。
[接続] を選択してフィードを有効にします。
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/premium-connect.png)
Defender 脅威インテリジェンスが Microsoft Sentinel ワークスペースの設定を開始すると、コネクタの状態に [接続済み] と表示されます。
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/premium-connect.png#lightbox)
この時点で、取り込まれたインテリジェンスが TI map... 分析ルールで使用できるようになりました。 詳細については、「 分析ルールで脅威インジケーターを使用する」を参照してください。
テーブルに対してクエリを実行して、管理インターフェイスまたはThreatIntelligenceIndicatorで新しいインテリジェンスを見つけます。 詳細については、「 脅威インテリジェンスの操作」を参照してください。
関連するコンテンツ
この記事では、Defender 脅威インテリジェンス データ コネクタを使用して Microsoft Sentinel を Microsoft 脅威インテリジェンス フィードに接続する方法について説明しました。 Defender 脅威インテリジェンスの詳細については、次の記事を参照してください。
- Defender 脅威インテリジェンスとは何かについて説明します。
- Defender 脅威インテリジェンス ポータルの使用を開始します。
- 照合分析を使って脅威を検出して、分析で Defender 脅威インテリジェンスを使用します。