Microsoft Defender 脅威インテリジェンス用データ コネクタを有効にする
Microsoft Defender 脅威インテリジェンス (MDTI) によって生成された忠実度の高いセキュリティ侵害のインジケーター (IOC) を Microsoft Sentinel ワークスペースに取り込みます。 MDTI データ コネクタでは、簡単なワンクリック セットアップでこれらの IOC を取り込みます。 次に、他のフィードを利用するのと同じ方法で、脅威インテリジェンスに基づいて監視、アラート、追求を行います。
重要
Microsoft Defender 脅威インテリジェンス データ コネクタは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。
前提条件
- コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
- このデータ コネクタを構成するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする
MDTI から Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。
Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選びます。脅威インテリジェンス ソリューションを見つけて選択します。
[インストール/更新] ボタンを選択します。
ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。
Microsoft Defender 脅威インテリジェンス データ コネクタを有効にする
Azure portal の Microsoft Sentinel の場合、[構成] の下にある [データ コネクタ] を選びます。
Defender ポータルの Microsoft Sentinel の場合は、[Microsoft Sentinel]>[構成]>[データ コネクタ] を選びます。[Microsoft Defender 脅威インテリジェンス データ コネクタ] >[コネクタ ページを開く] ボタンを見つけて選択します。
[接続] ボタンを選択してフィードを有効にします
MDTI インジケーターによって Microsoft Sentinel ワークスペースの設定が開始されると、コネクタの状態は [接続済み] と表示されます。
この時点で、取り込まれたインジケーターが TI map... 分析ルールで使用できるようになりました。 詳細については、「分析ルールで脅威インジケーターを使用する」を参照してください。
新しいインジケーターは、[脅威インテリジェンス] ブレードで、または [ログ] で ThreatIntelligenceIndicator テーブルのクエリを実行して直接見つけることができます。 詳細については、脅威インジケーターの操作に関するページを参照してください。
関連するコンテンツ
このドキュメントでは、MDTI データ コネクタを使用して Microsoft Sentinel を Microsoft の脅威インテリジェンス フィードに接続する方法について説明しました。 Microsoft Defender for 脅威インテリジェンスの詳細については、次の記事を参照してください。
- Microsoft Defender 脅威インテリジェンスとは何かについて確認してください。
- MDTI コミュニティ ポータル MDTI ポータルの使用を開始します。
- 分析で MDTI を使用します (「照合分析を使用して脅威を検出する」)。