Microsoft Sentinelでの脅威インテリジェンス統合

Microsoft Sentinelでは、脅威インテリジェンス フィードを使用して、セキュリティ アナリストが既知の脅威を検出して優先順位を付ける機能を強化するいくつかの方法が提供されます。

• 使用可能な多くの統合 脅威インテリジェンス プラットフォーム (TIP) 製品のいずれかを使用します。
• TAXII サーバーに接続して、STIX 互換の脅威インテリジェンス ソースを利用します。
• Microsoft Defender 脅威インテリジェンス フィードに直接接続します。
• Threat Intelligence Upload Indicators API と直接通信できるカスタム ソリューションを利用します。
• プレイブックから脅威インテリジェンス ソースに接続し、調査と対応アクションを直接支援できる脅威インテリジェンス情報を使用してインシデントを強化します。

ヒント

マネージド セキュリティ サービス プロバイダー (MSSP) など、同じテナントに複数のワークスペースがある場合は、脅威インジケーターを一元化されたワークスペースにのみ接続する方がコスト効率が高い場合があります。

各個別のワークスペースに同じ脅威インジケーターのセットがインポートされている場合は、ワークスペース間クエリを実行して、ワークスペース全体で脅威インジケーターを集計できます。 MSSP インシデント検出、調査、およびハンティング エクスペリエンス内でそれらを関連付けます。

TAXII 脅威インテリジェンス フィード

TAXII 脅威インテリジェンス フィードに接続するには、指示に従って、Microsoft Sentinelを STIX/TAXII 脅威インテリジェンス フィードに接続し、各ベンダーが提供するデータと共に接続します。 コネクタで使用するために必要なデータを取得するには、ベンダーに直接問い合わせる必要がある場合があります。

アクセンチュア サイバー脅威インテリジェンス

• Accenture サイバー脅威インテリジェンス (CTI) とMicrosoft Sentinelの統合について説明します。

Cybersixgill Darkfeed

• Cybersixgill とMicrosoft Sentinelの統合について説明します。
• Microsoft Sentinelを Cybersixgill TAXII サーバーに接続し、Darkfeed にアクセスします。 azuresentinel@cybersixgill.comにお問い合わせくださいAPI ルート、コレクション ID、ユーザー名、およびパスワードを取得します。

サイウェア脅威インテリジェンス交換 (CTIX)

Cyware の TIP である CTIX のコンポーネントの 1 つは、セキュリティ情報とイベント管理のための TAXII フィードを使用して Intel のアクションを可能にすることです。 Microsoft Sentinelについては、次の手順に従います。

• Microsoft Sentinelと統合する方法について説明します

Eset

• ESET の脅威インテリジェンス オファリングについて説明します。
• Microsoft Sentinelを ESET TAXII サーバーに接続します。 ESET アカウントから API ルート URL、コレクション ID、ユーザー名、パスワードを取得します。 その後、一般的な手順と ESET のサポート情報に関する記事に従います。

金融サービス情報共有分析センター (FS-ISAC)

• FS-ISAC に参加して、このフィードにアクセスするための資格情報を取得します。

正常性インテリジェンス共有コミュニティ (H-ISAC)

• H-ISAC に参加して、このフィードにアクセスするための資格情報を取得します。

IBM X-Force

• IBM X-Force 統合の詳細については、こちらをご覧ください。

IntSights

• IntSights とMicrosoft Sentinelの統合について詳しくは、こちらをご覧ください。
• Microsoft Sentinelを IntSights TAXII サーバーに接続します。 Microsoft Sentinelに送信するデータのポリシーを構成した後、IntSights ポータルから API ルート、コレクション ID、ユーザー名、およびパスワードを取得します。

カスペル スキー

• カスペルスキーとMicrosoft Sentinelの統合について説明します。

Pulsedive

• Pulsedive とMicrosoft Sentinelの統合について説明します。

ReversingLabs

• リバーシングラボ TAXII とMicrosoft Sentinelの統合について説明します。

Sectrio

• Sectrio 統合の詳細については、こちらをご覧ください。
• Sectrio の脅威インテリジェンス フィードをMicrosoft Sentinelに統合するためのステップ バイ ステップ プロセスについて説明します。

SEKOIA。Io

• SEKOIA について説明します。IO とMicrosoft Sentinelの統合。

ThreatConnect

• STIX と TAXII の詳細については、ThreatConnect を参照してください。
• THREATConnect の TAXII サービスのドキュメントを参照してください。

統合された脅威インテリジェンス プラットフォーム製品

TIP フィードに接続するには、「脅威インテリジェンス プラットフォームをMicrosoft Sentinelに接続する」を参照してください。 その他の情報が必要な場合は、次のソリューションを参照してください。

アガリ フィッシング防御とブランド保護

• Agari フィッシング防御とブランド保護を接続するには、Microsoft Sentinelの組み込みの Agari データ コネクタを使用します。

Anomali ThreatStream

• ThreatStream インテグレーターと拡張機能、および ThreatStream インテリジェンスを Microsoft Graph Security APIに接続する手順については、「ThreatStream のダウンロード」ページを参照してください。

AT&T サイバーセキュリティからの AlienVault Open Threat Exchange (OTX)

• AlienVault OTX が Azure Logic Apps (プレイブック) を使用してMicrosoft Sentinelに接続する方法について説明します。 完全なオファリングを最大限に活用するために必要な 特殊な手順 を参照してください。

EclecticIQ プラットフォーム

• EclecticIQ Platform は、Microsoft Sentinelと統合され、脅威の検出、ハンティング、対応を強化します。 この双方向統合の 利点とユース ケース の詳細については、こちらをご覧ください。

Filigran OpenCTI

• Filigran OpenCTI は、リアルタイムで実行される専用コネクタを介して脅威インテリジェンスをMicrosoft Sentinelに送信することも、定期的にポーリングする TAXII 2.1 サーバーとして機能Sentinel。 また、Microsoft Sentinel インシデント コネクタを介して、Sentinelから構造化インシデントを受信することもできます。

GroupIB 脅威インテリジェンスと属性

• GroupIB 脅威インテリジェンスと属性をMicrosoft Sentinelに接続するために、GroupIB は Logic Apps を利用します。 完全なオファリングを最大限に活用するために必要な 特殊な手順 を参照してください。

MISP オープンソースの脅威インテリジェンス プラットフォーム

• MISP2Sentinel で脅威インテリジェンス アップロード インジケーター API を使用して、MISP からMicrosoft Sentinelに脅威インジケーターをプッシュします。
• Azure Marketplace の MISP2Sentinel に関するページを参照してください。
• MISP プロジェクトの詳細については、こちらをご覧ください。

Palo Alto Networks MineMeld

• Microsoft Sentinelへの接続情報を使用して Palo Alto MineMeld を構成するには、「MineMeld を使用して Microsoft Graph Security APIに IOC を送信する」を参照してください。 [MineMeld 構成] 見出しに移動します。

記録された将来のセキュリティ インテリジェンス プラットフォーム

• Recorded Future が Logic Apps (プレイブック) を使用してMicrosoft Sentinelに接続する方法について説明します。 完全なオファリングを最大限に活用するために必要な 特殊な手順 を参照してください。

ThreatConnect プラットフォーム

• ThreatConnect をMicrosoft Sentinelに接続する手順については、Microsoft Graph セキュリティ脅威インジケーター統合構成ガイドを参照してください。

ThreatQuotient 脅威インテリジェンス プラットフォーム

• ThreatQuotient TIP をMicrosoft Sentinelに接続するためのサポート情報と手順については、「Microsoft Sentinel コネクタ for ThreatQ 統合」を参照してください。

インシデント エンリッチメント ソース

脅威インジケーターのインポートに使用されるだけでなく、脅威インテリジェンス フィードは、インシデントの情報を強化し、調査により多くのコンテキストを提供するソースとしても機能します。 次のフィードはこの目的に役立ち、 自動インシデント対応で使用する Logic Apps プレイブックを提供します。 コンテンツ ハブでこれらのエンリッチメント ソースを見つけます。

ソリューションを検索して管理する方法の詳細については、「すぐに使用できる コンテンツを検出して展開する」を参照してください。

HYAS Insight

• Microsoft Sentinel GitHub リポジトリで HYAS Insight のインシデント エンリッチメント プレイブックを検索して有効にします。 Enrich-Sentinel-Incident-HYAS-Insight-以降のサブフォルダーを検索します。
• HYAS Insight Logic Apps コネクタの ドキュメントを参照してください。

Microsoft Defender 脅威インテリジェンス

• Microsoft Sentinel GitHub リポジトリでMicrosoft Defender 脅威インテリジェンスのインシデント エンリッチメント プレイブックを検索して有効にします。
• 詳細については、 Defender Threat Intelligence Tech Community のブログ投稿 を参照してください。

記録された将来のセキュリティ インテリジェンス プラットフォーム

• Microsoft Sentinel GitHub リポジトリで、記録された未来のインシデント エンリッチメント プレイブックを検索して有効にします。 RecordedFuture_以降のサブフォルダーを検索します。
• 「録画された将来の Logic Apps コネクタ」のドキュメントを参照してください。

リバーシングラボ TitaniumCloud

• Microsoft Sentinel GitHub リポジトリで、リバーシングラボのインシデント エンリッチメント プレイブックを検索して有効にします。
• リバーシングラボ TitaniumCloud Logic Apps コネクタのドキュメントを参照してください。

RiskIQ PassiveTotal

• Microsoft Sentinel GitHub リポジトリで RiskIQ パッシブ合計のインシデント エンリッチメント プレイブックを見つけて有効にします。
• RiskIQ プレイブックの操作の 詳細を 参照してください。
• RiskIQ PassiveTotal Logic Apps コネクタの ドキュメントを参照してください。

Virustotal

• Microsoft Sentinel GitHub リポジトリで、VirusTotal のインシデント エンリッチメント プレイブックを検索して有効にします。 Get-VTURL以降のサブフォルダーを検索します。
• VirusTotal Logic Apps コネクタの ドキュメントを参照してください。

関連コンテンツ

この記事では、脅威インテリジェンス プロバイダーをMicrosoft Sentinelに接続する方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法について説明します。
• Microsoft Sentinelで脅威の検出を開始します。