Upload Indicators API を使用して脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使って、さまざまなソースからの脅威インジケーター フィードを集約しています。 集約されたフィードから、データがキュレーションされて、ネットワーク デバイス、EDR/XDR ソリューション、SIEM (例: Microsoft Sentinel) などのセキュリティ ソリューションに適用されます。 脅威インテリジェンス Upload Indicators API データ コネクタでは、これらのソリューションを使用して、脅威インジケーターを Microsoft Sentinel にインポートできます。 このデータ コネクタでは、Sentinel Upload Indicators API を使用して、脅威インテリジェンス インジケーターを Microsoft Sentinel に取り込みます。 詳細については、脅威インテリジェンスに関するページを参照してください。

脅威インテリジェンスのインポート パス

重要

Microsoft Sentinel Upload Indicators API と 脅威インテリジェンス Upload Indicators API データ コネクタは プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、Microsoft Defender ポータルの Microsoft Sentinel に関する記事を参照してください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

関連項目: Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する

前提条件

  • コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
  • 脅威インジケーターを格納する Microsoft Azure Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
  • Microsoft Entra アプリケーションを登録できる必要があります。
  • Microsoft Entra アプリケーションには、Microsoft Sentinel 共同作成者ロールがワークスペース レベルで許可されている必要があります。

手順

統合された TIP またはカスタム脅威インテリジェンス ソリューションから Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。

  1. Microsoft Entra アプリケーションを登録し、そのアプリケーション ID を記録します。
  2. Microsoft Entra アプリケーションのクライアント シークレットを生成して記録します。
  3. Microsoft Entra アプリケーションに Microsoft Sentinel 共同作成者ロールまたは同等のロールを割り当てます。
  4. Microsoft Sentinel で脅威インテリジェンス アップロード API データ コネクタを有効にします。
  5. TIP ソリューションまたはカスタム アプリケーションを構成します。

Microsoft Entra アプリケーションを登録する

既定のユーザー ロールのアクセス許可を使用すると、ユーザーはアプリケーションの登録を作成できます。 この設定が [いいえ] に切り替えられている場合は、Microsoft Entra ID でアプリケーションを管理するためのアクセス許可が必要です。 次の Microsoft Entra ロールには、いずれも必要なアクセス許可が含まれています。

  • アプリケーション管理者
  • アプリケーション開発者
  • クラウド アプリケーション管理者

Microsoft Entra アプリケーションの登録の詳細については、「アプリケーションの登録」を参照してください。

アプリケーションを登録したら、アプリケーションの [概要] タブからアプリケーション (クライアント) ID を記録します。

クライアント シークレットを生成して記録する

アプリケーションが登録されたところで、クライアント シークレットを生成して記録します。

クライアント シークレットの生成を示すスクリーンショット。

クライアント シークレットの生成の詳細については、「クライアント シークレットの追加」を参照してください。

アプリケーションにロールを割り当てる

Upload Indicators API は、ワークスペース レベルで脅威インジケーターを取り込み、Microsoft Sentinel 共同作成者の最小特権ロールを許可します。

  1. Azure portal から、Log Analytics ワークスペースに移動します。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加]>[ロール割り当ての追加] の順に選択します。

  4. [ロール] タブで、[Microsoft Sentinel 共同作成者] ロール >[次へ] を選択します。

  5. [メンバー] タブの [アクセスの割り当て先]>[ユーザー、グループ、またはサービス プリンシパル] を選択します。

  6. メンバーを選択します。 既定では、Microsoft Entra アプリケーションは、使用可能なオプションに表示されません。 アプリケーションを検索するには、名前で検索します。 アプリケーションに Microsoft Sentinel 共同作成者ロールがワークスペース レベルで割り当てられたことを示すスクリーンショット。

  7. [選択]>[レビューと割り当て] の順に選択します。

アプリケーションへのロールの割り当ての詳細については、「アプリケーションにロールを割り当てる」を参照してください。

Microsoft Sentinel で脅威インテリジェンス Upload Indicators API データ コネクタを有効にする

脅威インテリジェンス Upload Indicators API データ コネクタを有効にして、Microsoft Sentinel で TIP またはカスタム ソリューションから送信された脅威インジケーターを受信できるようにします。 これらのインジケーターは、構成した Microsoft Sentinel ワークスペースで使用できます。

  1. Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。

  2. 脅威インテリジェンス ソリューションを見つけて選択します。

  3. [インストール/更新] ボタンを選択します。

ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。

  1. データ コネクタが [構成]>[データ コネクタ] に表示されるようになりました。 データ コネクタ ページを開いて、この API を使ったアプリケーションの構成の詳細を確認します。

    Upload API データ コネクタがリストされているデータ コネクタのページを示すスクリーンショット。

TIP ソリューションまたはカスタム アプリケーションを構成する

次の構成情報は、Upload Indicators API で必要になります。

  • アプリケーション (クライアント) ID
  • クライアント シークレット
  • Microsoft Sentinel ワークスペース ID

必要に応じて、統合された TIP またはカスタム ソリューションの構成に、これらの値を入力します。

  1. インジケーターを Microsoft Sentinel Upload API に送信します。 Upload Indicators API の詳細については、リファレンス ドキュメント「Microsoft Sentinel Upload Indicators API」を参照してください。

  2. 数分以内に、脅威インジケーターが Microsoft Azure Sentinel ワークスペースに送られるようになります。 新しいインジケーターを、Microsoft Azure Sentinel ナビゲーション メニューからアクセスできる [脅威インテリジェンス] ブレードで見つけます。

  3. データ コネクタの状態には [接続] 状態が反映され、インジケーターが正常に送信されると、[受信したデータ] グラフが更新されます。

    接続された状態の Upload Indicators API データ コネクタを示すスクリーンショット。

関連するコンテンツ

このドキュメントでは、Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する方法を説明しました。 Microsoft Sentinel での脅威インジケーターの使用の詳細については、次の記事を参照してください。