Microsoft Sentinel への脅威インテリジェンスの統合

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

既知の脅威を検出して優先順位を付けるセキュリティ アナリストの能力を高めるために、Microsoft Sentinel には、脅威インテリジェンスのフィードを使う方法がいくつか用意されています。

• 多くの統合された脅威インテリジェンス プラットフォーム (TIP) 製品のいずれかを使用します。
• TAXII サーバーに接続して、STIX と互換性のあるいずれかの脅威インテリジェンス ソースを利用します。
• Microsoft Defender 脅威インテリジェンス フィードに直接接続します。
• Threat Intelligence Upload Indicators API と直接通信できるいずれかのカスタム ソリューションを使用します。
• 効果的な調査や対応の措置につながる TI 情報でインシデントをエンリッチメント処理するために、プレイブックから脅威インテリジェンス ソースに接続することもできます。

ヒント

マネージド セキュリティー サービス プロバイダー (MSSP) のように、同じテナントに複数のワークスペースがある場合、一元化されたワークスペースにのみ脅威インジケーターを接続した方がコスト効率が高い場合があります。

同じ脅威インジケーターのセットが個別のワークスペースにインポートされている場合、ワークスペース全体で脅威インジケーターを集計するためのワークスペース横断クエリを実行できます。 MSSP インシデントの検出、調査、ハンティングのエクスペリエンス内でそれらを関連付けます。

TAXII 脅威インテリジェンス フィード

TAXII 脅威インテリジェンス フィードに接続するには、各ベンダー提供のデータと共に、Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する手順に従います。 コネクタで使用するための必要なデータを入手するためには、適宜ベンダーに直接問い合わせてください。

Accenture サイバー脅威インテリジェンス

• Accenture Cyber Threat Intelligence (CTI) と Microsoft Sentinel 統合に関する詳細情報。

Cybersixgill Darkfeed

• Cybersixgill と Microsoft Sentinel の統合に関する詳細情報。
• Microsoft Sentinel を Cybersixgill TAXII Server に接続して Darkfeed にアクセスするには、azuresentinel@cybersixgill.com に問い合わせて、API ルート、コレクション ID、ユーザー名、パスワードを入手してください。

ESET

• ESET の脅威インテリジェンス オファリングの詳細について説明します。
• Microsoft Sentinel を ESET TAXII サーバーに接続するには、ご自分の ESET アカウントから API ルート URL、コレクション ID、ユーザー名、パスワードを取得します。 次に、一般的な手順と ESET のナレッジ ベース記事に従います。

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• このフィードにアクセスするための資格情報を入手するには、FS-ISAC に入会してください。

Health Intelligence Sharing Community (H-ISAC)

• このフィードにアクセスするための資格情報を入手するには、H-ISAC に入会してください。

IBM X-Force

• IBM X-Force 統合の詳細情報。

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights
• Microsoft Sentinel を IntSights TAXII Server に接続するには、Microsoft Sentinel に送信するデータのポリシーを構成した後、API ルート、コレクション ID、ユーザー名、パスワードを IntSights ポータルから取得してください。

Kaspersky

• Kaspersky と Microsoft Sentinel の統合に関する詳細情報。

Pulsedive

• Pulsedive と Microsoft Sentinel の統合に関する詳細情報。

ReversingLabs

• ReversingLabs TAXII と Microsoft Sentinel の統合に関する詳細情報。

Sectrio

• Sectrio の統合に関する詳細情報。
• Sectrio の TI フィードを Microsoft Sentinel に統合するためのステップ バイ ステップ プロセス。

SEKOIA.IO

• SEKOIA.IO と Microsoft Sentinel の統合に関する詳細情報。

ThreatConnect

• ThreatConnect での STIX と TAXII に関する詳細情報。
• ThreatConnect で TAXII Services のドキュメントを参照する

統合された脅威インテリジェンス プラットフォーム製品

脅威インテリジェンス プラットフォーム (TIP) フィードに接続するには、「Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する」を参照してください。 必要な追加情報については、次の解決策を参照してください。

Agari のフィッシング対策とブランド保護

• Agari Phishing Defense と Brand Protection を接続するには、組み込みの Agari データ コネクタを Microsoft Sentinel で使います。

Anomali ThreatStream

• ThreatStream Integrator と各種の拡張機能、および ThreatStream インテリジェンスを Microsoft Graph Security API に接続するための手順をダウンロードするには、ThreatStream のダウンロードのページを参照してください。

AT&T Cybersecurity の AlienVault Open Threat Exchange (OTX)

• AlienVault OTX は、Azure Logic Apps (プレイブック) を使って Microsoft Sentinel に接続します。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

EclecticIQ Platform

• EclecticIQ Platform は Microsoft Sentinel と統合され、脅威の検出、ハンティング、対応を強化します。 この双方向統合のベネフィットとユース ケースについて確認してください。

GroupIB の脅威インテリジェンスと帰属特定

• GroupIB の脅威インテリジェンスと帰属特定を Microsoft Sentinel に接続するために、GroupIB では、Azure Logic Apps を使っています。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

MISP Open Source Threat Intelligence Platform

• MISP2Sentinel を使用した TI アップロード インジケーター API を使用して、MISP から Microsoft Sentinel に脅威インジケーターをプッシュします。
• MISP2Sentinel の Azure Marketplace リンクを次に示します。
• MISP プロジェクトに関する詳細情報。

Palo Alto Networks MineMeld

• Microsoft Sentinel への接続情報を使って Palo Alto MineMeld を構成する方法については、MineMeld を使って Microsoft Graph Security API に IOC を送信する方法に関するページの「MineMeld の構成」という見出しのセクションを参照してください。

Recorded Future セキュリティ インテリジェンス プラットフォーム

• Recorded Future から Microsoft Sentinel への接続には、Azure Logic Apps (プレイブック) を利用します。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

ThreatConnect Platform

• ThreatConnect を Microsoft Sentinel に接続する手順については、Microsoft Graph Security Threat Indicators 統合構成に関するガイドを参照してください。

ThreatQuotient 脅威インテリジェンス プラットフォーム

• ThreatQuotient TIP を Microsoft Sentinel に接続する手順とサポート情報については、ThreatQ 統合用の Microsoft Sentinel コネクタに関するページを参照してください。

インシデント エンリッチメント処理ソース

脅威インテリジェンス フィードは、脅威インジケーターのインポートに使用されるほか、インシデント内の情報をエンリッチメント処理して、より多くのコンテキストを調査に提供するためのソースとしても利用されます。 以下のフィードは、この目的を担うと共に、自動インシデント応答に使用するためのロジック アプリのプレイブックを提供します。 これらのエンリッチメント処理ソースはコンテンツ ハブで入手できます。

ソリューションを検出して管理する方法の詳細については、「すぐに使えるコンテンツを検出してデプロイする」を参照してください。

HYAS Insight

• HYAS Insight のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。 Enrich-Sentinel-Incident-HYAS-Insight- で始まるサブフォルダーを検索します。
• HYAS Insight ロジック アプリ コネクタのドキュメントを参照してください。

Microsoft Defender 脅威インテリジェンス

• Microsoft Defender 脅威インテリジェンスのインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
• 詳細については、MDTI Tech Community のブログ記事を参照してください。

Recorded Future セキュリティ インテリジェンス プラットフォーム

• Recorded Future のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。 RecordedFuture_ で始まるサブフォルダーを検索します。
• Recorded Future ロジック アプリ コネクタのドキュメントを参照してください。

ReversingLabs TitaniumCloud

• ReversingLabs のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
• ReversingLabs TitaniumCloud ロジック アプリ コネクタのドキュメントを参照してください。

RiskIQ Passive Total

• RiskIQ Passive Total のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
• RiskIQ プレイブックの使用に関する詳細情報を参照してください。
• RiskIQ PassiveTotal ロジック アプリ コネクタのドキュメントを参照してください。

Virus Total

• Virus Total のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。 Get-VTURL で始まるサブフォルダーを検索します。
• Virus Total ロジック アプリ コネクタのドキュメントを参照してください。

次のステップ

このドキュメントでは、Microsoft Sentinel に脅威インテリジェンス プロバイダーを接続する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。