Microsoft Defender 脅威インテリジェンス用データ コネクタを有効にする
Defender 脅威インテリジェンス データ コネクタを使用して、Microsoft Defender 脅威インテリジェンスによって生成されたパブリック、オープンソースかつ忠実度の高いセキュリティ侵害のインジケーター (IOC) を Microsoft Sentinel ワークスペースに取り込めるようになりました。 簡単なワンクリックのセットアップで、Standard および Premium の Defender 脅威インテリジェンス データ コネクタの脅威インテリジェンスを使用して、監視、アラート、追求を行います。
重要
Defender 脅威インテリジェンス データ コネクタと Premium Defender 脅威インテリジェンス データ コネクタは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項について詳しくは、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューとして、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Standard および Premium の Defender 脅威インテリジェンス データ コネクタの利点の詳細については、「脅威インテリジェンスを理解する」を参照してください。
前提条件
- コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
- これらのデータ コネクタを構成するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする
Standard および Premium の Defender 脅威インテリジェンスから Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。
Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。
脅威インテリジェンス ソリューションを見つけて選択します。
[インストール/更新] ボタンを選択します。
ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。
Defender 脅威インテリジェンス データ コネクタを有効にする
Azure portal の Microsoft Sentinel の場合、[構成] の下にある [データ コネクタ] を選びます。
Defender ポータルの Microsoft Sentinel の場合は、[Microsoft Sentinel]>[構成]>[データ コネクタ] を選びます。
Defender 脅威インテリジェンス データ コネクタの [コネクタ ページを開く] ボタンを見つけて選択します。
![Defender 脅威インテリジェンス データ コネクタが一覧表示された [データ コネクタ] ページを示すスクリーンショット。](media/connect-mdti-data-connector/premium-microsoft-defender-threat-intelligence-data-connector-config.png)
[接続] を選択してフィードを有効にします。
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/microsoft-defender-threat-intelligence-data-connector-connect.png)
Defender 脅威インテリジェンス インジケーターによって Microsoft Sentinel ワークスペースの設定が開始されると、コネクタの状態は [接続済み] と表示されます。
![Defender 脅威インテリジェンス データ コネクタが一覧表示された [データ コネクタ] ページを示すスクリーンショット。](media/connect-mdti-data-connector/premium-microsoft-defender-threat-intelligence-data-connector-config.png#lightbox)
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/microsoft-defender-threat-intelligence-data-connector-connect.png#lightbox)
この時点で、取り込まれたインジケーターが TI map... 分析ルールで使用できるようになりました。 詳細については、「分析ルールで脅威インジケーターを使用する」を参照してください。
新しいインジケーターは、[脅威インテリジェンス] ペインで検索するか、または [ログ] で ThreatIntelligenceIndicator テーブルにクエリを実行して直接検索します。 詳細については、脅威インジケーターの操作に関するページを参照してください。
関連するコンテンツ
この記事では、Defender 脅威インテリジェンス データ コネクタを使用して Microsoft Sentinel を Microsoft 脅威インテリジェンス フィードに接続する方法について説明しました。 Defender 脅威インテリジェンスの詳細については、次の記事を参照してください。
- Defender 脅威インテリジェンスとは何かについて確認します。
- Defender 脅威インテリジェンス ポータルの使用を開始します。
- 照合分析を使って脅威を検出して、分析で Defender 脅威インテリジェンスを使用します。