Microsoft Defender 脅威インテリジェンス データ コネクタを有効にする
Defender 脅威インテリジェンス データ コネクタを使用して、Microsoft Defender 脅威インテリジェンスによって生成されたパブリック、オープンソースかつ忠実度の高いセキュリティ侵害のインジケーター (IOC) を Microsoft Sentinel ワークスペースに取り込めるようになりました。 簡単なワンクリックのセットアップで、Standard および Premium の Defender 脅威インテリジェンス データ コネクタの脅威インテリジェンスを使用して、監視、アラート、追求を行います。
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
Standard および Premium の Defender 脅威インテリジェンス データ コネクタの利点の詳細については、「脅威インテリジェンスを理解する」を参照してください。
前提条件
- コンテンツ ハブ内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
- これらのデータ コネクタを構成するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
- Premium バージョンの Defender 脅威インテリジェンス データ コネクタから脅威インテリジェンスにアクセスするには、販売担当者に連絡して、MDTI API Access SKU を購入してください。
Premium ライセンスを取得する方法と、Standard バージョンと Premium バージョンのすべての違いを確認する方法の詳細については、「Defender 脅威インテリジェンスのライセンスを確認する」を参照してください。
Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする
Standard および Premium の Defender 脅威インテリジェンスから Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。
Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。
脅威インテリジェンス ソリューションを見つけて選択します。
[インストール/更新] ボタンを選択します。
ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。
Defender 脅威インテリジェンス データ コネクタを有効にする
Azure portal の Microsoft Sentinel の場合、[構成] の下にある [データ コネクタ] を選びます。
Defender ポータルの Microsoft Sentinel の場合は、[Microsoft Sentinel]>[構成]>[データ コネクタ] を選びます。
Defender 脅威インテリジェンス データ コネクタの Standard または Premium を見つけて選びます。 [コネクタ ページを開く] ボタンを選びます。
[接続] を選択してフィードを有効にします。
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/premium-connect.png)
Defender 脅威インテリジェンス インジケーターによって Microsoft Sentinel ワークスペースの設定が開始されると、コネクタの状態は [接続済み] と表示されます。
![Defender 脅威インテリジェンス データ コネクタ ページと [接続] ボタンを示すスクリーンショット。](media/connect-mdti-data-connector/premium-connect.png#lightbox)
この時点で、取り込まれたインジケーターが TI map... 分析ルールで使用できるようになりました。 詳細については、「分析ルールで脅威インジケーターを使用する」を参照してください。
新しいインジケーターは、[脅威インテリジェンス] ペインで検索するか、または [ログ] で ThreatIntelligenceIndicator テーブルにクエリを実行して直接検索します。 詳細については、脅威インジケーターの操作に関するページを参照してください。
関連するコンテンツ
この記事では、Defender 脅威インテリジェンス データ コネクタを使用して Microsoft Sentinel を Microsoft 脅威インテリジェンス フィードに接続する方法について説明しました。 Defender 脅威インテリジェンスの詳細については、次の記事を参照してください。
- Defender 脅威インテリジェンスとは何かについて確認します。
- Defender 脅威インテリジェンス ポータルの使用を開始します。
- 照合分析を使って脅威を検出して、分析で Defender 脅威インテリジェンスを使用します。