Microsoft Azure Sentinel を STIX、TAXII 脅威インテリジェンス フィードに接続する
脅威インテリジェンスの送信に最も広く採用されている業界標準は、STIX データ形式と TAXII プロトコルの組み合わせです。 組織が現在の STIX、TAXII バージョン (2.0 または 2.1) をサポートするソリューションから脅威インジケーターを受け取る場合、脅威インテリジェンス - TAXII データ コネクタを使用して、脅威インジケーターを Microsoft Azure Sentinel に取り込むことができます。 このコネクタを使用すると、Microsoft Azure Sentinel の組み込み TAXII クライアントで、TAXII 2.x サーバーから脅威インテリジェンスをインポートできます。
TAXII サーバーから Microsoft Sentinel に STIX 形式の脅威インジケーターをインポートするには、TAXII サーバー API のルートとコレクション ID を取得する必要があります。 次に、Microsoft Sentinel で脅威インテリジェンス - TAXII データ コネクタを有効にします。
Microsoft Sentinel の脅威インテリジェンスについて、特に Microsoft Sentinel と統合できる TAXII 脅威インテリジェンス フィードについて詳細をご確認ください。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
詳細については、「脅威インテリジェンス プラットフォーム (TIP) を Microsoft Sentinel に接続する」を参照してください。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューとして、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
前提条件
- [コンテンツ ハブ] 内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
- 脅威インジケーターを格納する Microsoft Azure Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
- TAXII 2.0 または TAXII 2.1 の API ルート URI とコレクション ID が必要です。
TAXII サーバー API ルートとコレクション ID を取得する
TAXII 2.x サーバーによって、脅威インテリジェンスのコレクションをホストする URL である API ルートが公開されます。 通常、API ルートとコレクション ID は、TAXII サーバーをホストする脅威インテリジェンス プロバイダーのドキュメント ページで確認できます。
Note
場合によっては、プロバイダーは検出エンドポイントと呼ばれる URL のみを公開します。 cURL ユーティリティを使用して、検出エンドポイントを参照し、API ルートを要求できます。
Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする
TAXII サーバーから Microsoft Azure Sentinel に脅威インジケーターをインポートするには、次の手順に従います。
Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。
Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選択します。
脅威インテリジェンス ソリューションを見つけて選択します。
[インストール/更新] ボタンを選択します。
ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。
脅威インテリジェンス - TAXII データ コネクタを有効にする
TAXII データ コネクタを構成するには、[データ コネクタ] メニューを選択します。
[脅威インテリジェンス - TAXII] データ コネクタを見つけて選択し、次に [コネクタ ページを開く] を選択します。
[フレンドリ名] テキスト ボックスに、この TAXII サーバー コレクションの名前を入力します。 [API ルート URL]、[コレクション ID]、[ユーザー名] (必要な場合)、[パスワード] (必要な場合) のテキスト ボックスに入力します。 インジケーターのグループと、必要なポーリング頻度を選択します。 [追加] を選択します。
TAXII サーバーへの接続が正常に確立されたことを確認するメッセージが表示されます。 1 つ以上の TAXII サーバーから複数のコレクションに接続する場合は、最後の手順を必要な回数繰り返します。
数分以内に、脅威インジケーターが Microsoft Sentinel ワークスペースに送られるようになります。 [脅威インテリジェンス] ウィンドウで新しいインジケーターを見つけます。 Microsoft Sentinel メニューからアクセスできます。
Microsoft Sentinel TAXII クライアントの IP 許可リスト
FS-ISAC などの一部の TAXII サーバーには、Microsoft Sentinel TAXII クライアントの IP アドレスを許可リストに保持するという要件があります。 ほとんどの TAXII サーバーには、この要件はありません。
該当する場合、以下の IP アドレスを許可リストに含めてください。
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
関連するコンテンツ
このドキュメントでは、TAXII プロトコルを使用して Microsoft Sentinel を脅威インテリジェンス フィードに接続する方法について学習しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。