次の方法で共有

STIX オブジェクト API を使用して脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使用して、さまざまなソースからの脅威インテリジェンス フィードを集約しています。 集約されたフィードから、データがキュレーションされて、ネットワーク デバイス、EDR/XDR ソリューション、セキュリティ情報イベント管理 (SIEM) ソリューション (例: Microsoft Sentinel) などのセキュリティ ソリューションに適用されます。 サイバー脅威情報を記述するための業界標準は、"脅威情報構造化記述形式" または STIX と呼ばれます。 STIX オブジェクト API を使用することで、表現力豊かな方法で脅威インテリジェンスを Microsoft Sentinel にインポートできます。

STIX オブジェクト API は、データ コネクタを必要とせずに、脅威インテリジェンスを Microsoft Sentinel に取り込みます。 この記事では、接続する必要がある内容について説明します。 API の詳細については、リファレンス ドキュメント「Microsoft Sentinel STIX オブジェクト API」を参照してください。

脅威インテリジェンスのインポート パスを示すスクリーンショット。

脅威インテリジェンスについて詳しくは、「脅威インテリジェンス」をご覧ください。

重要

Microsoft Sentinel の脅威インテリジェンス STIX オブジェクト API はプレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項について詳しくは、「Microsoft Azure プレビューの追加の使用条件」を参照してください。

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

  • 脅威インテリジェンス STIX オブジェクトを格納するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
  • Microsoft Entra アプリケーションを登録できる必要があります。
  • Microsoft Entra アプリケーションには、Microsoft Sentinel 共同作成者ロールがワークスペース レベルで許可されている必要があります。

手順

統合された TIP またはカスタム脅威インテリジェンス ソリューションから Microsoft Sentinel に脅威インテリジェンス STIX オブジェクトをインポートするには、次の手順に従います。

  1. Microsoft Entra アプリケーションを登録し、そのアプリケーション ID を記録します。
  2. Microsoft Entra アプリケーションのクライアント シークレットを生成して記録します。
  3. Microsoft Entra アプリケーションに Microsoft Sentinel 共同作成者ロールまたは同等のロールを割り当てます。
  4. TIP ソリューションまたはカスタム アプリケーションを構成します。

Microsoft Entra アプリケーションを登録する

既定のユーザー ロールのアクセス許可を使用すると、ユーザーはアプリケーションの登録を作成できます。 この設定が [いいえ] に切り替えられている場合は、Microsoft Entra でアプリケーションを管理するためのアクセス許可が必要です。 次の Microsoft Entra ロールには、いずれも必要なアクセス許可が含まれています。

  • アプリケーション管理者
  • アプリケーション開発者
  • クラウド アプリケーション管理者

Microsoft Entra アプリケーションの登録の詳細については、「アプリケーションの登録」を参照してください。

アプリケーションを登録したら、アプリケーションの [概要] タブからアプリケーション (クライアント) ID を記録します。

アプリケーションにロールを割り当てる

STIX オブジェクト API は、ワークスペース レベルで脅威インテリジェンス オブジェクトを取り込み、Microsoft Sentinel 共同作成者の役割を必要とします。

  1. Azure portal から、[Log Analytics ワークスペース] に移動します。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加] > [ロール割り当ての追加] の順に選択します。

  4. [ロール] タブで、[Microsoft Sentinel 共同作成者] ロールを選択してから、[次へ] を選択します。

  5. [メンバー] タブの [アクセスの割り当て先]>[ユーザー、グループ、またはサービス プリンシパル] を選択します。

  6. メンバーを選択します。 既定では、Microsoft Entra アプリケーションは、使用可能なオプションに表示されません。 アプリケーションを検索するには、名前で検索します。

    アプリケーションに Microsoft Sentinel 共同作成者ロールがワークスペース レベルで割り当てられたことを示すスクリーンショット。

  7. [レビューと割り当て] を選択します。

アプリケーションへのロールの割り当ての詳細については、「アプリケーションにロールを割り当てる」を参照してください。

脅威インテリジェンス プラットフォーム ソリューションまたはカスタム アプリケーションを構成する

STIX オブジェクト API には、次の構成情報が必要になります。

  • アプリケーション (クライアント) ID
  • OAuth 2.0 認証を使用した Microsoft Entra アクセス トークン
  • Microsoft Sentinel ワークスペース ID

必要に応じて、統合された TIP またはカスタム ソリューションの構成に、これらの値を入力します。

  1. 脅威インテリジェンスを STIX オブジェクト API に送信します。 詳細については、「Microsoft Sentinel STIX オブジェクト API 」を参照してください。
  2. 数分以内に、脅威インテリジェンス オブジェクトが Microsoft Azure Sentinel ワークスペースに送られるようになります。 新しい STIX オブジェクトは、Microsoft Sentinel メニューからアクセスできる [脅威インテリジェンス] ページで確認できます。

関連するコンテンツ

この記事では、TIP を Microsoft Sentinel に接続する方法について説明しました。 Microsoft Sentinel での脅威インテリジェンスの使用の詳細については、次の記事を参照してください。