Microsoft Sentinel への脅威インテリジェンスの統合
既知の脅威を検出して優先順位を付けるセキュリティ アナリストの能力を高めるために、Microsoft Sentinel には、脅威インテリジェンスのフィードを使う方法がいくつか用意されています。
- 多くの統合された脅威インテリジェンス プラットフォーム (TIP) 製品のいずれかを使用します。
- TAXII サーバーに接続して、STIX と互換性のあるいずれかの脅威インテリジェンス ソースを利用します。
- Microsoft Defender 脅威インテリジェンス フィードに直接接続します。
- Threat Intelligence Upload Indicators API と直接通信できるいずれかのカスタム ソリューションを使用します。
- プレイブックから脅威インテリジェンス ソースに接続し、脅威インテリジェンス情報を使用してインシデントをエンリッチします。こうすることで、効果的な調査や対応の措置につながります。
ヒント
マネージド セキュリティー サービス プロバイダー (MSSP) のように、同じテナントに複数のワークスペースがある場合、一元化されたワークスペースにのみ脅威インジケーターを接続した方がコスト効率が高い場合があります。
同じ脅威インジケーターのセットが個別のワークスペースにインポートされている場合、ワークスペース全体で脅威インジケーターを集計するためのワークスペース横断クエリを実行できます。 MSSP インシデントの検出、調査、ハンティングのエクスペリエンス内でそれらを関連付けます。
TAXII 脅威インテリジェンス フィード
TAXII 脅威インテリジェンス フィードに接続するには、各ベンダー提供のデータと共に、Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する手順に従います。 コネクタで使用するための必要なデータを入手するためには、適宜ベンダーに直接問い合わせてください。
Accenture サイバー脅威インテリジェンス
- 詳細については、Accenture Cyber Threat Intelligence (CTI) と Microsoft Sentinel 統合に関するページを参照してください。
Cybersixgill Darkfeed
- 詳細については、Cybersixgill と Microsoft Sentinel の統合に関するページを参照してください。
- Microsoft Sentinel を Cybersixgill TAXII サーバーに接続し、Darkfeed にアクセスします。 API ルート、コレクション ID、ユーザー名、パスワードを取得するには、azuresentinel@cybersixgill.com に問い合わせてください。
Cyware 脅威インテリジェンス エクスチェンジ (CTIX)
Cyware のヒントのコンポーネントの 1 つである CTIX は、セキュリティ情報とイベント管理のための TAXII フィードを使用して、Intel を実行可能にするものです。 Microsoft Sentinel の場合、次の手順に従います。
- Microsoft Sentinel と統合する方法を確認してください
ESET
- 詳細については、ESET の脅威インテリジェンス オファリングに関するページを参照してください。
- Microsoft Sentinel を ESET TAXII サーバーに接続します。 ESET アカウントから API ルート URL、コレクション ID、ユーザー名、パスワードを取得します。 次に、一般的な手順と ESET のナレッジ ベース記事に従います。
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- このフィードにアクセスするための資格情報を入手するには、FS-ISAC に入会してください。
Health Intelligence Sharing Community (H-ISAC)
- このフィードにアクセスするための資格情報を入手するには、H-ISAC に入会してください。
IBM X-Force
- 詳細については、IBM X-Force 統合に関するページを参照してください。
IntSights
- 詳細については、IntSights integration with Microsoft Sentinel @IntSights を参照してください。
- Microsoft Sentinel を IntSights TAXII サーバーに接続します。 Microsoft Sentinel に送信するデータのポリシーを構成した後、IntSights ポータルから API ルート、コレクション ID、ユーザー名、パスワードを取得します。
Kaspersky
- 詳細については、Kaspersky と Microsoft Sentinel の統合に関するページを参照してください。
Pulsedive
- 詳細については、Pulsedive と Microsoft Sentinel の統合に関するページを参照してください。
ReversingLabs
- 詳細については、ReversingLabs TAXII と Microsoft Sentinel の統合に関するページを参照してください。
Sectrio
- 詳細については、Sectrio の統合に関するページを参照してください。
- Sectrio の脅威インテリジェンス フィードを Microsoft Sentinel に統合するための段階的なプロセスに関するページを参照してください。
SEKOIA.IO
- 詳細については、SEKOIA.IO と Microsoft Sentinel の統合に関するページを参照してください。
ThreatConnect
- 詳細については、ThreatConnect での STIX と TAXII に関するページを参照してください。
- ThreatConnect の TAXII サービスに関するドキュメントを参照してください。
統合された脅威インテリジェンス プラットフォーム製品
TIP フィードに接続するには、「Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する」を参照してください。 その他の必要な情報については、次の解決策を参照してください。
Agari のフィッシング対策とブランド保護
- Agari Phishing Defense と Brand Protection を接続するには、組み込みの Agari データ コネクタを Microsoft Sentinel で使います。
Anomali ThreatStream
- ThreatStream Integrator と各種の拡張機能、および ThreatStream インテリジェンスを Microsoft Graph Security API に接続するための手順をダウンロードするには、ThreatStream のダウンロードのページを参照してください。
AT&T Cybersecurity の AlienVault Open Threat Exchange (OTX)
- AlienVault OTX で、Azure Logic Apps (プレイブック) を使って Microsoft Sentinel に接続する方法を確認してください。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。
EclecticIQ Platform
- EclecticIQ Platform は Microsoft Sentinel と統合され、脅威の検出、ハンティング、対応を強化します。 この双方向統合のベネフィットとユース ケースについて確認してください。
GroupIB の脅威インテリジェンスと帰属特定
- GroupIB の脅威インテリジェンスと帰属特定を Microsoft Sentinel に接続するために、GroupIB では、Logic Apps を使っています。 オファリング全体を最大限に活用するために必要な個別の手順を参照してください。
MISP オープンソース脅威インテリジェンス プラットフォーム
- MISP2Sentinel と共に脅威インテリジェンス アップロード インジケーター API を使用して、MISP から Microsoft Sentinel に脅威インジケーターをプッシュします。
- Azure Marketplace の MISP2Sentinel を参照してください。
- 詳細については、MISP プロジェクトに関するページを参照してください。
Palo Alto Networks MineMeld
- Microsoft Sentinel への接続情報を使用して Palo Alto MineMeld を構成するには、MineMeld を使用した Microsoft Graph Security API への IOC の送信に関するページを参照してください。 「MineMeld Configuration」(MineMeld の構成) という見出しに移動してください。
Recorded Future セキュリティ インテリジェンス プラットフォーム
- Recorded Future で、Logic Apps (プレイブック) を利用して Microsoft Sentinel に接続する方法を確認してください。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。
ThreatConnect Platform
- ThreatConnect を Microsoft Sentinel に接続する手順については、Microsoft Graph Security Threat Indicators 統合構成に関するガイドを参照してください。
ThreatQuotient 脅威インテリジェンス プラットフォーム
- ThreatQuotient TIP を Microsoft Sentinel に接続する手順とサポート情報については、ThreatQ 統合用の Microsoft Sentinel コネクタに関するページを参照してください。
インシデント エンリッチメント処理ソース
脅威インテリジェンス フィードは、脅威インジケーターのインポートに使用されるほか、インシデント内の情報をエンリッチメント処理して、より多くのコンテキストを調査に提供するためのソースとしても利用されます。 以下のフィードは、この目的を担うと共に、自動インシデント応答に使用するためのロジック アプリのプレイブックを提供します。 これらのエンリッチメント処理ソースはコンテンツ ハブで入手できます。
ソリューションを検出して管理する方法の詳細については、「すぐに使えるコンテンツを検出してデプロイする」を参照してください。
HYAS Insight
- HYAS Insight のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
Enrich-Sentinel-Incident-HYAS-Insight-
で始まるサブフォルダーを検索します。 - HYAS Insight ロジック アプリ コネクタのドキュメントを参照してください。
Microsoft Defender 脅威インテリジェンス
- Microsoft Defender 脅威インテリジェンスのインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
- 詳細については、Defender 脅威インテリジェンスに関する Tech Community のブログ記事を参照してください。
Recorded Future セキュリティ インテリジェンス プラットフォーム
- Recorded Future のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
RecordedFuture_
で始まるサブフォルダーを検索します。 - Recorded Future ロジック アプリ コネクタのドキュメントを参照してください。
ReversingLabs TitaniumCloud
- ReversingLabs のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
- ReversingLabs TitaniumCloud ロジック アプリ コネクタのドキュメントを参照してください。
RiskIQ PassiveTotal
- RiskIQ Passive Total のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
- RiskIQ プレイブックの使用に関する詳細情報を参照してください。
- RiskIQ PassiveTotal ロジック アプリ コネクタのドキュメントを参照してください。
VirusTotal
- VirusTotal のインシデント エンリッチメント処理プレイブックを Microsoft Sentinel GitHub リポジトリから探して有効にします。
Get-VTURL
で始まるサブフォルダーを検索します。 - VirusTotal ロジック アプリ コネクタのドキュメントを参照してください。
関連するコンテンツ
この記事では、Microsoft Sentinel に脅威インテリジェンス プロバイダーを接続する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。