多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使用して、さまざまなソースからの脅威インテリジェンス フィードを集計します。 集計されたフィードから、ネットワーク デバイス、EDR/XDR ソリューション、Microsoft Sentinelなどのセキュリティ情報とイベント管理 (SIEM) ソリューションなどのセキュリティ ソリューションに適用するために、データがキュレーションされます。 サイバー脅威情報を記述するための業界標準は、"構造化脅威情報式" または STIX と呼ばれます。 STIX オブジェクトをサポートするアップロード API を使用すると、より表現力豊かな方法で脅威インテリジェンスをMicrosoft Sentinelにインポートできます。
アップロード API は、データ コネクタを必要とせずに、脅威インテリジェンスをMicrosoft Sentinelに取り込みます。 この記事では、接続する必要がある内容について説明します。 API の詳細については、API のアップロードに関するリファレンス ドキュメントMicrosoft Sentinel参照してください。
脅威インテリジェンスの詳細については、「 脅威インテリジェンス」を参照してください。
重要
Microsoft Sentinel脅威インテリジェンスアップロード API はプレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用されるその他の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
注:
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。
前提条件
- 脅威インテリジェンス STIX オブジェクトを格納するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
- Microsoft Entra アプリケーションを登録できる必要があります。
- Microsoft Entra アプリケーションには、ワークスペース レベルでMicrosoft Sentinel共同作成者ロールが付与されている必要があります。
手順
次の手順に従って、統合された TIP またはカスタムの脅威インテリジェンス ソリューションからMicrosoft Sentinelする脅威インテリジェンス STIX オブジェクトをインポートします。
- Microsoft Entra アプリケーションを登録し、そのアプリケーション ID を記録します。
- Microsoft Entra アプリケーションのクライアント シークレットを生成して記録します。
- Microsoft Entra アプリケーションをMicrosoft Sentinel共同作成者ロールまたは同等のロールに割り当てます。
- TIP ソリューションまたはカスタム アプリケーションを構成します。
Microsoft Entra アプリケーションを登録する
既定のユーザー ロールのアクセス許可を使用すると、ユーザーはアプリケーションの登録を作成できます。 この設定が [いいえ] に切り替えられた場合は、Microsoft Entraでアプリケーションを管理するためのアクセス許可が必要です。 次のいずれかのMicrosoft Entraロールには、必要なアクセス許可が含まれます。
- アプリケーション管理者
- アプリケーション開発者
- クラウド アプリケーション管理者
Microsoft Entra アプリケーションの登録の詳細については、「アプリケーションの登録」を参照してください。
アプリケーションを登録したら、アプリケーションの [ 概要 ] タブからアプリケーション (クライアント) ID を記録します。
アプリケーションにロールを割り当てる
アップロード API は、ワークスペース レベルで脅威インテリジェンス オブジェクトを取り込み、共同作成者Microsoft Sentinelロールを必要とします。
Azure portalから、Log Analytics ワークスペースに移動します。
[ アクセス制御 (IAM)] を選択します。
[追加]>[役割の割り当ての追加] を選択します。
[ロール] タブで、Microsoft Sentinel共同作成者ロールを選択し、[次へ] を選択します。
[メンバー] タブで、[アクセスの割り当て先] >[ユーザー、グループ、またはサービス プリンシパル] を選択します。
メンバーを選択します。 既定では、Microsoft Entra アプリケーションは使用可能なオプションには表示されません。 アプリケーションを検索するには、名前で検索します。
[レビュー + 割り当て] を選択します。
アプリケーションへのロールの割り当ての詳細については、「アプリケーションへの ロールの割り当て」を参照してください。
脅威インテリジェンス プラットフォーム ソリューションまたはカスタム アプリケーションを構成する
アップロード API では、次の構成情報が必要です。
- アプリケーション (クライアント) ID
- OAuth 2.0 認証を使用したアクセス トークンのMicrosoft Entra
- ワークスペース ID のMicrosoft Sentinel
必要に応じて、統合 TIP またはカスタム ソリューションの構成にこれらの値を入力します。
- 脅威インテリジェンスをアップロード API に送信します。 詳細については、「アップロード API のMicrosoft Sentinel」を参照してください。
- 数分以内に、脅威インテリジェンス オブジェクトがMicrosoft Sentinel ワークスペースへのフローを開始する必要があります。 [脅威インテリジェンス] ページで新しい STIX オブジェクトを見つけます。このオブジェクトは、[Microsoft Sentinel] メニューからアクセスできます。
関連コンテンツ
この記事では、TIP をMicrosoft Sentinelに接続する方法について説明しました。 Microsoft Sentinelでの脅威インテリジェンスの使用の詳細については、次の記事を参照してください。
- 脅威インテリジェンスについて理解する。
- Microsoft Sentinelエクスペリエンス全体を通じて脅威インジケーターを操作します。
- Microsoft Sentinelの組み込みまたはカスタム分析ルールを使用して脅威の検出を開始します。