アップロード API を使用して脅威インテリジェンスプラットフォームを Microsoft Sentinel に接続する (プレビュー)

適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

多くの組織では、脅威インテリジェンスプラットフォーム (TIP) ソリューションを使用して、さまざまなソースからの脅威インテリジェンスフィードを集約しています。集約されたフィードから、データがキュレーションされて、ネットワークデバイス、EDR/XDR ソリューション、セキュリティ情報イベント管理 (SIEM) ソリューション (例: Microsoft Sentinel) などのセキュリティソリューションに適用されます。サイバー脅威情報を記述するための業界標準は、"脅威情報構造化記述形式" または STIX と呼ばれます。 STIX オブジェクトをサポートするアップロード API を使用することで、より豊かな表現方法で脅威インテリジェンスを Microsoft Sentinel にインポートできます。

アップロード API は、データコネクタを必要とせずに、脅威インテリジェンスを Microsoft Sentinel に取り込みます。この記事では、接続する必要がある内容について説明します。 API の詳細については、 Microsoft Sentinel アップロード API のリファレンスドキュメントを参照してください。

脅威インテリジェンスのインポートパスを示すスクリーンショット。

脅威インテリジェンスの詳細については、「脅威インテリジェンス」を参照してください。

重要

Microsoft Sentinel の脅威インテリジェンスアップロード API はプレビュー段階です。ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用されるその他の法的条件については、 Microsoft Azure プレビューの追加使用条件を参照してください。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新しいユーザーも自動的にオンボードされ、Azure portal から Defender ポータルにリダイレクトされます。 Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。詳細については、「移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

注

米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。

前提条件

脅威インテリジェンス STIX オブジェクトを格納するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Microsoft Entra アプリケーションを登録できる必要があります。
Microsoft Entra アプリケーションには、Microsoft Sentinel 共同作成者ロールがワークスペースレベルで許可されている必要があります。

Instructions

統合された TIP またはカスタム脅威インテリジェンスソリューションから Microsoft Sentinel に脅威インテリジェンス STIX オブジェクトをインポートするには、次の手順に従います。

Microsoft Entra アプリケーションを登録し、そのアプリケーション ID を記録します。
Microsoft Entra アプリケーションのクライアントシークレットを生成して記録します。
Microsoft Entra アプリケーションに Microsoft Sentinel 共同作成者ロールまたは同等のロールを割り当てます。
TIP ソリューションまたはカスタムアプリケーションを構成します。

Microsoft Entra アプリケーションを登録する

既定のユーザーロールのアクセス許可を使用すると、ユーザーはアプリケーションの登録を作成できます。この設定が [いいえ] に切り替えられた場合は、Microsoft Entra でアプリケーションを管理するためのアクセス許可が必要です。次の Microsoft Entra ロールのいずれかに、必要なアクセス許可が含まれています。

アプリケーション管理者
アプリケーション開発者
クラウドアプリケーション管理者

Microsoft Entra アプリケーションの登録の詳細については、「アプリケーションの登録」を参照してください。

アプリケーションを登録したら、アプリケーションの [概要 ] タブからアプリケーション (クライアント) ID を記録します。

アプリケーションにロールを割り当てる

アップロード API は、ワークスペースレベルで脅威インテリジェンスオブジェクトを取り込み、Microsoft Sentinel 共同作成者のロールを必要とします。

Azure portal から Log Analytics ワークスペースに移動します。
[アクセス制御 (IAM)] を選択します。
[ 追加]>[ロールの割り当ての追加] を選択します。
[ ロール ] タブで、 Microsoft Sentinel 共同作成者 ロールを選択し、[ 次へ] を選択します。
[ メンバー ] タブで、[ アクセスの割り当て>ユーザー、グループ、またはサービスプリンシパルを選択します。
メンバーを選択します。既定では、Microsoft Entra アプリケーションは、使用可能なオプションに表示されません。アプリケーションを検索するには、名前で検索します。
[レビューと割り当て] を選びます。

アプリケーションへのロールの割り当ての詳細については、「アプリケーションへのロールの割り当て」を参照してください。

脅威インテリジェンスプラットフォームソリューションまたはカスタムアプリケーションを構成する

アップロード API には、次の構成情報が必要です。

アプリケーション (クライアント) ID
OAuth 2.0 認証を使用した Microsoft Entra アクセストークン
Microsoft Sentinel ワークスペース ID

必要に応じて、統合された TIP またはカスタムソリューションの構成に、これらの値を入力します。

脅威インテリジェンスをアップロード API に送信します。詳細については、 Microsoft Sentinel アップロード API に関するページを参照してください。
数分以内に、脅威インテリジェンスオブジェクトが Microsoft Azure Sentinel ワークスペースに送られるようになります。 [ 脅威インテリジェンス ] ページで、Microsoft Sentinel メニューからアクセスできる新しい STIX オブジェクトを見つけます。

この記事では、TIP を Microsoft Sentinel に接続する方法について説明しました。 Microsoft Sentinel での脅威インテリジェンスの使用の詳細については、次の記事を参照してください。

脅威インテリジェンスを理解する。
Microsoft Sentinel エクスペリエンス全体で脅威インジケーターを操作します。
Microsoft Sentinel の組み込みまたはカスタム分析ルールを使用して脅威の検出を開始します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-04-30

次の方法で共有

アップロード API を使用して脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する (プレビュー)