次の方法で共有

STIX/TAXII を使用して Microsoft Sentinel で脅威インテリジェンスをインポートおよびエクスポートする

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

STIX データ形式と TAXII プロトコル は、脅威インテリジェンスを送信するための最も広く採用されている業界標準です。 Microsoft Sentinel では、標準を使用した脅威インテリジェンス プラットフォームとの統合がサポートされ、脅威インテリジェンスをインポートおよびエクスポートするための組み込みのコネクタが提供されます。

脅威インテリジェンス - TAXII データ コネクタを使用して、TAXII 2.0 または 2.1 サーバーから Sentinel ワークスペースに脅威インジケーターをインポートします。 脅威インテリジェンスを外部で共有するには、脅威インテリジェンス - TAXII エクスポート コネクタを構成します。これにより、サポートされている TAXII 2.1 プラットフォームへの安全な標準ベースのエクスポートが可能になります。

この記事では、両方のプロセス (インポート用の STIX/TAXII フィードへの接続と TAXII サーバーへのエクスポートの構成) について説明します。

Microsoft Sentinel の脅威インテリジェンスについて、特に Microsoft Sentinel と統合できる TAXII 脅威インテリジェンス フィードについて詳細をご確認ください。

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

詳細については、「脅威インテリジェンス プラットフォーム (TIP) を Microsoft Sentinel に接続する」を参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

前提条件

  • [コンテンツ ハブ] 内のスタンドアロン コンテンツまたはソリューションをインストール、更新、または削除するには、リソース グループ レベルでの Microsoft Sentinel 共同作成者ロールが必要です。
  • TAXII 2.0 または TAXII 2.1 の API ルート URI とコレクション ID が必要です。

TAXII サーバー API ルートとコレクション ID を取得する

TAXII 2.x サーバーによって、脅威インテリジェンスのコレクションをホストする URL である API ルートが公開されます。 通常、API ルートとコレクション ID は、TAXII サーバーをホストする脅威インテリジェンス プロバイダーのドキュメント ページで確認できます。

場合によっては、プロバイダーは検出エンドポイントと呼ばれる URL のみを公開します。 cURL ユーティリティを使用して、検出エンドポイントを参照し、API ルートを要求できます。

Microsoft Sentinel に脅威インテリジェンス ソリューションをインストールする

TAXII サーバーから Microsoft Sentinel に脅威インジケーターをインポートするか、Microsoft Sentinel から脅威インジケーターをエクスポートするには、脅威インテリジェンス ソリューションをインストールします。

  1. Azure portal の Microsoft Sentinel の [コンテンツ管理] で、[コンテンツ ハブ] を選択します。

    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[コンテンツ管理]>[コンテンツ ハブ] を選びます。

  2. 脅威インテリジェンス ソリューションを見つけて選択します。

  3. [インストール/更新] ボタンを選択します。

ソリューション コンポーネントを管理する方法の詳細については、すぐに使えるコンテンツの検出とデプロイに関するページを参照してください。

脅威インテリジェンス - TAXII データ コネクタを有効にする

TAXII データ コネクタを構成するには:

  1. [ データ コネクタ ] メニューを選択します。

  2. [脅威インテリジェンス - TAXII] データ コネクタを見つけて選択し、次に [コネクタ ページを開く] を選択します。

    TAXII データ コネクタが一覧表示されたデータ コネクタ ページを表示するスクリーンショット。

  3. [フレンドリ名] テキスト ボックスに、この TAXII サーバー コレクションの名前を入力します。 [API ルート URL][コレクション ID][ユーザー名] (必要な場合)、[パスワード] (必要な場合) のテキスト ボックスに入力します。 インジケーターのグループと、必要なポーリング頻度を選択します。 [追加]を選択します。

    TAXII サーバーの構成を示すスクリーンショット。

TAXII サーバーへの接続が正常に確立されたことを確認するメッセージが表示されます。 1 つ以上の TAXII サーバーから複数のコレクションに接続する場合は、最後の手順を必要な回数繰り返します。

数分以内に、脅威インジケーターが Microsoft Azure Sentinel ワークスペースに送られるようになります。 [脅威インテリジェンス] ウィンドウで新しいインジケーターを見つけます。 Microsoft Sentinel メニューからアクセスできます。

Microsoft Sentinel TAXII クライアントの IP 許可リスト

FS-ISAC などの一部の TAXII サーバーには、Microsoft Sentinel TAXII クライアントの IP アドレスを許可リストに保持するという要件があります。 ほとんどの TAXII サーバーには、この要件はありません。

該当する場合、以下の IP アドレスを許可リストに含めてください。

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

脅威インテリジェンスを有効にする - TAXII Export データ コネクタ

TAXII データ コネクタを構成するには:

  1. Microsoft Sentinel に最新バージョンの脅威インテリジェンス ソリューションがあることを確認します。 詳細については、「 Microsoft Sentinel での脅威インテリジェンス ソリューションのインストール」を参照してください。

  2. [ データ コネクタ ] メニューを選択します。

  3. 脅威インテリジェンス - TAXII エクスポート データ コネクタを選択し、サイドウィンドウで コネクタ ページを開くを選択します。

    TAXII エクスポート データ コネクタが一覧表示されている [データ コネクタ] ページを示すスクリーンショット。

  4. 脅威インテリジェンスの [TAXII エクスポート] ページの [構成] 領域で、次の操作を行います。

    • [サーバーのフレンドリ名] テキスト ボックスに、この TAXII サーバー コレクションの名前を 入力します。
    • API ルート URLコレクション ID のテキスト ボックスに入力します。 詳細については、「 TAXII サーバー API のルートとコレクション ID を取得する」を参照してください。
    • [認証の種類] ドロップダウンから基本認証または API キーを選択し、関連する認証の詳細を指定します。
    • [ ルールの有効化] を 選択して、コネクタ ページで説明されている規則をエクスポートされたすべての脅威インテリジェンスに適用します。

    例えば次が挙げられます。

    現在、既存のコネクタの編集はサポートされていません。 TAXII サーバーまたはその規則の構成を変更するには、コネクタを再インストールします。

  5. [ 追加] を選択してサーバーを追加します。

脅威インテリジェンスの IP 許可リスト - TAXII エクスポート コネクタ

次の IP アドレスを許可リストに追加して、エクスポート操作がブロックされないようにします。

  • 68.218.134.151
  • 4.237.173.121
  • 68.218.191.192
  • 68.218.191.208
  • 74.163.73.85
  • 74.163.73.84
  • 108.140.47.197
  • 108.140.47.196
  • 130.107.0.17
  • 130.107.0.16
  • 52.242.47.153
  • 52.242.47.152
  • 4.186.93.129
  • 4.186.93.128
  • 57.158.18.39
  • 57.158.18.38
  • 128.203.32.17
  • 20.232.93.192
  • 128.24.7.173
  • 128.24.7.172
  • 4.251.60.81
  • 4.251.60.80
  • 20.111.81.65
  • 20.111.81.64
  • 20.218.50.5
  • 20.218.50.4
  • 72.144.227.117
  • 72.144.227.116
  • 51.4.37.231
  • 20.217.163.215
  • 72.146.91.160
  • 4.232.40.176
  • 74.176.2.247
  • 74.176.2.246
  • 74.226.38.228
  • 4.190.136.176
  • 4.181.55.53
  • 4.181.55.52
  • 20.200.167.49
  • 20.200.167.48
  • 4.207.244.69
  • 132.164.237.192
  • 4.235.51.87
  • 4.235.51.86
  • 51.120.182.208
  • 4.220.173.230
  • 4.171.25.225
  • 4.171.25.224
  • 4.253.54.45
  • 4.253.54.44
  • 172.209.40.109
  • 172.209.40.108
  • 172.188.182.119
  • 172.188.182.118
  • 20.207.217.212
  • 74.224.83.8
  • 135.225.179.229
  • 135.225.179.228
  • 20.91.127.183
  • 20.91.127.182
  • 4.226.56.22
  • 74.242.228.97
  • 74.242.60.137
  • 74.242.4.65
  • 74.243.66.228
  • 74.243.66.227
  • 74.243.225.230
  • 74.243.225.229
  • 74.177.108.204
  • 172.187.102.73
  • 51.142.135.18
  • 51.142.135.17
  • 50.85.238.240
  • 132.220.84.130
  • 172.184.49.127
  • 172.184.49.126
  • 4.149.254.64
  • 172.179.34.64

関連コンテンツ

このドキュメントでは、TAXII プロトコルを使用して Microsoft Sentinel を脅威インテリジェンス フィードに接続する方法について学習しました。 Microsoft Sentinel での脅威インテリジェンスの操作の詳細については、次の記事を参照してください。