次の方法で共有

脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

このデータ コネクタは非推奨となり、 2026 年 4 月にデータの収集が停止されます。 新しい脅威インテリジェンス アップロード インジケーター API データ コネクタにできるだけ早く移行して、データ収集を中断しないようにすることをお勧めします。 詳細については、「 アップロード API を使用して脅威インテリジェンス プラットフォームを Microsoft Sentinel に接続する」を参照してください

多くの組織では、脅威インテリジェンス プラットフォーム (TIP) ソリューションを使って、さまざまなソースからの脅威インジケーター フィードを集約しています。 集計されたフィードから、データがキュレーションされ、ネットワーク デバイス、EDR/XDR ソリューション、Microsoft Sentinel などのセキュリティ情報およびイベント管理 (SIEM) ソリューションなどのセキュリティ ソリューションに適用されます。 TIP データ コネクタを使用すると、これらのソリューションを使用して、脅威インジケーターを Microsoft Sentinel にインポートできます。

TIP データ コネクタは Microsoft Graph Security tiIndicators API と連携してこのプロセスを実現するため、コネクタを使用して、その API と通信できる他のカスタム TIP から Microsoft Sentinel (および Defender XDR などの他の Microsoft セキュリティ ソリューション) にインジケーターを送信できます。

脅威インテリジェンスのインポート パスを示すスクリーンショット。

米国政府機関向けクラウドでの機能の可用性の詳細については、米国 政府のお客様向けのクラウド機能の可用性に関する Microsoft Sentinel テーブルを参照してください。

Microsoft Sentinel の 脅威インテリジェンス の詳細と、特に Microsoft Sentinel と統合できる TIP 製品 について説明します。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

前提条件

  • コンテンツ ハブにスタンドアロン コンテンツまたはソリューションをインストール、更新、削除するには、リソース グループ レベルで Microsoft Sentinel 共同作成者ロールが必要です。
  • TIP 製品または Microsoft Graph TI Indicators API との直接統合を使用するその他のカスタム アプリケーションにアクセス許可を付与するには、セキュリティ管理者 Microsoft Entra ロール、または同等のアクセス許可が必要です。
  • 脅威インジケーターを保存するには、Microsoft Azure Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

手順

統合された TIP またはカスタム脅威インテリジェンス ソリューションから Microsoft Sentinel に脅威インジケーターをインポートするには、次の手順に従います。

  1. Microsoft Entra ID からアプリケーション ID とクライアント シークレットを取得します。
  2. この情報を TIP ソリューションまたはカスタム アプリケーションに入力します。
  3. Microsoft Sentinel で TIP データ コネクタを有効にします。

Microsoft Entra ID からアプリケーション ID とクライアント シークレットにサインアップします

TIP を使用しているか、カスタム ソリューションを使用しているかにかかわらず、tiIndicators API では、フィードを接続して脅威インジケーターを送信できるようにするための基本的な情報が必要になります。 次の 3 つの情報が必要になります。

  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID
  • クライアント シークレット

この情報は、アプリの登録を通じて Microsoft Entra ID から取得できます。これには、次の 3 つの手順が含まれます。

  • アプリを Microsoft Entra ID に登録します。
  • アプリから Microsoft Graph tiIndicators API に接続して脅威インジケーターを送信するために必要な、アクセス許可を指定します。
  • これらのアクセス許可をこのアプリケーションに付与するために、組織から同意を得ます。

演Microsoft Entra ID でアプリケーションを登録する

  1. Azure portal で、 Microsoft Entra ID に移動します。

  2. メニューの [ アプリの登録] を選択し、[ 新しい登録] を選択します。

  3. アプリケーション登録の名前を選択し、[ シングル テナント] を選択して、[ 登録] を選択します。

    アプリケーションの登録を示すスクリーンショット。

  4. 開いた画面で、 アプリケーション (クライアント) IDディレクトリ (テナント) ID の値を コピーします。 これら 2 つの情報は、Microsoft Sentinel に脅威インジケーターを送信する TIP またはカスタム ソリューションを構成するために後で必要になります。 必要な 3 番目の情報であるクライアント シークレットは、後で提供されます。

アプリケーションに必要なアクセス許可を指定する

  1. Microsoft Entra ID のメイン ページに戻ります。

  2. メニューで [ アプリの登録] を選択し、新しく登録したアプリを選択します。

  3. メニューの [>。

  4. [ API の選択 ] ページ で、Microsoft Graph API を選択します。 次に、Microsoft Graph のアクセス許可の一覧から選択します。

  5. プロンプトで、 アプリケーションに必要なアクセス許可の種類を選択します。アプリケーションの アクセス許可を選択します。 このアクセス許可は、アプリ ID とアプリ シークレット (API キー) で認証するアプリケーションで使用される種類です。

  6. ThreatIndicators.ReadWrite.OwnedBy を選択し、[アクセス許可の追加] を選択して、このアクセス許可をアプリのアクセス許可の一覧に追加します。

    アクセス許可の指定を示すスクリーンショット。

  1. 同意を付与するには、特権ロールが必要です。 詳細については、「アプリケーションに テナント全体の管理者の同意を付与する」を参照してください。

    同意の付与を示すスクリーンショット。

  2. アプリに同意が付与されると、[ 状態] に緑色のチェック マークが表示されます。

アプリが登録され、アクセス許可が付与されたら、アプリのクライアント シークレットを取得する必要があります。

  1. Microsoft Entra ID のメイン ページに戻ります。

  2. メニューで [ アプリの登録] を選択し、新しく登録したアプリを選択します。

  3. メニューの [ 証明書とシークレット] を選択します。 次に、[ 新しいクライアント シークレット ] を選択して、アプリのシークレット (API キー) を受け取ります。

    クライアント シークレットの取得を示すスクリーンショット。

  4. [ 追加] を選択し、クライアント シークレットをコピーします。

    重要

    クライアント シークレットは、このページから離れる前にコピーする必要があります。 このページから離れた場合、このシークレットを再度取得することはできません。 TIP またはカスタム ソリューションを構成するときに、この値が必要になります。

この情報を TIP ソリューションまたはカスタム アプリケーションに入力する

以上で、Microsoft Sentinel に脅威インジケーターを送信するための TIP またはカスタム ソリューションの構成に必要な 3 つの情報がすべて揃いました。

  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID
  • クライアント シークレット

必要に応じて、統合された TIP またはカスタム ソリューションの構成に、これらの値を入力します。

  1. ターゲット製品の場合は、 Azure Sentinel を指定します。 ( Microsoft Sentinel を指定するとエラーが発生します)。

  2. アクションには、アラートを指定 します

この構成が完了すると、TIP またはカスタム ソリューションから、Microsoft Graph tiIndicators API を介して、Microsoft Sentinel に向けて脅威インジケーターが送信されます。

Microsoft Sentinel で TIP データ コネクタを有効にする

統合プロセスの最後の手順は、Microsoft Sentinel で TIP データ コネクタを有効にすることです。 コネクタを有効にすると、TIP またはカスタム ソリューションから送信された脅威インジケーターを Microsoft Sentinel で受信できます。 これらのインジケーターは、組織のすべての Microsoft Sentinel ワークスペースで使用できます。 ワークスペースごとに TIP データ コネクタを有効にするには、次の手順に従います。

  1. Azure portal の Microsoft Sentinel の場合、[コンテンツ管理] で [コンテンツ ハブ] を選択します。
    Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Content 管理>Content ハブを選択します

  2. 脅威インテリジェンス ソリューションを見つけて選択します。

  3. Install/Update ボタンを選択します。

    ソリューション コンポーネントを管理する方法の詳細については、「すぐに使用できる コンテンツの検出と展開」を参照してください。

  4. TIP データ コネクタを構成するには、 Configuration>Data コネクタを選択します

  5. 脅威インテリジェンス プラットフォーム - 非推奨データ コネクタを見つけて選択し、[コネクタを開く] ページを選択します。

  6. 既にアプリの登録を完了し、脅威インジケーターを送信するように TIP またはカスタム ソリューションを構成しているため、残りの手順は [接続] を選択することだけです。

数分以内に、脅威インジケーターが Microsoft Sentinel ワークスペースに送られるようになります。 新しいインジケーターは、Microsoft Sentinel メニューからアクセスできる [脅威インテリジェンス ] ウィンドウで確認できます。

関連するコンテンツ

この記事では、TIP を Microsoft Sentinel に接続する方法について説明しました (ここで使用した方法は非推奨となる予定です)。 推奨される方法を使用して TIP を接続するには、「 TIP とアップロード API を接続する」を参照してください。

  • Last updated on