Microsoft Entra リスク検出インテグレーションガイド🔗

以下の手順は、Microsoft Entra リスク検出ログを Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。詳細については、Entra Identity Protection Risk Detection Overview をご参照ください。

重要

このインテグレーションには、Microsoft Entra のプレミアムライセンスが必要です。

XDR では、Entra ログのインテグレーション方法として2つのパスをサポートしています：

（推奨） Azure Event Hubs 経由で連携 — このオプションは、最速かつ最大スループットのデータ連携が可能なため推奨されますが、有効化には追加のコストが発生する場合があります。
Microsoft Graph API（REST）経由で連携 — このオプションは Event Hubs と同等のデータを提供しますが、RESTベースAPIのポーリング方式およびMicrosoftのレート制限により、データ収集の速度に制限がある場合があります。ポーリング運用の詳細は Office 365 および Azure データ可用性をご参照ください。

インテグレーションから提供されるデータ🔗

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Active Directory Identity Protection			CloudAudit, Thirdparty

Event Hubs インテグレーションの開始🔗

Event Hubs 経由で連携するには、Event Hub を利用した Entra のインテグレーション手順に従ってください。

Azure でアプリケーションを登録🔗

アプリケーションを登録します（Azure ポータル）。
- 名前 — 任意の説明的な文字列
- サポートされるアカウントの種類 — この組織ディレクトリ内のアカウントのみ
注意

以下の値は XDR でインテグレーションを作成する際に使用するため、記録してください：
- ディレクトリ（テナント）ID
- アプリケーション（クライアント）ID
アプリケーションの権限を構成します。以下の権限が必要です：
- IdentityRiskEvent.Read.All（アプリケーション権限）
Grant admin consent for <Azure tenant name> をクリックします。
証明書をアップロードして、アプリケーションの認証情報を提供します。

重要

証明書は有効期限があり、Microsoft Entra ID および XDR の両方で、期限切れ前に更新が必要です。継続的な機能維持のため、必ず更新してください。

重要

XDR では、Privacy-Enhanced Mail（PEM）形式のみサポートしています。PEM 形式の詳細は RFC 7468 をご参照ください。

暗号化されたキーおよびクライアントシークレットは サポートされていません。

注意

自己署名証明書もサポートされています。

PowerShell または OpenSSL を使用して自己署名の PEM（.pem 拡張子）証明書を生成するには、以下のいずれかのコマンドを使用してください：

PowershellOpenSSL

# Prompt user for input

$certname = Read-Host -Prompt "Enter certificate name"
$keyname = Read-Host -Prompt "Enter key name"
$mypwd = Read-Host -Prompt "Enter password" -AsSecureString
$location = Read-Host -Prompt "Enter location"
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-PfxCertificate -Cert $cert -FilePath "$location\$certname.pfx" -Password $mypwd
Install-Module -Name PSPKI -Scope CurrentUser
Import-Module -Name PSPKI
Convert-PfxToPem -InputFile "$location\$certname.pfx" -Outputfile "$location\$certname.pem"
# Read the PEM file content

$pemContent = Get-Content "$location\$certname.pem" -Raw
# Extract private key and certificate

$privateKey = $pemContent -replace "(?ms).*?(-----BEGIN PRIVATE KEY-----.+?-----END PRIVATE KEY-----).*", '$1'
$certificate = $pemContent -replace "(?ms).*?(-----BEGIN CERTIFICATE-----.+?-----END CERTIFICATE-----).*", '$1'
# Save private key and certificate to separate files

$privateKey | Set-Content "$location\$keyname.pem"
$certificate | Set-Content "$location\$certname.pem"
Write-Host "Files located at: $location"
pause

注意

上記のコードをテキストファイルにコピー＆ペーストし、ファイルを .ps1 拡張子（例：CertGen.ps1）で保存して、PowerShell でスクリプトを実行してください。

注意

使用している PowerShell のバージョンによっては、-Subject でエラーが発生する場合、-Subject を -SubjectName に置き換えてください。

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

XDR でインテグレーションを追加🔗

Taegis Menu から インテグレーション → クラウドAPI に移動します。
ページ上部の インテグレーションの追加 をクリックします。

インテグレーションの追加
最適化された タブから Office 365/Azure をクリックします。
Azure Active Directory Identity Protection - Risk Detection の下にある セットアップ を選択します。
インテグレーションの名前を入力します。任意の文字列で構いません。
Register an Application in Azure セクションの手順1 で取得した テナントID と アプリケーションクライアントID を入力します。
証明書と関連する秘密鍵をアップロードします。
完了を選択して、XDR とのインテグレーションを完了します。