Microsoft Entraリスク検出インテグレーションガイド🔗
以下の手順は、Microsoft Entraリスク検出ログをSecureworks® Taegis™ XDRに取り込むためのインテグレーション設定方法です。詳細については、Entra Identity Protection Risk Detection Overviewをご参照ください。
重要
このインテグレーションには、Microsoft Entraのプレミアムライセンスが必要です。
XDRは、Entraログのインテグレーション方法として2つのパスをサポートしています。
- (推奨) Azure Event Hubs経由で連携 — このオプションは、最速かつ最大スループットのデータ連携が可能なため推奨されますが、有効化には追加のコストが発生する場合があります。
- Microsoft Graph API(REST)経由で連携 — このオプションはEvent Hubsと同等のデータを提供しますが、RESTベースAPIのポーリング特性およびMicrosoftのレート制限により、データ収集の速度に制限が生じる場合があります。ポーリング運用の詳細はOffice 365およびAzureデータ可用性をご参照ください。
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| MS Azure Active Directory Identity Protection | CloudAudit, Thirdparty |
Event Hubsインテグレーションの開始🔗
Event Hubs経由で連携するには、Event Hubを利用したEntraのインテグレーション手順に従ってください。
Microsoft Graph APIインテグレーションの開始🔗
Entra Identity Protection — リスク検出🔗
-
Taegis Menuからインテグレーション → クラウドAPIを選択します。
-
ページ上部のインテグレーションの追加を選択します。
インテグレーションの追加 -
最適化タブからOffice 365/Azureを選択します。
- Azure Active Directory Identity Protection - Risk Detectionのボックスで認可を選択します。
- MicrosoftのIDプロバイダーにリダイレクトされ、アクセス許可の同意を求められます。インテグレーション対象のEntraテナントに対してテナント全体の管理者同意を付与できるユーザーでログインし、表示される権限を承認してXDRへのアクセスを許可してください。
- 同意プロセスが成功すると、XDRにリダイレクトされます。インテグレーション名を入力します(デフォルト値はMicrosoftテナントIDですが、任意の名称に変更可能です)。
-
完了をクリックして、XDRとのインテグレーションを完了します。
注意
Active Directory Identity Protection — Risk Detectionインテグレーションでは、Azure Tenant IDが同じでも、各リスク検出インテグレーションに一意の名称を付けることで複数のインテグレーションが可能です。
リスク検出