Microsoft Graph Security API v1 インテグレーションガイド

以下の手順は、Microsoft Graph Security API AlertログをSecureworks® Taegis™ XDRに取り込むためのインテグレーション設定方法です。詳細については、Microsoft Graph Security API の概要をご参照ください。

注意

これらの手順はMicrosoft Graph Security API v1インテグレーション用です。Microsoftはv1バージョンを非推奨とし、2026年4月までに廃止予定です。Microsoft Graph Security API v2インテグレーションのご利用を推奨します。

Graph Security API Alertsエンドポイントからのセキュリティアラート

Microsoftは多くの製品でセキュリティ分析を実装しています。XDRは、これらのMicrosoftアラートをリアルタイムで取得し、XDR内で検出として表示します。

これらのアラートには以下が含まれます：

• Microsoft Defender for Cloud
• Azure Active Directory Identity Protection
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Office 365
  • デフォルトのアラートポリシー
  • Cloud App Security
  • カスタムアラート
• Azure Information Protection
• Azure Sentinel

注意

Microsoft Defender for Identityのアラートは、Microsoft Defender for Cloud Appsインテグレーションを通じて利用可能です。Unified SecOpsに参加し、Microsoft Defender for IdentityをMicrosoft Defender for Cloud Appsに接続している場合のみ、Microsoft Defender for Identityのアラートを受信できます。Microsoft Defender for IdentityとMicrosoft Defender for Cloud Appsの連携方法をご参照ください。

アラートはMicrosoft REST APIを用いてポーリング方式で取り込まれ、新しいデータは毎分リクエストされます。データの可用性については、Office 365およびAzureデータの可用性をご参照ください。

注意

XDRはGraph Security APIから提供されるアラートのみを中継します。これには、エンリッチメントやコンテキスト、独自分析に必要な生テレメトリーは含まれません。アラートのみのインテグレーションは_シングルペインオブグラス_ビューを提供しますが、詳細な分析に必要な情報は含まれません。可能な場合は、アラートのサポートテレメトリーが利用可能なインテグレーションを追加することを推奨します。アラートとテレメトリーの両方を含むインテグレーションの詳細は、除外セクションをご参照ください。

これらのセキュリティ製品の利用可否は、お客様が保有するMicrosoftサブスクリプションやライセンス、XDRへのアクセス許可に依存します。詳細はhttps://docs.microsoft.com/ja-jp/graph/api/resources/security-api-overview?view=graph-rest-1.0をご参照ください。

注意

Office 365発の一部アラートは、O365 ManagementとMS Graph Securityの両方のデータに現れる場合があります。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Graph Security API v1			CloudAudit, Thirdparty

Microsoft Graph Security API インテグレーション手順

1. Taegis Menuからインテグレーション → クラウドAPIを選択します。

2. ページ上部のインテグレーションの追加を選択します。

   

   インテグレーションの追加

3. 最適化されたタブからOffice 365/Azureを選択します。

4. Graph Securityボックスで認可を選択します。

   

   Graph Security Integration

5. MicrosoftのIDプロバイダーにリダイレクトされ、アクセス許可の同意を求められます。統合するEntraテナントに対してテナント全体の管理者同意を付与できるユーザーでログインし、表示される権限を承認してXDRへのアクセスを許可してください。

6. 同意プロセスが成功すると、XDRにリダイレクトされます。

   

   Complete Graph Security Integration

   • インテグレーション名を入力します。デフォルト値はMicrosoftテナントIDですが、任意の名称に変更可能です。
   • （任意） ログ収集を除外したいMicrosoft Graph Securityプロバイダーを選択します。ログ収集を除外すると、XDRが実行するAPIクエリで該当プロバイダーのデータは明示的にリクエストされません。そのため、これらのプロバイダーのGraph SecurityアラートはXDRで利用できなくなります。アラートが他の手段でXDRに取り込まれている場合は、プロバイダーを除外してください。

   重要

   Defender系プロバイダー（「Microsoft Defender ATP」および「Microsoft 365 Defender」）を除外すると、テナントにMicrosoft Defender for Endpointインテグレーションが存在する場合、XDRでの重複検知を防ぐことができます。 Entra Identity系検出（「IPC」）を除外すると、テナントにMicrosoft Entra Risk Detectionインテグレーションが存在する場合、XDRでの重複検知を防ぐことができます。

   Microsoftプロバイダー	XDR 検知機名
   ASC	Azure Security Center
   MCAS	Microsoft Cloud App Security
   IPC	Azure Active Directory Identity Protection
   Microsoft Sentinel	Microsoft Sentinel
   Microsoft Defender ATP	Microsoft Defender ATP
   Azure Advanced Threat Protection	Azure Advanced Threat Protection
   Microsoft 365 Defender	Microsoft 365 Defender
   Office 365 Security and Compliance	Microsoft Office 365 Security and Compliance

7. 完了を選択して、XDRとのインテグレーションを完了します。

クエリ言語を用いた詳細検索

Graph Security v1とv2イベントの区別

Graph Security v2イベントをすべて検索するには：

where ingest.product.name = 'GRAPH_ALERTS' and ingest.product.version = 'v2'

Graph Security v1イベントをすべて検索するには：

where ingest.product.name = 'GRAPH_ALERTS' and ingest.product.version = 'Legacy'

クエリ言語検索例

Azure Security Center (ASC) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Security Center'

Microsoft Cloud App Security (MCAS) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Cloud App Security'

Azure Active Directory Identity Protection (IPC) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Active Directory Identity Protection'

Microsoft Sentinel (Microsoft Sentinel) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Sentinel'

Microsoft Defender ATP (Microsoft Defender ATP) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Defender ATP'

Azure Advanced Threat Protection (Azure Advanced Threat Protection) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Advanced Threat Protection'

Microsoft 365 Defender (Microsoft 365 Defender) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft 365 Defender'

Microsoft Office 365 Security and Compliance (Microsoft Office 365 Security and Compliance) の検出を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Office 365 Security and Compliance'