Microsoft Graph Security API v1 インテグレーションガイド 🔗
このAPIはMicrosoftによって廃止されました
MicrosoftはGraph Security API v1エンドポイントの提供を終了し、XDRもこのAPIからのアラートの取り込みを停止しました。新たにv1インテグレーションを設定することはできません。
代わりにMicrosoft Graph Security API Alerts v2インテグレーションをご利用ください。v2インテグレーションが今後サポートされるパスであり、Microsoftが現在メンテナンスしているセキュリティ製品をカバーしています。
既存のGraph Security API v1インテグレーションは設定保持のため残されていますが、削除されるまで「異常」と表示されます。v1インテグレーションを削除するには、XDRのインテグレーション > クラウドAPIに移動し、該当インテグレーションを削除してください。
過去のv1検出の検索🔗
v1の取り込みは停止しましたが、API廃止前に収集された検出はXDRで引き続き検索可能です。過去のv1データを確認する際は、以下のリファレンスを利用してください。
すべてのGraph Security v1イベントを返すには:
where ingest.product.name = 'GRAPH_ALERTS' and ingest.product.version = 'Legacy'
特定のMicrosoftプロバイダーによる過去のv1検出をフィルタするには、下記の表に記載されたdetector_name値を使用してください。例えば、Microsoft 365 Defenderの検出を検索する場合:
FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft 365 Defender'
MicrosoftプロバイダーとXDR検知機名のマッピング🔗
| Microsoftプロバイダー | XDR 検知機名 |
|---|---|
| ASC | Azure Security Center |
| MCAS | Microsoft Cloud App Security |
| IPC | Azure Active Directory Identity Protection |
| Microsoft Sentinel | Microsoft Sentinel |
| Microsoft Defender ATP | Microsoft Defender ATP |
| Azure Advanced Threat Protection | Azure Advanced Threat Protection |
| Microsoft 365 Defender | Microsoft 365 Defender |
| Office 365 Security and Compliance | Microsoft Office 365 Security and Compliance |
注意
上記のMicrosoftプロバイダー名の一部は、現在リブランドされています。例えば、ASCは現在Microsoft Defender for Cloud、MCASはMicrosoft Defender for Cloud Appsとなっています。表記されている値は、取り込み時に検出へ保存された元のGraph Security v1プロバイダー文字列であり、過去データを検索する際に使用すべき値です。