Microsoft Graph Security Alerts インテグレーションガイド

以下の手順は、Microsoft Graph Security API Alert ログを Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。詳細については、Microsoft Graph Security API の概要 をご参照ください。

Graph Security API Alerts エンドポイントからのセキュリティアラート

Microsoft は多くの製品にわたりセキュリティ分析を実装しています。XDR は、これらの Microsoft アラートをリアルタイムで取得し、XDR 上で検知として表示します。

これらのアラートには、以下が含まれます：

• Microsoft Defender for Cloud
• Azure Active Directory Identity Protection
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Office 365
  • デフォルトのアラートポリシー
  • Cloud App Security
  • カスタムアラート
• Azure Information Protection
• Azure Sentinel

注意

Microsoft Defender for Identity のアラートは、Microsoft Defender for Cloud Apps インテグレーションを通じて利用可能です。Unified SecOps に参加し、Microsoft Defender for Identity を Microsoft Defender for Cloud Apps に接続している場合のみ、Microsoft Defender for Identity のアラートを受信できます。詳細は Microsoft Defender for Identity と Microsoft Defender for Cloud Apps の統合方法 をご覧ください。

アラートは Microsoft REST API を用いてポーリング方式で取り込まれ、新しいデータは毎分リクエストされます。データの可用性については、Office 365 および Azure のデータ可用性 をご参照ください。

注意

XDR は Graph Security API から提供されるアラートを中継します。これには、エンリッチメントやコンテキスト、独自分析に必要な生のテレメトリーは含まれません。アラートのみのインテグレーションは シングルペインビュー を提供しますが、詳細な分析に必要な情報は含まれていません。可能な場合は、アラートのサポートテレメトリーが利用可能なインテグレーションを追加することを推奨します。アラートとテレメトリーの両方を含む XDR のインテグレーションについては、除外 セクションをご参照ください。

これらのセキュリティ製品の利用可否は、お客様が保有する Microsoft サブスクリプションやライセンス、XDR へのアクセス権限によって異なります。詳細は https://docs.microsoft.com/ja-jp/graph/api/resources/security-api-overview?view=graph-rest-1.0 をご参照ください。

注意

Office 365 から発生する一部のアラートは、O365 Management と MS Graph Security の両方のデータに表示される場合があります。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Graph Security			CloudAudit, Thirdparty

Microsoft Graph Security API インテグレーション手順

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. 最適化されたタブから Office 365/Azure を選択します。

4. Graph Security ボックスで 認可 を選択します。

   

   Graph Security Integration

5. Microsoft の ID プロバイダーにリダイレクトされ、アクセス許可の同意を求められます。統合する Entra テナントに対して テナント全体の管理者同意を付与 できるユーザーでログインし、表示される権限を承認して XDR へのアクセスを許可してください。

6. 同意プロセスが成功すると、XDR にリダイレクトされます。

   

   Complete Graph Security Integration

   • インテグレーションの名前を入力します。デフォルト値は Microsoft テナントIDですが、任意の名前に変更可能です。
   • （オプション） ログ収集を除外したい Microsoft Graph Security プロバイダーを選択します。ログ収集を除外すると、XDR が実行するAPIクエリで、チェックしたプロバイダーのデータは明示的にリクエストされません。そのため、これらのプロバイダーの Graph Security アラートは XDR で利用できなくなります。アラートが他の方法で XDR に取り込まれている場合は、プロバイダーを除外してください。

   重要

   Defender ベースのプロバイダー（「Microsoft Defender ATP」および「Microsoft 365 Defender」）を除外すると、テナントに Microsoft Defender for Endpoint インテグレーションが存在する場合、XDR での重複検知を防ぐことができます。 Entra Identity ベースの検知（「IPC」）を除外すると、テナントに Microsoft Entra Risk Detection インテグレーションが存在する場合、XDR での重複検知を防ぐことができます。

   Microsoft プロバイダー	XDR 検知機名
   ASC	Azure Security Center
   MCAS	Microsoft Cloud App Security
   IPC	Azure Active Directory Identity Protection
   Microsoft Sentinel	Microsoft Sentinel
   Microsoft Defender ATP	Microsoft Defender ATP
   Azure Advanced Threat Protection	Azure Advanced Threat Protection
   Microsoft 365 Defender	Microsoft 365 Defender
   Office 365 Security and Compliance	Microsoft Office 365 Security and Compliance

7. 完了 を選択して、XDR とのインテグレーションを完了します。

クエリ言語を用いた詳細検索

クエリ言語検索例

Azure Security Center (ASC) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Security Center'

Microsoft Cloud App Security (MCAS) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Cloud App Security'

Azure Active Directory Identity Protection (IPC) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Active Directory Identity Protection'

Microsoft Sentinel (Microsoft Sentinel) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Sentinel'

Microsoft Defender ATP (Microsoft Defender ATP) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Defender ATP'

Azure Advanced Threat Protection (Azure Advanced Threat Protection) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Azure Advanced Threat Protection'

Microsoft 365 Defender (Microsoft 365 Defender) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft 365 Defender'

Microsoft Office 365 Security and Compliance (Microsoft Office 365 Security and Compliance) の検知を検索するには：

FROM detection WHERE sensor_types = 'MICROSOFT_GRAPH_ALERTS' AND detector_name = 'Microsoft Office 365 Security and Compliance'