Microsoft Graph Security API v2 インテグレーションガイド

以下の手順は、Microsoft Graph Security API v2 ログのインテグレーションを構成し、Secureworks® Taegis™ XDR への取り込みを容易にするためのものです。詳細については、Microsoft Graph Security API の概要 を参照してください。

重要

これらの手順は、Alerts v2 (アラートとインシデント) を使用する Microsoft Graph Security API v2 インテグレーション用です。Microsoft は v1 バージョンを非推奨とし、2026年4月までに廃止する予定です。このバージョンのインテグレーションを推奨します。

重要

現在 Graph Security API v1 インテグレーションを利用している場合は、v1 と v2 のカバレッジの違いを確認し、v1 で利用可能だが v2 では利用できない機能がないかご確認ください。両 API は機能的に同等ではありません。

既知のカバレッジギャップ

レガシーインテグレーションが v2 よりも包括的なデータを提供する領域は以下の通りです：

• Entra Identity Protection: レガシーインテグレーションは v2 よりも広範なデータカバレッジを提供します。このギャップに対応するため、お客様は補完的なデータソースとして Microsoft Risk Detections インテグレーション の利用を検討できます。
• O365 Security and Compliance: レガシーインテグレーションは v2 よりも詳細な情報を提供します。この領域でより広範なカバレッジを得るには、Microsoft O365 Management API インテグレーション を v2 と併用することを検討してください。

その他の考慮事項

v2 とのすべてのプロバイダーステートやカバレッジの違いを網羅したリストは保持していません。Microsoft のスキーマやサポートモデルは頻繁に変更されるためです。

プロバイダーのカバレッジや機能の違いに関する具体的なご質問は、API プロバイダーである Microsoft へ直接お問い合わせください。

Graph Security API v2 エンドポイントからのセキュリティアラート

Microsoft は多様な製品でセキュリティ分析を実装しています。XDR は、これらの Microsoft アラートをリアルタイムで取得し、XDR 上で検出として表示します。

これらのアラートには以下が含まれます：

• Microsoft Entra ID Protection
• Microsoft 365 Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Defender for Office 365
• Microsoft Purview Data Loss Prevention
• Microsoft Purview Insider Risk Management

注意

Microsoft Defender for Identity のアラートは Microsoft Defender for Cloud Apps インテグレーション経由で利用可能です。つまり、Unified SecOps に参加し、Microsoft Defender for Identity を Microsoft Defender for Cloud Apps に接続している場合のみ、Microsoft Defender for Identity のアラートを受信できます。詳しくは Microsoft Defender for Identity と Microsoft Defender for Cloud Apps の連携方法 をご覧ください。

アラートは Microsoft REST API を用いてポーリング方式で取り込まれ、新しいデータは毎分リクエストされます。データの可用性については Office 365 および Azure データの可用性 を参照してください。

注意

XDR は Graph Security API から提供されるアラートのみを中継します。これは、エンリッチメントやコンテキスト、独自分析に必要な生テレメトリーを含みません。アラートのみのインテグレーションは シングルペインオブグラス のビューを提供しますが、詳細な分析に必要な情報は含まれません。可能な場合は、アラートのサポートテレメトリーが利用可能なインテグレーションの追加を推奨します。

これらのセキュリティ製品の利用可否は、お客様が保有する Microsoft サブスクリプションやライセンス、XDR へのアクセス許可に依存します。詳細は Microsoft Graph security API の利用 をご覧ください。

注意

Office 365 由来の一部アラートは、O365 Management および MS Graph Security の両方のデータに現れる場合があります。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Graph Security API v2			Antivirus, CloudAudit, Email, Thirdparty

Microsoft Graph Security API v2 インテグレーション手順

Azure でアプリケーションを登録

1. アプリケーションを登録 します（Azure ポータル）。

   • 名前 — 任意の説明的な文字列
   • サポートされるアカウントの種類 — この組織ディレクトリ内のアカウントのみ

   注意

   以下の値は XDR でインテグレーションを作成する際に使用するため、記録してください：

   • ディレクトリ (テナント) ID
   • アプリケーション (クライアント) ID

2. アプリケーションの権限を構成 します。必要な権限は以下の通りです：

   • SecurityAlert.Read.All（アプリケーション権限）
   • SecurityIncident.Read.All（アプリケーション権限）
   • User.Read（MS Graph に自動的に委任される権限）

   

   API Permissions

3. Grant admin consent for <Azure tenant name> をクリックします。

4. 証明書をアップロード して、アプリケーションの 認証情報 を提供します。

重要

証明書は有効期限があり、Microsoft Entra ID および XDR の両方で、期限切れ前に更新が必要です。継続的な機能維持のため、必ず更新してください。

重要

XDR は Privacy-Enhanced Mail (PEM) 形式のみをサポートします。PEM 形式の詳細は RFC 7468 を参照してください。

暗号化キーおよびクライアントシークレットは サポートされていません。

注意

自己署名証明書もサポートされています。

PowerShell または OpenSSL を使用して自己署名 PEM（.pem 拡張子）証明書を生成するには、以下のいずれかのコマンドを使用してください：

PowershellOpenSSL

# Prompt user for input

$certname = Read-Host -Prompt "Enter certificate name"
$keyname = Read-Host -Prompt "Enter key name"
$mypwd = Read-Host -Prompt "Enter password" -AsSecureString
$location = Read-Host -Prompt "Enter location"
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-PfxCertificate -Cert $cert -FilePath "$location\$certname.pfx" -Password $mypwd
Install-Module -Name PSPKI -Scope CurrentUser
Import-Module -Name PSPKI
Convert-PfxToPem -InputFile "$location\$certname.pfx" -Outputfile "$location\$certname.pem"
# Read the PEM file content

$pemContent = Get-Content "$location\$certname.pem" -Raw
# Extract private key and certificate

$privateKey = $pemContent -replace "(?ms).*?(-----BEGIN PRIVATE KEY-----.+?-----END PRIVATE KEY-----).*", '$1'
$certificate = $pemContent -replace "(?ms).*?(-----BEGIN CERTIFICATE-----.+?-----END CERTIFICATE-----).*", '$1'
# Save private key and certificate to separate files

$privateKey | Set-Content "$location\$keyname.pem"
$certificate | Set-Content "$location\$certname.pem"
Write-Host "Files located at: $location"
pause

注意

上記のコードをテキストファイルにコピー＆ペーストし、.ps1 拡張子（例：CertGen.ps1）で保存して PowerShell で実行してください。

注意

使用している PowerShell のバージョンによっては、-Subject でエラーが発生する場合、-Subject を -SubjectName に置き換える必要があります。

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

XDR でインテグレーションを追加

1. Taegis Menu から インテグレーション → クラウドAPI に移動します。

2. ページ上部の インテグレーションの追加 をクリックします。

   

   Add an Integration

3. 最適化された タブから Office 365/Azure をクリックします。

   

   Create the Integration

4. Graph Security API v2 の下で セットアップ を選択します。

5. インテグレーションの 名前 を入力します。任意の文字列で構いません。
6. Register an Application in Azure セクションの 手順1 で取得した テナントID と アプリケーションクライアントID を入力します。
7. 証明書と関連する秘密鍵をアップロードします。
8. 完了 を選択して XDR とのインテグレーションを完了します。

クエリ言語を用いた詳細検索

Graph Security v1 と v2 イベントの区別

すべての Graph Security v2 イベントを検索するには：

where ingest.product.name = 'GRAPH_ALERTS' and ingest.product.version = 'v2'

すべての Graph Security v1 イベントを検索するには：

where ingest.product.name = 'GRAPH_ALERTS' and ingest.product.version = 'Legacy'