Microsoft Graph Security API Alerts v2 トラブルシューティング

このドキュメントは、Microsoft Graph Security API Alerts v2 インテグレーションに関するトラブルシューティングガイドです。Microsoft Defender ポータルで表示されているアラートが Secureworks® Taegis™ XDR に取り込まれない場合の対応手順を含みます。

XDR でアラートが表示されない理由

Microsoftは、従来の Graph Security Alerts API（/security/alerts）から新しい Unified Alerts API（/security/alerts_v2）へ移行しました。これらのAPIは異なるバックエンドシステムからアラートを取得するため、それぞれのAPIで返されるアラートは必ずしも同一ではありません。

• 従来のアラートAPI は、Microsoft Graph Security フェデレーションレイヤーを通じて複数のセキュリティプロバイダーからアラートを集約します。
• alerts_v2 API は、Microsoft Defender XDR の統合アラートシステムからアラートを取得します。

そのため、従来のAPIで取得できるアラートは、該当するアラートプロバイダーがMicrosoft Defenderと正しく連携されていない限り、alerts_v2 には表示されません。

XDR で一貫したアラートの可視性を確保するには、すべてのセキュリティアラートプロバイダーがMicrosoft Defenderに接続されており、Defenderの統合アラート画面でアラートが表示されていることを確認してください。

サマリー

API	バックエンド	取得内容
従来の Graph alerts API (/security/alerts)	Microsoft Graph Security フェデレーションレイヤー	複数プロバイダーから集約されたアラート
Unified alerts API (/security/alerts_v2)	Microsoft Defender XDR 統合アラートシステム	Defender統合画面を通じて流れるアラート

このアーキテクチャの違いにより、すべてのアラートプロバイダーがMicrosoft Defenderと連携されていない限り、各APIで返されるアラートは必ずしも一致しません。

トラブルシューティング手順

ステップ1: Microsoft Defender へのアクセス確認

お客様のテナントがMicrosoft Defenderポータルにアクセスでき、アラートが生成されていることを確認してください。

1. Microsoft Defender ポータル を開きます。
2. Incidents & alerts > Alerts に移動します。
3. この画面でアラートが表示されていることを確認します。

ここでアラートが表示されていれば、適切なAPI権限が設定されている場合、Microsoft Graph Unified Alerts API（alerts_v2）でもアクセスできるはずです。

詳細はMicrosoftのドキュメントを参照してください：

• Microsoft Defender XDR ポータルの概要
• Microsoft Defender XDR でのアラートの調査

ステップ2: テナント内のセキュリティアラートプロバイダーの特定

Microsoft Graph Security APIは、複数のセキュリティサービスからアラートを集約します。例：

• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Cloud
• Microsoft Entra ID Protection

アラートが Microsoft Defender XDR と連携されていない プロバイダーから発生している場合、それらのアラートは従来のAPIには表示されますが、Unified Alerts APIには表示されません。

Microsoft Graph Security APIのアーキテクチャや対応プロバイダーについては、Use the Microsoft Graph security API を参照してください。

ステップ3: Defender ワークロードが接続されていることの確認

Microsoft Defender ポータル内で：

1. Settings に移動します。
2. ワークロードに応じて Endpoints、Identities、Cloud Apps、または Email & collaboration を選択します。
3. ワークロードが enabled または onboarded と表示されていることを確認します。

各Defenderワークロードが正しく設定され、アラートを生成している必要があります。これにより、統合アラートシステムにアラートが表示されます。

詳細はMicrosoftのドキュメントを参照してください：

• Microsoft Defender XDR の概要
• Microsoft Defender for Endpoint へのデバイスのオンボード
• Microsoft Defender for Office 365

ステップ4: DefenderとAPI間でのアラート比較

API取り込みを検証するには：

1. Microsoft Defender ポータルで Incidents & alerts > Alerts に移動します。
2. アラートを最近の期間でフィルタリングします。
3. API経由で XDR に取り込まれたアラートと、アラートIDやタイムスタンプを比較します。

この比較により、Defenderで表示されているアラートがMicrosoft Graph API経由でも取得できているかを確認できます。

エスカレーションが必要な場合

• Microsoft Defender ポータルで表示されているアラートが XDR に表示されない場合は、該当するアラートIDとタイムスタンプを添えてサポートにお問い合わせください。追加調査をサポートいたします。
• アラートがDefenderの統合アラートワークフローを通じて連携できないことが判明した場合は、Microsoft側の制限となるため、Microsoftにお問い合わせください。