Microsoft Defender for Endpoint データ・ソースへの接続

オンライン編集

Microsoft Defender for Endpoint データ・ソースをプラットフォームに接続して、アプリケーションおよびダッシュボードが Microsoft Defender for Endpoint セキュリティー・データを収集および分析できるようにします。 Universal Data Insights コネクターを使用すると、セキュリティー製品全体でフェデレーテッド検索を行うことができます。

始める前に

Microsoft Security Center 管理者とコラボレーションして、ユーザー・アカウントがコネクターを介してデータを受信するために必要な権限を取得します。

Advanced Hunting API for Microsoft Defender for Endpointへのアクセスを有効にするには、次のようにします。
  1. Microsoft Defender for Endpoint API の使用 (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/exposed-apis-create-app-nativeapp?view=o365-worldwide) の指示に従って、 Microsoft Defender for Endpoint 用のアプリケーションを Azure Active Directory に登録します。

    新しいアプリケーションのダッシュボードが表示されると、このアプリケーションのテナント ID とクライアントID が表示されます。 このアプリケーションのテナント ID とクライアント ID は、ステップ 8 で必要です。

  2. 「API アクセス権」を選択します。
  3. 許可の追加 > 「自分の組織が使用する API」をクリックし、 WindowsDefenderATPを検索して選択します。
  4. 「代行許可 (Delegated permissions)」 をクリックして、「 AdvancedQuery > AdvancedQuery」を選択します。を参照してください。
  5. 「アプリケーション権限」 をクリックし、 AdvancedQuery > AdvancedQuery.Read.Allを選択します。
  6. 「許可の追加」をクリックします。
  7. 管理者と連携して、構成された許可に対する管理者の同意を付与します。
  8. 「証明書と秘密鍵」をクリックします。
  9. この構成済みアプリケーションのクライアント秘密鍵を生成するために、「New client secret」をクリックします。 クライアント秘密鍵は、ステップ 8 で必要です。
  10. 説明を入力し、クライアント秘密鍵の「有効期限」オプションから値を選択します。

クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 IBM® Security Edge Gateway を使用してコンテナーをホストします。 Edge Gateway は V1.6 以降でなければなりません。 詳しくは、 エッジ・ゲートウェイのセットアップを参照してください。

このタスクについて

Microsoft Defender for Endpoint コネクターは、Advanced ハンティング API と連携するように設計されています。 拡張ハンティング API について詳しくは、 拡張ハンティング API (https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/run-advanced-query-api?view=o365-worldwide) を参照してください。

Structured Threat Information eXpression (STIX) は、組織がサイバー脅威インテリジェンスを交換するために使用する言語およびシリアライゼーション・フォーマットです。 Microsoft Defender for Endpoint コネクターは、 STIX パターンを使用して Microsoft Defender for Endpoint データを照会し、結果を STIX オブジェクトとして返します。 Microsoft Defender for Endpoint データ・スキーマを STIXにマップする方法について詳しくは、 Microsoft Defender for Endpoint STIX マッピング (https://github.com/opencybersecurityalliance/stix-shifter/blob/develop/adapter-guide/connectors/msatp_supported_stix.md) を参照してください。

手順

  1. メニュー > 「接続」 > 「データ・ソース」に移動します。
  2. 「データ・ソース」 タブで、 「データ・ソースの接続」をクリックします。
  3. 「Microsoft Defender エンドポイントの定義 (Microsoft Defender for Endpoint)」をクリックして、 「次へ」をクリックします。
  4. データ・ソースへの接続を構成します。
    1. 「データ・ソース名」 フィールドで、データ・ソース接続を一意的に識別する名前を割り当てます。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、名前によって明確に区別することをお勧めします。 英数字と以下の特殊文字のみを使用できます。 - . _
    2. 「データ・ソースの説明」 フィールドに、データ・ソース接続の目的を示す説明を入力します。
      1 つのデータ・ソースに対して複数の接続インスタンスを作成できるため、各接続の目的を説明によって明確に示すと便利です。 英数字と以下の特殊文字のみを使用できます。 - . _
    3. クラスターとデータ・ソース・ターゲットの間にファイアウォールがある場合は、 Edge Gateway を使用してコンテナーをホストします。 「エッジ・ゲートウェイ (オプション) (Edge gateway (optional))」 フィールドで、使用する Edge Gateway を指定します。
      コネクターをホストする Edge Gateway を選択します。 Edge Gateway で新しくデプロイされたデータ・ソース接続の状況が「接続済み」と表示されるまでに、最大 5 分かかることがあります。
    4. 「管理 IP アドレスまたはホスト名」 フィールドで、データ・ソースの IP アドレスまたはホスト名を設定して、プラットフォームが通信できるようにします。
    5. 「ホスト・ポート」 フィールドで、ベース URL に関連付けられているポート番号を設定します。 デフォルトは 443 です。
  5. データ・ソースに対する検索照会の動作を制御するための照会パラメーターを設定します。
    1. 「同時検索制限」 フィールドで、データ・ソースに対して実行できる同時接続の数を設定します。 デフォルトの接続数制限は 4 です。 1 より小さい値や 100 より大きい値は使用できません。
    2. 「照会検索タイムアウト制限」 フィールドで、データ・ソースに対して照会を実行する時間制限を分単位で設定します。 デフォルトの制限時間は 30 です。 この値をゼロに設定した場合、タイムアウトはありません。 値は 1 以上、120 以下でなければなりません。
    3. 「結果サイズの制限」 フィールドで、検索照会によって返される項目またはオブジェクトの最大数を設定します。 デフォルトの結果サイズ制限は 10,000 です。 この値は、1 以上、500,000 以下でなければなりません。
    4. 「照会時刻範囲」 フィールドで、検索の時刻範囲を分単位で設定します。これは、最後の X 分として表されます。 デフォルトは 5 分です。 値は 1 以上、10,000 以下でなければなりません。
    重要: 同時検索の制限と結果サイズの制限を増やすと、データ・ソースに送信できるデータ量が増えるため、データ・ソースの負担が大きくなります。 照会の時刻範囲を増やすと、データの量も増えます。
  6. オプション: STIX 属性マッピングをカスタマイズする必要がある場合は、 「属性マッピングのカスタマイズ」 をクリックし、JSON Blob を編集して、新規または既存のプロパティーをそれらに関連付けられたターゲット・データ・ソース・フィールドにマップします。
  7. ID およびアクセス権限を構成します。
    1. 「構成の追加」をクリックします。
    2. 「構成名」 フィールドに、アクセス構成を記述する固有の名前を入力し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別します。 英数字と特殊文字 - . _ のみを使用できます。
    3. 「構成の説明」 フィールドに、アクセス構成を記述し、セットアップする可能性があるこのデータ・ソース接続の他のアクセス構成と区別するための固有の説明を入力します。 英数字と特殊文字 - . _ のみを使用できます。
    4. 「アクセス権限の編集」 をクリックし、データ・ソースに接続できるユーザーとアクセス権限のタイプを選択します。
    5. 「追加」をクリックします。
    6. 「テナント」 フィールドに、拡張ハンティング API へのアクセス権限を持つ Azure Active Directory アプリケーションのテナント ID を入力します。
    7. 「クライアント ID」 フィールドに、拡張ハンティング API にアクセスできる Azure Active Directory アプリケーションのクライアント ID を入力します。
    8. 「クライアント秘密鍵」 フィールドに、拡張ハンティング API へのアクセス権限を持つ Azure Active Directory アプリケーションのクライアント秘密鍵を入力します。
    9. 構成を保存して接続を確立するには、 「完了」をクリックします。
    追加したデータ・ソース接続構成は、「データ・ソース設定 (data source settings)」ページの「接続」の下に表示されます。 カード上のメッセージは、データ・ソースとの接続を示します。
    データ・ソースを追加すると、データ・ソースが接続されていると表示されるまでに数分かかる場合があります。
    ヒント: データ・ソースに接続した後、データを取得するのに最大 30 秒かかる場合があります。 データ・セット全体が返される前に、データ・ソースが使用不可として表示される場合があります。 データが返されると、データ・ソースは接続済みとして表示され、接続状況を検証するためのポーリング・メカニズムが発生します。 接続状況は、ポーリングのたびに 60 秒間有効です。

    このデータ・ソースに対して、異なるユーザーおよび異なるデータ・アクセス許可を持つ他の接続構成を追加できます。

  8. 構成を編集するには、以下の手順を実行します。
    1. 「データ・ソース」 タブで、編集するデータ・ソース接続を選択します。
    2. 「構成」 セクションで、 「構成の編集」 (「構成の編集」アイコン) をクリックします。
    3. ID およびアクセス・パラメーターを編集し、 「保存」をクリックします。

次に実行するタスク

IBM Security Data Explorer を使用して照会を実行し、接続をテストします。 Data Explorerを使用するには、アプリケーションが統一されたデータ・ソース・セット全体で照会を実行して結果を取得できるように、データ・ソースが接続されている必要があります。 検索結果は構成済みのデータ・ソースに含まれるデータによって異なります。 Data Explorerで照会を作成する方法について詳しくは、 照会の作成を参照してください。