はじめに
Microsoft Sentinel には、Threat Intelligence(脅威インテリジェンス)インジケーターを取得する機能が標準で備わっています。しかし、場合によっては、別のルートで収集した Threat Intelligence を Sentinel に取り込みたいケースもあります。
本記事では、そのような外部からの Threat Intelligence を Sentinel に追加する方法について、主な手段を整理します。
Web UI からの追加方法
Sentinel または Defender XDR ポータルの Web UI から、インジケーターを手動で追加することが可能です。ただし、1 件ずつの登録となるため、大量のインジケーターを扱う場合には不向きです。
Sentinel ポータルの場合
Sentinel メニューから
[脅威インテリジェンス] > [+新規] > [TI オブジェクト] でインジケーターを選択
Defender ポータルの場合
Defender XDR ポータルから
[脅威インテリジェンス] > [Intel の管理] > [+新規] > [TI オブジェクト] でインジケーターを選択
API を利用した追加方法
複数のインジケーターを一括で登録したい場合は、API の利用が有効です。スクリプトの準備は必要ですが、効率的にデータを取り込むことができます。
Logic Apps から追加
Logic Apps には、Sentinel の Threat Intelligence を取り込むためのアクションが用意されています。[Threat Intelligence - Upload STIX Objects (Preview)] アクションを使用することで、STIX 形式のインジケーターをアップロードできます。
Discussion