Microsoft Defender for EDR 統合のインストールと構成
ServiceNow Store から Microsoft Defender for EDR 統合をインストールして構成します。
始める前に
必要なロール:sn_sec_tisc.admin
- 脅威インテリジェンスセキュリティセンター アプリケーションは、ServiceNow Store からインストールしてアクティブ化する必要があります。
- Microsoft Defender for EDR コンソールから API テナント ID、クライアント ID、クライアントシークレットを取得します。
手順
- ServiceNow Store から Microsoft Defender for EDR 統合をダウンロードしてインストールします。
- インスタンスを使用して、 脅威インテリジェンスセキュリティセンターにアクセスします。
- から統合をダウンロードします ServiceNow Store.
- 選択 統合 > セキュリティツール > EDR.
- [ 新しいソースツール統合を構成] をクリックします。
- [Microsoft Defender for EDR] オプションを選択します。
- [選択] をクリックします。
-
フォームで次のフィールドに入力します。
表 : 1. Microsoft Defender for EDR 統合の構成 フィールド 説明 名前 新しいセキュリティツール統合構成の名前。例:Microsoft Defender for EDR 統合。 統合カテゴリ 統合カテゴリを表示するオプション。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。 統合タイプ 統合タイプを表示するオプション。 説明 新しいセキュリティツール統合構成の説明を入力します。 データ連携の構成 ベース URL ベース URL は、Microsoft Defender for EDR API のベース URL です。デフォルト値は https://api.securitycenter.microsoft.com/ です。 テナント ID Microsoft Defender から取得したテナント ID。 クライアント ID Microsoft Defender から取得したクライアント ID。 クライアントシークレット Microsoft Defender から取得したクライアントシークレットキー。 事前入力されたタイトル (送信時に使用) 事前入力されたタイトルは、Microsoft Defender に観測事象を送信するときに使用されるデフォルトのタイトルを定義します。 これらの詳細はデフォルトで表示されるため、EDR への送信時に毎回再入力する必要はありません。
事前入力された説明 (送信時に使用) 事前入力された説明は、Microsoft Defender に観測事象を送信するときに使用されるデフォルトのタイトルを定義します。 これらの詳細はデフォルトで表示されるため、EDR への送信時に毎回再入力する必要はありません。
すべてのタイプの観測事象の有効期間 (日数) 観測事象が Microsoft Defender EDR に送信されるときに適用される有効期限 (日数)。 注:このオプションは、特定の観測事象タイプに有効期限が設定されていない場合の代替有効期間です。観測事象の IP タイプの有効期間 (日数) 観測事象の IP タイプが Microsoft Defender EDR に送信されるときに適用される有効期限 (日数)。 観測事象のドメインタイプの有効期間 (日数) Microsoft Defender EDR に送信されるときに観測事象のドメインタイプに適用される有効期限 (日数)。 観察事項のハッシュタイプの有効期間 (日数) Microsoft Defender EDR に送信されるときにハッシュタイプの観測事象に適用される有効期限 (日数)。 - 必要な構成情報を追加した後、[ 保存 ] をクリックします。
-
新しい Microsoft Defender EDR 統合を保存した後、[ 有効化 ] をクリックして構成を有効にします。
拡張統合が正常に有効になったことを示す確認メッセージが表示されます。
タスクの結果
統合が構成されたら、脅威インテリジェンスライブラリから Microsoft Defender EDR をサポートする任意のタイプの観測事象を選択して、観測事象を EDR に送信できます。詳細については、「観測事象を EDR に送信」を参照してください。