セキュリティオペレーション での Microsoft Defender の統合
ServiceNow セキュリティオペレーション の Microsoft Defender 統合は、アラートとインシデントを ServiceNow セキュリティインシデントレスポンス (SIR) プラットフォームに取り込み、ケースを一元管理します。双方向同期により、両方のプラットフォーム間でステータスと作業メモの整合性が保たれるため、どちらのシステムで作業するチームも矛盾なく一貫した情報を維持できます。
Microsoft は、Azure portal での Azure Sentinel エクスペリエンスの廃止を 2026 年 3 月から 2027 年 3 月に延長しました。
現在、セキュリティインシデントレスポンス (SIR) との Azure Sentinel 統合を使用している場合は、できるだけ早く新しい Defender ポータル統合に移行してください。Defender 統合の組み込み移行ユーティリティは、既存の Sentinel プロファイルを Defender プロファイルに自動的に変換すると同時に、移行後に Sentinel を介して作成されたインシデントの継続性を確保します。詳細については、「 Microsoft Sentinel から Defender への移行ガイド」を参照してください。
ストアでアプリを要求する
ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースメモ情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。
Microsoft Defender および セキュリティオペレーション
Microsoft Defender インシデントがセキュリティオペレーションアプリケーションでどのように発生するかについては、次の図を参照してください。
主な機能
この統合の主な機能は次のとおりです。
- 柔軟なイベント転送プロファイルを作成して、 Microsoft Defender インシデントを ServiceNow SIRに取り込みます。
- 構成可能な間隔で、履歴イベント、進行中のイベント、新規イベント、および更新された注目イベントを取り込みます。
- ノイズの多いアラートや価値の低いアラートを除外し、アクション可能な注目イベントのみを SIRに取り込みます。
- インシデント、アラート、およびイベントフィールドMicrosoft DefenderSIRセキュリティインシデントフィールドに直接マッピングします。
- Microsoft Defender と ServiceNow SIR 間のステータスと作業メモの双方向同期。
必要なロール
- sn_si.admin:レコードの読み取り、書き込み、削除を実行できます。
- sn_si.ingestion_profile_admin:レコードの読み取り、書き込み、削除を実行できます。
- sn_si.analyst:レコードの読み取り、書き込み、削除を実行できます。
インストールされるロールの詳細については、次を参照してください。 セキュリティインシデントレスポンス とともにインストールされるコンポーネント