Microsoft Defender for EDR 統合のインストールと構成
ServiceNow Store から Microsoft Defender for EDR 統合をインストールして構成します。
始める前に
必要なロール:sn_sec_tisc.admin
- 脅威インテリジェンスセキュリティセンター アプリケーションは ServiceNow Store からインストールしてアクティブ化する必要があります。
- Microsoft Defender for EDR コンソールから API テナント ID、クライアント ID、およびクライアントシークレットを取得します。
手順
- ServiceNow Store から Microsoft Defender for EDR 統合をダウンロードしてインストールします。
- インスタンスを使用して、 脅威インテリジェンスセキュリティセンターにアクセスします。
- ServiceNow Storeから統合をダウンロードする .
- 選択 統合 > セキュリティツール > EDR.
- [ 新しいソースツール統合を構成] をクリックします。
- [Microsoft Defender for EDR] オプションを選択します。
- [選択] をクリックします。
-
フォームで次のフィールドに入力します。
表 : 1. Microsoft Defender for EDR 統合の構成 フィールド 説明 名前 新しいセキュリティツール統合構成の名前。たとえば、Microsoft Defender for EDR 統合などです。 統合カテゴリ 統合カテゴリを表示するオプション。 ベンダー名 ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。 統合タイプ 統合タイプを表示するオプション。 説明 新しいセキュリティツール統合構成の説明を入力します。 データ連携の構成 ベース URL ベース URL は、Microsoft Defender for EDR API のベース URL です。デフォルト値は https://api.securitycenter.microsoft.com/ です。 テナント ID Microsoft Defender から取得したテナント ID。 クライアント ID Microsoft Defender から取得したクライアント ID。 クライアントシークレット Microsoft Defender から取得したクライアントシークレットキー。 事前入力されたタイトル (送信時に使用) 事前入力されたタイトルは、Microsoft Defender への観測事象の送信時に使用されるデフォルトのタイトルを定義します。 これらの詳細はデフォルトで表示されるため、EDR への送信時に毎回再入力する必要はありません。
事前入力された説明 (送信時に使用) 事前入力された説明は、Microsoft Defender に観測事象を送信するときに使用されるデフォルトのタイトルを定義します。 これらの詳細はデフォルトで表示されるため、EDR への送信時に毎回再入力する必要はありません。
あらゆるタイプの観察事象の有効期限 (日数) 観察事項が Microsoft Defender EDR に送信されたときに観察事項に適用される有効期限 (日数)。 注:このオプションは、特定の観測事象タイプに有効期限が設定されていない場合の代替となる有効期限です。IP タイプの観察事項の有効期間 (日数) 観測事象が Microsoft Defender EDR に送信されるときに IP タイプに適用される有効期限 (日数)。 観測事象のドメインタイプの有効期間 (日数) 観察事項が Microsoft Defender EDR に送信されるときに、ドメインタイプの観測事象に適用される有効期限 (日数)。 観察事項のハッシュタイプの有効期間 (日数) 観察事項が Microsoft Defender EDR に送信されたときにハッシュタイプの観察事項に適用される有効期限 (日数)。 - 必要な構成情報を追加した後、[ 保存] をクリックします。
-
新しい Microsoft Defender EDR 統合を保存した後、[ 有効化] をクリックして構成を有効にします。
拡張統合が正常に有効化されたことを示す確認メッセージが表示されます。
タスクの結果
統合を構成すると、脅威インテリジェンスライブラリから Microsoft Defender EDR をサポートする任意のタイプの観測事象を選択し、観測事象を EDR に送信できます。詳細については、「観測事象を EDR に送信する」を参照してください。