SIR との Microsoft Azure Sentinel 統合と Microsoft Graph Security API 統合の比較
Microsoft Azure Sentinel 統合と Microsoft Graph Security API 統合の違いを確認し、Now Platform インスタンスとの適切な統合を選択できます。
Microsoft Azure Sentinel - Incident Ingestion の概要
Microsoft Azure Sentinel は、クラウドベースのセキュリティ情報イベント管理 (SIEM) およびセキュリティオーケストレーション自動応答 (SOAR) ソリューションです。Microsoft Azure Sentinel は、企業全体のインテリジェントなセキュリティ分析と脅威インテリジェンスを提供します。アラートの検出、脅威の可視化、積極的なハンティング、および脅威の対応に単一のソリューションを提供します。
Microsoft Graph Security API の概要
Microsoft Graph Security API は、複数のセキュリティプロバイダー (Microsoft ネイティブおよび ServiceNow パートナー) を接続する単一のプログラムインターフェイスを提供する中間サービス (またはブローカー) です。
Microsoft Graph Security API 統合では、Microsoft Graph Security API を使用して Azure Sentinel、Microsoft Defender Advanced Threat Protection、Azure Advanced Threat Protection などのさまざまな Microsoft セキュリティ技術と接続することで、これらの問題に対処します。Microsoft セキュリティプロバイダーからのアラートが取り込まれ、自動で セキュリティインシデントレスポンス にセキュリティインシデントが作成されます。
機能の違いの概要
| Microsoft Azure Sentinel | Microsoft Graph Security API |
|---|---|
| Microsoft Azure Sentinel インシデントをエンティティ情報 (利用可能な場合) とともに取り込み、SIR でのセキュリティインシデントの作成を自動化します。 | 複数のセキュリティプロバイダー (Azure Sentinel を含む) からのアラートを標準スキーマに取り込み、SIR でのセキュリティインシデントの作成を自動化します。 |
| セキュリティインシデントレスポンスの Microsoft Azure Sentinel インシデント状況の更新を自動化して、セキュリティインシデントを作成してクローズできるようにします。 注: ServiceNow は、セキュリティインシデントの作成またはクローズに基づいて Microsoft Azure Sentinel インシデントのステータスを更新します。 |
選択したセキュリティプロバイダーのアラートの更新 (アラートステータスの変更とアラートのクローズ) をサポートします。 注: Microsoft Graph Security API でサポートされているセキュリティプロバイダーの詳細については、Microsoft のドキュメントを参照してください。 |
シナリオに次の条件が含まれている場合は、この統合を使用します。
|
シナリオに次の条件が含まれている場合は、この統合を使用します。
|
| アラートは Microsoft Azure Sentinel のエンティティです。Microsoft Azure Sentinel Management API を使用してスタンドアロンまたは特定のアラートを取得することはできません。インシデントに関連付けられたアラートデータのみを取得できます。この統合を使用して利用できるアラートデータは、Microsoft Graph Security API を使用して利用できるアラートデータよりも豊富です。 | Microsoft Azure Sentinel で正規化されたアラートデータが利用可能です。Microsoft Graph Security API で内部的にマッピングされていて Microsoft Graph Security API で利用可能な Microsoft Azure Sentinel アラートフィールドをこの統合で使用できます。 |
| この統合を使用して Microsoft Azure Sentinel のアラートを更新することはできません。 |