ワークスペースにMicrosoft Sentinelをオンボードしたら、データ コネクタを使用して、Microsoft Sentinelへのデータの取り込みを開始します。 Microsoft Sentinelには、リアルタイムで統合される Microsoft サービス用の多くのすぐに使用できるコネクタが付属しています。 たとえば、Microsoft Defender XDR コネクタは、サービス間のデータを統合するコネクタであり、Office 365、Microsoft Entra ID、Microsoft Defender for Identity、そしてMicrosoft Defender for Cloud Appsからデータを統合します。
組み込みのコネクタを使用すると、Microsoft 以外の製品用のより広範なセキュリティ エコシステムに接続できます。 たとえば、Syslog、Common Event Format (CEF)、または REST API を使用して、データ ソースをMicrosoft Sentinelに接続します。
注
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府のお客様向けのクラウド機能の可用性のMicrosoft Sentinelテーブルを参照してください。
重要
2024 年の発表のとおり、2026 年 9 月 30 日以降、レガシ HTTP データ コレクター API はサポートされなくなります。 HTTP データ コレクター API を使用するデータ ソース、カスタム統合、またはコネクタは、この日以降のインジェストの中断を回避するために、サポートされている代替手段に移行する必要があります。
現在 HTTP データ コレクター API を使用している場合は、 ログ インジェスト API または Codeless Connector Framework (CCF) への移行の計画を開始して、データ インジェストの中断、信頼性の向上、スケーラビリティ、および長期的なサポートを確保することをお勧めします。
Microsoft Sentinel Data Lake のデータ管理に関する考慮事項
コンプライアンスとデータ管理の計画には、次の考慮事項を考慮する必要があります。
GDPR とデータ保持
- テナント管理者は、分析レベルの消去機能を使用して GDPR 権限を行使できます。 これは、データ レイク層には影響しません。
- Sentinel データ レイクから特定のレコードを削除することはできません。 Data Lake は、ソースまたは分析層でデータが削除された場合でも、定義済みの保持期間に取り込まれたデータを保持します。
Purview の統合。 Purview 設定に対する変更は、Sentinel データ レイクに格納されているデータには影響しません。
ストレージの場所 Sentinel Data Lake Storage の場所はテナント管理者によって選択され、ソース サービスのプライマリ ストレージの場所とは異なる場合があります。
重要
2027年3月31日以降、Microsoft SentinelはAzureポータルでのサポートが終了し、Microsoft Defenderポータルでのみ利用可能となります。 Azure ポータルでMicrosoft Sentinelを使用しているすべてのお客様は、 Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure ポータルでMicrosoft Sentinelを引き続き使用している場合は、
ソリューションで提供されるデータ コネクタ
Microsoft Sentinel ソリューションでは、データ コネクタ、ブック、分析ルール、プレイブックなど、パッケージ化されたセキュリティ コンテンツが提供されます。 データ コネクタを使用するソリューションをデプロイすると、同じデプロイ内の関連コンテンツと共にデータ コネクタが取得されます。
Microsoft Sentinel Data コネクタ ページには、インストールされているデータ コネクタまたは使用中のデータ コネクタが一覧表示されます。
- Defender ポータル
- Azure portal
データ コネクタ ギャラリーのスクリーンショット。
データ コネクタをさらに追加するには、[コンテンツ ハブ] から、そのデータ コネクタに関連付けられているソリューションをインストールします。 詳細については、次の記事を参照してください。
- Microsoft Sentinel データ コネクタを見つける
- コンテンツとソリューションMicrosoft Sentinelについて
- Microsoft Sentinel の既成コンテンツを発見して管理する
- Microsoft Sentinel コンテンツ ハブ カタログ
- Microsoft Sentinel 向けの ASIM (Advanced Security Information Model) に基づくドメイン ソリューション
カスタム コネクタを作成する
使用可能な既存のソリューションを使用してデータ ソースをMicrosoft Sentinelに接続できない場合は、独自のデータ ソース コネクタを作成することを検討してください。 たとえば、多くのセキュリティ ソリューションでは、製品またはサービスからログ ファイルやその他のセキュリティ データを取得するための一連の API が用意されています。 これらの API は、次のいずれかの方法でMicrosoft Sentinelに接続します。
- データ ソース API は 、コードレス コネクタ フレームワークを使用して構成されます。
- データ コネクタは、Azure Function または Logic App の一部として、Azure Monitorのログ インジェスト API を使用します。
Azure Monitor エージェントを直接使用することも、Logstash を使用してカスタム コネクタを作成することもできます。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinelを参照してください。
データ コネクタのエージェントベースの統合
Microsoft Sentinelは、Azure Monitor サービスによって提供されるエージェント (Microsoft Sentinelベース) を使用して、リアルタイムのログ ストリーミングを実行できる任意のデータ ソースからデータを収集できます。 たとえば、ほとんどのオンプレミス データ ソースでは、エージェントベースの統合を使用して接続します。
以降のセクションでは、エージェント ベースのデータ コネクタのさまざまな種類Microsoft Sentinelについて説明します。 エージェント ベースのメカニズムを使用して接続を構成するには、各Microsoft Sentinel データ コネクタ ページの手順に従います。
Syslog と Common Event Format (CEF)
Azure Monitor エージェント (AMA) を使用して、Linux ベースの Syslog サポート デバイスからMicrosoft Sentinelにイベントをストリーミングできます。 ログの形式は異なりますが、多くのソースでは CEF ベースの書式設定がサポートされています。 デバイスの種類により、エージェントは、デバイス上に直接、または専用の Linux ベースのログ フォワーダー上にインストールされます。 AMA は、UDP を使用して Syslog デーモンからプレーンな Syslog または CEF イベント メッセージを受信します。 Syslog デーモンは、バージョンに応じて、TCP または UDS (Unix ドメイン ソケット) 経由で通信して、内部的にエージェントにイベントを転送します。 その後、AMA は、これらのイベントを Microsoft Sentinel ワークスペースに送信します。
次に、Microsoft Sentinel が Syslog データをストリームする方法を示す簡単なプロセスを紹介します。
- デバイスの組み込み Syslog デーモンが、指定された種類のローカル イベントを収集し、イベントをローカルでエージェントに転送します。
- エージェントは、イベントを Log Analytics ワークスペースにストリーミングします。
- 構成が成功すると、Syslog メッセージは Log Analytics Syslog テーブルに表示され、CEF メッセージは CommonSecurityLog テーブルに表示されます。
詳細については、AMA コネクタを介した Syslog と Common Event Format (CEF) に関するMicrosoft Sentinelを参照してください。
カスタム ログ
一部のデータ ソースでは、Log Analyticsカスタム ログ収集エージェントを使用して、Windowsまたは Linux コンピューター上のファイルとしてログを収集できます。
Log Analyticsカスタム ログ 収集エージェントを使用して接続するには、各Microsoft Sentinel データ コネクタ ページの手順に従います。 構成が完了すると、データはカスタム テーブルに表示されます。
詳細については、「AMA データ コネクタを介したカスタム ログ - 特定のアプリケーションから Microsoft Sentinel へのデータ インジェストを構成する」を参照してください。
データ コネクタのサービス間の統合
Microsoft Sentinelでは、Azure基盤を使用して、Microsoft サービスとアマゾン ウェブ サービスに対するすぐに使用できるサービス間サポートを提供します。
詳細については、次の記事を参照してください。
データ コネクタのサポート
Microsoft と他の組織の両方がMicrosoft Sentinelデータ コネクタを作成します。 各データ コネクタには、Microsoft Sentinelのデータ コネクタ ページに表示される次のいずれかのサポートの種類があります。
| サポートの種類 | 説明 |
|---|---|
| Microsoft によるサポート | 適用対象:
パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティによって作成されたデータ コネクタをサポートしています。 |
| パートナーによるサポート | Microsoft 以外の取引先によって作成されたデータ コネクタに適用されます。 パートナー企業は、これらのデータ コネクタのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、またはそのデータ コネクタのMicrosoft Sentinel ページに連絡先情報が提供されている任意の組織にすることができます。 パートナーがサポートするデータ コネクタに関する問題については、指定されたデータ コネクタのサポート連絡先にお問い合わせください。 |
| コミュニティによるサポート | Microsoft Sentinelのデータ コネクタ ページにデータ コネクタのサポートとメンテナンスの連絡先が一覧表示されていない、Microsoft またはパートナー開発者が作成したデータ コネクタに適用されます。 これらのデータ コネクタに関する質問や問題については、Microsoft Sentinel GitHub コミュニティで問題を報告することができます。 |
詳細については、「データ コネクタのサポートを見つける」を参照してください。
次のステップ
データ コネクタの詳細については、次の記事を参照してください。
- データ コネクタを使用してデータ ソースをMicrosoft Sentinelに接続します
- Microsoft Sentinel データ コネクタを見つける
- カスタム コネクタを作成するためのリソースMicrosoft Sentinel
Microsoft Sentinelにデータ コネクタをデプロイするためのBicep、Azure Resource Manager、Terraform の基本的なコードとしてのインフラストラクチャ (IaC) リファレンスについては、Microsoft Sentinel データ コネクタ IaC リファレンスを参照してください。