この記事では、サポートされている、すぐに使用できるすべてのデータ コネクタと、各コネクタのデプロイ手順へのリンクの一覧を示します。
Important
- Microsoft Sentinel データ コネクタは現在、Previewに存在します。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
-
2027 以降、Microsoft SentinelはAzure ポータルでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure ポータルでMicrosoft Sentinelを使用しているすべてのお客様は、 Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
July 2025 以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます 。Azure ポータルでMicrosoft Sentinelを引き続き使用している場合は、Defender ポータルへの移行 の計画を開始して、スムーズな移行を確保し、Microsoft Defender未解決のセキュリティ運用エクスペリエンスを最大限に活用することをお勧めします>。 詳細については、「It's Time to Move: Retiring Microsoft Sentinel's Azure portal for greater security を参照してください。
データ コネクタは、次のオファリングの一部として使用できます。
ソリューション: 多くのデータ コネクタは、Microsoft Sentinel ソリューションの一部として、分析ルール、ブック、プレイブックなどの関連コンテンツと共にデプロイされます。 詳細については、Microsoft Sentinel ソリューション カタログを参照してください。
コミュニティ コネクタ: Microsoft Sentinel コミュニティによって提供されるその他のデータ コネクタは、Azure Marketplaceにあります。 コミュニティ データ コネクタに関するドキュメントは、コネクタを作成した組織によって作成されます。
カスタム コネクタ: 一覧に表示されていない、または現在サポートされていないデータ ソースがある場合は、独自のカスタム コネクタを作成することもできます。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinelを参照してください。
Note
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府のお客様向けのクラウド機能の可用性のMicrosoft Sentinelテーブルを参照してください。
データ コネクタの前提条件
各データ コネクタには、独自の前提条件のセットがあります。 前提条件には、Azure ワークスペース、サブスクリプション、またはポリシーに対する特定のアクセス許可が必要である場合があります。 または、接続先のパートナー データ ソースの他の要件を満たす必要があります。
各データ コネクタの前提条件は、Microsoft Sentinelの関連するデータ コネクタ ページに一覧表示されます。
Azure Monitor エージェント (AMA) ベースのデータ コネクタには、エージェントがインストールされているシステムからのインターネット接続が必要です。 ポート 443 送信を有効にして、エージェントがインストールされているシステムとMicrosoft Sentinel間の接続を許可します。
Syslog および Common Event Format (CEF) コネクタ
多くのセキュリティ アプライアンスとデバイスからのログ収集は、AMA、 または AMACommon イベント形式 (CEF) を介したデータ コネクタ <>c0>Syslog Microsoft Sentinel でサポートされています。 Microsoft SentinelのためにデータをLog Analytics ワークスペースに転送するには、Azure Monitor エージェント>でMicrosoft Sentinelする
- CEF (AMA データ コネクタ経由) - Microsoft Sentinelデータ インジェスト用に特定のアプライアンスまたはデバイスを構成します
- AMA データ コネクタ経由のSyslog - Microsoft Sentinelデータ インジェスト用に特定のアプライアンスまたはデバイスを構成します
アプライアンスやデバイスに関する詳しい情報、または情報を入手できない場合については、ソリューション プロバイダーにお問い合わせください。
AMA コネクタを使用したカスタム ログ
Microsoft Sentinelの AMA コネクタを介した Custom Logs を使用して、Windowsまたは Linux マシンにインストールされているネットワークまたはセキュリティ アプリケーションからテキスト ファイル形式でログをフィルター処理して取り込みます。 詳細については、次の記事をご覧ください。
Azure Monitor エージェントを使用してテキスト ファイルからログを収集し、Microsoft Sentinel - AMA データ コネクタを使用したCustom ログ - 特定のアプリケーションからMicrosoft Sentinelするようにデータ インジェストを構成します
Sentinel データ コネクタ
Note
次の表に、Microsoft Sentinel コンテンツ ハブで使用できるデータ コネクタを示します。 コネクタは、製品ベンダーによってサポートされています。 サポートについては、 サポート対象 のリンクを参照してください。
ヒント
Microsoft Sentinelに取り込まれたテーブルと、それらを取り込むコネクタの一覧については、「Microsoft Sentinel テーブルと関連するコネクタを参照してください。
1Password (サーバーレス)
サポート対象:1Password
1Password CCF コネクタを使用すると、ユーザーは 1Password Audit、Signin、およびItemUsage イベントをMicrosoft Sentinelします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OnePasswordEventLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 1Password API トークン: 1Password API トークンが必要です。 API トークンを作成する方法については、 1Password のドキュメント を参照してください。
1Password (using Azure Functions))
サポート対象:1Password
Microsoft Sentinel用の 1Password ソリューションを使用すると、1Password Events Reporting API を使用して、1Password Business アカウントからサインイン試行、アイテムの使用状況、および監査イベントを取り込めます。 これにより、組織が使用する他のアプリケーションやサービスと共に、Microsoft Sentinelの 1Password のイベントを監視および調査できます。
使用される基盤となる Microsoft テクノロジ:
このソリューションは次のテクノロジに依存し、その一部は プレビュー 状態にあるか、追加のインジェストまたは運用コストが発生する可能性があります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OnePasswordEventLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- 1Password イベント API トークン: 1Password イベント API トークンが必要です。 詳細については、 1Password API を参照してください。
メモ: 1Password Business アカウントが必要です
AbnormalSecurity (using Azure Function))
サポート対象:異常なセキュリティ
異常なセキュリティ データ コネクタは、
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
いいえ | いいえ |
ABNORMAL_CASES_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
-
Abnormal Security API Token: 異常なSecurity API トークンが必要です。 詳細については、「Abnormal Security APIを参照してください。 メモ: 異常なセキュリティ アカウントが必要です
AIShield
サポート対象:AIShield
AIShield コネクタを使用すると、ユーザーはMicrosoft Sentinelを使用して AIShield カスタム防御メカニズム ログに接続できます。これにより、動的なダッシュボード、ブック、ノートブック、およびカスタマイズされたアラートを作成して、AI システムに対する調査を改善し、攻撃を阻止できます。 ユーザーは、組織の AI 資産のセキュリティのポストリングに関するより多くの洞察を得て、AI システムのセキュリティ運用機能を向上させます。AIShield.GuArdIan は、LLM によって生成されたコンテンツを分析して、有害なコンテンツを特定して軽減し、法的、ポリシー、ロールベース、および使用ベースの違反から保護します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AIShield_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- 注: ユーザーは、AIShield SaaS オファリングを利用して脆弱性分析を実施し、AI 資産と共に生成されたカスタム防御メカニズムをデプロイする必要があります。 詳細については、ここをクリック するか、お問い合せください。
Alibaba Cloud ActionTrail (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Alibaba Cloud ActionTrail データ コネクタは、Alibaba Cloud Simple Log Service に格納されたアクションレール イベントを取得し、SLS REST API を介してMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AliCloudActionTrailLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- SLS REST API の資格情報/アクセス許可: API 呼び出しを行う場合は 、AliCloudAccessKeyId と AliCloudAccessKeySecret が必要です。 RAM ユーザーにこの操作を呼び出すアクセス許可を付与するには、リソース に対して少なくとも のアクションを含む RAM ポリシー ステートメントが必要です。
AliCloud (using Azure Functions))
サポート元:Microsoft Corporation
AliCloud データ コネクタは、クラウド API を使用してクラウド アプリケーションからログを取得し、REST API を介してイベントをMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AliCloud_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 AliCloudAccessKeyId と AliCloudAccessKey が必要です。
アマゾン ウェブ サービス
サポート元:Microsoft Corporation
インストールプロセス中に、AWS に接続して CloudTrail ログをMicrosoft Sentinelにストリーミングする手順が表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSCloudTrail |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Amazon Web Services CloudFront (コードレス コネクタ フレームワーク経由) (プレビュー)
サポート元:Microsoft Corporation
このデータ コネクタを使用すると、AWS CloudFront ログとMicrosoft Sentinelを統合して、高度な脅威の検出、調査、セキュリティの監視をサポートできます。 ログストレージに Amazon S3 を使用し、メッセージキューに Amazon SQS を使用することで、コネクタは CloudFront アクセスログを確実にMicrosoft Sentinelに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSCloudFront_AccessLog_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Amazon Web Services NetworkFirewall (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このデータ コネクタを使用すると、高度な脅威検出とセキュリティ監視のために、AWS ネットワーク ファイアウォールのログをMicrosoft Sentinelに取り込むことができます。 Amazon S3 と Amazon SQS を利用することで、コネクタはネットワーク トラフィック ログ、侵入検出アラート、ファイアウォール イベントをMicrosoft Sentinelに転送し、リアルタイムの分析と他のセキュリティ データとの相関関係を可能にします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSNetworkFirewallFlow |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
アマゾン ウェブ サービス S3
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS サービスログをMicrosoft Sentinelに取り込むことができます。 現在サポートされているデータ型は次のとおりです。
- AWS CloudTrail
- VPC フローログ
- AWS GuardDuty
- AWSCloudWatch
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSGuardDuty |
イエス | イエス |
AWSVPCFlow |
イエス | イエス |
AWSCloudTrail |
イエス | イエス |
AWSCloudWatch |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 環境: 次の AWS リソースを定義して構成する必要があります。S3、Simple Queue Service (SQS)、IAM ロールとアクセス許可ポリシー、ログを収集する AWS サービス。
アマゾン ウェブ サービス S3 DNS Route53 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS Route 53 DNS ログをMicrosoft Sentinelに取り込み、可視性と脅威検出を強化できます。 AWS S3 バケットから直接取り込まれる DNS リゾルバー クエリ ログがサポートされていますが、パブリック DNS クエリ ログと Route 53 監査ログは、Microsoft Sentinelの AWS CloudWatch コネクタと CloudTrail コネクタを使用して取り込むことができます。 各ログの種類のセットアップをガイドする包括的な手順が用意されています。 このコネクタを利用して、DNS アクティビティを監視し、潜在的な脅威を検出し、クラウド環境でのセキュリティ体制を改善します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSRoute53Resolver |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
アマゾン ウェブ サービス S3 WAF
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS WAF ログをMicrosoft Sentinelに取り込むことができます。 AWS WAF ログは、Web アクセス制御リスト (ACL) が分析するトラフィックの詳細なレコードです。これは、Web アプリケーションのセキュリティとパフォーマンスを維持するために不可欠です。 これらのログには、AWS WAF が要求を受信した時刻、要求の詳細、要求が一致したルールによって実行されたアクションなどの情報が含まれます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSWAF |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
アンビロジクス
サポート対象:Anvilogic
Anvilogic データ コネクタを使用すると、Anvilogic ADX クラスターで生成された関心のあるイベントをMicrosoft Sentinelにプルできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Anvilogic_Alerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Anvilogic アプリケーション登録クライアント ID とクライアント シークレット: Anvilogic ADX にアクセスするには、Anvilogic アプリの登録からクライアント ID とクライアント シークレットが必要です
ARGOS クラウド セキュリティ
サポート対象:ARGOS クラウド セキュリティ
Microsoft Sentinel用の ARGOS Cloud Security 統合を使用すると、すべての重要なクラウド セキュリティ イベントを 1 か所に配置できます。 これにより、ダッシュボード、アラートを簡単に作成し、複数のシステム間でイベントを関連付けることができます。 全体的に、これにより、組織のセキュリティ体制とセキュリティ インシデント対応を向上させることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ARGOS_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Armis Alerts Activities (using Azure Functions)
サポート対象:Armis Corporation
Armis Alerts Activities コネクタは、Armis REST API を使用して Armis アラートとアクティビティをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント () を参照してください。 このコネクタは、Armis プラットフォームからアラートとアクティビティの情報を取得し、環境内の脅威を特定して優先順位を付ける機能を提供します。 Armis では、既存のインフラストラクチャを使用して、エージェントをデプロイすることなく、デバイスを検出して識別します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Armis_Alerts_CL |
いいえ | いいえ |
Armis_Activities_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。
Armis Devices (using Azure Functions))
サポート対象:Armis Corporation
Armis デバイス コネクタは、Armis REST API を介して Armis デバイスをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント () を参照してください。 コネクタは、Armis プラットフォームからデバイス情報を取得する機能を提供します。 Armis では、既存のインフラストラクチャを使用して、エージェントをデプロイすることなく、デバイスを検出して識別します。 Armis は、既存の IT およびセキュリティ管理ツールと統合して、環境内で管理されている、または管理されていないありとあらゆるデバイスを識別して分類することもできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Armis_Devices_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。
Atlassian ビーコン アラート
サポート対象:株式会社ディフェン
Atlassian Beacon は、Atlassian プラットフォーム (Jira、Confluence、Atlassian Admin) の全体でインテリジェントな脅威の検出用に構築されたクラウド製品です。 これにより、ユーザーは Atlassian 製品のスイートにおける危険なユーザー アクティビティを検出、調査、対応することができます。 ソリューションは、ロジック アプリを介してMicrosoft Sentinelする Atlassian Beacon から取り込まれたアラートを視覚化するために使用される、DEFEND Ltd. のカスタム データ コネクタです。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
atlassian_beacon_alerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Atlassian Confluence 監査 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Atlassian Confluence Audit データ コネクタは、REST API を介してConfluence Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ConfluenceAuditLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Atlassian Confluence API アクセス: Confluence 監査ログ API にアクセスするには、 Confluence の管理 のアクセス許可が必要です。 監査 API の詳細については、 Confluence API のドキュメント を参照してください。
Atlassian Jira Audit (using Azure Functions))
サポート元:Microsoft Corporation
Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Jira_Audit_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: JiraAccessToken、 JiraUsername は REST API に必要です。 詳細については、 API を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
Atlassian Jira Audit (REST API を使用)
サポート元:Microsoft Corporation
Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Jira_Audit_v2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Atlassian Jira API アクセス: Jira 監査ログ API にアクセスするには、 Jira の管理 のアクセス許可が必要です。 監査 API の詳細については、 Jira API のドキュメント を参照してください。
Auth0 Access Management (using Azure Functions))
サポート元:Microsoft Corporation
Auth0 Access Management データ コネクタは、Auth0 ログ イベントをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Auth0AM_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API トークン が必要です。 詳細については、「API トークン」を参照してください。
Auth0 ログ
サポート元:Microsoft Corporation
Auth0 データ コネクタを使用すると、Auth0 API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築されています。 Auth0 API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Auth0Logs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
自動ロジック WebCTRL
サポート元:Microsoft Corporation
監査ログは、Microsoft Sentinelに接続されているWindowsコンピューターでホストされている WebCTRL SQL サーバーからストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これにより、WebCTRL BAS アプリケーションによって監視または制御される産業用制御システムに関する分析情報を得ることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
AWS S3 サーバー アクセス ログ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 サーバーアクセスログをMicrosoft Sentinelに取り込むことができます。 これらのログには、要求の種類、アクセスされたリソース、要求元情報、応答の詳細など、S3 バケットに対して行われた要求の詳細なレコードが含まれます。 これらのログは、アクセス パターンの分析、問題のデバッグ、セキュリティ コンプライアンスの確保に役立ちます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSS3ServerAccess |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 環境: 次の AWS リソースを定義して構成する必要があります。S3 バケット、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシー。
AWS Security Hub の結果 (コードレス コネクタ フレームワークを使用)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS Security Hub の結果をMicrosoft Sentinelに取り込めます。 AWS Security Hub の結果をMicrosoft Sentinelの高度な脅威検出および対応機能と統合することで、セキュリティアラートの監視と管理のプロセスを効率化するのに役立ちます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSSecurityHubFindings |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 環境: AWS Security Hub、Amazon Data Firehose、Amazon EventBridge、S3 Bucket、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシーの AWS リソースを定義して構成する必要があります。
Azure Activity
サポート元:Microsoft Corporation
Azure アクティビティ ログは、Azureで発生するサブスクリプション レベルのイベント (Azure Resource Managerの運用データからのイベント、サービス正常性イベント、サブスクリプション内のリソースに対して実行された書き込み操作、Azureで実行されたアクティビティの状態など) に関する分析情報を提供するサブスクリプション ログです。 詳細については、Microsoft Sentinel ドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureActivity |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Azure Batch Account
サポート元:Microsoft Corporation
Azure Batch アカウントは、Batch サービス内で一意に識別されるエンティティです。 ほとんどの Batch ソリューションでは、リソース ファイルと出力ファイルの格納にAzure Storageが使用されるため、各 Batch アカウントは通常、対応するストレージ アカウントに関連付けられます。 このコネクタを使用すると、Azure Batch アカウントの診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure CloudNGFW By Palo Alto Networks
サポート対象:Palo Alto Networks
Azure ネイティブ ISV サービスである Palo Alto Networks によるクラウド次世代ファイアウォールは、Azure上のクラウド ネイティブ サービスとして提供される Palo Alto Networks 次世代ファイアウォール (NGFW) です。 Azure Marketplaceでクラウド NGFW を検出し、Azure仮想ネットワーク (VNet) で使用できます。 Cloud NGFW を使用すると、アプリ ID、URL フィルタリング ベースのテクノロジなどのコア NGFW 機能にアクセスできます。 クラウドで提供されるセキュリティ サービスと脅威防止署名を通じて、脅威の防止と検出を提供します。 このコネクタを使用すると、cloud NGFW ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。 詳細については、AzureドキュメントCloud NGFWを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
fluentbit_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Azure Cognitive Search
サポート元:Microsoft Corporation
Azure Cognitive Searchは、Web、モバイル、エンタープライズ アプリケーションのプライベートで異種のコンテンツに対して豊富な検索エクスペリエンスを構築するためのインフラストラクチャ、API、ツールを開発者に提供するクラウド検索サービスです。 このコネクタを使用すると、Azure Cognitive Search診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure DDoS Protection
サポート元:Microsoft Corporation
パブリック IP アドレス診断ログを使用して、Azure DDoS Protection Standard ログに接続します。 Azure DDoS Protection Standard は、プラットフォームのコア DDoS 保護に加えて、ネットワーク攻撃に対する高度な DDoS 軽減機能を提供します。 特定のAzure リソースを保護するように自動的に調整されます。 保護は、新しい仮想ネットワークの作成時に簡単に有効にできます。 作成の後で行うこともでき、アプリケーションまたはリソースを変更する必要はありません。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Azure DevOps 監査ログ (Codeless Connector Framework 経由))
サポート元:Microsoft Corporation
Azure DevOps監査ログ データ コネクタを使用すると、監査イベントをAzure DevOpsからMicrosoft Sentinelに取り込むことができます。 このデータ コネクタは、Microsoft Sentinel Codeless Connector Framework を使用して構築され、シームレスな統合が保証されます。 Azure DevOps監査ログ API を利用して詳細な監査イベントをフェッチし、DCR ベースのingestion 時間変換をサポートします。 これらの変換を使用すると、インジェスト中に受信した監査データをカスタム テーブルに解析できるため、追加の解析が不要になったため、クエリのパフォーマンスが向上します。 このコネクタを使用すると、Azure DevOps環境の可視性を強化し、セキュリティ運用を効率化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ADOAuditLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Azure DevOps 前提条件: 次のことを確認してください。
1. アプリの登録で、Microsoft Entra管理センターに Entra アプリを登録します。
2. [API のアクセス許可] - [Azure DevOps - vso.auditlog] にアクセス許可を追加します。
3. [証明書とシークレット] - [クライアント シークレット] を生成します。
4. [認証] で、対応するフィールドに以下のリダイレクト URI を追加します。
5. Azure DevOps設定で、監査ログを有効にし、ユーザーに対して View 監査ログを設定します。 Azure DevOps Auditing。
6. データ コネクタに接続するために割り当てられたユーザーに、監査ログの表示アクセス許可が常に [許可] に明示的に設定されていることを確認します。 このアクセス許可は、ログ インジェストを成功させるために不可欠です。 アクセス許可が取り消されたか、許可されていない場合、データ インジェストは失敗するか、中断されます。
Azure Event Hub
サポート元:Microsoft Corporation
Azure Event Hubsは、ビッグ データ ストリーミング プラットフォームとイベント インジェスト サービスです。 1 秒あたり何百万ものイベントを受信して処理できます。 このコネクタを使用すると、Azure Event Hub 診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure Firewall
サポート元:Microsoft Corporation
Azure Firewallに接続します。 Azure Firewallは、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
AZFWApplicationRule |
イエス | イエス |
AZFWFlowTrace |
イエス | イエス |
AZFWFatFlow |
イエス | イエス |
AZFWNatRule |
イエス | イエス |
AZFWDnsQuery |
イエス | イエス |
AZFWIdpsSignature |
イエス | イエス |
AZFWInternalFqdnResolutionFailure |
イエス | イエス |
AZFWNetworkRule |
イエス | イエス |
AZFWThreatIntel |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Azure Key Vault
サポート元:Microsoft Corporation
Azure Key Vaultは、シークレットを安全に格納してアクセスするためのクラウド サービスです。 シークレットは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要があるあらゆるものです。 このコネクタを使用すると、Azure Key Vault診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Azure Kubernetes Service (AKS)
サポート元:Microsoft Corporation
Azure Kubernetes Service (AKS) は、クラスター環境で Docker コンテナーとコンテナー ベースのアプリケーションをデプロイ、スケーリング、管理できる、オープンソースのフル マネージド コンテナー オーケストレーション サービスです。 このコネクタを使用すると、Azure Kubernetes Service (AKS) 診断ログを Microsoft Sentinel にストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Azure Logic Apps
サポート元:Microsoft Corporation
Azure Logic Appsは、アプリ、データ、サービス、システムを統合する自動化されたワークフローを作成して実行するためのクラウドベースのプラットフォームです。 このコネクタを使用すると、Azure Logic Apps診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure Resource Graph
サポート元:Microsoft Corporation
Azure Resource Graph コネクタでは、Azure サブスクリプションとAzure リソースに関する詳細を補足することで、Azure イベントに関する豊富な分析情報を得ることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Policy: Azure サブスクリプションに対する所有者ロールのアクセス許可
Azure Service Bus
サポート元:Microsoft Corporation
Azure Service Busは、メッセージ キューと発行/サブスクライブ トピック (名前空間内) を備えたフル マネージドエンタープライズ メッセージ ブローカーです。 このコネクタを使用すると、Azure Service Bus診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure SQL Databases
サポート元:Microsoft Corporation
Azure SQLは、フル マネージドの PaaS (Platform-as-a-Service) データベース エンジンであり、アップグレード、修正プログラムの適用、バックアップ、監視などのほとんどのデータベース管理機能を、ユーザーの関与を必要とせずに処理します。 このコネクタを使用すると、Azure SQL データベースの監査ログと診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Azure Storage Account
サポート元:Microsoft Corporation
Azure Storage アカウントは、最新のデータ ストレージ シナリオ向けのクラウド ソリューションです。 すべてのデータ オブジェクト (BLOB、ファイル、キュー、テーブル、ディスク) が含まれます。 このコネクタを使用すると、Azure Storageアカウントの診断ログを Microsoft Sentinel ワークスペースにストリーミングできます。これにより、すべてのインスタンスのアクティビティを継続的に監視し、組織内の悪意のあるアクティビティを検出できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureMetrics |
いいえ | いいえ |
StorageBlobLogs |
イエス | イエス |
StorageQueueLogs |
イエス | イエス |
StorageTableLogs |
イエス | イエス |
StorageFileLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure Stream Analytics
サポート元:Microsoft Corporation
Azure Stream Analyticsは、複数のソースから大量の高速ストリーミング データを同時に分析および処理するように設計された、リアルタイム分析および複雑なイベント処理エンジンです。 このコネクタを使用すると、Azure Stream Analytics ハブの診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ポリシー: 各ポリシー割り当てスコープに割り当てられた所有者ロール
Azure Web Application Firewall (WAF)
サポート元:Microsoft Corporation
Application Gateway、Front Door、または CDN のAzure Web Application Firewall (WAF) に接続します。 この WAF によって、SQL インジェクションやクロスサイト スクリプティングなどの一般的な Web 脆弱性からアプリケーションが保護されます。また、ルールをカスタマイズして偽陽性を減らすことができます。 インストール プロセス中に、Microsoft Web アプリケーションファイアウォールのログをMicrosoft Sentinelにストリーミングする手順が表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
BETTER Mobile Threat Defense(MTD)
サポート対象:Better Mobile Security Inc.
BETTER MTD Connector を使用すると、企業は Better MTD インスタンスをMicrosoft Sentinelに接続し、ダッシュボードでデータを表示したり、カスタム アラートを作成したり、それを使用してプレイブックをトリガーしたり、脅威ハンティング機能を拡張したりできます。 これにより、ユーザーは組織のモバイル デバイスについてより詳細な分析情報を入手できるとともに、現在のモバイル セキュリティ態勢をすばやく分析して全体的な SecOps 機能を向上させることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BetterMTDIncidentLog_CL |
いいえ | いいえ |
BetterMTDDeviceLog_CL |
いいえ | いいえ |
BetterMTDNetflowLog_CL |
いいえ | いいえ |
BetterMTDAppLog_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
BeyondTrust PM Cloud
サポート対象:BeyondTrust
BeyondTrust Privilege Management Cloud データ コネクタは、BeyondTrust PM Cloud からアクティビティ監査ログとクライアント イベント ログをMicrosoft Sentinelに取り込む機能を提供します。
このコネクタでは、Azure Functionsを使用して BeyondTrust PM Cloud API からデータをプルし、それをカスタム Log Analytics テーブルに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
いいえ | いいえ |
BeyondTrustPM_ClientEvents_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- BeyondTrust PM Cloud API 資格情報: BeyondTrust PM Cloud OAuth クライアント ID とクライアント シークレットが必要です。 API アカウントには、監査 - 読み取り専用とレポート - 読み取り専用のアクセス許可が必要です。
BigID DSPM コネクタ
サポート対象:BigID
BigID DSPM データ コネクタは、影響を受けるオブジェクトとデータソース情報を含む BigID DSPM ケースをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BigIDDSPMCatalog_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- BigID DSPM API アクセス: BigID トークンを介した BigID DSPM API へのアクセスが必要です。
Bitglass (using Azure Functions))
サポート元:Microsoft Corporation
Bitglass データ コネクタは、Bitglass サービスのセキュリティ イベント ログを取得し、REST API を介してより多くのイベントをMicrosoft Sentinelする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BitglassLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 BitglassToken と BitglassServiceURL が必要です。
Bitsight データ コネクタ (Azure Functions を使用)
サポート対象:BitSight サポート
BitSight Data Connector は、BitSight データをMicrosoft Sentinelに取り込むことによって、証拠ベースのサイバー リスク監視をサポートします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BitsightAlerts_data_CL |
イエス | イエス |
BitsightBreaches_data_CL |
イエス | イエス |
BitsightCompany_details_CL |
イエス | イエス |
BitsightCompany_rating_details_CL |
イエス | イエス |
BitsightDiligence_historical_statistics_CL |
イエス | イエス |
BitsightDiligence_statistics_CL |
イエス | イエス |
BitsightFindings_data_CL |
イエス | イエス |
BitsightFindings_summary_CL |
イエス | イエス |
BitsightGraph_data_CL |
イエス | イエス |
BitsightIndustrial_statistics_CL |
イエス | イエス |
BitsightObservation_statistics_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: BitSight API トークンが必要です。 API トークンの 詳細については、 ドキュメントを参照してください。
Bitwarden イベント ログ
サポート対象:Bitwarden Inc
このコネクタは、ユーザーのアクティビティ (ログイン、パスワードの変更、2fa など)、暗号アクティビティ (作成、更新、削除、共有など)、収集アクティビティ、組織のアクティビティなど、Bitwarden 組織のアクティビティに関する分析情報を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BitwardenEventLogs |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Bitwarden クライアント ID とクライアント シークレット: API キーは、Bitwarden 組織の管理コンソールにあります。 詳細については 、Bitwarden のドキュメント を参照してください。
Box (Azure Functionsを使用)
サポート元:Microsoft Corporation
Box データ コネクタは、Box REST API を使用して、Box 企業のイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BoxEvents_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Box API 資格情報: Box REST API JWT 認証には Box 構成 JSON ファイルが必要です。 詳細については、「 JWT 認証」を参照してください。
Box イベント (CCF)
サポート元:Microsoft Corporation
Box データ コネクタは、Box REST API を使用して、Box 企業のイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BoxEventsV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Box API 資格情報: Box API を認証するには、Box App クライアント ID とクライアント シークレットが必要です。 詳細については、「クライアント資格情報の付与」を参照してください。
- Box Enterprise ID: Box Enterprise ID は、接続を確立するために必要です。 エンタープライズ ID を検索するには、ドキュメントを参照してください
Check Point CloudGuard CNAPP Connector for Microsoft Sentinel
サポート対象:Check Point
CloudGuard データ コネクタを使用すると、Microsoft Sentinelのコードレス コネクタ フレームワークを使用して、CloudGuard API から Microsoft Sentinel ™ にセキュリティ イベントを取り込みます。 コネクタでは、受信セキュリティ イベント データをカスタム列に解析する DCR ベースの インジェスト時間変換 がサポートされています。 この事前解析プロセスにより、クエリ時間の解析が不要になり、データ クエリのパフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CloudGuard_SecurityEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- CloudGuard API キー: API キーを生成するには、 ここに 記載されている手順を参照してください。
Check Point Cyberint Alerts Connector (コードレス コネクタ フレームワーク経由)
サポート対象:Cyberint
Check Point 企業 Cyberint は、重要なアラートを合理化し、Infinity External Risk Management ソリューションから強化された脅威インテリジェンスをMicrosoft Sentinelに取り込むためのMicrosoft Sentinel統合を提供します。 これにより、システム間の自動更新を使用してチケットの状態を追跡するプロセスが簡略化されます。 Microsoft Sentinelのこの新しい統合を使用すると、既存の Cyberint とMicrosoft Sentinelのお客様は、Cyberint の調査結果に基づいてログをMicrosoft Sentinelプラットフォームに簡単にプルできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
argsentdc_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Check Point Cyberint API Key、Argos URL、および Customer Name: コネクタ API キー、Argos URL、および Customer Name が必要です
Check Point Cyberint IOC コネクタ
サポート対象:Cyberint
これは、Check Point Cyberint IOC のデータ コネクタです。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
iocsent_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Check Point Cyberint API Key and Argos URL: コネクタ API キーと Argos URL が必要です
AMA 経由の Cisco ASA/FTD
サポート元:Microsoft Corporation
Cisco ASA ファイアウォール コネクタを使用すると、cisco ASA ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure以外の VM からデータを収集するには、Azure Arcがインストールされ、有効になっている必要があります。 詳細情報
Cisco Cloud Security (using Azure Functions))
サポート元:Microsoft Corporation
Microsoft Sentinel用の Cisco Cloud Security ソリューションを使用すると、Amazon S3 に格納されている Cisco Secure Access と Cisco Umbrellalogs を Amazon S3 REST API を使用してMicrosoft Sentinelに取り込みます。 詳細については 、Cisco クラウド セキュリティ ログ管理のドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cisco_Umbrella_dns_CL |
イエス | イエス |
Cisco_Umbrella_proxy_CL |
イエス | イエス |
Cisco_Umbrella_ip_CL |
イエス | イエス |
Cisco_Umbrella_cloudfirewall_CL |
いいえ | いいえ |
Cisco_Umbrella_firewall_CL |
いいえ | いいえ |
Cisco_Umbrella_dlp_CL |
いいえ | いいえ |
Cisco_Umbrella_ravpnlogs_CL |
いいえ | いいえ |
Cisco_Umbrella_audit_CL |
いいえ | いいえ |
Cisco_Umbrella_ztna_CL |
いいえ | いいえ |
Cisco_Umbrella_intrusion_CL |
いいえ | いいえ |
Cisco_Umbrella_ztaflow_CL |
いいえ | いいえ |
Cisco_Umbrella_fileevent_CL |
いいえ | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセス キー ID、 AWS シークレット アクセス キー、 AWS S3 バケット名 が必要です。
Cisco Cloud Security (elastic Premium プランを使用) (Azure Functions を使用)
サポート元:Microsoft Corporation
Cisco Umbrella データ コネクタは、Amazon S3 に格納されている Cisco Umbrella イベントを Amazon S3 REST API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については Cisco Umbrella ログ管理ドキュメント を参照して下さい。
NOTE: このデータ コネクタでは、Azure Functions Premium プランを使用して安全なインジェスト機能を有効にし、追加コストが発生します。 価格の詳細 については、こちらをご覧ください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cisco_Umbrella_dns_CL |
イエス | イエス |
Cisco_Umbrella_proxy_CL |
イエス | イエス |
Cisco_Umbrella_ip_CL |
イエス | イエス |
Cisco_Umbrella_cloudfirewall_CL |
いいえ | いいえ |
Cisco_Umbrella_firewall_CL |
いいえ | いいえ |
Cisco_Umbrella_dlp_CL |
いいえ | いいえ |
Cisco_Umbrella_ravpnlogs_CL |
いいえ | いいえ |
Cisco_Umbrella_audit_CL |
いいえ | いいえ |
Cisco_Umbrella_ztna_CL |
いいえ | いいえ |
Cisco_Umbrella_intrusion_CL |
いいえ | いいえ |
Cisco_Umbrella_ztaflow_CL |
いいえ | いいえ |
Cisco_Umbrella_fileevent_CL |
いいえ | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセス キー ID、 AWS シークレット アクセス キー、 AWS S3 バケット名 が必要です。
-
Virtual Networkアクセス許可 (プライベート アクセスの場合): プライベート ストレージ アカウントアクセスの場合、Network 共同作成者アクセス許可がVirtual Networkとサブネットに必要です。 サブネットは、Function App VNet 統合のために Microsoft.Web/serverFarms に委任する必要があります。
Cisco Duo Security (using Azure Functions))
サポート対象:シスコ システム
Cisco Duo セキュリティ データ コネクタは、認証ログ、管理者ログを取り込む機能を提供します。 telephony logs,offline enrollment logs and Trust Monitor events は、Cisco Duo Admin API を使用してMicrosoft Sentinelに取り込みます。 詳細については、API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoDuo_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Cisco Duo API の資格情報: Cisco Duo API には、許可 された読み取りログが付与 された Cisco Duo API 資格情報が必要です。 Cisco Duo API 資格情報の作成の詳細については、 ドキュメント を参照してください。
Cisco ETD (using Azure Functions)
サポート対象:N/A
コネクタは、脅威分析のために ETD API からデータをフェッチします
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoETD_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Email Threat Defense API、API キー、クライアント ID、シークレット: API キー、クライアント ID、シークレット キーがあることを確認します。
Cisco Meraki (REST API を使用)
サポート元:Microsoft Corporation
Cisco Meraki コネクタを使用すると、Cisco Meraki 組織イベント (セキュリティ イベント、構成変更、API 要求) をMicrosoft Sentinelに簡単に接続できます。 データ コネクタは、Cisco Meraki REST API を使用してログをフェッチし、受信したデータを解析し、Log Analytics ワークスペースの ASIM およびカスタム テーブルに取り込む DCR ベースの ingestion time transformations をサポートします。 このデータ コネクタは、DCR ベースのインジェスト時間フィルター処理、データ正規化などの機能の恩恵を受けます。
サポートされている ASIM スキーマ:
- ネットワーク セッション
- Web セッション
- 監査イベント
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimNetworkSessionLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Cisco Meraki REST API キー: Cisco Meraki で API アクセスを有効にし、API キーを生成します。 詳細については、Cisco Meraki の公式 ドキュメント を参照してください。
- Cisco Meraki 組織 ID: セキュリティ イベントをフェッチするために Cisco Meraki 組織 ID を取得します。 ドキュメントの手順に従って、前の手順で取得した Meraki API キーを使用して組織 ID を取得します。
Cisco セキュア エンドポイント (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Cisco セキュア エンドポイント (旧称 AMP for Endpoint) データ コネクタは、Cisco Secure Endpoint audit logs および events をMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
イエス | イエス |
CiscoSecureEndpointEventsV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Cisco セキュア エンドポイント API 資格情報/リージョン: API 資格情報を作成し、リージョンを理解するには、ここに記載されているドキュメント リンクに従います。
ここをクリックしてください。
Cisco ソフトウェア定義 WAN
サポート対象:シスコ システム
Cisco Software Defined WAN(SD-WAN) データ コネクタは、Cisco SD-WAN Syslog および Netflow データをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
イエス | イエス |
CiscoSDWANNetflow_CL |
いいえ | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
クラロティ×ドーム
サポート対象:xDome カスタマー サポート
Claroty xDome は、医療および産業用ネットワーク環境に対して包括的なセキュリティおよびアラート管理機能を提供します。 複数のソースの種類をマップし、収集されたデータを識別し、Microsoft Sentinelデータ モデルに統合するように設計されています。 これにより、医療および産業環境のすべての潜在的な脅威を 1 か所で監視でき、より効果的なセキュリティ監視とより強力なセキュリティ体制を実現できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Cloudflare (プレビュー) (Azure Functionsを使用)
サポート対象:Cloudflare
Cloudflare データ コネクタは、Cloudflare Logpush と Azure Blob Storage を使用して Cloudflare logs をMicrosoft Sentinelに取り込む機能を提供します。 詳細については、Cloudflare のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cloudflare_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
-
Azure Blob Storage 接続文字列とコンテナー名: Cloudflare Logpush によってログがプッシュされるAzure Blob Storage 接続文字列とコンテナー名。 詳細については、「
コンテナーの作成Azure Blob Storage.
Cloudflare(Blobコンテナ使用)(Codeless Connector Framework経由)
サポート対象:Cloudflare
Cloudflare データ コネクタは、Cloudflare Logpush と Azure Blob Storage を使用して Cloudflare ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細は Cloudflareのドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CloudflareV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- ストレージ アカウントとコンテナーの作成: Cloudflare で logpush を設定する前に、まずストレージ アカウントとコンテナーをMicrosoft Azureに作成します。 このガイドを使って、ContainerとBlobについてもっと知ってみてください。 documentationの手順に従って、Azure Storage アカウントを作成します。
- BLOB SAS URL の生成: 作成と書き込みのアクセス許可が必要です。 Blob SASトークンとURLの詳細については ドキュメント を参照してください。
- Cloudflare から BLOB コンテナーへのログの収集: Cloudflare から BLOB コンテナーにログを収集するための ドキュメント の手順に従います。
コニ
サポート対象:Cognni
Cognni コネクタは、Microsoft Sentinelとの迅速かつ簡単な統合を提供します。 Cognni を使用すると、以前の分類されていない重要な情報を自律的にマップし、関連するインシデントを検出できます。 これにより、重要な情報に対するリスクを認識し、インシデントの重大度を把握し、修復する必要がある詳細を調査して、十分に迅速に変化をもたらすことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CognniIncidents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
(Azure Functions を使用)
Supported by:Cohesity
Cohesity 関数アプリは、Cohesity Datashade ランサムウェア アラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cohesity_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
-
Azure Blob Storage 接続文字列とコンテナー名: Azure Blob Storage 接続文字列とコンテナー名
通信保管IQ
サポート対象:Commvault
このAzure関数を使用すると、Commvault ユーザーはアラート/イベントを Microsoft Sentinel インスタンスに取り込むことができます。 分析ルールを使用すると、Microsoft Sentinelは受信イベントとログからMicrosoft Sentinelインシデントを自動的に作成できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommvaultSecurityIQ_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Commvault 環境エンドポイント URL: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください
- Commvault QSDK トークン: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください
ContrastADR
サポート対象:コントラスト セキュリティ
ContrastADR データ コネクタは、ContrastADR Webhook を使用して Contrast ADR 攻撃イベントをMicrosoft Sentinelに取り込む機能を提供します。 ContrastADRデータコネクターは、ContrastADR APIのエンリッチメントコールで受信ウェブフックデータをリッチングできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ContrastADR_CL |
いいえ | いいえ |
ContrastADRIncident_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
Corelight コネクタ エクスポーター
サポート対象:Corelight
Corelight データ コネクタを使用すると、Microsoft Sentinelを使用するインシデント レスポンダーと脅威ハンターがより迅速かつ効果的に動作できます。 データ コネクタを使用すると、Corelight Sensors を介して Zeek および Suricata からのイベントをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Corelight |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Cortex XDR - インシデント
サポート対象:株式会社ディフェン
CORTEX API を利用して Cortex XDR プラットフォームからMicrosoft Sentinelにインシデントを取り込むための、DEFEND のカスタム データ コネクタ。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CortexXDR_Incidents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Cortex API 資格情報: REST API には Cortex API トークン が必要です。 詳細については、 API を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
クリブル
サポート対象:クリブル
Cribl コネクタを使用すると、クリブル (クリブル Enterprise Edition - スタンドアロン) ログをMicrosoft Sentinelに簡単に接続できます。 これにより、組織のデータ パイプラインについていっそう多くのセキュリティ分析情報を得られます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CriblInternal_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
CrowdStrike API データコネクター(Codeless Connector Framework 経由)
サポート元:Microsoft Corporation
CrowdStrike Data Connector を使用すると、CrowdStrike API からMicrosoft Sentinelにログを取り込むことができます。 このコネクタは、CrowdStrike
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrikeAlerts |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- クラウドストライク OAuth2 API クライアントとスコープ: アラート、 API 統合、 アプリ ログ、 ケース、 相関ルール、 検出、 ホスト、 資産、 インシデント、 検疫済みファイル、 脆弱性 は REST API に必要です。 詳細については、 API を参照してください。
CrowdStrike Falcon Adversary Intelligence (using Azure Functions))
サポート元:Microsoft Corporation
CrowdStrike Falcon Indicators of Compromise コネクタは、Falcon Intel API から侵害のインジケーターを取得し、それらを Microsoft Sentinel Threat Intel にアップロードします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelIndicators |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- CrowdStrike API クライアント ID とクライアント シークレット: CROWDSTRIKE_CLIENT_ID、 CROWDSTRIKE_CLIENT_SECRET、 CROWDSTRIKE_BASE_URL。 CrowdStrike 資格情報には、インジケーター (ファルコン インテリジェンス) の読み取りスコープが必要です。
CrowdStrike Falcon Data Replicator (AWS S3) (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Crowdstrike Falcon Data Replicator (S3) コネクタは、FDR ログがストリーミングされた AWS S3 バケットから FDR イベント datainto Microsoft Sentinelを取り込む機能を提供します。 このコネクタによって、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを Falcon Agents から取得する機能が提供されます。
NOTE:
1. CrowdStrike FDR ライセンスが使用可能で有効になっている必要があります。
2. コネクタでは、AWS S3 バケットへのアクセスを許可するように AWS で IAM ロールを構成する必要があり、CrowdStrike - マネージド バケットを利用する環境には適さない場合があります。
3. CrowdStrike で管理されるバケットを利用する環境の場合は、 CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3) コネクタを構成してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrike_Additional_Events_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (using Azure Functions))
サポート元:Microsoft Corporation
このコネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーション アクティビティの分析、構成の問題の特定、およびその他の運用上の分析情報をサポートするために、Azure Functionsを使用して FDR データをMicrosoft Sentinelに取り込むことができます。
NOTE:
1. CrowdStrike FDR ライセンスが使用可能で有効になっている必要があります。
2. コネクタはキーとシークレットベースの認証を使用し、CrowdStrike マネージド バケットに適しています。
3. 完全に所有されている AWS S3 バケットを使用する環境では、 CloudStrike Falcon Data Replicator (AWS S3) コネクタを使用することをお勧めします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrikeReplicatorV2 |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- SQS および AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL が必要です。 詳細については、「 データのプル」を参照してください。 開始するには、CrowdStrike サポートにお問い合わせください。 要求に応じて、短期間のストレージ目的で CrowdStrike で管理されるアマゾン ウェブ サービス (AWS) S3 バケットと、S3 バケットへの変更を監視するための SQS (単純なキュー サービス) アカウントを作成します。
CTERAシスログ
サポート対象:CTERA
CTERA Data Connector for Microsoft Sentinelは、CTERA ソリューションの監視機能と脅威検出機能を提供します。 これには、種類、削除、拒否されたアクセス操作ごとのすべての操作の合計を視覚化するブックが含まれています。 また、ランサムウェア インシデントを検出し、疑わしいランサムウェア アクティビティのためにユーザーがブロックされたときにアラートを生成する分析ルールも提供します。 さらに、大量アクセス拒否イベント、大量削除、大量のアクセス許可の変更などの重要なパターンを特定し、プロアクティブな脅威の管理と対応を可能にします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
AMA を使用したカスタム ログ
サポート元:Microsoft Corporation
多くのアプリケーションでは、Windows イベント ログ、Syslog、CEF など、標準のログ サービスではなく、テキストまたは JSON ファイルに情報を記録します。 カスタム ログ データ コネクタを使用すると、Windows コンピューターと Linux コンピューターの両方のファイルからイベントを収集し、作成したカスタム ログ テーブルにストリーム配信できます。 データのストリーミング中に、DCR を使用してコンテンツを解析および変換できます。 データを収集したら、分析ルール、ハンティング、検索、脅威インテリジェンス、エンリッチメントなどを適用できます。
注: このコネクタは、次のデバイスに使用 します。Cisco Meraki、Zscaler Private Access (ZPA)、VMware vCenter、Apache HTTP サーバー、Apache Tomcat、Jboss Enterprise アプリケーション プラットフォーム、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP サーバー、Oracle Weblogic サーバー、PostgreSQL イベント、Squid プロキシ、Ubiquiti UniFi、SecurityBridge 脅威検出 SAP、AI vectra ストリーム。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
JBossEvent_CL |
いいえ | いいえ |
JuniperIDP_CL |
イエス | イエス |
ApacheHTTPServer_CL |
イエス | イエス |
Tomcat_CL |
イエス | イエス |
meraki_CL |
イエス | イエス |
VectraStream_CL |
いいえ | いいえ |
MarkLogicAudit_CL |
いいえ | いいえ |
MongoDBAudit_CL |
イエス | イエス |
NGINX_CL |
イエス | イエス |
OracleWebLogicServer_CL |
イエス | イエス |
PostgreSQL_CL |
イエス | イエス |
SquidProxy_CL |
イエス | イエス |
Ubiquiti_CL |
イエス | イエス |
vcenter_CL |
イエス | イエス |
ZPA_CL |
イエス | イエス |
SecurityBridgeLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Permissions: Azure以外の VM からデータを収集するには、Azure Arcをインストールして有効にする必要があります。 詳細情報
Cyber Blind Spot Integration (using Azure Functions))
サポート対象:Cyber Threat Management 360
API 統合により、RESTful インターフェイスを使用して CBS 組織に関連するすべての問題を取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CBSLog_Azure_1_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
CyberArkAudit (using Azure Functions)
サポート対象:CyberArk サポート
CyberArk Audit データ コネクタは、CyberArk Audit サービスのセキュリティ イベント ログを取得し、REST API を介してより多くのイベントをMicrosoft Sentinelする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberArk_AuditEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API 接続の詳細と資格情報の監査: API 呼び出しを行う場合は、 OauthUsername、 OauthPassword、 WebAppID、 AuditApiKey、 IdentityEndpoint 、 AuditApiBaseUrl が必要です。
Cybersixgill Actionable Alerts (using Azure Functions))
サポート対象:Cybersixgill
アクション可能なアラートは、構成された資産に基づいてカスタマイズされたアラートを提供します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberSixgill_Alerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API 呼び出しを行う 場合は、Client_IDとClient_Secret が必要です。
Cyble Vision アラート
サポート対象:Cyble サポート
Cyble Vision Alerts CCF Data Connector を使用すると、コードレス コネクタ フレームワーク コネクタを使用して Cyble Vision からMicrosoft Sentinelに脅威アラートを取り込みます。 API を使用してアラート データを収集し、正規化し、高度な検出、関連付け、応答のためにカスタム テーブルに格納します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CybleVisionAlerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Cyble Vision API トークン: Cyble Vision Platform からの API トークンが必要です。
サイボーグセキュリティハンターハントパッケージ
サポート対象:サイボーグ セキュリティ
Cyborg Security は、高度な脅威ハンティング ソリューションの大手プロバイダーです。最先端のテクノロジとコラボレーション ツールを使用してサイバー脅威を事前に検出して対応できるように組織を支援することを使命としています。 Cyborg Security の主力製品である HUNTER Platform は、強力な分析、キュレーションされた脅威ハンティング コンテンツ、包括的なハント管理機能を組み合わせて、効果的な脅威ハンティング操作のための動的なエコシステムを作成します。
手順に従って Cyborg Security のコミュニティにアクセスし、HUNTER Platform で 'Open in Tool' 機能を設定します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CYFIRMA Attack Surface
サポート対象:CYFIRMA
N/A
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
イエス | イエス |
CyfirmaASConfigurationAlerts_CL |
イエス | イエス |
CyfirmaASDomainIPReputationAlerts_CL |
イエス | イエス |
CyfirmaASOpenPortsAlerts_CL |
イエス | イエス |
CyfirmaASCloudWeaknessAlerts_CL |
イエス | イエス |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CYFIRMA ブランド インテリジェンス
サポート対象:CYFIRMA
N/A
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
イエス | イエス |
CyfirmaBIExecutivePeopleAlerts_CL |
イエス | イエス |
CyfirmaBIProductSolutionAlerts_CL |
イエス | イエス |
CyfirmaBISocialHandlersAlerts_CL |
イエス | イエス |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CYFIRMA 侵害されたアカウント
サポート対象:CYFIRMA
CYFIRMA Compromised Accounts データ コネクタを使用すると、DeCYFIR/DeTCT API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 Microsoft Sentinel Codeless Connector Framework 上に構築され、DeCYFIR/DeTCT API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
サイフィルマ サイバー インテリジェンス
サポート対象:CYFIRMA
CYFIRMA サイバー インテリジェンス データ コネクタを使用すると、DeCYFIR API から Microsoft Sentinel へのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、DeCYFIR Alerts API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaIndicators_CL |
イエス | イエス |
CyfirmaThreatActors_CL |
イエス | イエス |
CyfirmaCampaigns_CL |
イエス | イエス |
CyfirmaMalware_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CYFIRMA デジタル リスク
サポート対象:CYFIRMA
CYFIRMA デジタル リスク アラート データ コネクタを使用すると、DeCYFIR/DeTCT API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、DeCYFIR Alerts API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
イエス | イエス |
CyfirmaDBWMRansomwareAlerts_CL |
イエス | イエス |
CyfirmaDBWMDarkWebAlerts_CL |
イエス | イエス |
CyfirmaSPESourceCodeAlerts_CL |
イエス | イエス |
CyfirmaSPEConfidentialFilesAlerts_CL |
イエス | イエス |
CyfirmaSPEPIIAndCIIAlerts_CL |
イエス | イエス |
CyfirmaSPESocialThreatAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
CYFIRMA 脆弱性インテリジェンス
サポート対象:CYFIRMA
CYFIRMA 脆弱性インテリジェンス データ コネクタを使用すると、DeCYFIR API から Microsoft Sentinel へのシームレスなログ インジェストが可能になります。 Microsoft Sentinel Codeless Connector Framework 上に構築され、CYFIRMA API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaVulnerabilities_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Cynerio セキュリティ イベント
サポート対象:Cynerio
Cynerio コネクタを使用すると、Cynerio セキュリティ イベントをMicrosoft Sentinelに簡単に接続して IDS イベントを表示できます。 これにより、組織のネットワークのセキュリティ体制に関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CynerioEvent_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Cyren Threat Intelligence
サポート対象:Data443 Risk Mitigation, Inc.
Common Connector Framework (CCF) を使用して、Cyren から IP 評判とマルウェア URL インジケーターを取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cyren_Indicators_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Cyren JWT トークン: Azure Key Vaultに格納されるか、デプロイ時に提供される JWT トークン。
Darktrace Connector for Microsoft Sentinel REST API
サポート対象:Darktrace
Darktrace REST API コネクタは、Darktrace から Microsoft Sentinel にリアルタイム イベントをプッシュし、Sentinel 用の Darktrace ソリューションで使用するように設計されています。 コネクタにより、"darktrace_model_alerts_CL" というタイトルのカスタム ログ テーブルにログが書き込まれます。モデル違反、AI アナリスト インシデント、システム アラート、電子メール アラートを取り込むことができます。追加のフィルターは、Darktrace システム構成ページで設定できます。 データは、Darktrace マスターから Sentinel にプッシュされます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
darktrace_model_alerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Darktrace の前提条件: このデータ コネクタを使用するには、v5.2 以降を実行する Darktrace マスターが必要です。 データはAzure Monitor HTTP Data Collector API に Darktrace マスターからの HTTP 経由で送信されるため、Darktrace マスターから MICROSOFT SENTINEL REST API への送信接続が必要です。
- Darktrace データのフィルター処理: 構成中に、送信されるデータの量または種類を制限するために、Darktrace システム構成ページで追加のフィルター処理を設定できます。
-
Darktrace Sentinel ソリューション: Microsoft Sentinel用の Darktrace ソリューションをインストールすることで、このコネクタを最大限に活用できます。 これにより、アラート データと分析ルールを視覚化するブックが提供され、Darktrace モデル違反と AI アナリスト インシデントからアラートとインシデントが自動的に作成されます。
Datalake2Sentinel
サポート対象:Orange Cyberdefense
このソリューションは、Codeless Connector Framework を使用して構築された Datalake2Sentinel コネクタをインストールし、Upload Indicators REST API を使用して、Datalake Orange Cyberdefense の CTI プラットフォームから脅威インテリジェンス インジケーターを自動的にMicrosoft Sentinelに取り込みます。 ソリューションをインストールしたら、「ソリューションの管理」ビューのガイダンスに従って、このデータ コネクタを構成して有効にします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Dataminr Pulse Alerts Data Connector (using Azure Functions)
サポート対象:Dataminr サポート
Dataminr Pulse Alerts Data Connector は、AI を利用したリアルタイム インテリジェンスをMicrosoft Sentinelに取り込み、脅威の検出と対応を高速化します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DataminrPulse_Alerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- 必要な Dataminr 資格情報/アクセス許可:
a. このデータ コネクタを使用するには、有効な Dataminr Pulse API クライアント ID とシークレットが必要です。
b. Dataminr Pulse Web サイトで 1 つ以上の Dataminr Pulse ウォッチリストを構成する必要があります。
Datawiza DAP
サポート対象:Datawiza Technology Inc.
DATAwiza DAP ログを REST API インターフェイス経由でAzure Log Analyticsに接続します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
datawizaserveraccess_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Derdack SIGNL4
サポート対象:Derdack
重要なシステムで障害が発生したり、セキュリティ インシデントが発生したりすると、SIGNL4 では、現場のスタッフ、エンジニア、IT 管理者、作業者までの "ラスト マイル" を橋渡しします。 リアルタイムのモバイル アラートが、サービス、システム、プロセスに瞬時に追加されます。 SIGNL4 では、永続的なモバイル プッシュ、SMS テキストと音声通話を通じて、受信確認、追跡およびエスカレーションを使用して通知します。 職務とシフトのスケジュールを統合することで、適切な人々が適切なタイミングでアラートを確実に受け取れるようにします。
詳細情報
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityIncident |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Digital Shadows Searchlight (using Azure Functions))
サポート対象:デジタル シャドウ
Digital Shadows データ コネクタは、REST API を使用して Digital Shadows Searchlight からMicrosoft Sentinelにインシデントとアラートを取り込みます。 コネクタによって、潜在的なセキュリティ リスクと脅威の調査、診断、分析に役立つインシデントとアラート情報が提供されます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DigitalShadows_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Digital Shadows アカウント ID、シークレット、キー が必要です。 API の詳細については、こちらのドキュメント を参照してください。
Dns
サポート元:Microsoft Corporation
DNS ログ コネクタを使用すると、DNS 分析ログと監査ログをMicrosoft Sentinelやその他の関連データに簡単に接続して、調査を向上させることができます。
DNS ログ収集を有効にすると、次のことができます。
- 悪意のあるドメイン名を解決しようとするクライアントを特定します。
- 古いリソース レコードを識別します。
- 頻繁に照会されるドメイン名と話し合い DNS クライアントを特定します。
- DNS サーバーの要求負荷を表示します。
- 動的 DNS 登録エラーを表示します。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DnsEvents |
イエス | イエス |
DnsInventory |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
ドッペルデータコネクタ
サポート対象:Doppel
データ コネクタは、Doppel イベントとアラートのMicrosoft Sentinelに基づいて構築されており、DCR ベースの ingestion time transformations をサポートしています。これにより、受信したセキュリティ イベント データをカスタム列に解析し、クエリで再解析する必要がなくなり、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DoppelTable_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft Entra テナント ID、クライアント ID、クライアント シークレット: Microsoft Entra IDアプリケーションを認証するには、クライアント ID とクライアント シークレットが必要です。 さらに、Entra 登録済みアプリケーションにリソース グループ監視メトリックパブリッシャー ロールを割り当てるには、グローバル管理者/所有者レベルのアクセス権が必要です。
-
Requires Workspace ID、DCE-URI、DCR-ID: 構成の Log Analytics ワークスペース ID、DCE ログ インジェスト URI、および DCR 不変 ID を取得する必要があります。
クラウド サイトストア経由の Dragos 通知
サポート対象:Dragos Inc
Dragosプラットフォームは、比類のない産業サイバーセキュリティの専門知識によって構築された包括的な運用技術(OT)サイバー脅威検出を提供する主要な産業用サイバーセキュリティプラットフォームです。 このソリューションにより、Dragos Platform の通知データをMicrosoft Sentinelで表示できるため、セキュリティ アナリストは、産業環境で発生する潜在的なサイバー セキュリティ イベントをトリアージできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DragosAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Dragos サイトストア API アクセス: アクセス許可を持つサイトストア ユーザー アカウント。 このアカウントには、Sentinel に提供できる API キーも必要です。
ドルヴァ・イベント・コネクター
サポート対象:Druva Inc
Druva API から Druva イベントを取り込む機能を提供します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DruvaSecurityEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Druva API アクセス: Druva API では、認証にクライアント ID とクライアント シークレットが必要です
Dynamics 365 Finance および Operations
サポート元:Microsoft Corporation
Finance and Operations のDynamics 365は、財務と運用の機能を組み合わせた包括的なエンタープライズ リソース プランニング (ERP) ソリューションであり、企業が日常業務を管理するのに役立ちます。 企業がワークフローの合理化、タスクの自動化、運用パフォーマンスに関する分析情報の取得を可能にするさまざまな機能を提供します。
Dynamics 365 Financeおよび Operations データ コネクタは、Dynamics 365 Financeおよび Operations 管理者アクティビティと監査ログ、およびユーザー ビジネス プロセスとアプリケーション アクティビティのログをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FinanceOperationsActivity_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Microsoft Entra アプリの登録: Dynamics 365 Financeと操作へのアクセスに使用されるアプリケーション クライアント ID とシークレット。
ダイナミクス365
サポート元:Microsoft Corporation
Dynamics 365 Common Data Service (CDS) アクティビティ コネクタは、管理者、ユーザー、サポート アクティビティ、および Microsoft Social Engagement ログ イベントに関する分析情報を提供します。 DYNAMICS 365 CRM ログをMicrosoft Sentinelに接続することで、このデータをブックで表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Dynamics365Activity |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
ダイナトレース攻撃
サポート対象:Dynatrace
このコネクタでは、Dynatrace Attacks REST API を使用して、検出された攻撃をMicrosoft Sentinel Log Analyticsに取り込みます
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceAttacks_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Dynatrace テナント (例: xyz.dynatrace.com): アプリケーション セキュリティ が有効な有効な Dynatrace テナントが必要です。 Dynatrace プラットフォームの詳細を確認してください。
- Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取り攻撃 (attacks.read) スコープが必要です。
Dynatrace 監査ログ
サポート対象:Dynatrace
このコネクタでは、Dynatrace 監査ログ REST API を使用して、テナント監査ログをMicrosoft Sentinel Log Analyticsに取り込みます
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceAuditLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Dynatrace テナント (例: xyz.dynatrace.com): Dynatrace プラットフォームの詳細を確認するには、有効な Dynatrace テナントが必要です 。無料試用版を開始します。
- Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 監査ログの読み取り (auditLogs.read) スコープが必要です。
ダイナトレースの問題
サポート対象:Dynatrace
このコネクタでは、Dynatrace Problem REST API を使用して、問題イベントをMicrosoft Sentinel Log Analyticsに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceProblems_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Dynatrace テナント (例: xyz.dynatrace.com): Dynatrace プラットフォームの詳細を確認するには、有効な Dynatrace テナントが必要です 。無料試用版を開始します。
- Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取りの問題 (problems.read) スコープが必要です。
Dynatrace ランタイムの脆弱性
サポート対象:Dynatrace
このコネクタでは、Dynatrace セキュリティ問題 REST API を使用して、検出されたランタイムの脆弱性をMicrosoft Sentinel Log Analyticsに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceSecurityProblems_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Dynatrace テナント (例: xyz.dynatrace.com): アプリケーション セキュリティ が有効な有効な Dynatrace テナントが必要です。 Dynatrace プラットフォームの詳細を確認してください。
- Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取りセキュリティの問題 (securityProblems.read) スコープが必要です。
Elastic Agent (スタンドアロン)
サポート元:Microsoft Corporation
Elastic Agent データ コネクタは、Elastic Agent のログ、メトリック、およびセキュリティ データをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ElasticAgentEvent |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- 接続が必要な場合はカスタム前提条件を含める - それ以外の場合は税関を削除する: カスタム前提条件の説明
Ermes ブラウザーのセキュリティ イベント
サポート対象:Ermes Cyber Security S.p.A.
Ermes ブラウザーのセキュリティ イベント
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Ermes クライアント ID とクライアント シークレット: Ermes で API アクセスを有効にします。 詳細については 、Ermes Cyber Security サポートにお問い合わせください。
ESET Protect Platform (using Azure Functions))
サポート対象:ESET Enterprise Integrations
ESET Protect Platform データ コネクタを使用すると、提供された
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IntegrationTable_CL |
イエス | イエス |
IntegrationTableIncidents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
アプリケーションを Microsoft Entra ID : Microsoft Entra テナントにアプリケーションを登録するための十分なアクセス許可が必要です。-
登録済みアプリケーションにロールを割り当てるアクセス許可: Microsoft Entra IDの登録済みアプリケーションに監視メトリック パブリッシャー ロールを割り当てるアクセス許可が必要です。
Exchange Security Insights オンプレミス コレクター
Supported by:Community
Microsoft Sentinel分析用に Exchange On-Premises セキュリティ構成をプッシュするために使用されるコネクタ
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ESIExchangeConfig_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- 組織管理ロールを持つサービス アカウント: スケジュールされたタスクとしてスクリプトを起動するサービス アカウントは、必要なすべてのセキュリティ情報を取得できるようにするには、組織の管理である必要があります。
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Exchange Security Insights Online Collector (Azure Functions を使用))
Supported by:Community
Microsoft Sentinel分析Exchange Onlineセキュリティ構成をプッシュするために使用されるコネクタ
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ESIExchangeOnlineConfig_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- microsoft.automation/automationaccounts のアクセス許可: Runbook でAzure Automationを作成するための読み取りおよび書き込みアクセス許可が必要です。 詳細については、「 Automation アカウント」を参照してください。
- Microsoft.Graph のアクセス許可: Exchange Online割り当てにリンクされているユーザー/グループ情報を取得するには、Groups.Read、Users.Read、Auditing.Read のアクセス許可が必要です。 詳細については、このドキュメントを参照してください。
Exchange Online アクセス許可 : Exchange.ManageAsApp のアクセス許可とGlobal 閲覧者 または< Exchange Online Security Configuration.セキュリティ閲覧者 ロールが必要です>詳細については、ドキュメントを参照してください 。- (省略可能) ログ ストレージのアクセス許可: Automation アカウントのマネージド ID またはアプリケーション ID にリンクされているストレージ アカウントへのストレージ BLOB データ共同作成者は、ログを格納するために必須です。詳細については、ドキュメントを参照してください。
ExtraHop Detections Data Connector (using Azure Functions))
サポート対象:ExtraHop サポート
ExtraHop Detections Data Connector を使用すると、ExtraHop RevealX から検出データを Webhook ペイロード経由でMicrosoft Sentinelにインポートできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ExtraHop_Detections_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- ExtraHop RevealX のアクセス許可: ExtraHop RevealX システムでは、次のものが必要です。1.RevealX システムはファームウェア バージョン 9.9.2 以降を実行している必要があります。
2.RevealX システムが ExtraHop Cloud Services に接続されている必要があります。
3.ユーザー アカウントには、RevealX 360 に対するシステム管理者特権または RevealX Enterprise の完全書き込み権限が必要です。
F5 ビッグIP
サポート対象:F5 ネットワーク
F5 ファイアウォール コネクタを使用すると、F5 ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
F5Telemetry_LTM_CL |
いいえ | いいえ |
F5Telemetry_system_CL |
イエス | イエス |
F5Telemetry_ASM_CL |
いいえ | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Feedly IoC
サポート対象:Feedly Inc
Feedly IoC データ コネクタは、Feedly API から Microsoft Sentinel に侵害インジケーター (IoC) を取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
feedly_indicators_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- フィードリー API アクセス: Feedly API へのアクセスが必要です。 取り込む IoC ストリームにアクセスできる Feedly API トークンが必要です。 で API トークンを生成する
フレア プッシュ コネクタ
サポート対象:フレア
Flare コネクタは、脅威インテリジェンスと露出データをフレアからMicrosoft Sentinelに取り込む機能を提供します。 フレアは、漏洩した資格情報、公開されたクラウド バケット、darkweb メンションなど、人為的ミスや悪意のある攻撃によって公開された会社のデジタル資産を識別します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FireworkV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。
- Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。
-
Flare: フレアでMicrosoft Sentinel統合を構成する権限。
フォースポイントDLP
Supported by:Community
Forcepoint DLP (データ損失防止) コネクタを使用すると、Dlp インシデント データを Forcepoint DLP からリアルタイムでMicrosoft Sentinelに自動的にエクスポートできます。 これにより、ユーザー アクティビティやデータ損失インシデントの可視性が強化され、Azure ワークロードやその他のフィードからのデータとの相関関係が向上し、Microsoft Sentinel内のブックでの監視機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForcepointDLPEvents_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
フォアスカウト
サポート元:Microsoft Corporation
Forescout データ コネクタは、Forescout イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Forescout のドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForescoutEvent |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Forescout Host プロパティ モニター
サポート元:Microsoft Corporation
Forescout Host Property Monitor コネクタを使用すると、Forescout プラットフォームのホスト プロパティをMicrosoft Sentinelに接続し、カスタム インシデントの表示、作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForescoutHostProperties_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Forescout プラグインの要件: Forescout Microsoft Sentinel プラグインが Forescout プラットフォームで実行されていることを確認してください
Fortinet FortiNDR Cloud
サポート対象:Fortinet
Fortinet FortiNDR Cloud データ コネクタは、FortiNDR Cloud API を使用して Fortinet FortiNDR Cloud データをMicrosoft Sentinelに取り込む機能を提供します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FncEventsSuricata_CL |
いいえ | いいえ |
FncEventsObservation_CL |
いいえ | いいえ |
FncEventsDetections_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- MetaStream の資格情報: イベント データを取得するには、 AWS アクセス キー ID、 AWS シークレット アクセス キー、 FortiNDR クラウド アカウント コード が必要です。
- API 資格情報: 検出データを取得するには、 FortiNDR Cloud API トークン、 FortiNDR Cloud Account UUID が必要です。
Garrison ULTRA Remote Logs (using Azure Functions))
サポート対象:Garrison
Garrison ULTRA リモート ログ コネクタを使用すると、Garrison ULTRA リモート ログをMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Garrison ULTRA: このデータ コネクタを使用するには、アクティブな Garrison ULTRA ライセンスが必要です。
GCP クラウド実行 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
GCP Cloud Run データ コネクタは、Pub/Sub を使用して Cloud Run 要求ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 クラウド実行の概要 を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCloudRun |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
GCP Cloud SQL (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
GCP Cloud SQL データ コネクタは、GCP Cloud SQL API を使用して監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 GCP クラウド SQL 監査ログ のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCloudSQL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
GCP Pub/Sub 監査ログ
サポート元:Microsoft Corporation
Microsoft Sentinelのコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、実践者がアクセスを監視し、Google Cloud Platform (GCP) リソース全体の潜在的な脅威を検出するために使用できる証跡が記録されています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPAuditLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
GCP Pub/Sub Load Balancer ログ (Codeless Connector Framework 経由)。
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) Load Balancer ログは、ネットワーク トラフィックに関する詳細な分析情報を提供し、受信アクティビティと送信アクティビティの両方をキャプチャします。 これらのログは、アクセス パターンを監視し、GCP リソース全体の潜在的なセキュリティ脅威を特定するために使用されます。 さらに、これらのログには GCP Web Application Firewall (WAF) ログも含まれるため、リスクを効果的に検出して軽減する機能が強化されます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPLoadBalancerLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
GCP Pub/Sub VPC フロー ログ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) VPC フローログを使用すると、VPC レベルでネットワークトラフィックアクティビティをキャプチャし、アクセスパターンの監視、ネットワークパフォーマンスの分析、GCP リソース全体の潜在的な脅威の検出を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPVPCFlow |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
ギガモン AMX データ コネクタ
サポート対象:ギガモン
このデータ コネクタを使用して、ギガモン アプリケーション メタデータ エクスポーター (AMX) と統合し、Microsoft Sentinelに直接データを送信します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Gigamon_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
GitHub (Webhook を使用))
サポート元:Microsoft Corporation
GitHub webhook データ コネクタは、GitHub webhook イベントを使用してGitHubサブスクライブされたイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、潜在的なセキュリティ リスクの調査、チームのコラボレーションの使用の分析、構成の問題の診断などを行うのに役立つイベントをMicrosoft Sentinelに取り込む機能を提供します。
Note: 監査ログGithub取り込む場合は、"Data Connectors" ギャラリーのエンタープライズ監査ログ コネクタを GitHub参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
githubscanaudit_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
GitHub Enterprise Audit Log (codeless Connector Framework 経由))
サポート元:Microsoft Corporation
GitHub監査ログ コネクタは、GitHubログをMicrosoft Sentinelに取り込む機能を提供します。 監査ログGitHub Microsoft Sentinelに接続することで、このデータをブックで表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
Note: サブスクライブしたイベントGitHub Microsoft Sentinelに取り込む場合は、"Data Connectors" ギャラリーから GitHub (Webhooks を使用) コネクタを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GitHubAuditLogsV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
GitHub API 個人用アクセス トークン: エンタープライズ監査ログのポーリングを有効にするには、認証されたユーザーがエンタープライズ管理者であり、
read:audit_logスコープを持つGitHub個人用アクセス トークン (クラシック) を持っていることを確認します。 -
GitHub エンタープライズの種類: このコネクタは、GitHub Enterprise Cloud でのみ機能します。GitHub Enterprise Server はサポートされません。
Google ApigeeX (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google ApigeeX データ コネクタは、Google Apigee API を使用して監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Google Apigee API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPApigee |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform CDN (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform CDN データ コネクタは、コンピューティング エンジン API を使用してクラウド CDN 監査ログとクラウド CDN トラフィック ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 製品概要 ドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCDN |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform Cloud IDS (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform IDS データ コネクタは、Google Cloud IDS API を使用してクラウド IDS トラフィック ログ、脅威ログ、監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloud IDS API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPIDS |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform Cloud Monitoring (Codeless Connector Framework 経由)
サポート元:Microsoft Corporation
Google Cloud Platform Cloud Monitoring データ コネクタは、Google Cloud Monitoring API を使用して、Google Cloud から Microsoft Sentinelに監視ログを取り込みます。 詳細については、 Cloud Monitoring API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPMonitoring |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform コンピューティング エンジン (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform コンピューティング エンジン データ コネクタは、Google Cloud Compute Engine API を使用してコンピューティング エンジン監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 クラウド コンピューティング エンジン API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPComputeEngine |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform DNS (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform DNS データ コネクタは、Google Cloud DNS API を使用してクラウド DNS クエリ ログとクラウド DNS 監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloud DNS API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPDNS |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform IAM (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform IAM データ コネクタは、Google IAM API を使用して、Google Cloud 内の ID およびアクセス管理 (IAM) アクティビティに関連する監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 GCP IAM API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPIAM |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform NAT (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform NAT データ コネクタは、コンピューティング エンジン API を使用して、Cloud NAT 監査ログとクラウド NAT トラフィック ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 製品概要 ドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPNATAudit |
イエス | イエス |
GCPNAT |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Cloud Platform Resource Manager (Codeless Connector Framework 経由))
サポート元:Microsoft Corporation
Google Cloud Platform Resource Manager データ コネクタには、Cloud Resource Manager API を使用してResource Manager Admin アクティビティおよびデータ アクセス監査ログをMicrosoft Sentinelに取り込む機能が用意されています。 詳細については、 製品概要 ドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPResourceManager |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Kubernetes エンジン (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Kubernetes Engine (GKE) ログを使用すると、クラスター アクティビティ、ワークロードの動作、セキュリティ イベントをキャプチャできます。これにより、Kubernetes ワークロードの監視、パフォーマンスの分析、GKE クラスター全体の潜在的な脅威の検出を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GKEAudit |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google セキュリティ コマンド センター
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) Security Command Center は、Sentinel のコネクタから取り込まれた Google Cloud 用の包括的なセキュリティおよびリスク管理プラットフォームです。 資産インベントリと検出、脆弱性と脅威の検出、リスク軽減と修復などの機能が提供され、組織のセキュリティとデータ攻撃の対象領域に関する分析情報を得ることができます。 この統合により、結果と資産に関連するタスクをより効果的に実行できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GoogleCloudSCC |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Google Workspace アクティビティ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Workspace Activities データ コネクタは、アクティビティ イベントを Google Workspace API から Microsoft Sentinel に取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GoogleWorkspaceReports |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Google Workspace API アクセス: Oauth を使用して Google Workspace アクティビティ API にアクセスする必要があります。
GrayNoise 脅威インテリジェンス
サポート対象:GrayNoise
このデータ コネクタは、1 日に 1 回 GrayNoise インジケーターをダウンロードするAzure関数アプリをインストールし、Microsoft Sentinelの ThreatIntelligenceIndicator テーブルに挿入します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- GrayNoise API キー: ここでは GrayNoise API キーを取得します。
HackerView Intergration (using Azure Functions))
サポート対象:Cyber Threat Management 360
API 統合により、RESTful インターフェイスを使用して HackerView 組織に関連するすべての問題を取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
HackerViewLog_Azure_1_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
Halcyon コネクタ
サポート対象:Halcyon
Halcyon コネクタは、Halcyon からMicrosoft Sentinelにデータを送信する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
HalcyonAuthenticationEvents_CL |
いいえ | いいえ |
HalcyonDnsActivity_CL |
いいえ | いいえ |
HalcyonFileActivity_CL |
いいえ | いいえ |
HalcyonNetworkSession_CL |
いいえ | いいえ |
HalcyonProcessEvent_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft Entra アクセス許可の作成: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
- ロールの割り当てアクセス許可: 監視メトリックパブリッシャー ロールをデータ収集ルール (DCR) に割り当てるために必要な書き込みアクセス許可。 通常、リソース グループ レベルで所有者またはユーザー アクセス管理者ロールが必要です。
Holm Security Asset Data (using Azure Functions))
Supported by:Holm Security
コネクタは、Holm Security Center からデータをMicrosoft Sentinelにポーリングする機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
net_assets_CL |
いいえ | いいえ |
web_assets_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
-
Holm Security API Token: Holm Security API Token が必要です。
Holm Security API Token
IIS Microsoft Exchange サーバーのログ
Supported by:Community
[オプション 5] - Azure Monitor エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターからすべての IIS ログをストリーミングできます。 このように接続すると、カスタム アラートの作成や調査の改善を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
W3CIISLog |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analytics非推奨になります。Azure以外の VM からデータを収集するには、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
イルミオ・インサイト
Supported by:Illumio
Illumio Insights データ コネクタを使用すると、Illumio API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築されています。 Illumio API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースのインジェスト時間変換をサポートしているため、クエリで再解析する必要がなくなり、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IlumioInsights |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Illumio Insights の概要
Supported by:Illumio
Illumio Insights Summary データ コネクタは、REST API を使用してIllumio セキュリティ分析情報と脅威分析レポートをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Illumio API のドキュメント を参照してください。 コネクタは、Illumio から毎日および毎週の概要レポートを取得し、Microsoft Sentinelで視覚化する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IllumioInsightsSummary_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Illumio API アクセス: Illumio Insights Summary API には、Illumio API アクセスが必要です。
Illumio SaaS (using Azure Functions)
Supported by:Illumio
Illumio コネクタは、イベントをMicrosoft Sentinelに取り込む機能を提供します。 このコネクタでは、AWS S3 バケットから監査可能なイベントとフロー イベントを取り込む機能が提供されます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Illumio_Auditable_Events_CL |
イエス | イエス |
Illumio_Flow_Events_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- SQS および AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL が必要です。 Illumio によって提供される s3 バケットを使用している場合は、Illumio サポートにお問い合わせください。 要求に応じて、AWS S3 バケット名、AWS SQS URL、およびそれらにアクセスするための AWS 資格情報が提供されます。
- Illumio API キーとシークレット: ILLUMIO_API_KEY、 ILLUMIO_API_SECRET は、ブックが SaaS PCE に接続し、API 応答をフェッチするために必要です。
Imperva Cloud WAF (using Azure Functions)
サポート元:Microsoft Corporation
Imperva Cloud WAF データ コネクタは、REST API を介してWeb Application Firewallイベントを統合してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、ログ統合 のドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ImpervaWAFCloud_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API には ImpervaAPIID、 ImpervaAPIKey、 ImpervaLogServerURI が必要です。 詳細については、「 ログ統合プロセスのセットアップ」を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。 このコネクタでは CEF ログ イベント形式が使用されることに注意してください。 ログ形式の詳細。
AMA 経由の Infoblox Cloud Data Connector
サポート対象:Infoblox
Infoblox Cloud Data Connector を使用すると、Infoblox データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
REST API を使用した Infoblox Data Connector
サポート対象:Infoblox
Infoblox Data Connector を使用すると、Infoblox TIDE データと Dossier データをMicrosoft Sentinelに簡単に接続できます。 データをMicrosoft Sentinelに接続することで、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Failed_Range_To_Ingest_CL |
いいえ | いいえ |
Infoblox_Failed_Indicators_CL |
いいえ | いいえ |
dossier_whois_CL |
いいえ | いいえ |
dossier_whitelist_CL |
いいえ | いいえ |
dossier_tld_risk_CL |
いいえ | いいえ |
dossier_threat_actor_CL |
いいえ | いいえ |
dossier_rpz_feeds_records_CL |
いいえ | いいえ |
dossier_rpz_feeds_CL |
いいえ | いいえ |
dossier_nameserver_matches_CL |
いいえ | いいえ |
dossier_nameserver_CL |
いいえ | いいえ |
dossier_malware_analysis_v3_CL |
いいえ | いいえ |
dossier_inforank_CL |
いいえ | いいえ |
dossier_infoblox_web_cat_CL |
いいえ | いいえ |
dossier_geo_CL |
いいえ | いいえ |
dossier_dns_CL |
いいえ | いいえ |
dossier_atp_threat_CL |
いいえ | いいえ |
dossier_atp_CL |
いいえ | いいえ |
dossier_ptr_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API 資格情報/アクセス許可: Infoblox API キー が必要です。 REST API リファレンスの API の詳細については、ドキュメントを参照してください
AMA 経由の Infoblox SOC Insight Data Connector
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
このデータ コネクタは、新しい Azure Monitor エージェントを使用して、Infoblox SOC Insight CDC ログを Log Analytics ワークスペースに取り込みます。 新しい Azure Monitor Agent here を使用した取り込みの詳細について説明します。 Microsoft では、このデータ コネクタを使用することを推奨しています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure以外の VM からデータを収集するには、Azure Arcがインストールされ、有効になっている必要があります。 詳細情報
- AMA 経由の共通イベント形式 (CEF) と AMA データ コネクタ経由の Syslog をインストールする必要があります。 詳細情報
REST API を使用した Infoblox SOC Insight Data Connector
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
InfobloxInsight_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
InfoSecGlobal データ コネクタ
サポート対象:InfoSecGlobal
このデータ コネクタを使用して InfoSec Crypto Analytics と統合し、Microsoft Sentinelに直接データを送信します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
InfoSecAnalytics_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
IONIX セキュリティ ログ
サポート対象:IONIX
IONIX セキュリティ ログ データ コネクタは、IONIX システムから Sentinel に直接ログを取り込みます。 このコネクタを使用すると、ユーザーは自分のデータを視覚化し、アラートとインシデントを作成し、セキュリティ調査を向上させることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberpionActionItems_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- IONIX サブスクリプション: IONIX ログにはサブスクリプションとアカウントが必要です。 1 つはここで取得できます。
Island Enterprise Browser 管理者監査 (ポーリング CCF)
サポート対象:Island
Island 管理コネクタは、Island Admin Audit ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Island_Admin_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- アイランド API キー: Island API キーが必要です。
Island Enterprise Browser ユーザー アクティビティ (ポーリング CCF)
サポート対象:Island
Island コネクタは、Island User Activity ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Island_User_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- アイランド API キー: Island API キーが必要です。
Jamf Protect プッシュコネクター
サポート対象:Jamf Software、LLC
Jamf Protect コネクタは、Microsoft Sentinel で Jamf Protect から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
jamfprotecttelemetryv2_CL |
イエス | イエス |
jamfprotectunifiedlogs_CL |
イエス | イエス |
jamfprotectalerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
JoeSandboxThreatIntelligence (using Azure Functions))
サポート対象:ステファン・ビュールマン
JoeSandboxThreatIntelligence コネクタは、JoeSandbox へのすべての送信に対して脅威インテリジェンスを自動的に生成してフィードし、Sentinel での脅威検出とインシデント対応を向上させます。 このシームレスな統合により、チームは新たな脅威に積極的に対処できるようになります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション Azure: active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールazure割り当てるには、所有者ロールを持つサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: JoeSandbox API キー が必要です。
Keeper セキュリティ プッシュ コネクタ
サポート対象:Keeper セキュリティ
Keeper Security コネクタは、Microsoft Sentinelの Keeper Security から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
LastPass Enterprise - Reporting (ポーリング CCF)
サポート対象:ザ・コレクティブ・コンサルティング
LastPass Enterprise コネクタは、LastPass レポート (監査) ログをMicrosoft Sentinelに記録する機能を提供します。 コネクタは、LastPass 内のログインとアクティビティ (パスワードの読み取りと削除など) を可視化します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
LastPassNativePoller_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- LastPass API キーと CID: LastPass API キーと CID が必要です。 詳細については、 LastPass API を参照してください。
Lookout Mobile Threat Detection Connector (コードレス コネクタ フレームワーク経由) (プレビュー)
サポート対象:Lookout
Lookout Mobile Threat Detection データ コネクタは、モバイル セキュリティ リスクに関連するイベントを Mobile Risk API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 このコネクタは、モバイル デバイスで検出された潜在的なセキュリティ リスクを調べるのに役立ちます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
LookoutMtdV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Luminar IOPS と漏洩した資格情報 (Azure Functions を使用))
サポート対象:Cognyte Luminar
Luminar IOCs and Leaked Credentials コネクタを使用すると、インテリジェンスベースの IOC データと、Luminar によって識別された顧客関連の漏洩レコードを統合できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション Azure: active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールazure割り当てるには、所有者ロールを持つサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Luminar クライアント ID、 Luminar クライアント シークレット 、および Luminar アカウント ID が必要です。
MailGuard 365
サポート対象:MailGuard 365
MailGuard 365 Microsoft 365用の強化された電子メール セキュリティ。 Microsoft マーケットプレース専用の MailGuard 365 は、フィッシング、ランサムウェア、高度な BEC 攻撃などの高度な電子メールの脅威に対する保護を強化するために、Microsoft 365 セキュリティ (Defender を含む) と統合されています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MailGuard365_Threats_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
MailRisk by Secure Practice (using Azure Functions))
サポート対象:セキュリティで保護されたプラクティス
MailRisk からメールをMicrosoft Sentinel Log Analyticsにプッシュするデータ コネクタ。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MailRiskEmails_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- API 資格情報: 管理 ポータルの設定で作成される Secure Practice API キー ペアも必要です。 API シークレットを失った場合は、新しいキー ペアを生成できます (警告: 古いキー ペアを使用している他の統合は動作を停止します)。
Microsoft 365 (以前のOffice 365)
サポート元:Microsoft Corporation
Microsoft 365 (以前のOffice 365) アクティビティ ログ コネクタは、進行中のユーザー アクティビティに関する分析情報を提供します。 ファイルのダウンロード、送信されたアクセス要求、グループ イベントへの変更、set-mailbox、アクションを実行したユーザーの詳細などの操作の詳細を取得します。 Microsoft 365ログをMicrosoft Sentinelに接続することで、このデータを使用してダッシュボードの表示、カスタム アラートの作成、調査プロセスの改善を行うことができます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OfficeActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft 365 Insider Risk Management
サポート元:Microsoft Corporation
Microsoft 365 Insider Risk Management は、組織内の悪意のあるアクティビティや不注意なアクティビティを検出、調査、および対処できるようにすることで、内部リスクを最小限に抑えるのに役立つ、Microsoft 365のコンプライアンス ソリューションです。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。
インサイダー リスク ポリシーを使用すると、次のことができるようになります。
- では、組織で特定して検出するリスクの種類を定義します。
- は、必要に応じてケースを Microsoft Advanced eDiscovery にエスカレートするなど、対応するアクションを決定します。
このソリューションは、Microsoft 365 コンプライアンス センターの Insider Risk Management ソリューションで Office のお客様が確認できるアラートを生成します。 Insider Risk Management の詳細をご覧ください。
これらのアラートは、このコネクタを使用してMicrosoft Sentinelにインポートできます。これにより、より広範な組織の脅威コンテキストでアラートを表示、調査、対応できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Active-Directory ドメイン コントローラーのセキュリティ イベント ログ
Supported by:Community
[オプション 3 と 4] - Azure Monitor エージェント -You を使用すると、Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows マシンから、一部またはすべてのドメイン コントローラーセキュリティ イベント ログをストリーミングできます。 このように接続すると、カスタム アラートの作成や調査の改善を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analytics非推奨になります。Azure以外の VM からデータを収集するには、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Copilot
サポート元:Microsoft
Microsoft SentinelのMicrosoft Copilot ログ コネクタを使用すると、Copilot生成されたアクティビティ ログをMicrosoft Sentinelにシームレスに取り込み、高度な脅威の検出、調査、対応を行うことができます。 使用状況データ、プロンプト、システム応答などのMicrosoft Copilot サービスからテレメトリを収集し、Microsoft Sentinelに取り込み、セキュリティ チームが誤用を監視し、異常を検出し、組織のポリシーへのコンプライアンスを維持できるようにします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CopilotActivity |
いいえ | イエス |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者" です。
Microsoft Dataverse
サポート元:Microsoft Corporation
Microsoft Dataverseは、組織がビジネス アプリケーションで使用されるデータを格納および管理できるようにする、スケーラブルで安全なデータ プラットフォームです。 Microsoft Dataverse データ コネクタは、dataverse を取り込み、Microsoft Purview監査ログから crm アクティビティ ログをMicrosoft SentinelにDynamics 365する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DataverseActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者" です。
- Micorosft Purview Audit: Microsoft Purview Audit (Standard または Premium) をアクティブにする必要があります。
- 運用データバース: アクティビティ ログは運用環境でのみ使用できます。 サンドボックスなどの他の種類では、アクティビティ ログはサポートされません。
- Dataverse 監査設定: 監査設定は、グローバルとエンティティ/テーブル レベルの両方で構成する必要があります。 詳細については、「 Dataverse 監査設定」を参照してください。
Microsoft Defender for Cloud Apps
サポート元:Microsoft Corporation
- ネットワーク上のシャドウ IT クラウド アプリを特定します。
- 条件とセッション コンテキストに基づいてアクセスを制御および制限します。
- データ共有とデータ損失防止には、組み込みポリシーまたはカスタム ポリシーを使用します。
- ランサムウェア アクティビティ、あり得ない移動、疑わしいメール転送ルール、ファイルの一括ダウンロードなど、Microsoft の行動分析機能と異常検出機能を使用して、リスクの高い使用を特定し、異常なユーザー アクティビティのアラートを取得します。
- ファイルの一括ダウンロード
今すぐデプロイする
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
いいえ | いいえ |
McasShadowItReporting |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Microsoft Defender for Endpoint
サポート元:Microsoft Corporation
Microsoft Defender for Endpointは、高度な脅威を防ぎ、検出し、調査し、対応するように設計されたセキュリティ プラットフォームです。 このプラットフォームでは、組織で疑わしいセキュリティ イベントが見つかるとアラートが作成されます。 セキュリティ イベントを効果的に分析できるように、Microsoft Defender for Endpointで生成されたアラートをMicrosoft Sentinelにフェッチします。 ルールの作成、ダッシュボードの構築、プレイブックの作成を行うことで、迅速な対応ができます。 詳細については、Microsoft Sentinel ドキュメント >を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Defender for Identity
サポート元:Microsoft Corporation
Microsoft Defender for Identityを接続して、イベントとユーザー分析を可視化します。 Microsoft Defender for Identityは、高度な脅威、侵害された ID、組織に向けられた悪意のあるインサイダー アクションを識別、検出、調査するのに役立ちます。 Microsoft Defender for Identityにより、ハイブリッド環境での高度な攻撃の検出に苦労している SecOp アナリストとセキュリティプロフェッショナルは、次のことが可能になります。
- 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視する
- Active Directoryに格納されているユーザー ID と資格情報を保護する
- キル チェーン全体にわたる疑わしいユーザー アクティビティと高度な攻撃を特定して調査する
- 高速トリアージのための簡単なタイムラインに明確なインシデント情報を提供する
今すぐ試す
今すぐデプロイする
詳細については、Microsoft Sentinel ドキュメント >を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Defender for IoT
サポート元:Microsoft Corporation
Microsoft Defender for IoTアラートをMicrosoft Sentinelに接続することで、IoT のセキュリティに関する分析情報を得ることができます。 アラートの傾向、上位アラート、重大度別のアラートの内訳など、すぐに使用できるアラート メトリックとデータを取得できます。 また、上位の推奨事項や重大度別の推奨事項など、IoT ハブに提供される推奨事項に関する情報を取得することもできます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Defender for Office 365 (プレビュー)
サポート元:Microsoft Corporation
Microsoft Defender for Office 365は、電子メール メッセージ、リンク (URL) およびコラボレーション ツールによってもたらされる悪意のある脅威から組織を保護します。 Microsoft Defender for Office 365アラートをMicrosoft Sentinelに取り込むことで、電子メールおよび URL ベースの脅威に関する情報を広範なリスク分析に組み込み、それに応じて対応シナリオを構築できます。
次の種類のアラートがインポートされます。
- 悪意のある可能性のある URL のクリックが検出されました
- 配信後に削除されたマルウェアを含む電子メール メッセージ
- 配信後に削除されたフィッシング URL を含む電子メール メッセージ
- ユーザーがマルウェアまたはフィッシングとして報告した電子メール
- 疑わしいメール送信パターンが検出されました
- 電子メールの送信を制限されたユーザー
これらのアラートは、**Office セキュリティ/コンプライアンス センター**で Office ユーザーに表示されます。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Defender 脅威インテリジェンス
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Microsoft によって生成された脅威インテリジェンスをインポートして、監視、アラート、ハンティングを有効にする機能を提供します。 このデータ コネクタを使用して、Microsoft Defender脅威インテリジェンス (MDTI) から Microsoft Sentinel に侵害インジケーター (IOC) をインポートします。 脅威インジケーターには、IP アドレス、ドメイン、URL、およびファイル ハッシュを含めることができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Defender XDR
サポート元:Microsoft Corporation
Microsoft Defender XDRは、エンドポイント、ID、電子メール、アプリケーションを保護し、高度な脅威を検出、防止、調査し、自動的に対応するのに役立つ、統合されたネイティブに統合された侵害前および侵害後のエンタープライズ防御スイートです。
Microsoft Defender XDRスイートには以下が含まれます。
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- 脅威と脆弱性の管理
- Microsoft Defender for Cloud Apps
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityIncident |
イエス | イエス |
SecurityAlert |
イエス | イエス |
DeviceEvents |
イエス | イエス |
EmailEvents |
イエス | イエス |
IdentityLogonEvents |
イエス | イエス |
CloudAppEvents |
イエス | イエス |
AlertEvidence |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Entra ID
サポート元:Microsoft Corporation
監査ログとサインイン ログをMicrosoft Sentinelに接続して、Microsoft Entra IDシナリオに関する分析情報を収集することで、Microsoft Entra IDに関する分析情報を得ることができます。 サインイン ログを使用して、アプリの使用状況、条件付きアクセス ポリシー、従来の認証関連の詳細を確認することができます。 セルフサービス パスワード リセット (SSPR) の使用状況、ユーザー、グループ、ロール、アプリ管理などのMicrosoft Entra ID管理アクティビティに関する情報は、監査ログ テーブルを使用して取得できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SigninLogs |
イエス | イエス |
AuditLogs |
イエス | イエス |
AADNonInteractiveUserSignInLogs |
イエス | イエス |
AADServicePrincipalSignInLogs |
イエス | イエス |
AADManagedIdentitySignInLogs |
イエス | イエス |
AADProvisioningLogs |
イエス | イエス |
ADFSSignInLogs |
イエス | イエス |
AADUserRiskEvents |
イエス | イエス |
AADRiskyUsers |
イエス | イエス |
NetworkAccessTraffic |
イエス | イエス |
AADRiskyServicePrincipals |
イエス | イエス |
AADServicePrincipalRiskEvents |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Entra ID Assets
サポート元:Microsoft Corporation
Entra ID assets データ コネクタは、資産情報で詳細を補足することで、アクティビティ データに関する豊富な分析情報を提供します。 このコネクタのデータは、Purview でデータ リスク グラフを作成するために使用されます。 これらのグラフを有効にした場合、このコネクタを非アクティブにすると、グラフが作成されなくなります。 データ リスク グラフについて説明します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集規則のサポート: 現在サポートされていません
Microsoft Entra ID 保護
サポート元:Microsoft Corporation
Microsoft Entra ID 保護は、リスク ユーザー、リスク イベント、脆弱性に関する統合ビューを提供し、リスクを直ちに修復し、将来のイベントを自動修復するポリシーを設定できます。 このサービスは、Microsoft のお客様の ID を保護する経験に基づいて構築されており、1 日 130 億を超えるログインからの信号によって高い精度を得ることができます。 Microsoft Microsoft Entra ID 保護 アラートをMicrosoft Sentinelと統合して、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行います。 詳細については、Microsoft Sentinel ドキュメント を参照してください。
Get Microsoft Entra ID Premium P1/P2
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Exchange イベント ログによる管理者監査ログ
Supported by:Community
[オプション 1] - Azure Monitor エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターからすべての Exchange 監査イベントをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これは、オンプレミスの Exchange 環境のセキュリティに関する分析情報を提供するために、Microsoft Exchange セキュリティ ブックによって使用されます
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analytics非推奨になります。Azure以外の VM からデータを収集するには、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange HTTP プロキシ ログ
Supported by:Community
[オプション 7] - Azure Monitor エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows マシンから HTTP プロキシ ログとセキュリティ イベント ログをストリーミングできます。 このように接続すると、カスタム アラートの作成や調査の改善を行うことができます。 詳細情報
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ExchangeHttpProxy_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analyticsは非推奨になります: Azure Log Analyticsは非推奨となり、Azure以外の VM からデータを収集する場合は、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange ログとイベント
Supported by:Community
[オプション 2] - Azure Monitor エージェントの使用 - すべての Exchange セキュリティとWindows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows マシンからのアプリケーション イベント ログ。 このように接続すると、カスタム アラートの作成や調査の改善を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analyticsは非推奨になります: Azure Log Analyticsは非推奨となり、Azure以外の VM からデータを収集する場合は、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange メッセージ追跡ログ
Supported by:Community
[オプション 6] - Azure Monitor エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターからすべての Exchange メッセージ追跡をストリーミングできます。 これらのログを使用して、Exchange 環境内のメッセージのフローを追跡できます。 このデータ コネクタは、Microsoft Exchange Security Wiki のオプション 6 に基づいています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MessageTrackingLog_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analyticsは非推奨になります: Azure Log Analyticsは非推奨となり、Azure以外の VM からデータを収集する場合は、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Power Automate
サポート元:Microsoft Corporation
Power Automateは、ユーザーがアプリとサービスの間に自動化されたワークフローを作成して、ファイルの同期、通知の取得、データの収集などを行うのに役立つ Microsoft サービスです。 手動で反復的なタスクを減らし、生産性を向上させることで、タスクの自動化を簡素化し、効率を向上させます。 Power Automate データ コネクタは、Microsoft Purview監査ログからPower Automateアクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerAutomateActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者" です。
-
Micorosft Purview Audit: Microsoft Purview Audit (Standard または Premium) をアクティブにする必要があります。
Microsoft Power Platform 管理アクティビティ
サポート元:Microsoft Corporation
Microsoft Power Platformは、市民開発者とプロ開発者の両方が、最小限のコーディングでカスタム アプリの作成、ワークフローの自動化、およびデータ分析を可能にすることで、ビジネス プロセスを合理化できるようにするローコード/コードなしのスイートです。 Power Platform Admin データ コネクタは、Microsoft Purview監査ログから power Platform 管理者アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerPlatformAdminActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者" です。
-
Micorosft Purview Audit: Microsoft Purview Audit (Standard または Premium) をアクティブにする必要があります。
Microsoft PowerBI
サポート元:Microsoft Corporation
Microsoft PowerBI は、関連のないデータ ソースを一貫性のある視覚的にイマーシブで対話型の分析情報に変換するために連携するソフトウェア サービス、アプリ、コネクタのコレクションです。 データは、Excel スプレッドシート、クラウドベースとオンプレミスのハイブリッド データ ウェアハウスのコレクション、または他の種類のデータ ストアなどです。 このコネクタを使用すると、PowerBI 監査ログを Microsoft Sentinel にストリーミングして、PowerBI 環境内のユーザー アクティビティを追跡できます。 監査データは、日付範囲、ユーザー、ダッシュボード、レポート、データセット、アクティビティの種類によってフィルター処理できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerBIActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Project
サポート元:Microsoft
Microsoft Project (MSP) は、プロジェクト管理ソフトウェア ソリューションです。 計画に応じて、Microsoft Projectでは、プロジェクトの計画、タスクの割り当て、リソースの管理、レポートの作成などを行うことができます。 このコネクタを使用すると、プロジェクト アクティビティを追跡するために、Azure Project 監査ログをMicrosoft Sentinelにストリーミングできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProjectActivity |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Purview
サポート元:Microsoft Corporation
Microsoft Purviewに接続して、Microsoft Sentinelのデータ秘密度エンリッチメントを有効にします。 Microsoft Purview スキャンからのデータ分類と秘密度ラベルのログは、ブック、分析ルールなどを使用して取り込んで視覚化できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PurviewDataSensitivityLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Microsoft Purview Information Protection
サポート元:Microsoft Corporation
Microsoft Purview Information Protectionは、どこにいても機密情報を検出、分類、保護、管理するのに役立ちます。 これらの機能を使うと、データを把握し、機密性の高い項目を特定し、それらがどのように使われているかを視覚化して、データの保護を強化できます。 秘密度ラベルは、暗号化、アクセス制限、視覚的なマーキングを適用して、保護アクションを提供する基となる機能です。 Microsoft Purview Information ProtectionログをMicrosoft Sentinelと統合して、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行います。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MicrosoftPurviewInformationProtection |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Mimecast Audit
サポート対象:Mimecast
Mimecast Audit のデータ コネクタを使用すると、Microsoft Sentinel内の監査イベントと認証イベントに関連するセキュリティ イベントを表示できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してユーザー アクティビティに関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Audit_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを参照してください
サポート対象:Mimecast
コネクタに含まれる Mimecast 製品は次のとおりです。監査と認証
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastAudit_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast Administration Console: Administration |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。
- リソース グループ: 使用するサブスクリプションでリソース グループを作成する必要があります。
- Functions アプリ: このコネクタで使用するには、Azure アプリを登録する必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Awareness Training
サポート対象:Mimecast
Mimecast Awareness Training のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントをユーザーに表示できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- パフォーマンスの詳細
- セーフ スコアの詳細
- ユーザー データ
- ウォッチリストの詳細
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Awareness_Performance_Details_CL |
イエス | イエス |
Awareness_SafeScore_Details_CL |
イエス | イエス |
Awareness_User_Data_CL |
イエス | イエス |
Awareness_Watchlist_Details_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを参照してください
Mimecast Cloud Integrated
サポート対象:Mimecast
Mimecast Cloud Integrated 用のデータ コネクタは、Microsoft Sentinel内のクラウド統合検査テクノロジに関連するセキュリティ イベントの可視性を顧客に提供します。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cloud_Integrated_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを参照してください
Mimecast Intelligence for Microsoft - Microsoft Sentinel (Azure Functions を使用)
サポート対象:Mimecast
Mimecast Intelligence for Microsoft 用データ コネクタは、Mimecast の電子メール検査テクノロジからキュレーションされた地域の脅威インテリジェンスと事前に作成されたダッシュボードを提供します。これにより、アナリストは電子メール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間を短縮できます。
Mimecast の製品と機能が必要です。
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast Administration Console: Administration |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。
- リソース グループ: 使用するサブスクリプションでリソース グループを作成する必要があります。
- Functions アプリ: このコネクタで使用するには、Azure アプリを登録する必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Secure Email Gateway
サポート対象:Mimecast
Mimecast Secure Email Gateway のデータ コネクタを使用すると、Secure Email Gateway から簡単にログを収集して、Microsoft Sentinel内の電子メール分析情報とユーザー アクティビティを表示できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。 Mimecast の製品と機能が必要です。
- Mimecast Cloud Gateway
- Mimecast データ リーク防止
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Seg_Cg_CL |
イエス | イエス |
Seg_Dlp_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを参照してください
Mimecast Secure Email Gateway (Azure Functions を使用)
サポート対象:Mimecast
Mimecast Secure Email Gateway のデータ コネクタを使用すると、Secure Email Gateway から簡単にログを収集して、Microsoft Sentinel内の電子メール分析情報とユーザー アクティビティを表示できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。 Mimecast の製品と機能が必要です。
- Mimecast Secure Email Gateway
- Mimecast データ リーク防止
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastSIEM_CL |
いいえ | いいえ |
MimecastDLP_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast Administration Console: Administration |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。
- リソース グループ: 使用するサブスクリプションでリソース グループを作成する必要があります。
- Functions アプリ: このコネクタで使用するには、Azure アプリを登録する必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Targeted Threat Protection
サポート対象:Mimecast
Mimecast Targeted Threat Protection 用のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- URL 保護
- 偽装保護
- 添付ファイルの保護
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ttp_Url_CL |
イエス | イエス |
Ttp_Attachment_CL |
イエス | イエス |
Ttp_Impersonation_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを参照してください
Mimecast Targeted Threat Protection (using Azure Functions))
サポート対象:Mimecast
Mimecast Targeted Threat Protection 用のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには事前に作成されたダッシュボードが用意されており、アナリストはこれを使用してメール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、カスタム アラート機能と組み合わせることで調査の応答時間を短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- URL 保護
- 偽装保護
- 添付ファイルの保護
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastTTPUrl_CL |
いいえ | いいえ |
MimecastTTPAttachment_CL |
いいえ | いいえ |
MimecastTTPImpersonation_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのメール アドレス
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast Administration Console: Administration |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。
MISP2センチネル
Supported by:Community
このソリューションでは、MISP2Sentinel コネクタをインストールします。これにより、脅威インジケーターを MISP からアップロード インジケーター REST API 経由でMicrosoft Sentinelに自動的にプッシュできます。 ソリューションをインストールしたら、「ソリューションの管理」ビューのガイダンスに従って、このデータ コネクタを構成して有効にします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
MongoDBアトラスログ
サポート対象:MongoDB
MongoDBAtlas Logs コネクタは、MongoDB Atlas Administration API を使用して MongoDB Atlas データベース ログをMicrosoft Sentinelにアップロードする機能を提供します。 詳細については APIドキュメント を参照してください。 コネクターは、指定されたホストおよびプロジェクトに対して、さまざまなデータベースログメッセージを取得する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MDBALogTable_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: MongoDB Atlas サービス アカウント のクライアント ID と クライアント シークレット が必要です。 詳細については、サービス アカウントの作成を参照してください。
MuleSoft Cloudhub (Azure Functions を使用)
サポート元:Microsoft Corporation
MuleSoft Cloudhub データ コネクタは、Cloudhub API を使用して Cloudhub アプリケーションからログを取得する機能と、REST API を使用してより多くのイベントをMicrosoft Sentinelする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MuleSoft_Cloudhub_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 MuleSoftEnvId、 MuleSoftAppName、 MuleSoftUsername 、 MuleSoftPassword が必要です。
NCプロテクト
サポート対象:archTIS
NC Protect Data Connector (archtis.com) は、ユーザー アクティビティ ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、Microsoft Sentinelの NC Protect ユーザー アクティビティ ログとイベントが可視化され、監視と調査の機能が向上します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NCProtectUAL_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- NC 保護: NC Protect for O365 の実行中のインスタンスが必要です。 お 問い合わせください。
Netskope のアラートとイベント
サポート対象:Netskope
Netskope セキュリティのアラートとイベント
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NetskopeAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Netskope 組織の URL: Netskope データ コネクタでは、組織の URL を指定する必要があります。 組織の URL は、Netskope ポータルにサインインすることで確認できます。
- Netskope API キー: Netskope データ コネクタでは、有効な API キーを指定する必要があります。 Netskope ドキュメントに従って作成できます。
Netskope Data Connector
サポート対象:Netskope
Netskope データ コネクタには、次の機能があります。
- NetskopeToAzureStorage:
- Netskope から Netskope アラートとイベント データを取得し、Azureストレージに取り込みます。 2. StorageToSentinel:
- Netskope Alerts and Events データをAzureストレージから取得し、Log Analytics ワークスペースのカスタム ログ テーブルに取り込みます。 3. WebTxMetrics:
- Netskope から WebTxMetrics データを取得し、Log Analytics ワークスペースのカスタム ログ テーブルに取り込みます。
REST API の詳細については、次のドキュメントを参照してください。
- Netskope API のドキュメント:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2。Azureストレージのドキュメント: /azure/storage/common/storage-introduction 3。Microsoft Log Analytic のドキュメント: /azure/azure-monitor/logs/log-analytics-overview
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
alertscompromisedcredentialdata_CL |
いいえ | いいえ |
alertsctepdata_CL |
いいえ | いいえ |
alertsdlpdata_CL |
いいえ | いいえ |
alertsmalsitedata_CL |
いいえ | いいえ |
alertsmalwaredata_CL |
いいえ | いいえ |
alertspolicydata_CL |
いいえ | いいえ |
alertsquarantinedata_CL |
いいえ | いいえ |
alertsremediationdata_CL |
いいえ | いいえ |
alertssecurityassessmentdata_CL |
いいえ | いいえ |
alertsubadata_CL |
いいえ | いいえ |
eventsapplicationdata_CL |
いいえ | いいえ |
eventsauditdata_CL |
いいえ | いいえ |
eventsconnectiondata_CL |
いいえ | いいえ |
eventsincidentdata_CL |
いいえ | いいえ |
eventsnetworkdata_CL |
いいえ | いいえ |
eventspagedata_CL |
いいえ | いいえ |
Netskope_WebTx_metrics_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure サブスクリプション Azure: active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールazure割り当てるには、所有者ロールを持つサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Netskope テナント と Netskope API トークン が必要です。 REST API リファレンスの API の詳細については、ドキュメントを参照してください
Netskope Web Transactions Data Connector
サポート対象:Netskope
Netskope Web Transactions データ コネクタは、Docker イメージの機能を提供して、Google pubsublite から Netskope Web Transactions データをプルし、データを処理し、処理されたデータをLog Analyticsに取り込みます。 このデータ コネクタの一部として、2 つのテーブルが Log Analytics で形成されます。1 つは Web トランザクション データ用で、もう 1 つは実行中に発生したエラー用です。
Web トランザクションに関連する詳細については、次のドキュメントを参照してください。
- Netskope Web Transactions のドキュメント:
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NetskopeWebtxData_CL |
いいえ | いいえ |
NetskopeWebtxErrors_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure サブスクリプション: Microsoft Entra IDにアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つ Azure サブスクリプションが必要です。
- Microsoft.Compute のアクセス許可: Azure VM への読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure VM」を参照してください。
- TransactionEvents の資格情報とアクセス許可: Netskope テナント と Netskope API トークン が必要です。 詳細については、「トランザクション イベント」を参照してください。
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
ネットワーク セキュリティ グループ
サポート元:Microsoft Corporation
Azure ネットワーク セキュリティ グループ (NSG) を使用すると、Azure仮想ネットワーク内のAzure リソースとの間のネットワーク トラフィックをフィルター処理できます。 ネットワーク セキュリティ グループには、仮想ネットワーク サブネットとネットワーク インターフェイスのどちらか一方または両方へのトラフィックを許可または拒否するルールが含まれています。
NSG に対するログを有効にすると、次の種類のリソース ログ情報を収集できます。
- イベント: エントリは、MAC アドレスに基づいて VM に適用される NSG ルールに対してログに記録されます。
- ルール カウンター: トラフィックを拒否または許可するために各 NSG ルールが適用される回数のエントリが含まれます。 これらのルールの状態は、300 秒ごとに収集されます。
このコネクタを使用すると、NSG 診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
ノードパス
サポート対象:NordPass
API を介して NordPass と Microsoft Sentinel SIEM を統合すると、ノードパスからMicrosoft Sentinelにアクティビティ ログ データを自動的に転送し、項目アクティビティ、すべてのログイン試行、セキュリティ通知などのリアルタイムの分析情報を取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NordPassEventLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- リソース グループとLog Analytics ワークスペースが作成され、同じリージョンに配置されていることを確認して、Azure Functionsをデプロイできるようにします。
- 作成したLog Analytics ワークスペースにMicrosoft Sentinelを追加します。
- NordPass 管理パネルで Microsoft Sentinel API URL とトークン を生成して、Azure Functions統合を完了します。 そのための NordPass Enterprise アカウントが必要であることに注意してください。
-
Important: このコネクタでは、Azure Functionsを使用して NordPass からアクティビティ ログをMicrosoft Sentinelに取得します。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、Azure Functions価格ページを参照してください。
オブシディアンデータ共有コネクタ
Supported by:Obsidian Security
Obsidian Datasharing コネクタは、Microsoft Sentinelで Obsidian Datasharing から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ObsidianActivity_CL |
いいえ | いいえ |
ObsidianThreat_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Okta シングル サインオン
サポート元:Microsoft Corporation
Okta Single Sign-On (SSO) データ コネクタは、Okta Sysem Log API から監査ログとイベント ログをMicrosoft Sentinelに取り込む機能を提供します。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、Okta システム ログ API を使用してイベントをフェッチします。 コネクタは、受信したセキュリティ イベント データをカスタム列に解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がなくなり、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OktaSSO |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Okta API トークン: Okta API トークン。 Okta システム ログ API の詳細については、次の手順に従ってドキュメントを参照してください。
Okta Single Sign-On (using Azure Functions))
サポート元:Microsoft Corporation
Okta Single Sign-On (SSO) コネクタは、Okta API からMicrosoft Sentinelに監査ログとイベント ログを取り込む機能を提供します。 コネクタを使用すると、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上のために、Microsoft Sentinelでこれらのログの種類を可視化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Okta_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Okta API トークン: Okta API トークンが必要です。 Okta システム ログ API の詳細については、ドキュメントを参照してください。
Onapsis Defense: 一致しない SAP 脅威検出と統合Intel with Microsoft Sentinel
サポート対象:Onapsis
独自の悪用、ゼロデイ、脅威アクターアクティビティを詳細に把握してセキュリティ チームを強化します。疑わしいユーザーまたは内部関係者の行動。機密データのダウンロード。セキュリティコントロール違反。その他 - すべて Onapsis の SAP エキスパートによって強化されています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Onapsis_Defend_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して Monitoring Metrics Publisher ロールを割り当てるアクセス許可。 通常、RBAC 所有者ロールまたはユーザー アクセス管理者ロールAzure必要です。
OneLogin IAM プラットフォーム (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
OneLogin データ コネクタは、OneLogin Events API および OneLogin Users API を使用して、REST API を介して一般的な OneLogin IAM プラットフォーム イベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OneLoginEventsV2_CL |
イエス | イエス |
OneLoginUsersV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- OneLogin IAM API 資格情報: API 資格情報を作成するには、ここに記載されているドキュメント リンクに従って 、ここをクリックします。
API 資格情報を作成するには、アカウント所有者または管理者のいずれかのアカウントの種類があることを確認します。
API 資格情報を作成すると、クライアント ID とクライアント シークレットが取得されます。
ワントラスト
サポート対象:OneTrust、LLC
Microsoft Sentinel用 OneTrust コネクタは、Google Cloud やその他の OneTrust でサポートされているデータ ソース全体で機密データが配置または修復された場所をほぼリアルタイムで可視化する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OneTrustMetadataV3_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Open Systems Data Connector
サポート対象:OpenSystems
Open Systems Logs API Microsoft Sentinel Connector には、Open Systems Logs API を使用して Open Systems ログをMicrosoft Sentinelに取り込む機能が用意されています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OpenSystemsZtnaLogs_CL |
いいえ | いいえ |
OpenSystemsFirewallLogs_CL |
いいえ | いいえ |
OpenSystemsAuthenticationLogs_CL |
いいえ | いいえ |
OpenSystemsProxyLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Azure Container Apps、DCR、および DCEs: Azure Container Apps、マネージド環境、データ収集規則 (DCR)、およびデータ収集エンドポイント (DCR) を展開するためのアクセス許可が必要です。 これは通常、サブスクリプションまたはリソース グループに "共同作成者" ロールを持つことでカバーされます。
- ロールの割り当てアクセス許可: デプロイするユーザーまたはサービス プリンシパルには、ロールの割り当てを作成するためのアクセス許可 (具体的には、DCR の "Monitoring Metrics Publisher" ) が必要です。
- REquired Credentials for ARM Template: デプロイ時に、Open Systems Logs API エンドポイントと接続文字列、サービス プリンシパルの資格情報 (クライアント ID、クライアント シークレット、オブジェクト/プリンシパル ID) を指定する必要があります。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- 必要に応じてカスタム前提条件、それ以外の場合は、この通関タグを削除します。カスタム前提条件の説明
Oracle クラウド インフラストラクチャ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Oracle Cloud Infrastructure (OCI) データ コネクタは、OCI Stream から OCI Streaming REST API を使用してMicrosoft Sentinelに OCI ログを取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OCI_LogsV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- OCI ストリーミング API アクセス: API 署名キーを使用して OCI ストリーミング API にアクセスする必要があります。
Orca セキュリティ アラート
サポート対象:Orca セキュリティ
Orca Security Alerts コネクタを使用すると、アラート ログをMicrosoft Sentinelに簡単にエクスポートできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OrcaAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
パロアルト・コルテックスXDR
サポート元:Microsoft Corporation
Palo Alto Cortex XDR データ コネクタを使用すると、Palo Alto Cortex XDR API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築されています。 Palo Alto Cortex XDR API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
イエス | イエス |
PaloAltoCortexXDR_Endpoints_CL |
イエス | イエス |
PaloAltoCortexXDR_Audit_Management_CL |
イエス | イエス |
PaloAltoCortexXDR_Audit_Agent_CL |
イエス | イエス |
PaloAltoCortexXDR_Alerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Palo Alto Cortex Xpanse (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Palo Alto Cortex Xpanse データ コネクタは、アラート データをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CortexXpanseAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Palo Alto Prisma Cloud CSPM (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Palo Alto Prisma Cloud CSPM データ コネクタを使用すると、Palo Alto Prisma Cloud CSPM インスタンスに接続し、アラート (https://pan.dev/prisma-cloud/api/cspm/alerts/) と取り込み監査ログ (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) をMicrosoft Sentinelします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Palo Alto Prisma Cloud CWPP (REST API を使用)
サポート元:Microsoft Corporation
Palo Alto Prisma Cloud CWPP データ コネクタを使用すると、Palo Alto Prisma Cloud CWPP インスタンスに接続し、アラートをMicrosoft Sentinelに取り込みます。 データ コネクタは、Microsoft Sentinelのコードレス コネクタ フレームワーク上に構築され、Prisma Cloud API を使用してセキュリティ イベントをフェッチし、DCR ベースの ingestion 時間変換 をサポートします。これにより、受信したセキュリティ イベント データをカスタム列に解析し、クエリで再解析する必要がなくなり、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PrismaCloudCompute_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- PrismaCloudCompute API キー: Palo Alto Prisma Cloud CWPP Monitor API のユーザー名とパスワードが必要です。 詳細については、「PrismaCloudCompute SIEM API を参照してください。
Pathlock Inc.:SAP向けの脅威検出と対応
サポート対象:Pathlock Inc.
Pathlock の脅威の検出と対応 (TD とR)Microsoft Sentinel Solution for SAP との統合により、SAP セキュリティ イベントに対する統一されたリアルタイムの可視性が実現され、組織はすべての SAP ランドスケープの脅威を検出して対処できます。 この標準搭載の統合により、セキュリティオペレーションセンター(SOC)はSAP固有のアラートを企業全体のテレメトリーと相関させ、ITセキュリティとビジネスプロセスをつなげる実用的なインテリジェンスを作成できます。
PathlockのコネクターはSAP向けに設計されており、 デフォルトでセキュリティ関連イベントのみを転送し、データ量やノイズを最小限に抑えつつ、必要に応じてすべてのログソースを転送できる柔軟性を保っています。 各イベントは、ビジネス プロセス コンテキスト で強化されるため、sap 分析用のMicrosoft Sentinel ソリューションは、運用パターンと実際の脅威を区別し、本当に重要なものを優先することができます。
この精密駆動型のアプローチにより、セキュリティチームは誤検知を大幅に減らし、調査に集中し、 平均検出時間(MTTD) と 平均応答時間(MTTR)を加速します。 Pathlockのライブラリは70+ログソースにわたる1,500以上のSAP特有検出シグネチャで構成されており、複雑な攻撃動作、設定の弱点、アクセス異常を明らかにします。
ビジネスコンテキストインテリジェンスと高度な分析を組み合わせることで、Pathlockは企業が検出の精度を高め、対応行動を効率化し、SAP環境全体で継続的な管理を維持できるようにします。複雑さや冗長な監視レイヤーを加えることなく。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して Monitoring Metrics Publisher ロールを割り当てるアクセス許可。 通常、RBAC 所有者ロールまたはユーザー アクセス管理者ロールAzure必要です。
Perimeter 81 アクティビティ ログ
サポート対象:境界 81
Perimeter 81 アクティビティ ログ コネクタを使用すると、Perimeter 81 アクティビティ ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Perimeter81_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
リンデバイス
サポート対象:リン株式会社
リン デバイス コネクタは、Phosphorus REST API を介してデバイス データ ログをMicrosoft Sentinelに取り込む機能を Phosphorus に提供します。 コネクタにより、Phosphorus に登録されているデバイスの可視化が提供されます。 このデータ コネクタは、デバイス情報とそれに対応するアラートをプルします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Phosphorus_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- REST API の資格情報/アクセス許可: Phosphorus API キー が必要です。 ユーザーに関連付けられた API キーで、設定の管理アクセス許可が有効なことを確認してください。
設定の管理アクセス許可を有効にするには、次の手順に従います。
- リン アプリケーションにログインする
- [設定] - [グループ] に移動します
- 統合ユーザーが参加しているグループを選択する
- [設定の管理] アクセス許可の [製品アクション] - トグルに移動します。
Ping 1 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタは、audit アクティビティ ログを PingOne Id プラットフォームからコードレス コネクタ フレームワークを使用してMicrosoft Sentinelに取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
プラナー データ コネクタ
Supported by:Prancer PenSuiteAI Integration
プランサー データ コネクタには、Microsoft Sentinelを通じて処理するプランサー (CSPM)[https://docs.prancer.io/web/CSPM/] と PAC データを取り込む機能が用意されています。 詳細については、 プランサーのドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
prancer_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- 接続が必要な場合はカスタム前提条件を含める - それ以外の場合は税関を削除する: カスタム前提条件の説明
Premium Microsoft Defender Threat Intelligence
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Microsoft によって生成された脅威インテリジェンスをインポートして、監視、アラート、ハンティングを有効にする機能を提供します。 このデータ コネクタを使用して、Premium Microsoft Defender Threat Intelligence (MDTI) から Microsoft Sentinel に侵害インジケーター (IOC) をインポートします。 脅威インジケーターには、IP アドレス、ドメイン、URL、およびファイル ハッシュを含めることができます。注: これは有料コネクタです。 これを使ってデータを取り込むには、パートナー センターから "MDTI API Access" SKU を購入してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Proofpoint On Demand 電子メール セキュリティ (コードレス コネクタ フレームワーク経由)
サポート対象:Proofpoint, Inc.
Proofpoint On Demand Email Security データ コネクタでは、Proofpoint on Demand Email Protection データを取得する機能が提供されます。これにより、ユーザーはメッセージの追跡可能性を確認し、攻撃者や悪意のある内部関係者による電子メールのアクティビティ、脅威、データ流出を監視できます。 コネクタを使用すると、組織内のイベントを迅速に確認し、最近のアクティビティのイベント ログ ファイルを時間単位で取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofpointPODMailLog_CL |
イエス | イエス |
ProofpointPODMessage_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Websocket API の資格情報/アクセス許可: ProofpointClusterID と ProofpointToken が必要です。 詳細については、 API を参照してください。
Proofpoint On Demand 電子メール セキュリティ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Proofpoint On Demand Email Security データ コネクタでは、Proofpoint on Demand Email Protection データを取得する機能が提供されます。これにより、ユーザーはメッセージの追跡可能性を確認し、攻撃者や悪意のある内部関係者による電子メールのアクティビティ、脅威、データ流出を監視できます。 コネクタを使用すると、組織内のイベントを迅速に確認し、最近のアクティビティのイベント ログ ファイルを時間単位で取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofpointPODMailLog_CL |
イエス | イエス |
ProofpointPODMessage_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Websocket API の資格情報/アクセス許可: ProofpointClusterID と ProofpointToken が必要です。 詳細については、 API を参照してください。
Proofpoint TAP (コードレス コネクタ フレームワーク経由)
サポート対象:Proofpoint, Inc.
Proofpoint Targeted Attack Protection (TAP) コネクタは、Proofpoint TAP ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上のために、Microsoft Sentinelのメッセージ イベントとクリック イベントを可視化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
イエス | イエス |
ProofPointTAPMessagesBlockedV2_CL |
イエス | イエス |
ProofPointTAPClicksPermittedV2_CL |
イエス | イエス |
ProofPointTAPClicksBlockedV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Proofpoint TAP API キー: Proofpoint の SIEM API にアクセスするには、Proofpoint TAP API サービス プリンシパルとシークレットが必要です。 詳細については、「 Proofpoint SIEM API」を参照してください。
Proofpoint TAP (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Proofpoint Targeted Attack Protection (TAP) コネクタは、Proofpoint TAP ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上のために、Microsoft Sentinelのメッセージ イベントとクリック イベントを可視化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
イエス | イエス |
ProofPointTAPMessagesBlockedV2_CL |
イエス | イエス |
ProofPointTAPClicksPermittedV2_CL |
イエス | イエス |
ProofPointTAPClicksBlockedV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Proofpoint TAP API キー: Proofpoint の SIEM API にアクセスするには、Proofpoint TAP API サービス プリンシパルとシークレットが必要です。 詳細については、「 Proofpoint SIEM API」を参照してください。
QscoutAppEventsConnector (コードレス コネクタ フレームワーク経由)
サポート対象:Quokka
Qscout アプリケーション イベントをMicrosoft Sentinelに取り込む
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QscoutAppEvents_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Qscout 組織 ID: API には、Qscout の組織 ID が必要です。
- Qscout 組織 API キー: API には、Qscout の組織 API キーが必要です。
Qualys VM KnowledgeBase (using Azure Functions))
サポート元:Microsoft Corporation
Qualys Vulnerability Management (VM) KnowledgeBase (KB) コネクタは、Qualys KB から最新の脆弱性データをMicrosoft Sentinelに取り込む機能を提供します。
このデータは、Qualys Vulnerability Management (VM) データ コネクタによって検出された脆弱性検出を関連付け、強化するために使用できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QualysKB_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Qualys API キー: Qualys VM API のユーザー名とパスワードが必要です。 詳細については、「 Qualys VM API」を参照してください。
Qualys 脆弱性管理 (コードレス コネクタ フレームワークを使用)
サポート元:Microsoft Corporation
Qualys Vulnerability Management (VM) データ コネクタは、Qualys API を介して脆弱性ホスト検出データをMicrosoft Sentinelに取り込む機能を提供します。 このコネクタを使用すると、脆弱性スキャンのホスト検出データを可視化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QualysHostDetectionV3_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- API アクセスとロール: Qualys VM ユーザーが閲覧者以上のロールを持っていることを確認します。 ロールが閲覧者の場合は、アカウントに対して API アクセスが有効になっていることを確認します。 監査担当者ロールは、API へのアクセスをサポートしていません。 詳細については、Qualys VM ホスト検出 API と ユーザー ロールの比較 に関するドキュメントを参照してください。
AMA 経由の Radiflow iSID
サポート対象:Radiflow
iSID は、特定の種類のネットワーク アクティビティに関連する独自の機能をそれぞれ提供する複数のセキュリティ パッケージを使用して、分散 ICS ネットワークのトポロジや動作の変化を中断することなく監視できるようにします
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
RadiflowEvent |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Rapid7 Insight Platform Vulnerability Management Reports (using Azure Functions))
サポート元:Microsoft Corporation
Rapid7 Insight VM Report データ コネクタは、Rapid7 Insight プラットフォーム (クラウドで管理) から REST API を介してスキャン レポートと脆弱性データをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
いいえ | いいえ |
NexposeInsightVMCloud_vulnerabilities_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API 資格情報: REST API には InsightVMAPIKey が必要です。 詳細については、 API を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います
RSA ID Plus 管理者ログコネクタ
サポート対象:RSA サポート チーム
RSA ID Plus AdminLogs コネクタは、クラウド管理 API を使用して Cloud 管理コンソール監査イベントをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- RSA ID Plus API 認証: 管理 API にアクセスするには、クライアントのレガシ管理 API キーで署名された有効な Base64URL でエンコードされた JWT トークンが必要です。
Rubrik Security Cloud data connector (using Azure Functions)
サポート対象:Rubrik
Rubrik Security Cloud データ コネクタを使用すると、セキュリティ運用チームは、Rubrik の Data Observability サービスからの分析情報をMicrosoft Sentinelに統合できます。 分析情報には、ランサムウェアと大量削除に関連する異常なファイルシステムの動作の特定、ランサムウェア攻撃範囲の評価、潜在的なインシデントの優先順位付けと迅速な調査を行う機密データ演算子が含まれます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Rubrik_Anomaly_Data_CL |
イエス | イエス |
Rubrik_Ransomware_Data_CL |
イエス | イエス |
Rubrik_ThreatHunt_Data_CL |
イエス | イエス |
Rubrik_Events_Data_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
SaaS セキュリティ
サポート対象:Valence セキュリティ
REST API インターフェイスを介して Valence SaaS セキュリティ プラットフォームAzure Log Analyticsを接続します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ValenceAlert_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
SailPoint IdentityNow (using Azure Functions))
Supported by:SailPoint
SailPoint IdentityNow データ コネクタは、[SailPoint IdentityNow] 検索イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 お客様はこのコネクタを使って、IdentityNow テナントから監査情報を抽出できます。 これは、IdentityNow のユーザー アクティビティとガバナンス イベントをより簡単にMicrosoft Sentinelに取り込み、セキュリティ インシデントとイベント監視ソリューションからの分析情報を向上させることを目的としています。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SailPointIDN_Events_CL |
イエス | イエス |
SailPointIDN_Triggers_CL |
いいえ | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- SailPoint IdentityNow API 認証資格情報: 認証には、TENANT_ID、CLIENT_ID、CLIENT_SECRETが必要です。
Salesforce Service Cloud (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Salesforce Service Cloud データ コネクタは、REST API を使用して Salesforce の運用イベントに関する情報をMicrosoft Sentinelに取り込む機能を提供します。 このコネクタを使用すると、組織内のイベントを迅速に確認し、最近のアクティビティのイベント ログ ファイルを 1 時間ごとに取得できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SalesforceServiceCloudV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Salesforce Service Cloud API アクセス: 接続済みアプリを介して Salesforce Service Cloud API にアクセスする必要があります。
Samsung Knox 資産インテリジェンス
サポート対象:Samsung Electronics Co., Ltd.
Samsung Knox Asset Intelligence Data Connector を使用すると、モバイル セキュリティ イベントとログを一元化して、ブック テンプレートを使用してカスタマイズされた分析情報を表示し、分析ルール テンプレートに基づいてインシデントを特定できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Samsung_Knox_Audit_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Entra アプリ: Entra アプリを "Microsoft Metrics Publisher" ロールで登録してプロビジョニングし、セキュリティで保護されたデータ転送の資格情報として証明書またはクライアント シークレットを使用して構成する必要があります。 Entra アプリの作成、登録、資格情報の構成の詳細については、ログ インジェストのチュートリアルを参照してください。
SAP BTP
サポート元:Microsoft Corporation
SAP Business Technology Platform (SAP BTP) は、データ管理、分析、人工知能、アプリケーション開発、自動化、統合を 1 つの統合環境にまとめます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPBTPAuditLog_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 監査取得 API のクライアント ID とクライアント シークレット: BTP で API アクセスを有効にします。
SAP Enterprise Threat Detection(クラウド エディション)
サポート対象:SAP
SAP Enterprise Threat Detection、Cloud Edition (ETD) データ コネクタを使用すると、ETD からMicrosoft Sentinelにセキュリティ アラートを取り込み、相互相関、アラート、脅威ハンティングをサポートできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPETDAlerts_CL |
イエス | イエス |
SAPETDInvestigations_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- ETD 取得 API のクライアント ID とクライアント シークレット: ETD で API アクセスを有効にします。
SAP LogServ (RISE)、S/4HANA Cloud Private Edition
サポート対象:SAP
SAP LogServ は、ログの収集、ストレージ、転送、アクセスを目的とした SAP Enterprise Cloud Services (ECS) サービスです。 LogServ は、登録された顧客が使用するすべてのシステム、アプリケーション、および ECS サービスのログを一元化します。
主な機能は次のとおりです。
ほぼリアルタイムのログ収集: SIEM ソリューションとしてMicrosoft Sentinelに統合できます。
LogServ は、SAP ECS がシステム プロバイダーとして所有するログの種類を使用して、Microsoft Sentinelの既存の SAP アプリケーション 層の脅威の監視と検出を補完します。 これには、SAP セキュリティ監査ログ (AS ABAP)、HANA データベース、AS JAVA、ICM、SAP Web Dispatcher、SAP Cloud Connector、OS、SAP Gateway、サード パーティ データベース、ネットワーク、DNS、プロキシ、ファイアウォールなどのログが含まれます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPLogServ_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して Monitoring Metrics Publisher ロールを割り当てるアクセス許可。 通常、RBAC 所有者ロールまたはユーザー アクセス管理者ロールAzure必要です。
SAP S/4HANA Cloud Public Edition
サポート対象:SAP
SAP S/4HANA Cloud Public Edition (GROW with SAP) データ コネクタを使用すると、SAP のセキュリティ監査ログを SAP のMicrosoft Sentinel ソリューションに取り込み、相互相関、アラート、脅威ハンティングをサポートできます。 代替の認証メカニズムをお探しですか? here を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- 監査取得 API のクライアント ID とクライアント シークレット: BTP で API アクセスを有効にします。
SAP 用 SecurityBridge ソリューション
サポート対象:SecurityBridge
SecurityBridge は、Microsoft Sentinelとシームレスに統合することで SAP セキュリティを強化し、SAP 環境全体でリアルタイムの監視と脅威検出を可能にします。 この統合により、Security Operations Center (SOC) は、SAP セキュリティ イベントを他の組織データと統合し、脅威の状況を一元的に表示できます。 AI を利用した分析と Microsoft のセキュリティ Copilotを活用して、SecurityBridge は、ABAP コード スキャンや構成評価など、SAP アプリケーション内の高度な攻撃パターンと脆弱性を識別します。 このソリューションは、オンプレミス、クラウド、ハイブリッド環境のどちらでも、複雑な SAP ランドスケープ間のスケーラブルなデプロイをサポートします。 IT チームと SAP セキュリティ チームの間のギャップを埋めることで、SecurityBridge は組織が脅威を事前に検出、調査、対応し、全体的なセキュリティ体制を強化できるようにします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して Monitoring Metrics Publisher ロールを割り当てるアクセス許可。 通常、RBAC 所有者ロールまたはユーザー アクセス管理者ロールAzure必要です。
センチネルワン
サポート元:Microsoft Corporation
SentinelOne データ コネクタを使用すると、SentinelOne API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築されています。 SentinelOne API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SentinelOneActivities_CL |
イエス | イエス |
SentinelOneAgents_CL |
イエス | イエス |
SentinelOneGroups_CL |
イエス | イエス |
SentinelOneThreats_CL |
イエス | イエス |
SentinelOneAlerts_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
SentinelOne (using Azure Functions)
サポート元:Microsoft Corporation
SentinelOne データ コネクタは、脅威、エージェント、アプリケーション、アクティビティ、ポリシー、グループなどの一般的な SentinelOne サーバー オブジェクトを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SentinelOne_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API 資格情報/アクセス許可: SentinelOneAPIToken が必要です。 API の詳細については、こちらのドキュメント を参照してください。
Seraphic Web セキュリティ
サポート対象:Seraphic セキュリティ
Seraphic Web Security データ コネクタは、Seraphic Web Security イベントとアラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SeraphicWebSecurity_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Seraphic API key: Seraphic Web Security テナントに接続Microsoft Sentinelの API キー。 テナントのこの API キーを取得するには、 このドキュメントを参照してください。
Silverfort 管理コンソール
サポート対象:Silverfort
Silverfort ITDR 管理コンソール コネクタ ソリューションを使用すると、Silverfort イベントを取り込み、Microsoft Sentinelにログインできます。 Silverfort は、共通イベント形式 (CEF) を使用して Syslog ベースのイベントとログを提供します。 Silverfort ITDR 管理コンソール CEF データをMicrosoft Sentinelに転送することで、Silverfort データに対する Sentinel の検索と相関関係、アラート、脅威インテリジェンスエンリッチメントを利用できます。 詳細については、Silverfort に問い合わせるか、Silverfort のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
SlackAudit (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
SlackAudit データ コネクタは、REST API を使用してSlack 監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SlackAuditV2_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- UserName、SlackAudit API キーとアクションの種類: アクセス トークンを生成するには、Slack で新しいアプリケーションを作成し、必要なスコープを追加してリダイレクト URL を構成します。 アクセス トークン、ユーザー名、アクション名の制限を生成する方法の詳細については、 リンクを参照してください。
Snowflake (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Snowflake データ コネクタは、Snowflake Login 履歴ログ、Query 履歴ログを取り込む機能を提供します。 User-Grant Logs,Role-Grant Logs, Load History Logs, Materialized View Refresh History Logs, Roles Logs、Tables Logs、Table Storage Metrics Logs、Users Logs を Snowflake SQL API を使用してMicrosoft Sentinel。 詳細については、 Snowflake SQL API のドキュメント を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SnowflakeLogin_CL |
イエス | イエス |
SnowflakeQuery_CL |
イエス | イエス |
SnowflakeUserGrant_CL |
イエス | イエス |
SnowflakeRoleGrant_CL |
イエス | イエス |
SnowflakeLoad_CL |
イエス | イエス |
SnowflakeMaterializedView_CL |
イエス | イエス |
SnowflakeRoles_CL |
イエス | イエス |
SnowflakeTables_CL |
イエス | イエス |
SnowflakeTableStorageMetrics_CL |
イエス | イエス |
SnowflakeUsers_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
SOC Prime Platform Audit Logs Data Connector
サポート対象:SOC Prime
SOC Prime Audit Logs データ コネクタを使用すると、SOC Prime Platform API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築されています。 SOC Prime Platform API を使用して SOC Prime プラットフォーム監査ログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、パフォーマンスが向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SOCPrimeAuditLogs_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
ソンライ・データコネクター
サポート対象:N/A
このデータ コネクタを使用して、Sonrai Security と統合し、Sonrai チケットをMicrosoft Sentinelに直接送信します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Sonrai_Tickets_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Sophos CloudOptex
サポート対象:Sophos
Sophos CloudOptix コネクタを使用すると、Sophos CloudOptix ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタムアラートの作成、調査の改善を行うことができます。 これにより、組織のクラウド セキュリティとコンプライアンス体制に関するより詳細な分析情報が得られ、クラウド セキュリティの運用機能が改善されます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SophosCloudOptix_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Sophos Endpoint Protection (Azure Functions を使用)
サポート元:Microsoft Corporation
Sophos Endpoint Protection データ コネクタは、Sophos イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、「Sophos Central の管理ドキュメント」を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SophosEP_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: API トークン が必要です。 詳細については、「API トークン」を参照してください。
Sophos Endpoint Protection (REST API を使用)
サポート元:Microsoft Corporation
Sophos Endpoint Protection データ コネクタは、Sophos イベントとSophos アラートをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、「Sophos Central の管理ドキュメント」を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SophosEPEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Sophos Endpoint Protection API アクセス: サービス プリンシパルを介して Sophos Endpoint Protection API にアクセスする必要があります。
Symantec統合サイバー防衛交換所
サポート元:Microsoft Corporation
Symantec ICDx コネクタを使用すると、Symantec セキュリティ ソリューションのログをMicrosoft Sentinelに簡単に接続し、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のネットワークに関するより詳しい分析情報が得られ、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SymantecICDx_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
AMA 経由の Syslog
サポート元:Microsoft Corporation
Syslog は、Linux に共通のイベント ログ プロトコルです。 アプリケーションは、ローカル コンピューターへの保存または Syslog コレクターへの配信が可能なメッセージを送信します。 Agent for Linux がインストールされている場合は、エージェントにメッセージを転送するローカル Syslog デーモンが構成されます。 次に、エージェントからワークスペースにメッセージを送信します。
詳細情報
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
TacitRed の侵害された資格情報
サポート対象:Data443 Risk Mitigation, Inc.
Common Connector Framework (CCF) を使用して、侵害された資格情報の結果を TacitRed から取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TacitRed_Findings_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
TacitRed API キー: Azure Key Vaultに格納されるか、デプロイ時に提供される API キー。
タロン・インサイト
サポート対象:Talon Security
Talon セキュリティ ログ コネクタを使用すると、Talon イベントと監査ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Talon_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Team Cymru Scout Data Connector (using Azure Functions)
サポート対象:Team Cymru
TeamCymruScout Data Connector を使用すると、ユーザーはチーム Cymru Scout の IP、ドメイン、アカウントの使用状況データをMicrosoft Sentinelに取り込んでエンリッチメントを行うことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Foundation_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Details_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Communications_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_PDNS_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Fingerprints_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_OpenPorts_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_x509_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Summary_Details_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Summary_Certs_CL |
いいえ | いいえ |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
いいえ | いいえ |
Cymru_Scout_Account_Usage_Data_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- 登録済みアプリケーションにロールを割り当てるアクセス許可: Microsoft Entra IDの登録済みアプリケーションにロールを割り当てるアクセス許可が必要です。
- Team Cymru Scout の資格情報/アクセス許可: Team Cymru Scout アカウントの資格情報 (ユーザー名、パスワード) が必要です。
テンブル・アイデンティティ・エクスポージャー
サポート対象:Tenable
Tenable Identity Exposure コネクタを使用すると、露出のインジケーター、攻撃のインジケーター、および証跡フロー ログをMicrosoft Sentinelに取り込むことができます。さまざまな作業ブックとデータ パーサーを使用すると、ログをより簡単に操作し、Active Directory環境を監視できます。 分析テンプレートを使用すると、さまざまなイベント、露出、攻撃に関する応答を自動化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- TenableIE 構成へのアクセス: Syslog アラート エンジンを構成するためのアクセス許可
脆弱性管理 (Azure Functionsを使用)
サポート対象:Tenable
TVM データ コネクタは、資産、脆弱性、コンプライアンス、WAS 資産、WAS 脆弱性データを TVM REST API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、コンピューティング資産の分析情報の取得、構成の問題の診断などに役立つデータを取得する機能を提供します
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Tenable_VM_Asset_CL |
イエス | イエス |
Tenable_VM_Vuln_CL |
イエス | イエス |
Tenable_VM_Compliance_CL |
イエス | イエス |
Tenable_WAS_Asset_CL |
イエス | イエス |
Tenable_WAS_Vuln_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Tenable REST API にアクセスするには、 TenableAccessKey と TenableSecretKey の両方が必要です。 詳細については、 API を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
Tenant ベースのMicrosoft Defender for Cloud
サポート元:Microsoft Corporation
Microsoft Defender for Cloudは、Azure、ハイブリッド、マルチクラウドのワークロード全体の脅威を検出して迅速に対応できるセキュリティ管理ツールです。 このコネクタを使用すると、MDC セキュリティ アラートを Microsoft 365 Defender から Microsoft Sentinel にストリーミングできるため、クラウド リソース、デバイス、ID 間でドットを接続する XDR 相関関係の利点を活用し、ブック内のデータを表示し、クエリを実行し、インシデントに対応することができます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
TheHive Project - TheHive (using Azure Functions))
サポート元:Microsoft Corporation
TheHive データ コネクタは、Webhook を介して一般的な TheHive イベントをMicrosoft Sentinelに取り込む機能を提供します。 TheHive では、変更イベント (ケースの作成、アラートの更新、タスクの割り当て) を外部システムにリアルタイムで通知できます。 TheHive で変更が発生すると、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタ URL に送信されます。 詳細については、 Webhook のドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TheHive_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Webhooks Credentials/permissions: TheHiveBearerToken,CallbackURL are required for working Webhooks. Webhook の構成の詳細については、ドキュメントを参照してください。
テオム
サポート対象:Theom
Theom Data Connector を使用すると、組織は自分の Theom 環境をMicrosoft Sentinelに接続できます。 このソリューションを使用すると、ユーザーはデータ セキュリティ リスクに関するアラートを受信し、インシデントを作成して強化し、統計情報を確認し、Microsoft Sentinelで SOAR プレイブックをトリガーできます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TheomAlerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
脅威インテリジェンス - TAXII
サポート元:Microsoft Corporation
Microsoft Sentinelは TAXII 2.0 および 2.1 データ ソースと統合され、脅威インテリジェンスを使用した監視、アラート、ハンティングが可能になります。 このコネクタを使用して、サポートされている STIX オブジェクトの種類を TAXII サーバーからMicrosoft Sentinelに送信します。 脅威インジケーターには、IP アドレス、ドメイン、URL、およびファイル ハッシュを含めることができます。 詳細については、Microsoft Sentinel ドキュメント >を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
脅威インテリジェンス プラットフォーム
サポート元:Microsoft Corporation
Microsoft Sentinel Microsoft Graph Security APIデータ ソースと統合して、脅威インテリジェンスを使用した監視、アラート、ハンティングを有効にします。 このコネクタを使用して、脅威インテリジェンス プラットフォーム (TIP) から脅威インジケーターをMicrosoft Sentinelに送信します (Threat Connect、Palo Alto Networks MindMeld、MISP、その他の統合アプリケーションなど)。 脅威インジケーターには、IP アドレス、ドメイン、URL、およびファイル ハッシュを含めることができます。 詳細については、Microsoft Sentinel ドキュメント >を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
脅威インテリジェンスアップロード API (プレビュー)
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Threat Connect、Palo Alto Networks MineMeld、MISP、その他の統合アプリケーションなど、脅威インテリジェンス プラットフォーム (TIP) から脅威インテリジェンスを取り込むためのデータ プレーン API が提供されます。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュ、メール アドレスを含めることができます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Transmit Security Connector (using Azure Functions))
サポート対象:送信セキュリティ
[送信セキュリティ] データ コネクタは、一般的な Transmit Security API イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TransmitSecurityActivity_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API クライアント ID: TransmitSecurityClientID が必要です。 API の詳細については、こちらのドキュメント を参照してください。
- REST API クライアント シークレット: TransmitSecurityClientSecret が必要です。 API の詳細については、こちらのドキュメント を参照してください。
Trend Vision One (using Azure Functions)
サポート対象:Trend Micro
Trend Vision One コネクタを使用すると、Workbench アラート データをMicrosoft Sentinelに簡単に接続して、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上を実現できます。 これにより、組織のネットワークおよびシステムに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。
Trend Vision One コネクタは、次のリージョンのMicrosoft Sentinelでサポートされています:オーストラリア東部、オーストラリア南東部、ブラジル南部、カナダ中部、カナダ東部、インド中部、米国中部、東アジア、米国東部、米国東部 2、フランス中部、東日本、韓国中部、米国中北部、北ヨーロッパ、ノルウェー東部、南アフリカ北部、米国中南部、東南アジア、スウェーデン中部、 スイス北部、アラブ首長国連邦北部、英国南部、英国西部、西ヨーロッパ、米国西部、米国西部 2、米国西部 3。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
いいえ | いいえ |
TrendMicro_XDR_RCA_Task_CL |
いいえ | いいえ |
TrendMicro_XDR_RCA_Result_CL |
いいえ | いいえ |
TrendMicro_XDR_OAT_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Trend Vision One API トークン: Trend Vision One API トークンが必要です。 Trend Vision One API の詳細については、ドキュメントを参照してください。
Tropico セキュリティ - アラート
サポート対象:TROPICO セキュリティ
OCSF セキュリティ検索形式で Tropico セキュリティ プラットフォームからセキュリティ アラートを取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
トロピカのセキュリティ - イベント
サポート対象:TROPICO セキュリティ
OCSF セキュリティ検索形式で Tropico セキュリティ プラットフォームからセキュリティ イベントを取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
トロピカのセキュリティ - インシデント
サポート対象:TROPICO セキュリティ
Tropico Security Platform から攻撃者セッション インシデントを取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Varonis Purview Push Connector
サポート対象:Varonis
Varonis Purview コネクタは、Varonis から Microsoft Purview にリソースを同期する機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
varonisresources_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するアクセス許可。 通常、Entra ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集規則 (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Varonis SaaS
サポート対象:Varonis
Varonis SaaS には、Varonis Alerts をMicrosoft Sentinelに取り込む機能が用意されています。
Varonis では、詳細なデータの可視性、分類機能、およびデータ アクセスの自動修復が優先されます。 Varonis では、データのリスクの優先順位が付けられた単一ビューを構築するため、内部関係者による脅威やサイバー攻撃によるリスクを体系的に事前に排除できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VaronisAlerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
Vectra XDR (using Azure Functions))
サポート対象:Vectra サポート
Vectra XDR コネクタは、Vectra REST API を介して Vectra 検出、監査、エンティティ スコアリング、ロックダウン、正常性、エンティティのデータをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント () を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Detections_Data_CL |
イエス | イエス |
Audits_Data_CL |
イエス | イエス |
Entity_Scoring_Data_CL |
イエス | イエス |
Lockdown_Data_CL |
イエス | イエス |
Health_Data_CL |
イエス | イエス |
Entities_Data_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Vectra クライアント ID と クライアント シークレット は、正常性、エンティティ スコアリング、エンティティ、検出、ロックダウン、監査のデータ収集に必要です。 API の詳細については、こちらのドキュメント を参照してください。
Veeam Data Connector (using Azure Functions))
サポート対象:Veeam Software
Veeam Data Connector を使用すると、複数のカスタム テーブルから veeam テレメトリ データをMicrosoft Sentinelに取り込めます。
このコネクタはVeeam Backup & Replication、Veeam ONE、Covewareプラットフォームとの統合をサポートし、包括的な監視とセキュリティ分析を提供します。 データはAzure Functionsを介して収集され、専用のデータ収集規則 (DCR) とデータ収集エンドポイント (DCE) を使用してカスタム Log Analytics テーブルに格納されます。
カスタムテーブルは以下の通りです:
- VeeamMalwareEvents_CL: Veeam Backup からのマルウェア検出イベントとレプリケーション
- VeeamSecurityComplianceAnalyzer_CL: Veeam バックアップ インフラストラクチャ コンポーネントから収集されたセキュリティおよびコンプライアンス アナライザーの結果
- VeeamAuthorizationEvents_CL: 承認イベントと認証イベント
- VeeamOneTriggeredAlarms_CL: Veeam ONE サーバーからトリガーされたアラーム
- VeeamCovewareFindings_CL: Coveware ソリューションからのセキュリティの結果
- VeeamSessions_CL: Veeam セッション
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VeeamMalwareEvents_CL |
イエス | イエス |
VeeamSecurityComplianceAnalyzer_CL |
イエス | イエス |
VeeamOneTriggeredAlarms_CL |
イエス | イエス |
VeeamAuthorizationEvents_CL |
イエス | イエス |
VeeamCovewareFindings_CL |
イエス | イエス |
VeeamSessions_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Veeam インフラストラクチャ アクセス: Veeam Backup および Replication REST API と Veeam ONE 監視プラットフォームへのアクセスが必要です。 これには、適切な認証資格情報とネットワーク接続が含まれます。
VersasecCms
サポート対象:Versasec サポート
VersasecCms データ コネクタを使用すると、ログをMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VersasecCmsSysLogs_CL |
いいえ | いいえ |
VersasecCmsErrorLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
VirtualMetric DataStream for Microsoft Sentinel
サポート対象:VirtualMetric
VirtualMetric DataStream コネクタは、セキュリティ テレメトリをMicrosoft Sentinelに取り込むためのデータ収集ルールをデプロイします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- App Registration または Azure Managed Identity: VirtualMetric DataStream では、認証を行い、Microsoft Sentinelにログを送信するために Entra ID ID が必要です。 クライアント ID とクライアント シークレットを使用してアプリ登録を作成するか、資格情報を管理せずにセキュリティを強化するために Azure マネージド ID を使用するかを選択できます。
- リソース グループ ロールの割り当て: 選択した ID (アプリの登録またはマネージド ID) は、監視メトリック パブリッシャー (ログ インジェスト用) と監視閲覧者 (読み取りストリーム構成用) のロールを持つデータ収集エンドポイントを含むリソース グループに割り当てる必要があります。
Data Lake のVirtualMetric Data Microsoft Sentinel Stream
サポート対象:VirtualMetric
VirtualMetric DataStream コネクタは、データ 収集ルールをデプロイして、セキュリティ テレメトリをデータ レイクMicrosoft Sentinel取り込みます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- App Registration または Azure Managed Identity: VirtualMetric DataStream では、認証を行い、Microsoft Sentinel Data Lake にログを送信するために Entra ID ID が必要です。 クライアント ID とクライアント シークレットを使用してアプリ登録を作成するか、資格情報を管理せずにセキュリティを強化するために Azure マネージド ID を使用するかを選択できます。
- リソース グループ ロールの割り当て: 選択した ID (アプリの登録またはマネージド ID) は、監視メトリック パブリッシャー (ログ インジェスト用) と監視閲覧者 (読み取りストリーム構成用) のロールを持つデータ収集エンドポイントを含むリソース グループに割り当てる必要があります。
VirtualMetric Director プロキシ
サポート対象:VirtualMetric
VirtualMetric Director Proxy は、Azure Function App をデプロイして、VirtualMetric DataStream をMicrosoft Sentinel、Azure Data Explorer、Azure StorageなどのAzure サービスと安全にブリッジします。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Function App: ディレクター プロキシをホストするには、Azure Function App をデプロイする必要があります。 関数アプリを作成および管理するには、リソース グループ内の Microsoft.Web/sites リソースに対する読み取り、書き込み、削除のアクセス許可が必要です。
- VirtualMetric DataStream 構成: ディレクター プロキシに接続するには、認証資格情報で構成された VirtualMetric DataStream が必要です。 ディレクター プロキシは、VirtualMetric DataStream と Azure サービス間のセキュリティで保護されたブリッジとして機能します。
-
Target Azure Services: Microsoft Sentinel データ収集エンドポイント、Azure Data Explorer クラスター、ディレクター プロキシがデータを転送するAzure Storage アカウントなどのターゲット Azure サービスを構成します。
VMRayThreatIntelligence (using Azure Functions))
サポート対象:VMRay
VMRayThreatIntelligenceコネクターは、VMRayに提出されたすべての情報に対して自動的に脅威インテリジェンスを生成・供給し、Sentinelにおける脅威検出とインシデント対応を向上させます。 このシームレスな統合により、チームは新たな脅威に積極的に対処できるようになります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
イエス | いいえ |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure サブスクリプション Azure: active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールazure割り当てるには、所有者ロールを持つサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API 資格情報/アクセス許可: VMRay API キー が必要です。
VMware Carbon Black Cloud (using Azure Functions))
サポート元:Microsoft
VMware Carbon Black Cloud コネクタは、Carbon Black データをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上のために、Microsoft Sentinelの監査、通知、イベント のログを可視化できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CarbonBlackEvents_CL |
いいえ | いいえ |
CarbonBlackNotifications_CL |
いいえ | いいえ |
CarbonBlackAuditLogs_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- VMware Carbon Black API キー: Carbon Black API または SIEM レベルの API キーが必要です。 詳細については、Carbon Black API のドキュメントを参照してください。
- 監査ログとイベント ログには、Carbon Black API アクセス レベルの API ID とキーが必要です。
- 通知アラートには、Carbon Black SIEM アクセス レベルの API ID とキーが必要です。
- Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセス キー ID、 AWS シークレット アクセス キー、 AWS S3 バケット名、 AWS S3 バケット内のフォルダー名 が必要です。
AWS S3 経由の VMware Carbon Black Cloud
サポート元:Microsoft
AWS S3 データ コネクタを介した VMware Carbon Black Cloud は、AWS S3 を介してウォッチリスト、アラート、認証、エンドポイントイベントを取り込み、それらを ASIM 正規化されたテーブルにストリーミングする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CarbonBlack_Alerts_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- 環境: 次の AWS リソースを定義して構成する必要があります。S3、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシー
- 環境: AWS S3 バケットに転送されるデータを作成するには、Carbon Black アカウントと必要なアクセス許可が必要です。
詳細については、「Carbon Black Data Forwarder Docs」を参照してください。
サポート元:Microsoft Corporation
Windows DNS ログ コネクタを使用すると、Azure監視エージェント (AMA) を使用して、Windows DNS サーバーのすべての分析ログを簡単にフィルター処理し、Microsoft Sentinel ワークスペースにストリーミングできます。 このデータをMicrosoft Sentinelに格納すると、次のような問題やセキュリティ上の脅威を特定するのに役立ちます。
- 悪意のあるドメイン名を解決しようとしています。
- 古いリソース レコード。
- 頻繁に照会されるドメイン名と話し合い DNS クライアント。
- DNS サーバーで実行された攻撃。
Microsoft Sentinelから、Windows DNS サーバーに関する次の分析情報を取得できます。
- すべてのログが 1 か所で一元化されます。
- DNS サーバーの負荷を要求します。
- 動的 DNS 登録エラー。
Windows DNS イベントは、Advanced SIEM Information Model (ASIM) でサポートされ、データを ASimDnsActivityLogs テーブルにストリーム配信します。 詳細については、こちらを参照してください。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimDnsActivityLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Windows Firewall
サポート元:Microsoft Corporation
Windows ファイアウォールは、インターネットからシステムに送信される情報をフィルター処理し、有害な可能性のあるプログラムをブロックする Microsoft Windows アプリケーションです。 このソフトウェアを使用すると、ほとんどのプログラムではファイアウォール経由で通信できません。 ファイアウォール経由で通信できるようにするには、ユーザーは許可されたプログラムの一覧にプログラムを追加するだけです。 パブリック ネットワークを使用する場合、Windowsファイアウォールは、お使いのコンピューターに接続するすべての未承諾の試行をブロックすることで、システムをセキュリティで保護することもできます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集規則のサポート: 現在サポートされていません
Windows AMA 経由のファイアウォール イベント
サポート元:Microsoft Corporation
Windows Firewall は、インターネットからシステムに送信される情報をフィルター処理し、潜在的に有害なプログラムをブロックする Microsoft Windows アプリケーションです。 ファイアウォール ソフトウェアは、ほとんどのプログラムがファイアウォール経由で通信するのをブロックします。 マシンから収集された Windows Firewall アプリケーション ログをストリーミングするには、Azure Monitor エージェント (AMA) を使用して、それらのログを Microsoft Sentinel ワークスペースにストリーミングします。
構成されたデータ収集エンドポイント (DCE) は、ログを収集するために AMA 用に作成されたデータ収集規則 (DCR) にリンクされている必要があります。 このコネクタの場合、DCE はワークスペースと同じリージョンに自動的に作成されます。 同じリージョンに格納されている DCE を既に使用している場合は、既定で作成された DCE を変更し、API を使用して既存の DCE を使用できます。 DCEs は、リソース名に SentinelDCE プレフィックスが付いたリソースに配置できます。
詳細については、次の記事をご覧ください。
- Azure MonitorData コレクション エンドポイント>
- Microsoft Sentinel ドキュメント
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集規則のサポート: 現在サポートされていません
Windows Forwarded Events
サポート元:Microsoft Corporation
Azure Monitor エージェント (AMA) を使用して、Microsoft Sentinel ワークスペースに接続されているWindows サーバーからすべてのWindows イベント転送 (WEF) ログをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これにより、組織のネットワークに関するより詳しい分析情報が得られ、セキュリティ運用機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
WindowsEvent |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Windows セキュリティ AMA 経由のイベント
サポート元:Microsoft Corporation
Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターからすべてのセキュリティ イベントをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これにより、組織のネットワークに関するより詳しい分析情報が得られ、セキュリティ運用機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
WithSecure Elements API (Azure Function))
サポート対象:WithSecure
WithSecure Elements は、リスク、複雑さ、非効率性を軽減するように設計された、統合されたクラウドベースのサイバー セキュリティ プラットフォームです。
セキュリティをエンドポイントからクラウド アプリケーションに昇格させます。 標的型攻撃からゼロデイ ランサムウェアまで、あらゆる種類のサイバー脅威に備えます。
WithSecure Elements は、強力な予測、予防、応答性の高いセキュリティ機能を組み合わせたものであり、すべてが 1 つのセキュリティ センターを介して管理および監視されます。 モジュール構造と柔軟な価格モデルにより、進化の自由が得られます。 当社の専門知識と分析情報により、いつでも権限を与えられ、一人になることはありません。
Microsoft Sentinel統合により、WithSecure Elements ソリューションの security events データを他のソースからのデータと関連付けることができ、環境全体の豊富な概要と脅威への迅速な対応が可能になります。
このソリューションでは、Azure関数がテナントにデプロイされ、WithSecure Elements セキュリティ イベントを定期的にポーリングします。
詳細については、Microsoft の Web サイト を参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
WsSecurityEvents_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- WithSecure Elements API クライアント資格情報: クライアント資格情報が必要です。 詳細については、ドキュメントを参照してください。
Wiz (using Azure Functions))
サポート対象:Wiz
Wiz コネクタを使用すると、Wiz の問題、脆弱性の結果、監査ログをMicrosoft Sentinelに簡単に送信できます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
いいえ | いいえ |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
いいえ | いいえ |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Wiz サービス アカウントの資格情報: Wiz サービス アカウントのクライアント ID とクライアント シークレット、API エンドポイント URL、および認証 URL があることを確認します。 手順については、Wiz の ドキュメントを参照してください。
Workday ユーザー アクティビティ
サポート元:Microsoft Corporation
Workday ユーザー アクティビティ データ コネクタは、ユーザー アクティビティ ログを Workday API からMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimAuditEventLogs |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Workday ユーザー アクティビティ API アクセス: Oauth を使用して Workday ユーザー アクティビティ API にアクセスする必要があります。 API クライアントにはスコープ "System" が必要であり、システム監査アクセス許可を持つアカウントによって承認されている必要があります。
Workplace from Facebook (using Azure Functions)
サポート元:Microsoft Corporation
Workplace データ コネクタは、Webhook を介して一般的な Workplace イベントをMicrosoft Sentinelに取り込む機能を提供します。 Webhook を使用すると、カスタム統合アプリでは、Workplace 内のイベントを購読し、リアルタイムで更新を受け取ることができます。 Workplace で変更が発生すると、Workplace によって、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタの URL に送信されます。 詳細については、 Webhook のドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Workplace_Facebook_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Webhook の資格情報/アクセス許可: WorkplaceAppSecret、WorkplaceVerifyToken、コールバック URL は、Webhook を動作するために必要です。 Webhook の構成、アクセス許可の構成の詳細については、ドキュメントを参照してください。
ゼロ ネットワーク セグメント監査
サポート対象:ゼロ ネットワーク
Zero Networks Segment Audit データ コネクタは、REST API を使用して Zero Networks Audit イベントをMicrosoft Sentinelに取り込む機能を提供します。 このデータ コネクタでは、ネイティブ ポーリング機能Microsoft Sentinel使用されます。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- ゼロ ネットワーク API トークン: REST API には ZeroNetworksAPIToken が必要です。 API ガイドを参照し、資格情報を取得する手順に従います。
ZeroFox CTI
サポート対象:ZeroFox
ZeroFox CTI データ コネクタは、さまざまなZeroFoxサイバー脅威インテリジェンス アラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
いいえ | いいえ |
ZeroFox_CTI_botnet_CL |
いいえ | いいえ |
ZeroFox_CTI_breaches_CL |
いいえ | いいえ |
ZeroFox_CTI_C2_CL |
いいえ | いいえ |
ZeroFox_CTI_compromised_credentials_CL |
いいえ | いいえ |
ZeroFox_CTI_credit_cards_CL |
いいえ | いいえ |
ZeroFox_CTI_dark_web_CL |
いいえ | いいえ |
ZeroFox_CTI_discord_CL |
いいえ | いいえ |
ZeroFox_CTI_disruption_CL |
いいえ | いいえ |
ZeroFox_CTI_email_addresses_CL |
いいえ | いいえ |
ZeroFox_CTI_exploits_CL |
いいえ | いいえ |
ZeroFox_CTI_irc_CL |
いいえ | いいえ |
ZeroFox_CTI_malware_CL |
いいえ | いいえ |
ZeroFox_CTI_national_ids_CL |
いいえ | いいえ |
ZeroFox_CTI_phishing_CL |
いいえ | いいえ |
ZeroFox_CTI_phone_numbers_CL |
いいえ | いいえ |
ZeroFox_CTI_ransomware_CL |
いいえ | いいえ |
ZeroFox_CTI_telegram_CL |
いいえ | いいえ |
ZeroFox_CTI_threat_actors_CL |
いいえ | いいえ |
ZeroFox_CTI_vulnerabilities_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- ZeroFox API の資格情報/アクセス許可: ZeroFox CTI REST API には、 ZeroFox ユーザー名、 ZeroFox 個人用アクセス トークン が必要です。
ZeroFox Enterprise - アラート (ポーリング CCF)
サポート対象:ZeroFox
ZeroFox API からアラートを収集します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZeroFoxAlertPoller_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- ZeroFox 個人用アクセス トークン (PAT):ZeroFox PAT が必要です。 Data Connectors API データ フィードで取得できます。
Zimperium モバイル脅威防御
サポート対象:Zimperium
Zimperium Mobile Threat Defense コネクタを使用すると、Zimperium 脅威ログをMicrosoft Sentinelに接続して、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、組織のモバイル脅威のランドスケープにより詳細な分析情報が提供され、セキュリティ運用機能が向上します。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZimperiumThreatLog_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Zoom Reports (using Azure Functions))
サポート元:Microsoft Corporation
Zoom Reports データ コネクタは、REST API を使用してZoom Reports イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクの評価、コラボレーションの監視、構成の問題の診断とトラブルシューティングを行うイベントの取得が可能になります。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Zoom_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- REST API の資格情報/アクセス許可: Zoom API には AccountID、 ClientID 、 ClientSecret が必要です。 詳細については、「 Zoom API」を参照してください。 Zoom API 構成の手順に従います。
非推奨の Sentinel データ コネクタ
Note
次の表に、非推奨のデータ コネクタとレガシ データ コネクタの一覧を示します。 非推奨のコネクタはサポートされなくなりました。
[非推奨] GitHubエンタープライズ監査ログ
サポート元:Microsoft Corporation
GitHub監査ログ コネクタは、GitHubログをMicrosoft Sentinelに取り込む機能を提供します。 監査ログGitHub Microsoft Sentinelに接続することで、このデータをブックで表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
Note: サブスクライブしたイベントGitHub Microsoft Sentinelに取り込む場合は、"Data Connectors" ギャラリーから GitHub (Webhooks を使用) コネクタを参照してください。
注: このデータ コネクタは非推奨となりました。非推奨の HTTP データ コレクター API を使用してインジェストを置き換えるソリューションで使用可能な CCF データ コネクタに移行することを検討してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GitHubAuditLogPolling_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- GitHub API 個人用アクセス トークン: 組織の監査ログのポーリングを有効にするには、GitHub個人用アクセス トークンが必要です。 "read:org" スコープのクラシック トークンまたは "Administration: Read-only" スコープのきめ細かいトークンを使用できます。
-
GitHub エンタープライズの種類: このコネクタは、GitHub Enterprise Cloud でのみ機能します。GitHub Enterprise Server はサポートされません。
[非推奨]レガシ エージェント経由の Infoblox SOC Insight Data Connector
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、各ログの検索と相関関係、アラート、脅威インテリジェンス エンリッチメントを利用できます。
このデータ コネクタは、レガシ Log Analytics エージェントを使用して、Infoblox SOC Insight CDC ログを Log Analytics ワークスペースに取り込みます。
Microsoft では、AMA コネクタ経由で Infoblox SOC Insight Data Connector をインストールすることをお勧めします。 レガシ コネクタでは、Aug 31、2024、 によって非推奨となるLog Analytics エージェントが使用され、AMA がサポートされていない場合にのみインストールする必要があります。
同じコンピューターで MMA と AMA を使用すると、ログの重複と追加のインジェスト コストが発生する可能性があります。 詳細情報。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
[非推奨]見張り
サポート対象:Lookout
Lookout データ コネクタは、Mobile Risk API を使用して Lookout イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメントを参照してください。 Lookout データ コネクタは、潜在的なセキュリティ リスクなどを調べるのに役立つイベントを取得する機能を提供します。
注: このデータ コネクタは非推奨となりました。非推奨の HTTP データ コレクター API を使用してインジェストを置き換えるソリューションで使用可能な CCF データ コネクタに移行することを検討してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Lookout_CL |
いいえ | いいえ |
データ収集規則のサポート: 現在サポートされていません
Prerequisites:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するためのAzure Functionsの読み取りおよび書き込みアクセス許可が必要です。 詳細については、「Azure Functionsを参照してください。
- Mobile Risk API の資格情報/アクセス許可: Mobile Risk API には EnterpriseName と ApiKey が必要です。 詳細については、 API を参照してください。 すべての要件を確認し、資格情報を取得するための手順に従います。
[非推奨] Microsoft Exchange ログとイベント
Supported by:Community
非推奨の場合は、'ESI-Opt' データコネクタを使用してください。 Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターから、すべての Exchange 監査イベント、IIS ログ、HTTP プロキシ ログ、セキュリティ イベント ログをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これは、オンプレミスの Exchange 環境のセキュリティに関する分析情報を提供するために、Microsoft Exchange セキュリティ ブックによって使用されます
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
イエス | いいえ |
SecurityEvent |
イエス | イエス |
W3CIISLog |
イエス | いいえ |
MessageTrackingLog_CL |
イエス | イエス |
ExchangeHttpProxy_CL |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Prerequisites:
- Azure Log Analytics非推奨になります。Azure以外の VM からデータを収集するには、Azure Arcすることをお勧めします。 詳細情報
- 詳細なドキュメント: NOTE: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
レガシ エージェントを使用したセキュリティ イベント
サポート元:Microsoft Corporation
Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されているWindows コンピューターからすべてのセキュリティ イベントをストリーミングできます。 この接続により、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善することができます。 これにより、組織のネットワークに関するより詳しい分析情報が得られ、セキュリティ運用機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
Subscription ベースのMicrosoft Defender for Cloud (レガシ)
サポート元:Microsoft Corporation
Microsoft Defender for Cloudは、Azure、ハイブリッド、マルチクラウドのワークロード全体の脅威を検出して迅速に対応できるセキュリティ管理ツールです。 このコネクタを使用すると、セキュリティ アラートをMicrosoft Defender for CloudからMicrosoft Sentinelにストリーミングできるため、ブック内の Defender データを表示したり、クエリを実行してアラートを生成したり、インシデントを調査して対応したりすることができます。
詳細情報
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
レガシ エージェント経由の Syslog
サポート元:Microsoft Corporation
Syslog は、Linux に共通のイベント ログ プロトコルです。 アプリケーションは、ローカル コンピューターへの保存または Syslog コレクターへの配信が可能なメッセージを送信します。 Agent for Linux がインストールされている場合は、エージェントにメッセージを転送するローカル Syslog デーモンが構成されます。 次に、エージェントからワークスペースにメッセージを送信します。
詳細情報
Log Analytics テーブル):
| 表 | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
イエス | イエス |
データ収集規則のサポート:ワークスペース変換 DCR
次のステップ
詳細については、次を参照してください。
- Microsoft Sentinel ソリューション カタログ
Microsoft Sentinel