次の方法で共有

API ベースのデータ コネクタを使用して Microsoft Sentinel を他の Microsoft サービスに接続する

  • [アーティクル]

この記事では、Microsoft Sentinel への API ベースの接続を作成する方法について説明します。 Microsoft Sentinel では Azure 基盤を使用して、多くの Azure と Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまな Windows Server サービスからのデータ インジェスト用の組み込みのサービス間サポートを提供します。 これらの接続を行う方法はいくつかあります。

この記事では、API ベースのデータ コネクタのグループに共通する情報について説明します。

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

  • Log Analytics ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • Microsoft Sentinel ワークスペースのテナントに対するグローバル管理者またはセキュリティ管理者ロールが必要です。

  • データ コネクタ固有の要件:

    データ コネクタ ライセンス、コスト、その他の前提条件
    Microsoft Entra ID Protection - Microsoft Entra ID P2 サブスクリプション
    - その他の料金が適用される場合があります。
    Dynamics 365 - Microsoft Dynamics 365 の運用ライセンス。 サンドボックス環境では使用できません。
    - 少なくとも 1 人のユーザーに Microsoft/Office 365 E1 以上のライセンスが割り当てられている。
    - Microsoft Purview 内で有効な監査ログ。 「監査のオンとオフを切り替える」をご参照ください。
    - ご利用の Microsoft Dataverse 環境内で有効な監査ログ。 「Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログ」をご参照ください。
    - その他の料金が適用される場合があります。
    Microsoft Defender for Cloud Apps Cloud Discovery ログのために、Microsoft Defender for Cloud Apps で Microsoft Sentinel を SIEM として有効にします
    Microsoft Defender for Endpoint Microsoft Defender for Endpoint デプロイの有効なライセンス
    Microsoft Defender for Office 365 Office 365 ATP プラン 2 の有効なライセンス
    Microsoft Office 365 - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Power BI - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview Information Protection - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview インサイダー リスク管理 (IRM) - Microsoft 365 E5/A5/G5、またはそれに付随するコンプライアンスまたは IRM アドオンの有効なサブスクリプション。
    - Microsoft Purview Insider Risk Management が完全にオンボードされ、IRM ポリシーが定義され、アラートが生成されている。
    - Microsoft Sentinel コネクタ経由でアラートを受信するために、Office 365 Management Activity API への IRM アラートのエクスポートを有効にするように構成された Microsoft 365 IRM

Instructions

  1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーからご利用のサービスを選び、プレビュー ペインで [コネクタ ページを開く] を選択します。

  3. [接続] を選択して、サービスから Microsoft Sentinel へのイベントやアラートのストリーミングを開始します。

  4. コネクタ ページに [Create incidents - recommended!](インシデントの作成 - 推奨) というタイトルのセクションがある状態で、アラートからインシデントを自動的に作成する場合は [有効] を選択します。

データ コネクタのリファレンス ページで、サービスのコネクタのセクションに表示されるテーブル名を使用することで、各サービスのデータを検索してクエリを実行できます。

次の手順

詳細については、次を参照してください。