Microsoft Sentinel データ コネクタ

Microsoft Sentinelをワークスペースにオンボードした後、データ コネクタを使用してデータのMicrosoft Sentinelへの取り込みを開始します。 Microsoft Sentinelには、Microsoft サービス用の多くのすぐに使用できるコネクタが付属しており、リアルタイムで統合されます。 たとえば、Microsoft Defender XDR コネクタは、Office 365、Microsoft Entra ID、Microsoft Defender for Identity、およびMicrosoft Defender for Cloud Apps。

組み込みのコネクタを使用すると、Microsoft 以外の製品の広範なセキュリティ エコシステムに接続できます。 たとえば、Syslog、Common Event Format (CEF)、REST API を使用して、データ ソースをMicrosoft Sentinelに接続します。

注:

米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。

重要

2024 年の発表に従って、2026 年 9 月 14 日以降、従来の HTTP データ コレクター API はサポートされなくなります。 HTTP Data Collector API を使用するデータ ソース、カスタム統合、またはコネクタは、この日付以降にインジェストが中断される可能性を回避するために、サポートされている代替手段に移行する必要があります。

現在 HTTP データ コレクター API を使用している場合は、 ログ インジェスト API または コードレス コネクタ フレームワーク (CCF) への移行の計画を開始して、中断のないデータ インジェスト、信頼性、スケーラビリティ、および長期的なサポートを確保することをお勧めします。

Microsoft Sentinel Data Lake のデータ管理に関する考慮事項

コンプライアンスとデータ管理の計画には、次の考慮事項を考慮する必要があります。

• GDPR とデータ保持

  • テナント管理者は、分析レベルの消去機能を使用して GDPR 権限を行使できます。 これは、データ レイク層には影響しません。
  • Sentinel データ レイクから特定のレコードを消去することはできません。 Data Lake は、ソースまたは分析層でデータが削除された場合でも、定義された保持期間に取り込まれたデータを保持します。

• Purview 統合。 Purview 設定の変更は、Sentinel データ レイクに格納されているデータには影響しません。

• ストレージの場所Sentinelデータ レイクのストレージの場所はテナント管理者によって選択され、ソース サービスのプライマリ ストレージの場所とは異なる場合があります。

重要

2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。

Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。

ソリューションで提供されるデータ コネクタ

Microsoft Sentinel ソリューションは、データ コネクタ、ブック、分析ルール、プレイブックなど、パッケージ化されたセキュリティ コンテンツを提供します。 データ コネクタを使用してソリューションをデプロイすると、同じデプロイ内の関連コンテンツと共にデータ コネクタが取得されます。

[Microsoft Sentinel データ コネクタ] ページには、インストールされているデータ コネクタまたは使用中のデータ コネクタが一覧表示されます。

Defender ポータル

Azure portal

さらにデータ コネクタを追加するには、 Content Hub からデータ コネクタに関連付けられているソリューションをインストールします。 詳細については、次の記事を参照してください。

• Microsoft Sentinel データ コネクタを見つける
• Microsoft Sentinelコンテンツとソリューションについて
• すぐに使用Microsoft Sentinelコンテンツを検出して管理する
• Microsoft Sentinel コンテンツ ハブ カタログ
• Microsoft Sentinel用の高度なセキュリティ情報モデル (ASIM) ベースのドメイン ソリューション

カスタム コネクタを作成する

使用可能な既存のソリューションのいずれかを使用してデータ ソースをMicrosoft Sentinelに接続できない場合は、独自のデータ ソース コネクタを作成することを検討してください。 たとえば、多くのセキュリティ ソリューションでは、製品またはサービスからログ ファイルやその他のセキュリティ データを取得するための一連の API が提供されています。 これらの API は、次のいずれかの方法でMicrosoft Sentinelに接続します。

• データ ソース API は 、コードレス コネクタ フレームワークで構成されます。
• データ コネクタは、Azure関数またはロジック アプリの一部として、Azure Monitor 用のログ インジェスト API を使用します。

また、Azure Monitor エージェントを直接使用することも、Logstash を使用してカスタム コネクタを作成することもできます。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinel参照してください。

データ コネクタのエージェント ベースの統合

Microsoft Sentinelは、Azure Monitor サービスによって提供されるエージェント (Microsoft Sentinel ベース) を使用して、リアルタイム ログ ストリーミングを実行できる任意のデータ ソースからデータを収集できます。 たとえば、ほとんどのオンプレミス データ ソースは、エージェント ベースの統合を使用して接続します。

以降のセクションでは、エージェント ベースのデータ コネクタのさまざまな種類Microsoft Sentinel説明します。 エージェント ベースのメカニズムを使用して接続を構成するには、各Microsoft Sentinel データ コネクタ ページの手順に従います。

Syslog と Common Event Format (CEF)

Azure Monitor エージェント (AMA) を使用して、Linux ベースの Syslog サポート デバイスからMicrosoft Sentinelにイベントをストリーミングできます。 ログ形式はさまざまですが、多くのソースでは CEF ベースの書式設定がサポートされています。 デバイスの種類に応じて、エージェントはデバイスに直接インストールされるか、専用のLinux ベースのログ フォワーダーにインストールされます。 AMA は、UDP 経由で Syslog デーモンからプレーンな Syslog または CEF イベント メッセージを受信します。 Syslog デーモンは、バージョンに応じて TCP または UDS (Unix ドメイン ソケット) 経由で通信して、イベントをエージェントに内部的に転送します。 その後、AMA は、これらのイベントを Microsoft Sentinel ワークスペースに送信します。

Syslog データMicrosoft Sentinelストリームする方法を示す単純なフローを次に示します。

1. デバイスの組み込みの Syslog デーモンは、指定した種類のローカル イベントを収集し、イベントをエージェントにローカルに転送します。
2. エージェントは、Log Analytics ワークスペースにイベントをストリーミングします。
3. 構成が成功すると、Log Analytics Syslog テーブルに Syslog メッセージが表示され、 CommonSecurityLog テーブルに CEF メッセージが表示されます。

詳細については、Microsoft Sentinelについては、「AMA コネクタ経由の Syslog および Common Event Format (CEF)」を参照してください。

カスタム ログ

一部のデータ ソースでは、Log Analytics カスタム ログ収集エージェントを使用して、Windows または Linux コンピューター上のファイルとしてログを収集できます。

Log Analytics カスタム ログ 収集エージェントを使用して接続するには、各Microsoft Sentinel データ コネクタ ページの手順に従います。 構成が成功すると、カスタム テーブルにデータが表示されます。

詳細については、「AMA データ コネクタを使用したカスタム ログ - 特定のアプリケーションからMicrosoft Sentinelするようにデータ インジェストを構成する」を参照してください。

データ コネクタのサービス間統合

Microsoft Sentinelでは、Azure 基盤を使用して、Microsoft サービスとアマゾン ウェブ サービスに対するすぐに利用できるサービス間サポートを提供します。

詳細については、次の記事を参照してください。

• Microsoft SentinelをAzure、Windows、Microsoft、Amazon の各サービスに接続する
• Microsoft Sentinel データ コネクタを見つける

データ コネクタのサポート

Microsoft とその他の組織はどちらも、Microsoft Sentinel データ コネクタを作成します。 各データ コネクタには、Microsoft Sentinelのデータ コネクタ ページに一覧表示されている次のいずれかのサポートの種類があります。

サポート タイプ	説明
Microsoft でサポートされている	適用対象: Microsoft がデータ プロバイダーおよび作成者であるデータ ソースのデータ コネクタ。 Microsoft 以外のデータ ソース用の Microsoft が作成した一部のデータ コネクタ。 Microsoft では、Microsoft Azure サポート プランに従って、このカテゴリのデータ コネクタをサポートおよび保守しています。 パートナーまたはコミュニティは、Microsoft 以外の任意のパーティによって作成されたデータ コネクタをサポートします。
パートナーサポート	Microsoft 以外のパーティによって作成されたデータ コネクタに適用されます。 パートナー企業は、これらのデータ コネクタのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、またはそのデータ コネクタのMicrosoft Sentinel ページで連絡先情報が提供される任意のorganizationです。 パートナーがサポートするデータ コネクタに関する問題については、指定されたデータ コネクタサポート連絡先にお問い合わせください。
コミュニティでサポートされる	Microsoft Sentinelのデータ コネクタ ページにデータ コネクタのサポートとメンテナンスの連絡先が一覧表示されていない Microsoft またはパートナー開発者が作成したデータ コネクタに適用されます。 これらのデータ コネクタに関する質問や問題については、Microsoft Sentinel GitHub コミュニティで問題を提出できます。

詳細については、「 データ コネクタのサポートを検索する」を参照してください。

次の手順

データ コネクタの詳細については、次の記事を参照してください。

• データ コネクタを使用してデータ ソースをMicrosoft Sentinelに接続する
• Microsoft Sentinel データ コネクタを見つける
• カスタム コネクタを作成するためのリソースMicrosoft Sentinel

Microsoft Sentinelにデータ コネクタをデプロイするための Bicep、Azure Resource Manager、Terraform の基本的なコードとしてのインフラストラクチャ (IaC) リファレンスについては、「Microsoft Sentinel データ コネクタ IaC リファレンス」を参照してください。