Microsoft Sentinel データ コネクタ

• 適用対象:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

ワークスペースに Microsoft Azure Sentinel をオンボードしたら、データ コネクタを使用して Microsoft Sentinel へのデータの取り込みを開始します。 Microsoft Sentinel には、Microsoft サービス用のすぐに使用できるコネクタが多数用意されており、リアルタイムで統合されます。 たとえば、Microsoft Defender XDR コネクタは、Office 365、Microsoft Entra ID、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps からのデータを統合するサービス間コネクタです。

組み込みのコネクタを使用すると、Microsoft 以外の製品用のより広範なセキュリティ エコシステムに接続できます。 たとえば、Syslog、Common Event Format (CEF)、または REST API を使用して、お使いのデータ ソースを Microsoft Azure Sentinel に接続します。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームのパブリック プレビューの一部として利用できます。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

ソリューションで提供されるデータ コネクタ

Microsoft Sentinel ソリューションは、データ コネクタ、ブック、分析ルール、プレイブックなど、パッケージ化されたセキュリティ コンテンツを提供します。 データ コネクタを使用するソリューションをデプロイすると、同じデプロイ内の関連コンテンツと共にデータ コネクタが取得されます。

Microsoft Sentinel の [データ コネクタ] ページには、インストールされている、または使用中のデータ コネクタが一覧表示されます。

Azure Portal

Defender ポータル

データ コネクタをさらに追加するには、[コンテンツ ハブ] から、そのデータ コネクタに関連付けられているソリューションをインストールします。 詳細については、次の記事を参照してください。

• Microsoft Azure Sentinel データ コネクタを見つける
• Microsoft Sentinel コンテンツとソリューションについて
• Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する
• Microsoft Sentinel コンテンツ ハブ カタログ
• Microsoft Sentinel 用の Advanced Security Information Model (ASIM) ベースのドメイン ソリューション

データ コネクタの REST API 統合

多くのセキュリティ テクノロジには、ログ ファイルを取得するための一連の API が用意されています。 一部のデータ ソースでは、それらの API を使用して Microsoft Sentinel に接続できます。

次のセクションで説明するように、API を使用するデータ コネクタは、プロバイダー側から統合するか、Azure Functions を使用して統合します。

プロバイダー側での統合

プロバイダーによって構築された API 統合は、プロバイダーのデータ ソースに接続し、Azure Monitor Data Collector API を使用して、Microsoft Sentinel カスタム ログ テーブルにデータをプッシュします。 詳細については、「HTTP データ コレクター API を使用して Azure Monitor にログ データを送信する」を参照してください。

REST API 統合の詳細については、プロバイダーのドキュメントと、データ ソースを Microsoft Sentinel の REST-API に接続してデータを取り込む方法に関するページを参照してください。

Azure Functions を使用した統合

Azure Functions を使用してプロバイダー API に接続する統合では、最初にデータを書式設定してから、Azure Monitor Data Collector API を使用して Microsoft Azure Sentinel カスタム ログ テーブルに送信します。

詳細については、以下を参照してください:

• HTTP データ コレクター API を使用して Azure Monitor にログ データを送信する
• Azure Functions を使用してデータ ソースを Microsoft Sentinel に接続する
• Azure Functions のドキュメント

Azure 組織で Azure Functions をホストするため、Azure Functions を使用する統合では、追加のデータ インジェスト コストが発生する可能性があります。 Azure Functions の価格の詳細をご覧ください。

データ コネクタのエージェントベースの統合

Microsoft Azure Sentinel では、Syslog プロトコルを使用して、リアルタイムのログ ストリーミングを実行できる任意のデータ ソースにエージェントを接続できます。 たとえば、ほとんどのオンプレミス データ ソースでは、エージェントベースの統合を使用して接続します。

以下のセクションでは、Microsoft Azure Sentinel エージェントベースのデータ コネクタのさまざまな種類について説明します。 エージェントベースのメカニズムを使用して接続を構成するには、各 Microsoft Sentinel データ コネクタ ページの手順に従います。

Syslog

Azure Monitor エージェント (AMA) を使用して、Linux ベースの Syslog 対応デバイスから Microsoft Sentinel にイベントをストリーミングできます。 デバイスの種類により、エージェントは、デバイス上に直接、または専用の Linux ベースのログ フォワーダー上にインストールされます。 AMA は、UDP を使用して Syslog デーモンからイベントを受信します。 Syslog デーモンは、UDS (Unix ドメイン ソケット) 経由で通信して、内部的にエージェントにイベントを転送します。 その後、AMA は、これらのイベントを Microsoft Sentinel ワークスペースに送信します。

Microsoft Sentinel が Syslog データをストリーミングする方法を示す簡単なフローを次に示します。

1. デバイスの組み込み Syslog デーモンが、指定された種類のローカル イベントを収集し、イベントをローカルでエージェントに転送します。
2. エージェントが、Log Analytics ワークスペースにイベントをストリーミングします。
3. 構成が完了すると、Log Analytics Syslog テーブルにデータが表示されます。

詳細については、「チュートリアル: Azure Monitor エージェントを使用して、Microsoft Sentinel を含む Log Analytics ワークスペースに Syslog データを転送する」を参照してください。

Common Event Format (CEF)

ログの形式は異なりますが、多くのソースでは CEF ベースの書式設定がサポートされています。 Microsoft Azure Sentinel エージェントは実際には Log Analytics エージェントであり、CEF 形式のログを、Log Analytics で取り込める形式に変換します。

CEF でデータを出力するデータ ソースの場合は、Syslog エージェントを設定してから、CEF データ フローを構成します。 構成が成功すると、CommonSecurityLog テーブルにデータが表示されます。

詳細については、「デバイスまたはアプライアンスの CEF 形式のログを Microsoft Sentinel に取得する」を参照してください。

カスタム ログ

一部のデータ ソースでは、Log Analytics カスタム ログ収集エージェントを使用して、Windows または Linux コンピューター上でログをファイルとして収集できます。

Log Analytics カスタム ログ収集エージェントを使用して接続するには、各 Microsoft Sentinel データ コネクタ ページの手順に従います。 構成が完了すると、データはカスタム テーブルに表示されます。

詳細については、Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Azure Sentinel に収集する方法に関するページを参照してください。

データ コネクタのサービス間の統合

Microsoft Sentinel では、Azure 基盤を使用して、Microsoft サービスとアマゾン ウェブ サービスにすぐ使えるサービス間サポートが提供されます。

詳細については、次の記事をご覧ください。

• Microsoft Azure Sentinel を Azure、Windows、Microsoft、および Amazon サービスに接続する
• Microsoft Azure Sentinel データ コネクタを見つける

データ コネクタのサポート

Microsoft と他の組織の両方が Microsoft Azure Sentinel データ コネクタを作成しています。 各データ コネクタには、Microsoft Sentinel のデータ コネクタ ページに表示される次のいずれかのサポートの種類があります。

サポートの種類	説明
Microsoft によるサポート	適用対象: Microsoft がデータ プロバイダーであり、作成者であるデータ ソースのデータ コネクタ。 Microsoft 以外のデータ ソース用の Microsoft が作成した一部のデータ コネクタ。 Microsoft では、Microsoft Azure サポート プランに従って、このカテゴリのデータ コネクタをサポートし、管理しています。 パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティによって作成されたデータ コネクタをサポートしています。
パートナーによるサポート	Microsoft 以外の取引先によって作成されたデータ コネクタに適用されます。 パートナー企業は、これらのデータ コネクタのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、またはそのデータ コネクタの Microsoft Azure Sentinel ページに連絡先情報が提供されている任意の組織である場合があります。 パートナーがサポートするデータ コネクタに関する問題については、指定されたデータ コネクタのサポート連絡先にお問い合わせください。
コミュニティによるサポート	Microsoft Sentinel のデータ コネクタ ページにデータ コネクタのサポートとメンテナンスの連絡先が記載されていない Microsoft またはパートナー開発者によって作成されたデータ コネクタに適用されます。 これらのデータ コネクタについて質問または問題がある場合は、Microsoft Azure Sentinel GitHub コミュニティで問題を報告することができます。

詳細については、「データ コネクタのサポートを見つける」を参照してください。

次のステップ

データ コネクタの詳細については、次の記事を参照してください。

• データ コネクタを使用してデータ ソースを Microsoft Sentinel に接続する
• Microsoft Azure Sentinel データ コネクタを見つける
• Microsoft Sentinel カスタム コネクタを作成するためのリソース

Microsoft Sentinel にデータ コネクタをデプロイするためのコードとしてのインフラストラクチャ (IaC) である Bicep、Azure Resource Manager、Terraform の基本的なリファレンスについては、Microsoft Sentinel データ コネクタの IaC リファレンスを参照してください。