Microsoft Sentinel データ コネクタ

ワークスペースに Microsoft Azure Sentinel をオンボードしたら、データ コネクタを使用して Microsoft Sentinel へのデータの取り込みを開始します。 Microsoft Sentinel には、Microsoft サービス用のすぐに使用できるコネクタが多数用意されており、リアルタイムで統合されます。 たとえば、Microsoft Defender XDR コネクタは 、Office 365、Microsoft Entra ID、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps のデータを統合するサービス間コネクタ です。

組み込みのコネクタを使用すると、Microsoft 以外の製品用のより広範なセキュリティ エコシステムに接続できます。 たとえば、SyslogCommon Event Format (CEF)、または REST API を使用して、お使いのデータ ソースを Microsoft Azure Sentinel に接続します。

Microsoft Sentinel データ コネクタの種類の詳細、または Microsoft Sentinel のソリューション カタログをご覧ください。

Microsoft Sentinel の [データ コネクタ] ページには、ワークスペース内のコネクタとその状態の全一覧が表示されます。 間もなく、このページには使用中のデータ コネクタの一覧のみが表示されるようになります。 この今後の変更の詳細については、「すぐに使えるコンテンツの一元化の変更」を参照してください

Screenshot of the data connectors gallery.

データ コネクタをさらに追加するには、[コンテンツ ハブ] から、そのデータ コネクタに関連付けられているソリューションをインストールします。 詳細については、次の記事を参照してください。

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

データ コネクタを更新する

[データ コネクタ] ページで、接続するアクティブなコネクタまたはカスタム コネクタを選び、[コネクタ ページを開く] を選びます。 目的のデータ コネクタが表示されない場合は、[コンテンツ ハブ] から、それに関連付けられているソリューションをインストールします。

  • [手順] タブに一覧表示されているすべての前提条件を満たすと、コネクタ ページに Microsoft Sentinel にデータを取り込む方法が表示されます。 データが到着し始めるまでには、時間がかかる場合があります。

  • 接続した後、データの概要 ( [受信したデータ] グラフ) とデータの種類の接続状態が表示されます。

    Screenshot showing how to configure data connectors.

特定のデータ コネクタについては、データ コネクタのリファレンスを参照してください。

データ コネクタの REST API 統合

多くのセキュリティ テクノロジでは、ログ ファイルを取得するための一連の API が提供されています。一部のデータ ソースでは、これらの API を使用して Microsoft Azure Sentinel に接続します。

次のセクションで説明するように、API を使用するデータ コネクタは、プロバイダー側から統合するか、Azure Functions を使用して統合します。

データ コネクタの詳細については、データ コネクタのリファレンスを参照してください。

プロバイダー側での REST API 統合

プロバイダーによって構築された API 統合は、プロバイダーのデータ ソースに接続し、Azure Monitor Data Collector API を使用して、Microsoft Azure Sentinel カスタム ログ テーブルにデータをプッシュします。

REST API 統合の詳細については、プロバイダーのドキュメントと、データ ソースを Microsoft Sentinel の REST-API に接続してデータを取り込む方法に関するページを参照してください。

Azure Functions を使用した REST API 統合

Azure Functions を使用してプロバイダー API に接続する統合では、最初にデータを書式設定してから、Azure Monitor Data Collector API を使用して Microsoft Azure Sentinel カスタム ログ テーブルに送信します。 Azure Functions を使用してデータ ソースを Microsoft Sentinel に接続する方法をご覧ください。

重要

Azure テナントで Azure Functions をホストするため、Azure Functions を使用する統合では、追加のデータ インジェスト コストが発生する可能性があります。 Azure Functions の価格の詳細をご覧ください。

データ コネクタのエージェントベースの統合

Microsoft Azure Sentinel では、Syslog プロトコルを使用して、リアルタイムのログ ストリーミングを実行できる任意のデータ ソースにエージェントを接続できます。 たとえば、ほとんどのオンプレミス データ ソースでは、エージェントベースの統合を使用して接続します。

以下のセクションでは、Microsoft Azure Sentinel エージェントベースのデータ コネクタのさまざまな種類について説明します。 エージェントベースのメカニズムを使用して接続を構成するには、各 Microsoft Azure Sentinel データ コネクタ ページの手順に従います。

CEF または Syslog を介して Microsoft Sentinel に接続するファイアウォール、プロキシ、エンドポイントについては、データ コネクタのリファレンスを参照してください。

syslog

Azure Monitor エージェント (AMA) を使用して、Linux ベースの Syslog 対応デバイスから Microsoft Sentinel にイベントをストリーミングできます。 デバイスの種類により、エージェントは、デバイス上に直接、または専用の Linux ベースのログ フォワーダー上にインストールされます。 AMA は、UDP を使用して Syslog デーモンからイベントを受信します。 Syslog デーモンは、UDS (Unix ドメイン ソケット) 経由で通信して、内部的にエージェントにイベントを転送します。 その後、AMA は、これらのイベントを Microsoft Sentinel ワークスペースに送信します。

Microsoft Sentinel が Syslog データをストリーミングする方法を示す簡単なフローを次に示します。

  1. デバイスの組み込み Syslog デーモンが、指定された種類のローカル イベントを収集し、イベントをローカルでエージェントに転送します。
  2. エージェントが、Log Analytics ワークスペースにイベントをストリーミングします。
  3. 構成が完了すると、Log Analytics Syslog テーブルにデータが表示されます。

Common Event Format (CEF)

ログの形式は異なりますが、多くのソースでは CEF ベースの書式設定がサポートされています。 Microsoft Azure Sentinel エージェントは実際には Log Analytics エージェントであり、CEF 形式のログを、Log Analytics で取り込める形式に変換します。

CEF でデータを出力するデータ ソースの場合は、Syslog エージェントを設定してから、CEF データ フローを構成します。 構成が成功すると、CommonSecurityLog テーブルにデータが表示されます。

CEF ベースのアプライアンスを Microsoft Sentinel に接続する方法をご覧ください。

カスタム ログ

一部のデータ ソースでは、Log Analytics カスタム ログ収集エージェントを使用して、Windows または Linux コンピューター上でログをファイルとして収集できます。

Log Analytics カスタム ログ収集エージェントを使用して接続するには、各 Microsoft Azure Sentinel データ コネクタ ページの手順に従います。 構成が完了すると、データはカスタム テーブルに表示されます。

Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Sentinel に収集する方法をご覧ください。

データ コネクタのサービス間の統合

Microsoft Azure Sentinel では、Azure 基盤を使用して、Microsoft サービスとアマゾン ウェブ サービスにすぐ使えるサービス間サポートが提供されます。

Azure、Windows、Microsoft、Amazon のサービスに接続する方法をご覧ください。データ コネクタの種類については、データ コネクタのリファレンスを参照してください。

ソリューションの一部としてデータ コネクタをデプロイする

Microsoft Azure Sentinel ソリューションは、データ コネクタ、ブック、分析ルール、プレイブックなど、セキュリティ コンテンツのパッケージを提供します。 データ コネクタを使用するソリューションをデプロイすると、同じデプロイ内の関連コンテンツと共にデータ コネクタが取得されます。

Microsoft Sentinel のすぐに使えるコンテンツとソリューションを一元的に検出してデプロイする方法、および Microsoft Azure Sentinel ソリューション カタログをご覧ください。

データ コネクタのサポート

Microsoft と他の組織の両方が Microsoft Azure Sentinel データ コネクタを作成しています。 各データ コネクタには、次のいずれかの種類のサポートがあります。

サポートの種類 説明
Microsoft によるサポート 適用対象:
  • Microsoft がデータ プロバイダーであり、作成者であるデータ ソースのデータ コネクタ。
  • Microsoft 以外のデータ ソース用の Microsoft が作成した一部のデータ コネクタ。
Microsoft では、Microsoft Azure サポート プランに従って、このカテゴリのデータ コネクタをサポートし、管理しています。

パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティによって作成されたデータ コネクタをサポートしています。
パートナーによるサポート Microsoft 以外の取引先によって作成されたデータ コネクタに適用されます。

パートナー企業は、これらのデータ コネクタのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、またはそのデータ コネクタの Microsoft Azure Sentinel ページに連絡先情報が提供されている任意の組織である場合があります。

パートナーがサポートするデータ コネクタに関する問題については、指定されたデータ コネクタのサポート連絡先にお問い合わせください。
コミュニティによるサポート Microsoft Azure Sentinel の指定されたデータ コネクタ ページにデータ コネクタのサポートとメンテナンスの連絡先が記載されていない Microsoft またはパートナー開発者によって作成されたデータ コネクタに適用されます。

これらのデータ コネクタについて質問または問題がある場合は、Microsoft Azure Sentinel GitHub コミュニティ問題を報告することができます。

データ コネクタのサポート連絡先を見つける

  1. Microsoft Sentinel の [データ コネクタ] ページで、関連するコネクタを選択します。
  2. コネクタのサポートとメンテナンスにアクセスするには、コネクタのサイド パネルの [次によりサポート] フィールドにあるサポート連絡先リンクを使用します。

Screenshot showing the Supported by field for a data connector in Microsoft Sentinel.

次のステップ