Azure Sentinel データ コネクタを見つける

この記事では、Azure Sentinel にデータ コネクタをデプロイする方法について説明し、サポートされているすべての組み込みデータ コネクタの一覧と共に、一般的なデプロイ手順へのリンクと特定のコネクタに必要な追加手順を示します。

このガイドを使用する方法

  1. まず、右側の見出しメニューで、製品、サービス、またはデバイスのコネクタを見つけて選択します。

    各コネクタに関して表示される 1 つ目の情報は、その データ インジェスト方法 です。 表示される方法は、次のいずれかの一般的なデプロイ手順にリンクしています。これには、データ ソースを Azure Sentinel に接続するために必要な情報のほとんどが含まれています。

    データ インジェスト方法 手順を含むリンクされた記事
    Azure サービス間の統合 Azure、Windows、Microsoft、Amazon サービスへの接続
    Syslog を介した Common Event Format (CEF) デバイスまたはアプライアンスから CEF 形式のログを Azure Sentinel に取り込む
    Azure Sentinel データ コレクター API データ ソースを Azure Sentinel のデータ コレクター API に接続してデータを取り込む
    Azure Functions と REST API Azure Functions を使用して Azure Sentinel をデータ ソースに接続する
    Syslog Syslog を使用して Linux ベースのソースからデータを収集する
    カスタム ログ Log Analytics エージェントを使用してカスタム ログ形式のデータを Azure Sentinel に収集する

    注意

    Azure サービス間の統合 データ インジェスト方法は、コネクタの種類に応じて、その記事の 3 つの異なるセクションにリンクしています。 以下の各コネクタのセクションでは、その記事内のリンク先のセクションを示しています。

  2. 特定のコネクタをデプロイする場合は、その データ インジェスト方法 にリンクされている適切な記事を選択し、以下の関連セクションの情報と追加のガイダンスを使用して、その記事の情報を補足します。

ヒント

  • 多くのデータ コネクタは、Azure Sentinel ソリューションの一部として、関連する分析ルール、ブック、プレイブックと共にデプロイすることもできます。 詳細については、「Azure Sentinel ソリューション カタログ」を参照してください。

  • その他のデータ コネクタは、Azure Sentinel コミュニティによって提供され、Azure Marketplace で見つけることができます。 コミュニティ データ コネクタに関するドキュメントは、コネクタを作成した組織によって作成されます。

  • 一覧に表示されていない、または現在サポートされていないデータ ソースがある場合は、独自のカスタム コネクタを作成することもできます。 詳細については、「Azure Sentinel カスタム コネクタを作成するためのリソース」を参照してください。

重要

注釈付きの Azure Sentinel データ コネクタは、現在 プレビュー の段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Agari のフィッシング対策とブランド保護 (プレビュー)

コネクタ属性 説明
データ インジェスト方法 Azure Functions と REST API

デプロイ前: Security Graph API を有効にする (省略可能)
デプロイ後: 関数アプリに必要なアクセス許可を割り当てる
Log Analytics テーブル agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Azure 関数アプリのコード https://aka.ms/sentinel-agari-functionapp
API 資格情報
  • クライアント ID
  • クライアント シークレット
  • (省略可能: Graph テナント ID、Graph クライアント ID、Graph クライアント シークレット)
  • ベンダーのドキュメント/
    インストール手順
  • クイック スタート
  • Agari の開発者サイト
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • アプリケーションの設定
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (リソース グループを入力)
  • functionName
  • subId (サブスクリプション ID のを入力)
  • enableSecurityGraphSharing (true/false、下記参照)
    enableSecurityGraphSharing が true に設定されている場合は必須 (下記参照)。
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (省略可能)
  • サポートしているもの Agari

    Security Graph API を有効にする (省略可能)

    重要

    この手順を実行する場合は、データ コネクタをデプロイする前に実行してください。

    Agari 関数アプリを使用すると、セキュリティ グラフ API を介して Azure Sentinel と脅威インテリジェンスを共有できます。 この機能を使用するには、Sentinel 脅威インテリジェンス プラットフォーム コネクタを有効にし、Azure Active Directory でアプリケーションを登録する必要があります。

    このプロセスでは、関数アプリをデプロイするときに使用する 3 つの情報 (Graph テナント IDGraph クライアント IDGraph クライアント シークレット) が提供されます (上の表の「アプリケーション設定」を参照してください)。

    関数アプリに必要なアクセス許可を割り当てる

    Agari コネクタでは、環境変数を使用してログ アクセスのタイムスタンプを格納します。 アプリケーションでこの変数に書き込むには、システムに割り当てられている ID にアクセス許可を割り当てる必要があります。

    1. Azure portal で [関数アプリ] に移動します。
    2. [関数アプリ] ブレードで、一覧から関数アプリを選択し、関数アプリのナビゲーション メニューの [設定][ID] を選択します。
    3. [システム割り当て済み] タブで、 [状態][オン] に設定します。
    4. [保存] を選択すると、 [Azure でのロールの割り当て] ボタンが表示されます。 それを選択します。
    5. [Azure でのロールの割り当て] 画面で、 [ロールの割り当ての追加] を選択します。 [スコープ][サブスクリプション] に設定し、 [サブスクリプション] ドロップダウンからサブスクリプションを選択し、 [ロール][App Configuration データ所有者] に設定します。
    6. [保存] を選択します。

    Darktrace による AI Analyst (AIA) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)

    AI Analyst 用に CEF ログ転送を構成する
    Log Analytics テーブル CommonSecurityLog
    サポートしているもの Darktrace

    AI Analyst 用に CEF ログ転送を構成する

    Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Azure ワークスペースに転送するように Darktrace を構成します。

    1. Darktrace Threat Visualizer 内で、メイン メニューの [管理] の下にある [システム構成] ページに移動します。
    2. 左側のメニューから [モジュール] を選択し、使用可能な [ワークフロー統合] から [Azure Sentinel] を選択します。
    3. 構成ウィンドウが開きます。 [Azure Sentinel Syslog CEF] を見つけて [新規] を選択し、構成設定を表示します (まだ表示されていない場合)。
    4. [サーバー構成] フィールドにログ フォワーダーの場所を入力し、必要に応じて通信ポートを変更します。 選択したポートが 514 に設定され、中間ファイアウォールによって許可されていることを確認します。
    5. 必要に応じて、アラートのしきい値、時間オフセット、または追加の設定を構成します。
    6. 有効にする必要があり、Syslog 構文が変更されるその他の構成オプションを確認します。
    7. [アラートの送信] を有効にして、変更を保存します。

    Al Vectra 検出 (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)

    AI Vectra 検出用に CEF ログ転送を構成する
    Log Analytics テーブル CommonSecurityLog
    サポートしているもの Vectra AI

    AI Vectra 検出用に CEF ログ転送を構成する

    Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Azure Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。

    Vectra インターフェイスから、[設定] > [通知] の順に移動して、[Edit Syslog configuration](Syslog 構成の編集) を選択します。 以下の手順に従って、接続を設定します。

    • 新しい宛先 (ログ フォワーダーのホスト名) を追加します
    • ポートを 514 として設定します
    • [プロトコル] を [UDP] に設定します
    • 形式を [CEF] に設定します
    • ログの種類を設定します (使用可能なすべてのログの種類を選択します)
    • [保存] を選びます。

    [テスト] ボタンを選択して、いくつかのテスト イベントをログ フォワーダーに強制的に送信できます。

    詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドをご覧ください。

    Akamai セキュリティ イベント (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: AkamaiSIEMEvent
    Kusto 関数 URL: https://aka.ms/sentinel-akamaisecurityevents-parser
    ベンダーのドキュメント/
    インストール手順
    SIEM 統合を構成する
    CEF コネクタを設定する
    サポートしているもの Akamai

    Alcide kAudit

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル alcide_kaudit_activity_1_CL - Alcide kAudit アクティビティ ログ
    alcide_kaudit_detections_1_CL - Alcide kAudit の検出
    alcide_kaudit_selections_count_1_CL - Alcide kAudit アクティビティ数
    alcide_kaudit_selections_details_1_CL - Alcide kAudit アクティビティの詳細
    ベンダーのドキュメント/
    インストール手順
    Alcide kAudit インストール ガイド
    サポートしているもの Alcide

    Active Directory 用の Alsid

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ

    Alsid の追加構成
    Log Analytics テーブル AlsidForADLog_CL
    カスタム ログのサンプル ファイル: https://github.com/Azure/azure-quickstart-templates/blob/master/alsid-syslog-proxy/logs/AlsidForAD.log
    Kusto 関数エイリアス: afad_parser
    Kusto 関数 URL: https://aka.ms/sentinel-alsidforad-parser
    サポートしているもの Alsid

    Alsid の追加構成

    1. Syslog サーバーを構成する

      まず、Alsid for AD のログの送信先となる Linux Syslog サーバーが必要です。 通常は、Ubuntursyslog を実行できます。

      その後、このサーバーを必要に応じて構成できますが、AFAD ログを別のファイルに出力することをお勧めします。 または、クイックスタート テンプレートを使用して、Syslog サーバーと Microsoft エージェントを自動的にデプロイすることもできます。 テンプレートを使用する場合は、エージェントのインストール手順をスキップできます。

    2. Syslog サーバーにログを送信するように Alsid を構成する

      Alsid for AD ポータルで、 [システム][構成][Syslog] の順に選択します。 そこから、Syslog サーバーに対して新しい Syslog アラートを作成できます。

      これが完了したら、ログがサーバー上の別のファイルに正しく収集されていることを確認します (これを行うために、AFAD の Syslog アラート構成で [構成のテスト] ボタンを使用できます)。 クイックスタート テンプレートを使用した場合、Syslog サーバーでは、既定で TLS を使用せずにポート 514 (UDP) および 1514 (TCP) でリッスンします。

    アマゾン ウェブ サービス - CloudTrail

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    AWS CloudTrail を Azure Sentinel に接続する
    (上位のコネクタに関する記事)
    Log Analytics テーブル AWSCloudTrail
    サポートしているもの Microsoft

    Apache HTTP Server

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル ApacheHTTPServer_CL
    Kusto 関数エイリアス: ApacheHTTPServer
    Kusto 関数 URL: https://aka.ms/sentinel-apachehttpserver-parser
    カスタム ログのサンプル ファイル: access.log または error.log

    Apache Tomcat

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル Tomcat_CL
    Kusto 関数エイリアス: TomcatEvent
    Kusto 関数 URL: https://aka.ms/sentinel-ApacheTomcat-parser
    カスタム ログのサンプル ファイル: access.log または error.log

    Aruba ClearPass (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: ArubaClearPass
    Kusto 関数 URL: https://aka.ms/sentinel-arubaclearpass-parser
    ベンダーのドキュメント/
    インストール手順
    Aruba の指示に従って ClearPass を構成します。
    サポートしているもの Microsoft

    Atlassian Confluence 監査 (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Confluence_Audit_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-confluenceauditapi-functionapp
    API 資格情報
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • ベンダーのドキュメント/
    インストール手順
  • API ドキュメント
  • 資格情報を取得するための要件と手順
  • 監査ログを表示する
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス ConfluenceAudit
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-confluenceauditapi-parser
    アプリケーションの設定
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Atlassian Jira 監査 (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Jira_Audit_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-jiraauditapi-functionapp
    API 資格情報
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • ベンダーのドキュメント/
    インストール手順
  • API ドキュメント - 監査レコード
  • 資格情報を取得するための要件と手順
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス JiraAudit
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-jiraauditapi-parser
    アプリケーションの設定
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Azure Active Directory

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Active Directory データを Azure Sentinel に接続する
    (上位のコネクタに関する記事)
    ライセンスの前提条件/
    コスト情報
  • サインイン ログについては、Azure Active Directory P1 または P2 ライセンス
  • 他のログの種類については、任意の Azure AD ライセンス (Free/O365/P1/P2)
    その他の料金が適用される場合があります
  • Log Analytics テーブル SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    サポートしているもの Microsoft

    Azure Active Directory Identity Protection

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    ライセンスの前提条件/
    コスト情報
    Azure AD Premium P2 サブスクリプション
    その他の料金が適用される場合があります
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Azure アクティビティ

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Policy によって管理される診断設定ベースの接続


    新しい Azure アクティビティ コネクタにアップグレードする
    Log Analytics テーブル AzureActivity
    サポートしているもの Microsoft

    新しい Azure アクティビティ コネクタにアップグレードする

    データ構造の変更

    このコネクタでは、最近、アクティビティ ログ イベントを収集するためのバックエンド メカニズムが変更されました。 現在は、診断設定 パイプラインが使用されています。 このコネクタでまだ従来の方式を使用している場合は、新しいバージョンへの アップグレードを強くお勧めします。これにより、機能が強化され、リソース ログとの整合性が向上します。 以下の手順を参照してください。

    診断設定 方式では、従来の方式でアクティビティ ログ サービスから送信していたものと同じデータを送信しますが、AzureActivity テーブルの 構造の変更がいくつかあります。

    診断設定パイプラインへの移行によって向上する点の中で重要なものは次のとおりです。

    • インジェストの待機時間の短縮 (イベントのインジェストに発生から 15 ~ 20 分かかっていたのが 2 ~ 3 分以内に)。
    • 信頼性が向上します。
    • パフォーマンスが向上します。
    • アクティビティ ログ サービスによってログに記録されるイベントのすべてのカテゴリをサポートします (従来のメカニズムではサブセットのみをサポートしています。たとえば、サービス正常性イベントはサポートされていません)。
    • Azure Policy を使用して大規模に管理します。

    Azure アクティビティ ログ診断設定パイプラインの詳細については、Azure Monitor のドキュメントを参照してください。

    古いパイプラインからの切断

    新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来方式から切断する必要があります。

    1. Azure Sentinel のナビゲーション メニューから、 [Data connectors](データ コネクタ) を選択します。 コネクタの一覧で [Azure Activity](Azure アクティビティ) を選択し、右下にある [Open connector page](コネクタ ページを開く) ボタンをクリックします。

    2. [Instructions](手順) タブの [構成] セクションの手順 1 で、従来方式に接続している既存のサブスクリプションの一覧を確認して、新しい方式に追加するものを特定し、下にある [Disconnect All](すべて切断) ボタンをクリックしてすべてを一度に切断します。

    3. 上の表にリンクされている指示に従って、新しいコネクタの設定を続けます。

    Azure DDoS Protection

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    診断設定ベースの接続
    ライセンスの前提条件/
    コスト情報
  • Azure の DDoS 標準保護プランが構成されている必要があります。
  • Azure DDoS Standard が有効になっている仮想ネットワークが構成されている必要があります
    その他の料金が適用される場合があります
  • Log Analytics テーブル AzureDiagnostics
    推奨される診断 DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    サポートしているもの Microsoft

    Azure Defender

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Security Center から Azure Defender アラートを接続する
    (上位のコネクタに関する記事)
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Azure Defender for IoT

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Azure Firewall

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    診断設定ベースの接続
    Log Analytics テーブル AzureDiagnostics
    推奨される診断 AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    サポートしているもの Microsoft

    Azure Information Protection

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合
    Log Analytics テーブル InformationProtectionLogs_CL
    サポートしているもの Microsoft

    詳細については、Azure Information Protection のドキュメントをご覧ください。

    Azure Key Vault

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Policy によって管理される診断設定ベースの接続
    Log Analytics テーブル KeyVaultData
    サポートしているもの Microsoft

    Azure Kubernetes Service (AKS)

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Policy によって管理される診断設定ベースの接続
    Log Analytics テーブル kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    サポートしているもの Microsoft

    Azure SQL Databases

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Azure Policy によって管理される診断設定ベースの接続
    Log Analytics テーブル SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    エラー
    DatabaseWaitStatistics
    Timeouts
    Blocks
    デッドロック
    Basic
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    サポートしているもの Microsoft

    Azure Storage アカウント

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    診断設定ベースの接続


    ストレージ アカウントの診断設定の構成に関する注意事項
    Log Analytics テーブル StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    推奨される診断 アカウント リソース
  • トランザクション
    BLOB/キュー/テーブル/ファイル リソース
  • StorageRead
  • StorageWrite
  • StorageDelete
  • トランザクション
  • サポートしているもの Microsoft

    ストレージ アカウントの診断設定の構成に関する注意事項

    ストレージ アカウント (親) リソースの内部には、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。

    ストレージ アカウントの診断を構成する場合は、次の項目を順番に選択して構成する必要があります。

    • Transaction メトリックをエクスポートする親アカウント リソース。
    • すべてのログとメトリックをエクスポートする、子ストレージの種類の各リソース (上の表を参照)。

    実際にリソースを定義したストレージの種類だけが表示されます。

    Azure Web アプリケーション ファイアウォール (WAF)

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    診断設定ベースの接続
    Log Analytics テーブル AzureDiagnostics
    推奨される診断 Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    CDN WAF ポリシー
  • WebApplicationFirewallLogs
  • サポートしているもの Microsoft

    Barracuda CloudGen Firewall

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: CGFWFirewallActivity
    Kusto 関数 URL: https://aka.ms/sentinel-barracudacloudfirewall-function
    ベンダーのドキュメント/
    インストール手順
    https://aka.ms/sentinel-barracudacloudfirewall-connector
    サポートしているもの Barracuda

    Barracuda WAF

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル syslog
    ベンダーのドキュメント/
    インストール手順
    https://aka.ms/asi-barracuda-connector
    サポートしているもの Barracuda

    BETTER Mobile Threat Defense (MTD) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    ベンダーのドキュメント/
    インストール手順
    BETTER MTD のドキュメント

    脅威ポリシーのセットアップ。Azure Sentinel に報告されるインシデントを定義します。
    1. BETTER MTD コンソール で、サイド バーの [ポリシー] を選択します。
    2. 使用しているポリシーの [編集] ボタンを選択します。
    3. ログに記録するインシデントの種類ごとに、 [統合に送信] フィールドに移動し、 [Sentinel] を選択します。
    サポートしているもの Better Mobile

    Beyond Security beSECURE

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    ベンダーのドキュメント/
    インストール手順
    [統合] メニューにアクセスします。
    1. [その他] メニュー オプションを選択します。
    2. [サーバー] を選択します
    3. [統合] を選択します
    4. Azure Sentinel を有効にする
    5. beSECURE の構成で、 [ワークスペース ID] および [主キー] の値を貼り付けます。
    6. [変更] を選択します。
    サポートしているもの Beyond Security

    BlackBerry CylancePROTECT (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: CylancePROTECT
    Kusto 関数 URL: https://aka.ms/sentinel-cylanceprotect-parser
    ベンダーのドキュメント/
    インストール手順
    Cylance Syslog ガイド
    サポートしているもの Microsoft

    Broadcom Symantec データ損失防止 (DLP) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: SymantecDLP
    Kusto 関数 URL: https://aka.ms/sentinel-symantecdlp-parser
    ベンダーのドキュメント/
    インストール手順
    Syslog サーバーへのログ アクションの構成
    サポートしているもの Microsoft

    Check Point

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Log Exporter - Check Point ログのエクスポート
    サポートしているもの Check Point

    Cisco ASA

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Cisco ASA シリーズ CLI 構成ガイド
    サポートしているもの Microsoft

    Cisco Firepower eStreamer (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)

    Cisco Firepower eStreamer の追加構成
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    eStreamer eNcore for Sentinel 操作ガイド
    サポートしているもの Cisco

    Cisco Firepower eStreamer の追加構成

    1. Firepower eNcore クライアントをインストールする
      Firepower eNcore eStreamer クライアントをインストールして構成します。 詳細については、Cisco の完全なインストール ガイドをご覧ください。

    2. Firepower Connector を GitHub からダウンロードする
      Cisco GitHub リポジトリから、Azure Sentinel 用の Firepower eNcore コネクタの最新バージョンをダウンロードします。 python3 を使用する予定の場合は、python3 eStreamer コネクタを使用します。

    3. Azure/VM IP アドレスを使用して pkcs12 ファイルを作成する
      Firepower の [システム] -> [統合] -> [eStreamer] で、VM インスタンスのパブリック IP を使用して pkcs12 証明書を作成します。 詳細については、インストール ガイドをご覧ください。

    4. Azure/VM クライアントと FMC の間の接続をテストする
      pkcs12 ファイルを FMC から Azure/VM インスタンスにコピーし、テスト ユーティリティ (./encore.sh test) を実行して、接続を確立できることを確認します。 詳細については、設定ガイドをご覧ください。

    5. エージェントにデータをストリーミングするように eNcore を構成する
      TCP 経由で Log Analytics エージェントにデータをストリーミングするように eNcore を構成します。 これは既定で有効になっています。 ただし、ネットワークのセキュリティ体制に応じて、追加のポートとストリーミング プロトコルを構成できます。 データをファイル システムに保存することもできます。 詳細については、eNcore の構成に関するページをご覧ください。

    Cisco Meraki (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: CiscoMeraki
    Kusto 関数 URL: https://aka.ms/sentinel-ciscomeraki-parser
    ベンダーのドキュメント/
    インストール手順
    Meraki デバイスのレポートに関するドキュメント
    サポートしているもの Microsoft

    Cisco Umbrella (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-CiscoUmbrellaConn-functionapp
    API 資格情報
  • AWS アクセス キー ID
  • AWS シークレット アクセス キー
  • AWS S3 バケット名
  • ベンダーのドキュメント/
    インストール手順
  • Amazon S3 へのログ記録
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス Cisco_Umbrella
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-ciscoumbrella-function
    アプリケーションの設定
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Cisco Unified Computing System (UCS) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: CiscoUCS
    Kusto 関数 URL: https://aka.ms/sentinel-ciscoucs-function
    ベンダーのドキュメント/
    インストール手順
    Cisco UCS の Syslog を設定する - Cisco
    サポートしているもの Microsoft

    Citrix Analytics (セキュリティ)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル CitrixAnalytics_SAlerts_CL
    ベンダーのドキュメント/
    インストール手順
    Citrix を Azure Sentinel に接続する
    サポートしているもの Citrix Systems

    Citrix Web App Firewall (WAF) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    WAF を構成するには、サポート WIKI - WAF の構成と NetScaler に関するページを参照してください。

    CEF ログを構成するには、アプリケーション ファイアウォールでの CEF のログ記録のサポートに関するページを参照してください。

    ログをプロキシに転送するには、監査ログ用に Citrix ADC アプライアンスを構成に関するページを参照してください。
    サポートしているもの Citrix Systems

    Cognni (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル CognniIncidents_CL
    ベンダーのドキュメント/
    インストール手順
    Cognni に接続する
    1. Cognni の統合ページにアクセスします。
    2. [Azure Sentinel] ボックスで、 [接続] を選択します。
    3. WorkspaceIdsharedKey (主キー) を Cognni の統合画面のフィールドに貼り付けます。
    4. [接続] ボタンを選択して構成を完了します。
    サポートしているもの Cognni

    CyberArk Enterprise Password Vault (EPV) Events (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    セキュリティ情報イベント管理 (SIEM) アプリケーション
    サポートしているもの CyberArk

    Cyberpion セキュリティ ログ (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル CyberpionActionItems_CL
    ベンダーのドキュメント/
    インストール手順
    Cyberpion サブスクリプションを取得する
    Cyberpion のセキュリティ アラートを Azure Sentinel に統合する
    サポートしているもの Cyberpion

    ドメイン ネーム サーバー

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Log Analytics エージェントベースの接続
    Log Analytics テーブル DnsEvents
    DnsInventory
    サポートしているもの Microsoft

    Dynamics 365

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    ライセンスの前提条件/
    コスト情報
  • Microsoft Dynamics 365 の運用ライセンス。 サンドボックス環境では使用できません。
  • アクティビティのログ記録を行うには、Microsoft 365 Enterprise E3 または E5 サブスクリプションが必要です。
    その他の料金が適用される場合があります
  • Log Analytics テーブル Dynamics365Activity
    サポートしているもの Microsoft

    ESET Enterprise Inspector (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    API ユーザーを作成する
    Log Analytics テーブル ESETEnterpriseInspector_CL
    API 資格情報
  • EEI ユーザー名
  • EEI パスワード
  • ベース URL
  • ベンダーのドキュメント/
    インストール手順
  • ESET Enterprise Inspector REST API ドキュメント
  • コネクタのデプロイ手順 Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
    サポートしているもの ESET

    API ユーザーを作成する

    1. 管理者アカウントを使用して ESET Security Management Center/ESET PROTECT コンソールにログインし、 [その他] タブと [ユーザー] サブタブを選択します。
    2. [新規追加] ボタンを選択して、ネイティブ ユーザー を追加します。
    3. API アカウントの新しいユーザーを作成します。 省略可能: [すべて] 以外の ホーム グループ を選択して、取り込む検出を制限します。
    4. [アクセス許可セット] タブで、Enterprise Inspector レビュー担当者 のアクセス許可セットを割り当てます。
    5. 管理者アカウントからログアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからログアウトします。

    ESET Security Management Center (SMC) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog

    収集する ESET SMC ログを構成する
    ESET SMC データを API 形式で渡すように OMS エージェントを構成する
    oms.api.eset タグをキャッチし、構造化されたデータを解析するように OMS エージェントの構成を変更する
    自動構成を無効にして、エージェントを再起動する
    Log Analytics テーブル eset_CL
    ベンダーのドキュメント/
    インストール手順
    ESET Syslog サーバーのドキュメント
    サポートしているもの ESET

    収集する ESET SMC ログを構成する

    ESET SMC の IP アドレスからのログを受け入れるように rsyslog を構成します。

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    ESET SMC データを API 形式で渡すように OMS エージェントを構成する

    ESET データを簡単に認識するため、データを別のテーブルにプッシュし、エージェントで解析して、Azure Sentinel クエリを簡略化および高速化します。

    /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ファイルで、match oms.** セクションの型を out_oms_api に変更して、データを API オブジェクトとして送信するようにします。

    完全な match oms.** セクションの例を次に示します。

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    oms.api.eset タグをキャッチし、構造化されたデータを解析するように OMS エージェントの構成を変更する

    /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf ファイルを変更します。

    次に例を示します。

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    自動構成を無効にして、エージェントを再起動する

    次に例を示します。

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    ログをコネクタに送信するように ESET SMC を構成する

    BSD スタイルと JSON 形式を使用して ESET ログを構成します。

    • Syslog サーバー構成に移動し、[ホスト] (お使いのコネクタ)、[形式] (BSD)、[トランスポート] (TCP) を構成します
    • [ロギング] セクションに移動し、JSON を有効にします

    詳細については、ESET のドキュメントをご覧ください。

    Exabeam Advanced Analytics (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: ExabeamEvent
    Kusto 関数 URL: https://aka.ms/sentinel-Exabeam-parser
    ベンダーのドキュメント/
    インストール手順
    Advanced Analytics システム アクティビティの通知を構成する
    サポートしているもの Microsoft

    ExtraHop Reveal(x)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    ExtraHop 検出 SIEM コネクタ
    サポートしているもの ExtraHop

    F5 BIG-IP

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    ベンダーのドキュメント/
    インストール手順
    F5 BIG-IP を Azure Sentinel と統合する
    サポートしているもの F5 Networks

    F5 Networks (ASM)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    アプリケーション セキュリティ イベント ログの構成
    サポートしているもの F5 Networks

    Forcepoint クラウド アクセス セキュリティ ブローカー (CASB) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Forcepoint CASB と Azure Sentinel
    サポートしているもの Forcepoint

    Forcepoint Cloud Security Gateway (CSG) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Forcepoint Cloud Security Gateway と Azure Sentinel
    サポートしているもの Forcepoint

    Forcepoint Data Loss Prevention (DLP) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル ForcepointDLPEvents_CL
    ベンダーのドキュメント/
    インストール手順
    Forcepoint Data Loss Prevention と Azure Sentinel
    サポートしているもの Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Forcepoint Next-Gen Firewall と Azure Sentinel
    サポートしているもの Forcepoint

    ForgeRock Common Audit (CAUD) for CEF (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    これを最初にインストールします: ForgeRock Common Audit (CAUD) for Azure Sentinel
    サポートしているもの ForgeRock

    Fortinet

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)

    Fortinet ログをログ フォワーダーに送信する
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Fortinet ドキュメント ライブラリ
    お使いのバージョンを選択し、Handbook (ハンドブック) および Log Message Reference (ログ メッセージ リファレンス) PDF を使用します。
    サポートしているもの Fortinet

    Fortinet ログをログ フォワーダーに送信する

    お使いの Fortinet アプライアンスで CLI を開き、次のコマンドを実行します。

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • サーバーの IP アドレス をログ フォワーダーの IP アドレスに置き換えます。
    • Syslog のポート514 に設定するか、フォワーダーの Syslog デーモンに設定されているポートに設定します。
    • 初期の FortiOS のバージョンで CEF 形式を有効にするため、コマンド セット csv disable を実行する必要が生じる場合があります。

    Google Workspace (G-Suite) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    Google Reports API の追加構成
    Log Analytics テーブル GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-GWorkspaceReportsAPI-functionapp
    API 資格情報
  • GooglePickleString
  • ベンダーのドキュメント/
    インストール手順
  • API ドキュメント
  • Google Workspace ドメイン全体の権限委任の実行に関するページで、資格情報を取得します
  • token.pickle ファイルを pickle 文字列に変換します
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス GWorkspaceActivityReports
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-GWorkspaceReportsAPI-parser
    アプリケーションの設定
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Google Reports API の追加構成

    Web アプリケーションの資格情報の作成時に、 [認可されたリダイレクト URI] に http://localhost:8081/ を追加します。

    1. 手順に従って credentials.json を取得します。
    2. Google pickle 文字列を取得するには、(credentials.json と同じパスで) この python スクリプトを実行します。
    3. 単一引用符で囲まれた pickle 文字列の出力をコピーして保存します。 これは、関数アプリをデプロイするために必要になります。

    Illusive 攻撃管理システム (AMS) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Illusive Networks 管理者ガイド
    サポートしているもの Illusive Networks

    Imperva WAF Gateway (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Imperva WAF Gateway アラートの Azure Sentinel へのログ記録を有効にする手順
    サポートしているもの Imperva

    Infoblox Network Identity Operating System (NIOS) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: InfobloxNIOS
    Kusto 関数 URL: https://aka.ms/sentinelgithubparsersinfoblox
    ベンダーのドキュメント/
    インストール手順
    NIOS SNMP および Syslog デプロイ ガイド
    サポートしているもの Microsoft

    Juniper SRX (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: JuniperSRX
    Kusto 関数 URL: https://aka.ms/sentinel-junipersrx-parser
    ベンダーのドキュメント/
    インストール手順
    SRX Branch デバイスのトラフィック ログ (セキュリティ ポリシー ログ) を構成する
    システム ログを構成する
    サポートしているもの Juniper Networks

    Microsoft 365 Defender

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Microsoft 365 Defender から Azure Sentinel にデータを接続する
    (上位のコネクタに関する記事)
    ライセンスの前提条件/
    コスト情報
    Microsoft 365 Defender の有効なライセンス
    Log Analytics テーブル SecurityAlert
    SecurityIncident
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    サポートしているもの Microsoft

    Microsoft Cloud App Security (MCAS)

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続


    Cloud Discovery ログのために、Microsoft Cloud App Security で Azure Sentinel を SIEM として有効にします
    Log Analytics テーブル SecurityAlert - アラート用
    McasShadowItReporting - Cloud Discovery ログ用
    サポートしているもの Microsoft

    Microsoft Defender for Endpoint

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    ライセンスの前提条件/
    コスト情報
    Microsoft Defender for Endpoint デプロイの有効なライセンス
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Microsoft Defender for Identity

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Microsoft Defender for Office 365

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    ライセンスの前提条件/
    コスト情報
    Office 365 ATP プラン 2 の有効なライセンスを持っている必要があります
    Log Analytics テーブル SecurityAlert
    サポートしているもの Microsoft

    Microsoft Office 365

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    API ベースの接続
    ライセンスの前提条件/
    コスト情報
    Office 365 のデプロイは、Azure Sentinel ワークスペースと同じテナントに存在する必要があります。
    その他の料金が適用される場合があります
    Log Analytics テーブル OfficeActivity
    サポートしているもの Microsoft

    Morphisec UTPP (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: Morphisec
    Kusto 関数 URL https://aka.ms/sentinel-Morphiescutpp-parser
    サポートしているもの Morphisec

    Netskope (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Netskope_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-netskope-functioncode
    API 資格情報
  • Netskope API トークン
  • ベンダーのドキュメント/
    インストール手順
  • Netskope クラウド セキュリティ プラットフォーム
  • Netskope API のドキュメント
  • API トークンを取得する
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス Netskope
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-netskope-parser
    アプリケーションの設定
  • apikey
  • workspaceID
  • workspaceKey
  • uri (リージョンによって異なり、次のスキーマに従います: https://<Tenant Name>.goskope.com)
  • timeInterval (5 に設定します)
  • logTypes
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    NGINX HTTP Server (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル NGINX_CL
    Kusto 関数エイリアス: NGINXHTTPServer
    Kusto 関数 URL https://aka.ms/sentinel-NGINXHTTP-parser
    ベンダーのドキュメント/
    インストール手順
    モジュール ngx_http_log_module
    カスタム ログのサンプル ファイル: access.log または error.log
    サポートしているもの Microsoft

    NXLog Basic Security Module (BSM) macOS (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル BSMmacOS_CL
    ベンダーのドキュメント/
    インストール手順
    NXLog Azure Sentinel ユーザー ガイド
    サポートしているもの NXLog

    NXLog DNS ログ (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル DNS_Logs_CL
    ベンダーのドキュメント/
    インストール手順
    NXLog Azure Sentinel ユーザー ガイド
    サポートしているもの NXLog

    NXLog LinuxAudit (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル LinuxAudit_CL
    ベンダーのドキュメント/
    インストール手順
    NXLog Azure Sentinel ユーザー ガイド
    サポートしているもの NXLog

    Okta シングル サインオン (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Okta_CL
    Azure 関数アプリのコード https://aka.ms/sentineloktaazurefunctioncodev2
    API 資格情報
  • API トークン
  • ベンダーのドキュメント/
    インストール手順
  • Okta システム ログ API のドキュメント
  • API トークンを作成する
  • Okta SSO を Azure Sentinel に接続する
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • アプリケーションの設定
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (次のスキーマに従います: https://<OktaDomain>/api/v1/logs?since=ドメインの名前空間を識別します。)
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Onapsis Platform (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto の検索およびエンリッチメント関数

    CEF ログをログ フォワーダーに送信するように Onapsis を構成する
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: incident_lookup
    Kusto 関数 URL https://aka.ms/sentinel-Onapsis-parser
    サポートしているもの Onapsis

    CEF ログをログ フォワーダーに送信するように Onapsis を構成する

    Log Analytics エージェントへのログ転送を設定するには、Onapsis 製品に組み込まれているヘルプをご覧ください。

    1. [セットアップ] > [サードパーティ統合] > [防御アラーム] に移動し、Azure Sentinel の手順に従います。
    2. Onapsis コンソールからエージェントがインストールされているログ フォワーダー マシンに到達できることを確認します。 ログは、TCP を使用してポート 514 に送信する必要があります。

    One Identity Safeguard (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    One Identity Safeguard for Privileged Sessions 管理ガイド
    サポートしているもの One Identity

    Oracle WebLogic Server (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル OracleWebLogicServer_CL
    Kusto 関数エイリアス: OracleWebLogicServerEvent
    Kusto 関数 URL: https://aka.ms/sentinel-OracleWebLogicServer-parser
    ベンダーのドキュメント/
    インストール手順
    Oracle WebLogic Server のドキュメント
    カスタム ログのサンプル ファイル: server.log
    サポートしているもの Microsoft

    Orca Security (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル OrcaAlerts_CL
    ベンダーのドキュメント/
    インストール手順
    Azure Sentinel の統合
    サポートしているもの Orca Security

    OSSEC (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: OSSECEvent
    Kusto 関数 URL: https://aka.ms/sentinel-OSSEC-parser
    ベンダーのドキュメント/
    インストール手順
    OSSEC のドキュメント
    Syslog を使用したアラートの送信
    サポートしているもの Microsoft

    Palo Alto Networks

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Common Event Format (CEF) 構成ガイド
    Syslog の監視を構成する
    サポートしているもの Palo Alto Networks

    Perimeter 81 のアクティビティ ログ (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル Perimeter81_CL
    ベンダーのドキュメント/
    インストール手順
    Perimeter 81 のドキュメント
    サポートしているもの Perimeter 81

    Proofpoint On Demand (POD) の電子メール セキュリティ (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-proofpointpod-functionapp
    API 資格情報
  • ProofpointClusterID
  • ProofpointToken
  • ベンダーのドキュメント/
    インストール手順
  • Proofpoint コミュニティにサインインする
  • Proofpoint API のドキュメントと手順
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス ProofpointPOD
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-proofpointpod-parser
    アプリケーションの設定
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Proofpoint Targeted Attack Protection (TAP) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Azure 関数アプリのコード https://aka.ms/sentinelproofpointtapazurefunctioncode
    API 資格情報
  • API ユーザー名
  • API パスワード
  • ベンダーのドキュメント/
    インストール手順
  • Proofpoint SIEM API のドキュメント
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • アプリケーションの設定
  • apiUsername
  • apiUsername
  • uri (https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300 に設定します)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Pulse Connect Secure (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: PulseConnectSecure
    Kusto 関数 URL: https://aka.ms/sentinelgithubparserspulsesecurevpn
    ベンダーのドキュメント/
    インストール手順
    Syslog の構成
    サポートしているもの Microsoft

    Qualys VM のナレッジベース (KB) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    Qualys VM KB の追加構成
    Log Analytics テーブル QualysKB_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-qualyskb-functioncode
    API 資格情報
  • API ユーザー名
  • API パスワード
  • ベンダーのドキュメント/
    インストール手順
  • Qualys VM API ユーザー ガイド
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス QualysKB
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-qualyskb-parser
    アプリケーションの設定
  • apiUsername
  • apiUsername
  • uri (リージョン別。「API サーバーの一覧」を参照してください。 次のスキーマに従います: https://<API Server>/api/2.0。)
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (URI の末尾に & で区切って追加します。 スペースは含めません。)
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Qualys VM KB の追加構成

    1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
    2. [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
    3. API アカウントのユーザー名とパスワードを作成します。
    4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUIAPI へのアクセスが許可されていることを確認します
    5. 管理者アカウントからログアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからログアウトします。
    6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
    7. すべての変更を保存します。

    Qualys Vulnerability Management (VM) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    Qualys VM の追加構成
    手動デプロイ - 関数アプリの構成後
    Log Analytics テーブル QualysHostDetection_CL
    Azure 関数アプリのコード https://aka.ms/sentinelqualysvmazurefunctioncode
    API 資格情報
  • API ユーザー名
  • API パスワード
  • ベンダーのドキュメント/
    インストール手順
  • Qualys VM API ユーザー ガイド
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • アプリケーションの設定
  • apiUsername
  • apiUsername
  • uri (リージョン別。「API サーバーの一覧」を参照してください。 次のスキーマに従います: https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=。)
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (URI の末尾に & で区切って追加します。 スペースは含めません。)
  • timeInterval (5 に設定します。 変更する場合は、それに応じて関数アプリのタイマー トリガーを変更します。)
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Qualys VM の追加構成

    1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
    2. [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
    3. API アカウントのユーザー名とパスワードを作成します。
    4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUIAPI へのアクセスが許可されていることを確認します
    5. 管理者アカウントからログアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからログアウトします。
    6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
    7. すべての変更を保存します。

    手動デプロイ - 関数アプリの構成後

    host.json ファイルを構成する

    大量の Qualys ホスト検出データが取り込まれる可能性があるため、実行時間が関数アプリの既定のタイムアウトである 5 分を超える可能性があります。 従量課金プランで、既定のタイムアウト時間を最大の 10 分に増やして、関数アプリを実行できる時間を増やします。

    1. 関数アプリで、関数アプリ名を選択し、 [App Service Editor] ブレードを選択します。
    2. [移動] を選択してエディターを開いた後、wwwroot ディレクトリの host.json ファイルを選択します。
    3. managedDependancy の前に行 "functionTimeout": "00:10:00", を追加します。
    4. [保存済み] がエディターの右上隅に表示されたことを確認してから、エディターを終了します。

    より長いタイムアウト時間が必要な場合は、App Service プランへのアップグレードを検討してください。

    Salesforce Service Cloud (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル SalesforceServiceCloud_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-SalesforceServiceCloud-functionapp
    API 資格情報
  • Salesforce API ユーザー名
  • Salesforce API パスワード
  • Salesforce セキュリティ トークン
  • Salesforce コンシューマー キー
  • Salesforce コンシューマー シークレット
  • ベンダーのドキュメント/
    インストール手順
    Salesforce REST API 開発者ガイド
    [認可の設定] で、OAuth の代わりに セッション ID の方法を使用します。
    コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス SalesforceServiceCloud
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-SalesforceServiceCloud-parser
    アプリケーションの設定
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    セキュリティ イベント (Windows)

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    セキュリティ イベントを収集するために Windows サーバーに接続する
    (上位のコネクタの記事)
    Log Analytics テーブル SecurityEvents
    サポートしているもの Microsoft

    詳細については、セキュリティで保護されていないプロトコル ブックの設定に関するページを参照してください。

    SentinelOne (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    SentinelOne の追加構成
    Log Analytics テーブル SentinelOne_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-SentinelOneAPI-functionapp
    API 資格情報
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • ベンダーのドキュメント/
    インストール手順
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • 以下の手順を参照してください
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス SentinelOne
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-SentinelOneAPI-parser
    アプリケーションの設定
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    SentinelOne の追加構成

    手順に従って資格情報を取得します。

    1. 管理者ユーザーの資格情報を使用して SentinelOne 管理コンソールにログインします。
    2. 管理コンソールで、 [設定] を選択します。
    3. [設定] ビューで、 [ユーザー] を選択します
    4. [新しいユーザー] を選択します。
    5. 新しいコンソール ユーザーの情報を入力します。
    6. [ロール] で、 [管理者] を選択します。
    7. [保存] を選択します
    8. 新しいユーザーの資格情報を、データ コネクタで使用するために保存します。

    SonicWall ファイアウォール (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    [ログ] > [Syslog]
    ファシリティとして local4、Syslog 形式として ArcSight をそれぞれ選択します。
    サポートしているもの SonicWall

    Sophos Cloud Optix (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル SophosCloudOptix_CL
    ベンダーのドキュメント/
    インストール手順
    Azure Sentinel と統合します (最初の手順はスキップします)。
    Sophos クエリのサンプル
    サポートしているもの Sophos

    Sophos XG Firewall (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: SophosXGFirewall
    Kusto 関数 URL: https://aka.ms/sentinelgithubparserssophosfirewallxg
    ベンダーのドキュメント/
    インストール手順
    Syslog サーバーを追加する
    サポートしているもの Microsoft

    Squadra Technologies secRMM

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル secRMM_CL
    ベンダーのドキュメント/
    インストール手順
    secRMM Azure Sentinel 管理者ガイド
    サポートしているもの Squadra Technologies

    Squid Proxy (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ
    Log Analytics テーブル SquidProxy_CL
    Kusto 関数エイリアス: SquidProxy
    Kusto 関数 URL https://aka.ms/sentinel-squidproxy-parser
    カスタム ログのサンプル ファイル: access.log または cache.log
    サポートしているもの Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API
    Log Analytics テーブル SymantecICDx_CL
    ベンダーのドキュメント/
    インストール手順
    Microsoft Azure Sentinel (Log Analytics) フォワーダーの構成
    サポートしているもの Broadcom Symantec

    Symantec ProxySG (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: SymantecProxySG
    Kusto 関数 URL: https://aka.ms/sentinelgithubparserssymantecproxysg
    ベンダーのドキュメント/
    インストール手順
    Syslog サーバーへのアクセス ログの送信
    サポートしているもの Microsoft

    Symantec VIP (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: SymantecVIP
    Kusto 関数 URL: https://aka.ms/sentinelgithubparserssymantecvip
    ベンダーのドキュメント/
    インストール手順
    Syslog の構成
    サポートしているもの Microsoft

    Thycotic Secret Server (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    セキュリティで保護された Syslog/CEF ログ
    サポートしているもの Thycotic

    Trend Micro Deep Security

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: TrendMicroDeepSecurity
    Kusto 関数 URL https://aka.ms/TrendMicroDeepSecurityFunction
    ベンダーのドキュメント/
    インストール手順
    Deep Security イベントを Syslog または SIEM サーバーに転送する
    サポートしているもの Trend Micro

    Trend Micro TippingPoint (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー
    Log Analytics テーブル CommonSecurityLog
    Kusto 関数エイリアス: TrendMicroTippingPoint
    Kusto 関数 URL https://aka.ms/sentinel-trendmicrotippingpoint-function
    ベンダーのドキュメント/
    インストール手順
    ArcSight CEF Format v4.2 形式で Syslog メッセージを送信します。
    サポートしているもの Trend Micro

    Trend Micro Vision One (XDR) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル TrendMicro_XDR_CL
    API 資格情報
  • API トークン
  • ベンダーのドキュメント/
    インストール手順
  • Trend Micro Vision One API
  • サード パーティ アクセス用の API キーの取得
  • コネクタのデプロイ手順 Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
    サポートしているもの Trend Micro

    VMware Carbon Black Endpoint Standard (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Azure 関数アプリのコード https://aka.ms/sentinelcarbonblackazurefunctioncode
    API 資格情報 API アクセス レベル ("監査" および "イベント" ログの場合):
  • API ID
  • API キー

    SIEM アクセス レベル ("通知" イベントの場合):
  • SIEM API ID
  • SIEM API キー
  • ベンダーのドキュメント/
    インストール手順
  • Carbon Black API のドキュメント
  • API キーの作成
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • アプリケーションの設定
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (リージョン別。オプションの一覧を参照してください。 次のスキーマに従います: https://<API URL>.conferdeploy.net。)
  • timeInterval (5 に設定します)
  • SIEMapiId ("通知" イベントを取り込む場合)
  • SIEMapiKey ("通知" イベントを取り込む場合)
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    VMware ESXi (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: VMwareESXi
    Kusto 関数 URL: https://aka.ms/sentinel-vmwareesxi-parser
    ベンダーのドキュメント/
    インストール手順
    ESXi 3.5 および 4.x での Syslog の有効化
    ESXi ホストで Syslog を構成する
    サポートしているもの Microsoft

    WatchGuard Firebox (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog
    Log Analytics テーブル syslog
    Kusto 関数エイリアス: WatchGuardFirebox
    Kusto 関数 URL: https://aka.ms/sentinel-watchguardfirebox-parser
    ベンダーのドキュメント/
    インストール手順
    Microsoft Azure Sentinel 統合ガイド
    サポートしているもの WatchGuard Technologies

    WireX Network Forensics Platform (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Syslog メッセージを CEF 形式で送信するように NFP ソリューションを構成するには、WireX サポートにお問い合わせください。
    サポートしているもの WireX Systems

    Windows ファイアウォール

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    Log Analytics エージェントベースの接続
    Log Analytics テーブル WindowsFirewall
    サポートしているもの Microsoft

    Windows セキュリティ イベント

    コネクタ属性 説明
    データ インジェスト方法 Azure サービス間の統合:
    セキュリティ イベントを収集するために Windows サーバーに接続する
    (上位のコネクタの記事)
    Log Analytics テーブル SecurityEvents
    サポートしているもの Microsoft

    Workplace from Facebook (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API

    Webhook を構成する
    Webhook 構成にコールバック URL を追加する
    Log Analytics テーブル Workplace_Facebook_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-WorkplaceFacebook-functionapp
    API 資格情報
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • ベンダーのドキュメント/
    インストール手順
  • Webhook を構成する
  • 権限の構成
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス Workplace_Facebook
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-WorkplaceFacebook-parser
    アプリケーションの設定
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Webhook を構成する

    1. 管理者ユーザーの資格情報を使用して Workplace にログインします。
    2. 管理者用パネルで、 [統合] を選択します。
    3. [すべての統合] ビューで、 [カスタム統合を作成] を選択します。
    4. 名前と説明を入力して、 [作成] を選択します。
    5. [統合の詳細] パネルで、 [アプリ シークレット] を表示してコピーします。
    6. [統合へのアクセス許可] パネルで、すべての読み取りアクセス許可を設定します。 詳細については、アクセス許可に関するページをご覧ください。

    Webhook 構成にコールバック URL を追加する

    1. 関数アプリのページを開き、 [関数] の一覧に移動し、 [関数の URL の取得] を選択してコピーします。
    2. Workplace from Facebook に戻ります。 [Webhook を設定] パネルの各タブで、 [コールバック URL] を直前の手順でコピーした関数の URL として設定し、 [トークンを認証] を自動デプロイ中に受信した、または手動デプロイ中に入力した同じ値として設定します。
    3. [保存] を選択します。

    Zimperium Mobile Thread Defense (プレビュー)

    Zimperium Mobile Threat Defense データ コネクタでは、Zimperium の脅威ログを Azure Sentinel に接続して、ダッシュボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 このコネクタにより、組織のモバイル脅威のランドスケープに関するより詳細な分析情報が提供され、セキュリティ運用機能が向上します。 詳細については、を参照してください。

    Azure Sentinel への接続の詳細については、Azure Sentinel への Zimperium の接続に関するページを参照してください。

    コネクタ属性 説明
    データ インジェスト方法 Azure Sentinel データ コレクター API

    Zimperium MTD を構成して接続する
    Log Analytics テーブル ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    ベンダーのドキュメント/
    インストール手順
    Zimperium カスタマー サポート ポータル (ログインが必要)
    サポートしているもの Zimperium

    Zimperium MTD を構成して接続する

    1. zConsole のナビゲーション バーで、 [管理] を選択します。
    2. [統合] タブを選択します。
    3. [脅威レポート] ボタン、 [統合を追加] ボタンの順に選択します。
    4. 統合を作成します。
      1. 使用可能な統合から、 [Microsoft Azure Sentinel] を選択します。
      2. [ワークスペース ID] と [主キー] を入力して、 [次へ] を選択します。
      3. Azure Sentinel 統合の名前を入力します。
      4. Azure Sentinel にプッシュする脅威データの [フィルター レベル] を選択します。
      5. [完了] を選択します。

    Zoom Reports (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Azure Functions と REST API
    Log Analytics テーブル Zoom_CL
    Azure 関数アプリのコード https://aka.ms/sentinel-ZoomAPI-functionapp
    API 資格情報
  • ZoomApiKey
  • ZoomApiSecret
  • ベンダーのドキュメント/
    インストール手順
  • JWT With Zoom を使用して資格情報を取得する
  • コネクタのデプロイ手順
  • Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ
  • 手動による展開
  • Kusto 関数エイリアス Zoom
    Kusto 関数の URL/
    パーサーの構成手順
    https://aka.ms/sentinel-ZoomAPI-parser
    アプリケーションの設定
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (省略可能)
  • サポートしているもの Microsoft

    Zscaler

    コネクタ属性 説明
    データ インジェスト方法 Syslog を介した Common Event Format (CEF)
    Log Analytics テーブル CommonSecurityLog
    ベンダーのドキュメント/
    インストール手順
    Zscaler と Microsoft Azure Sentinel のデプロイ ガイド
    サポートしているもの Zscaler

    Zscaler Private Access (ZPA) (プレビュー)

    コネクタ属性 説明
    データ インジェスト方法 Log Analytics エージェント - カスタム ログ

    Zscaler Private Access の追加構成
    Log Analytics テーブル ZPA_CL
    Kusto 関数エイリアス: ZPAEvent
    Kusto 関数 URL https://aka.ms/sentinel-zscalerprivateaccess-parser
    ベンダーのドキュメント/
    インストール手順
    Zscaler Private Access のドキュメント
    以下も参照してください
    サポートしているもの Microsoft

    Zscaler Private Access の追加構成

    次の構成手順に従って、Zscaler Private Access のログを Azure Sentinel に取り込みます。 以下に示す手順の詳細については、Azure Monitor のドキュメントをご覧ください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください。

    1. ログ レシーバーを構成します。 ログ レシーバーの構成中に、 [ログ テンプレート] として [JSON] を選択します。

    2. 構成ファイル (zpa.conf) をダウンロードします。

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Azure Log Analytics エージェントをインストールしたサーバーにサインインします。

    4. zpa.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。

    5. 次のように zpa.conf を編集します。

      1. Zscaler ログ レシーバーのログの転送先として設定したポートを指定します (4 行目)
      2. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)
    6. 次のコマンドを使用して、Linux 用 Log Analytics エージェント サービスを再起動します。

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    ワークスペース ID の値は、Zscaler Private Access コネクタのページまたは Log Analytics ワークスペースのエージェント管理ページで確認できます。

    次のステップ

    詳細については、次を参照してください。