Microsoft Sentinel データ コネクタ
ワークスペースに Microsoft Azure Sentinel をオンボードしたら、データ コネクタを使用して Microsoft Sentinel へのデータの取り込みを開始します。 Microsoft Sentinel には、Microsoft サービス用のすぐに使用できるコネクタが多数用意されており、リアルタイムで統合されます。 たとえば、Microsoft Defender XDR コネクタは、Office 365、Microsoft Entra ID、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps からのデータを統合するサービス間コネクタです。
組み込みのコネクタを使用すると、Microsoft 以外の製品用のより広範なセキュリティ エコシステムに接続できます。 たとえば、Syslog、Common Event Format (CEF)、または REST API を使用して、お使いのデータ ソースを Microsoft Azure Sentinel に接続します。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
重要
Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
ソリューションで提供されるデータ コネクタ
Microsoft Sentinel ソリューションは、データ コネクタ、ブック、分析ルール、プレイブックなど、パッケージ化されたセキュリティ コンテンツを提供します。 データ コネクタを使用するソリューションをデプロイすると、同じデプロイ内の関連コンテンツと共にデータ コネクタが取得されます。
Microsoft Sentinel の [データ コネクタ] ページには、インストールされている、または使用中のデータ コネクタが一覧表示されます。
データ コネクタをさらに追加するには、[コンテンツ ハブ] から、そのデータ コネクタに関連付けられているソリューションをインストールします。 詳細については、次の記事を参照してください。
- Microsoft Azure Sentinel データ コネクタを見つける
- Microsoft Sentinel コンテンツとソリューションについて
- Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する
- Microsoft Sentinel コンテンツ ハブ カタログ
- Microsoft Sentinel 用の Advanced Security Information Model (ASIM) ベースのドメイン ソリューション
データ コネクタの REST API 統合
多くのセキュリティ テクノロジには、ログ ファイルを取得するための一連の API が用意されています。 一部のデータ ソースでは、それらの API を使用して Microsoft Sentinel に接続できます。
次のセクションで説明するように、API を使用するデータ コネクタは、プロバイダー側から統合するか、Azure Functions を使用して統合します。
プロバイダー側での統合
プロバイダーによって構築された API 統合は、プロバイダーのデータ ソースに接続し、Azure Monitor Data Collector API を使用して、Microsoft Sentinel カスタム ログ テーブルにデータをプッシュします。 詳細については、「HTTP データ コレクター API を使用して Azure Monitor にログ データを送信する」を参照してください。
REST API 統合の詳細については、プロバイダーのドキュメントと、データ ソースを Microsoft Sentinel の REST-API に接続してデータを取り込む方法に関するページを参照してください。
Azure Functions を使用した統合
Azure Functions を使用してプロバイダー API に接続する統合では、最初にデータを書式設定してから、Azure Monitor Data Collector API を使用して Microsoft Azure Sentinel カスタム ログ テーブルに送信します。
詳細については、以下を参照してください:
- HTTP データ コレクター API を使用して Azure Monitor にログ データを送信する
- Azure Functions を使用してデータ ソースを Microsoft Sentinel に接続する
- Azure Functions のドキュメント
Azure 組織で Azure Functions をホストするため、Azure Functions を使用する統合では、追加のデータ インジェスト コストが発生する可能性があります。 Azure Functions の価格の詳細をご覧ください。
データ コネクタのエージェントベースの統合
Microsoft Azure Sentinel では、(Microsoft Sentinel の基盤となる) Azure Monitor サービスによって提供されるエージェントを使用して、リアルタイムのログ ストリーミングを実行できる任意のデータ ソースからデータを収集できます。 たとえば、ほとんどのオンプレミス データ ソースでは、エージェントベースの統合を使用して接続します。
以下のセクションでは、Microsoft Azure Sentinel エージェントベースのデータ コネクタのさまざまな種類について説明します。 エージェントベースのメカニズムを使用して接続を構成するには、各 Microsoft Sentinel データ コネクタ ページの手順に従います。
Syslog と Common Event Format (CEF)
Azure Monitor エージェント (AMA) を使用して、Linux ベースの Syslog 対応デバイスから Microsoft Sentinel にイベントをストリーミングできます。 ログの形式は異なりますが、多くのソースでは CEF ベースの書式設定がサポートされています。 デバイスの種類により、エージェントは、デバイス上に直接、または専用の Linux ベースのログ フォワーダー上にインストールされます。 AMA は、UDP を使用して Syslog デーモンからプレーンな Syslog または CEF イベント メッセージを受信します。 Syslog デーモンは、バージョンに応じて、TCP または UDS (Unix ドメイン ソケット) 経由で通信して、内部的にエージェントにイベントを転送します。 その後、AMA は、これらのイベントを Microsoft Sentinel ワークスペースに送信します。
Microsoft Sentinel が Syslog データをストリーミングする方法を示す簡単なフローを次に示します。
- デバイスの組み込み Syslog デーモンが、指定された種類のローカル イベントを収集し、イベントをローカルでエージェントに転送します。
- エージェントが、Log Analytics ワークスペースにイベントをストリーミングします。
- 構成に成功すると、Syslog メッセージは Log Analytics の Syslog テーブルに、CEF メッセージは CommonSecurityLog テーブルに表示されます。
詳細については、「Microsoft Sentinel 用の AMA コネクタを介した Syslog と Common Event Format (CEF)」を参照してください。
カスタム ログ
一部のデータ ソースでは、Log Analytics カスタム ログ収集エージェントを使用して、Windows または Linux コンピューター上でログをファイルとして収集できます。
Log Analytics カスタム ログ収集エージェントを使用して接続するには、各 Microsoft Sentinel データ コネクタ ページの手順に従います。 構成が完了すると、データはカスタム テーブルに表示されます。
詳細については、「AMA データ コネクタを介したカスタム ログ - 特定のアプリケーションから Microsoft Sentinel へのデータ インジェストを構成する」を参照してください。
データ コネクタのサービス間の統合
Microsoft Sentinel では、Azure 基盤を使用して、Microsoft サービスとアマゾン ウェブ サービスにすぐ使えるサービス間サポートが提供されます。
詳細については、次の記事をご覧ください。
- Microsoft Azure Sentinel を Azure、Windows、Microsoft、および Amazon サービスに接続する
- Microsoft Azure Sentinel データ コネクタを見つける
データ コネクタのサポート
Microsoft と他の組織の両方が Microsoft Azure Sentinel データ コネクタを作成しています。 各データ コネクタには、Microsoft Sentinel のデータ コネクタ ページに表示される次のいずれかのサポートの種類があります。
サポートの種類 | 説明 |
---|---|
Microsoft によるサポート | 適用対象:
パートナーまたはコミュニティでは、Microsoft 以外の任意のパーティによって作成されたデータ コネクタをサポートしています。 |
パートナーによるサポート | Microsoft 以外の取引先によって作成されたデータ コネクタに適用されます。 パートナー企業は、これらのデータ コネクタのサポートまたはメンテナンスを提供します。 パートナー企業は、独立系ソフトウェア ベンダー、マネージド サービス プロバイダー (MSP/MSSP)、システム インテグレーター (SI)、またはそのデータ コネクタの Microsoft Azure Sentinel ページに連絡先情報が提供されている任意の組織である場合があります。 パートナーがサポートするデータ コネクタに関する問題については、指定されたデータ コネクタのサポート連絡先にお問い合わせください。 |
コミュニティによるサポート | Microsoft Sentinel のデータ コネクタ ページにデータ コネクタのサポートとメンテナンスの連絡先が記載されていない Microsoft またはパートナー開発者によって作成されたデータ コネクタに適用されます。 これらのデータ コネクタについて質問または問題がある場合は、Microsoft Azure Sentinel GitHub コミュニティで問題を報告することができます。 |
詳細については、「データ コネクタのサポートを見つける」を参照してください。
次のステップ
データ コネクタの詳細については、次の記事を参照してください。
- データ コネクタを使用してデータ ソースを Microsoft Sentinel に接続する
- Microsoft Azure Sentinel データ コネクタを見つける
- Microsoft Sentinel カスタム コネクタを作成するためのリソース
Microsoft Sentinel にデータ コネクタをデプロイするためのコードとしてのインフラストラクチャ (IaC) である Bicep、Azure Resource Manager、Terraform の基本的なリファレンスについては、Microsoft Sentinel データ コネクタの IaC リファレンスを参照してください。