データ ソースを Microsoft Sentinel データ コレクター API に接続してデータを取り込む
サードパーティ ベンダーによって構築された API 統合では、その製品のデータ ソースからデータをプルし、Microsoft Sentinel の Azure Monitor Data Collector API に接続して、Microsoft Sentinel ワークスペース内のカスタム ログ テーブルにデータをプッシュします。
ほとんどの場合、Microsoft Sentinel に接続するようにこれらのデータ ソースを構成するために必要な情報はすべて、各ベンダーのドキュメントで見つけることができます。
データ コネクタの参考情報に関するページで目的の製品のセクションを確認し、そこに記載された情報と、ベンダーによる説明へのリンクを利用してください。
データは、Microsoft Sentinel を実行しているワークスペースの地理的な場所に格納されます。
注意
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
前提条件
Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
ワークスペースの共有キーに対する読み取りアクセス許可が必要です。 ワークスペース キーの詳細については、こちらを参照してください。
Microsoft Sentinel の Content Hub から製品ソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
データ ソースを設定、接続する
Microsoft Sentinel ポータルで、ナビゲーション メニューにある [データ コネクタ] を選択します。
データ コネクタのギャラリーで製品の項目を選択し [Open connector page](コネクタのページを開く) をクリックします。
コネクタのページに表示される手順に従うか、そこに表示されるリンクからベンダーによる説明に移動します。
ワークスペース ID と主キーを求められたら、データ コネクタのページでそれらをコピーし、ベンダーの説明に従って構成に貼り付けます。 次の例を見てください。
データの検索
接続に成功したら、 [CustomLogs] セクションの [Logs](ログ) にデータが表示されます。 データ コネクタに関するリファレンスでテーブル名を参照して、製品のページを見つけます。
データを取得するクエリを製品から実行するには、それらのテーブル名をクエリで指定します。
Log Analytics でログの表示が開始されるまで、最大 20 分かかる場合があります。
次のステップ
このドキュメントでは、外部データ ソースを Microsoft Sentinel データ コレクター API に接続する方法を学習しました。
Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。
- ブックを使用してデータを監視する。