API ベースのデータ コネクタを使用して、Microsoft Sentinelを他の Microsoft サービスに接続する

この記事では、Microsoft Sentinelへの API ベースの接続を行う方法について説明します。 Microsoft Sentinelでは、Azure 基盤を使用して、多くのAzureおよび Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまなWindows Server サービスからのデータ インジェストに対して、組み込みのサービス間サポートを提供します。 これらの接続を行う方法がいくつかあります。

この記事では、API ベースのデータ コネクタのグループに共通する情報について説明します。

注:

米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。

前提条件

  • Log Analytics ワークスペースに対する読み取りと書き込みのアクセス許可が必要です。

  • Microsoft Sentinel ワークスペースのテナントに対するセキュリティ管理者ロール、または同等のアクセス許可が必要です。

  • データ コネクタ固有の要件:

    データ コネクタ ライセンス、コスト、およびその他の前提条件
    Microsoft Entra ID 保護 - Microsoft Entra ID P2 サブスクリプション
    - その他の料金が適用される場合があります
    Dynamics 365 - Microsoft Dynamics 365運用ライセンス。 サンドボックス環境では使用できません。
    - 少なくとも 1 人のユーザーが Microsoft/Office 365 E1 以上のライセンスを割り当てた。
    - Microsoft Purview で有効になっている監査ログ。 「 監査のオンとオフを切り替える」を参照してください。
    - Microsoft Dataverse 環境で有効になっている監査ログ。 「Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログ」を参照してください。
    - その他の料金が適用される場合があります。
    Microsoft Defender for Cloud Apps Cloud Discovery ログの場合は、Microsoft Defender for Cloud Appsで SIEM としてMicrosoft Sentinelを有効にします
    Microsoft Defender for Endpoint Microsoft Defender for Endpoint展開の有効なライセンス
    Microsoft Defender for Office 365 OFFICE 365 ATP プラン 2 の有効なライセンス
    Microsoft 365 - Microsoft 365 の展開は、Microsoft Sentinel ワークスペースと同じテナント上にある必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Power BI - Office 365デプロイは、Microsoft Sentinel ワークスペースと同じテナント上にある必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview Information Protection - Office 365デプロイは、Microsoft Sentinel ワークスペースと同じテナント上にある必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview インサイダー リスク管理 (IRM) - Microsoft 365 E5/A5/G5、または付随するコンプライアンスまたは IRM アドオンの有効なサブスクリプション。
    - Microsoft Purview インサイダー リスク管理完全にオンボードされ、IRM ポリシーが定義され、アラートが生成されます。
    - microsoft 365 IRM は、Microsoft Sentinel コネクタを介してアラートを受信するために、Office 365 Management Activity API への IRM アラートのエクスポートを有効にするように構成されています。

API ベースのコネクタを使用して Microsoft サービスに接続する

  1. Microsoft Sentinel ナビゲーション メニューで、[データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーからサービスを選択し、プレビュー ウィンドウで [ コネクタ ページを開く ] を選択します。

  3. [接続] を選択して、サービスからMicrosoft Sentinelへのイベントやアラートのストリーミングを開始します。

  4. コネクタ ページに [ インシデントの作成 - 推奨!] というタイトルのセクションがある場合は、アラートからインシデントを自動的に作成する場合は 、[有効] を選択します。

[データ コネクタ] リファレンス ページのサービスのコネクタのセクションに表示されるテーブル名を使用して、各サービスのデータを検索してクエリを実行できます。

関連コンテンツ

詳細については、以下を参照してください:

  • Last updated on