この記事では、サポートされているすべてのすぐに使用できるデータ コネクタと、各コネクタのデプロイ手順へのリンクを示します。
重要
- Microsoft Sentinel データ コネクタは現在プレビュー段階であることに注意してください。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
- 2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
データ コネクタは、次のオファリングの一部として利用できます。
ソリューション: 多くのデータ コネクタは、分析ルール、ブック、プレイブックなどの関連コンテンツと共に、Microsoft Sentinel ソリューションの一部としてデプロイされます。 詳細については、Microsoft Sentinel ソリューション カタログを参照してください。
コミュニティ コネクタ: Microsoft Sentinel コミュニティによって提供されるその他のデータ コネクタは、Azure Marketplace にあります。 コミュニティ データ コネクタのドキュメントは、コネクタを作成したorganizationの責任です。
カスタム コネクタ: データ ソースが一覧表示されていないか、現在サポートされていない場合は、独自のカスタム コネクタを作成することもできます。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinel参照してください。
注:
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。
データ コネクタの前提条件
各データ コネクタには、独自の前提条件のセットがあります。 前提条件には、Azure ワークスペース、サブスクリプション、またはポリシーに対する特定のアクセス許可が必要な場合があります。 または、接続先のパートナー データ ソースの他の要件を満たす必要があります。
各データ コネクタの前提条件は、Microsoft Sentinelの関連データ コネクタ ページに一覧表示されます。
Azure Monitor エージェント (AMA) ベースのデータ コネクタには、エージェントがインストールされているシステムからのインターネット接続が必要です。 ポート 443 送信を有効にして、エージェントがインストールされているシステムとMicrosoft Sentinel間の接続を許可します。
Syslog および Common Event Format (CEF) コネクタ
多くのセキュリティ アプライアンスとデバイスからのログ収集は、AMA 経由のデータ コネクタ Syslog または AMA 経由の Common Event Format (CEF) によってMicrosoft Sentinelでサポートされます。 Microsoft Sentinelのために Log Analytics ワークスペースにデータを転送するには、「syslog メッセージと CEF メッセージを取り込んで、Azure Monitor エージェントとMicrosoft Sentinelする」の手順を実行します。 これらの手順には、Microsoft Sentinelの Content ハブからセキュリティ アプライアンスまたはデバイス用のMicrosoft Sentinel ソリューションをインストールする方法が含まれます。 次に、インストールしたMicrosoft Sentinel ソリューションに適した AMA または AMA データ コネクタ経由で Common Event Format (CEF) を使用してSyslog を構成します。 セキュリティ デバイスまたはアプライアンスを構成して、セットアップを完了します。 セキュリティ デバイスまたはアプライアンスを構成する手順については、次のいずれかの記事を参照してください。
- AMA データ コネクタ経由の CEF - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する
- AMA データ コネクタ経由の Syslog - Microsoft Sentinel データ インジェスト用に特定のアプライアンスまたはデバイスを構成する
詳細については、ソリューション プロバイダーに問い合わせるか、アプライアンスまたはデバイスで情報を利用できない場所に問い合わせてください。
AMA コネクタを使用したカスタム ログ
Microsoft Sentinelの AMA コネクタ経由のカスタム ログを使用して、Windows または Linux マシンにインストールされているネットワークまたはセキュリティ アプリケーションから、テキスト ファイル形式でログをフィルター処理して取り込みます。 詳細については、次の記事を参照してください。
- Azure Monitor エージェントを使用してテキスト ファイルからログを収集し、Microsoft Sentinelに取り込みます
- AMA データ コネクタを使用したカスタム ログ - 特定のアプリケーションからMicrosoft Sentinelするようにデータ インジェストを構成する
Sentinel データ コネクタ
注:
次の表は、Microsoft Sentinel コンテンツ ハブで使用できるデータ コネクタの一覧です。 コネクタは、製品ベンダーによってサポートされています。 サポートについては、 サポート対象 のリンクを参照してください。
ヒント
Microsoft Sentinelに取り込まれたテーブルと、それらを取り込むコネクタの一覧については、「Microsoft Sentinel テーブルと関連するコネクタ」を参照してください。
1Password (サーバーレス)
サポート対象:1Password
1Password CCF コネクタを使用すると、ユーザーは 1Password Audit、Signin & ItemUsage イベントをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OnePasswordEventLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
1Password API トークン: 1Password API トークンが必要です。 API トークンを作成する方法については、 1Password のドキュメントを参照してください 。
1Password (Azure Functionsを使用)
サポート対象:1Password
Microsoft Sentinel用の 1Password ソリューションを使用すると、1Password Events Reporting API を使用して、1Password Business アカウントからサインイン試行、アイテムの使用状況、監査イベントを取り込みます。 これにより、organizationが使用する他のアプリケーションやサービスと共に、Microsoft Sentinelの 1Password のイベントを監視および調査できます。
使用される基になる Microsoft Technologies:
このソリューションは次のテクノロジによって異なります。その一部は プレビュー 状態であるか、追加のインジェストまたは運用コストが発生する可能性があります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OnePasswordEventLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- 1Password Events API Token: 1Password Events API Token が必要です。 詳細については、 1Password API に関するページを参照してください。
メモ: 1Password Business アカウントが必要です
A365 監視
サポート元:Microsoft Corporation
A365 Observability データ コネクタは、A365、AI Foundry、Copilot の AI エージェント テレメトリを Microsoft Sentinel データ レイクに取り込み、ハンティング、グラフ、MCP ワークフローを使用してエージェントの動作、ツールの使用状況、実行を調査することで、AI エージェントのアクティビティに関する豊富な分析情報を提供します。 このコネクタからのデータは、Microsoft Sentinelでの AI エージェントの動作、ツールの使用状況、実行を調査するために使用されます。 これらのワークフローを有効にした場合、このコネクタを非アクティブにすると、これらの調査が実行されなくなります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
AbnormalSecurity (Azure 関数を使用)
サポート対象:異常なセキュリティ
異常なセキュリティ データ コネクタは、異常なセキュリティ Rest API を使用して脅威とケース ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
不要 | 不要 |
ABNORMAL_CASES_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
異常なSecurity API トークン: 異常なSecurity API トークンが必要です。 詳細については、「異常なSecurity API」を参照してください。
メモ: 異常なセキュリティ アカウントが必要です
AIShield
サポート対象:AIShield
AIShield コネクタを使用すると、ユーザーはMicrosoft Sentinelを使用して AIShield カスタム防御メカニズム ログに接続できるため、動的なダッシュボード、ブック、ノートブック、およびカスタマイズされたアラートを作成して、AI システムに対する調査と阻止攻撃を改善できます。 ユーザーは、organizationの AI 資産のセキュリティのポスチャリングに関するより多くの洞察を得て、AI システムのセキュリティ運用機能を向上させます。AIShield.GuArdIan は、LLM によって生成されたコンテンツを分析して、有害なコンテンツを特定して軽減し、法的、ポリシー、ロールベース、および使用ベースの違反から保護します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AIShield_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
注: ユーザーは AIShield SaaS オファリングを利用して脆弱性分析を実施し、AI 資産と共に生成されたカスタム防御メカニズムをデプロイする必要があります。 詳細を確認したり、連絡を取ったりするには、ここをクリックしてください。
Alibaba Cloud ActionTrail (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Alibaba Cloud ActionTrail データ コネクタは、Alibaba Cloud Simple Log Service に格納されている actiontrail イベントを取得し、SLS REST API を介してMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AliCloudActionTrailLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
SLS REST API の資格情報/アクセス許可: API 呼び出しを行う場合は 、AliCloudAccessKeyId と AliCloudAccessKeySecret が必要です。 RAM ユーザーにこの操作を呼び出すアクセス許可を付与するには、リソース
acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}に対して少なくともlog:GetLogStoreLogsのアクションを持つ RAM ポリシー ステートメントが必要です。
Alibaba Cloud Networking Data Connector (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Alibaba Cloud Networking データ コネクタは、Simple Log Service (SLS) REST API を使用して、Alibaba Cloud ネットワーク データをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタは、Alibaba Cloud から VPC フロー ログ、WAF ログ、API ゲートウェイ ログを取得する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AlibabaCloudVPCFlowLogs |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Alibaba Cloud SLS API アクセス: SLS API には 、Alibaba Cloud Simple Log Service アクセスが必要です。
AliCloud (Azure Functionsを使用)
サポート元:Microsoft Corporation
AliCloud データ コネクタは、クラウド API を使用してクラウド アプリケーションからログを取得し、REST API を介してイベントをMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AliCloud_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 AliCloudAccessKeyId と AliCloudAccessKey が必要です。
アマゾン ウェブ サービス
サポート元:Microsoft Corporation
AWS に接続して CloudTrail ログをMicrosoft Sentinelにストリーミングする手順は、インストール プロセス中に表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSCloudTrail |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Amazon Web Services CloudFront (コードレス コネクタ フレームワーク経由) (プレビュー)
サポート元:Microsoft Corporation
このデータ コネクタを使用すると、AWS CloudFront ログとMicrosoft Sentinelを統合して、高度な脅威検出、調査、セキュリティの監視をサポートできます。 ログ ストレージに Amazon S3 を使用し、メッセージ キューに Amazon SQS を使用することで、コネクタは CloudFront アクセス ログを確実にMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSCloudFront_AccessLog_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Amazon Web Services エラスティック負荷分散 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Microsoft Sentinel用 AWS Elastic Load Balancing (ELB) コネクタを使用すると、AWS Application Load Balancers (ALB)、Network Load Balancers (NLB)、Gateway Load Balancers (GLB) からのアクセス ログとフロー ログをMicrosoft Sentinelに取り込むことができます。 これらのログは、ロード バランサーと VPC トラフィック フローによって処理される要求に関する詳細情報を提供し、セキュリティ監視、脅威検出、トラフィック分析を可能にします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSALBAccessLogsData |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
AWS IAM ロール ARN と SQS キュー: クロスアカウント アクセスを持つ AWS IAM ロール ARN と、S3 イベント通知用に構成された SQS キュー URL が必要です。 セットアップ手順については、 AWS ELB コネクタのドキュメントを参照してください 。
Amazon Web Services NetworkFirewall (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このデータ コネクタを使用すると、高度な脅威検出とセキュリティ監視のために AWS Network Firewall ログをMicrosoft Sentinelに取り込むことができます。 Amazon S3 と Amazon SQS を利用することで、コネクタはネットワーク トラフィック ログ、侵入検出アラート、ファイアウォール イベントをMicrosoft Sentinelに転送し、他のセキュリティ データとのリアルタイム分析と相関関係を実現します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSNetworkFirewallFlow |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
アマゾン ウェブ サービス S3
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS サービスログをMicrosoft Sentinelに取り込むことができます。 現在サポートされているデータ型は次のとおりです。
- AWS CloudTrail
- VPC フロー ログ
- AWS GuardDuty
- AWSCloudWatch
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSGuardDuty |
はい | はい |
AWSVPCFlow |
はい | はい |
AWSCloudTrail |
はい | はい |
AWSCloudWatch |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
環境: S3、Simple Queue Service (SQS)、IAM ロールとアクセス許可ポリシー、ログを収集する AWS サービスの AWS リソースを定義して構成する必要があります。
Amazon Web Services S3 DNS Route53 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS Route 53 DNS ログをMicrosoft Sentinelに取り込み、可視性と脅威検出を強化できます。 AWS S3 バケットから直接取り込まれた DNS リゾルバー クエリ ログがサポートされていますが、パブリック DNS クエリ ログと Route 53 監査ログは、Microsoft Sentinelの AWS CloudWatch コネクタと CloudTrail コネクタを使用して取り込むことができます。 各ログの種類のセットアップをガイドする包括的な手順が用意されています。 このコネクタを利用して、DNS アクティビティを監視し、潜在的な脅威を検出し、クラウド環境のセキュリティ体制を改善します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSRoute53Resolver |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
アマゾン ウェブ サービス S3 WAF
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS WAF ログをMicrosoft Sentinelに取り込むことができます。 AWS WAF ログは、Web アクセス制御リスト (ACL) が分析するトラフィックの詳細なレコードであり、Web アプリケーションのセキュリティとパフォーマンスを維持するために不可欠です。 これらのログには、AWS WAF が要求を受信した時刻、要求の詳細、要求が一致したルールによって実行されたアクションなどの情報が含まれます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSWAF |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Anvilogic
サポート対象:Anvilogic
Anvilogic データ コネクタを使用すると、Anvilogic ADX クラスターで生成された関心のあるイベントをMicrosoft Sentinelにプルできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Anvilogic_Alerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Anvilogic アプリケーション登録クライアント ID とクライアント シークレット: Anvilogic ADX にアクセスするには、Anvilogic アプリの登録からクライアント ID とクライアント シークレットが必要です
ARGOS クラウド セキュリティ
サポート対象:ARGOS クラウド セキュリティ
Microsoft Sentinel用の ARGOS Cloud Security 統合を使用すると、すべての重要なクラウド セキュリティ イベントを 1 か所で行うことができます。 これにより、ダッシュボード、アラートを簡単に作成し、複数のシステム間でイベントを関連付けることができます。 全体的に、これにより、organizationのセキュリティ体制とセキュリティ インシデント対応が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ARGOS_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Armis アラート アクティビティ (Azure Functionsを使用)
サポート対象:Armis Corporation
Armis Alerts Activities コネクタは、Armis REST API を介して Armis アラートとアクティビティをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント「 https://<YourArmisInstance>.armis.com/api/v1/docs 」を参照してください。 コネクタは、Armis プラットフォームからアラートとアクティビティの情報を取得し、環境内の脅威を特定して優先順位を付ける機能を提供します。 Armis は、既存のインフラストラクチャを使用して、エージェントをデプロイすることなくデバイスを検出して識別します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Armis_Alerts_CL |
不要 | 不要 |
Armis_Activities_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。
https://<YourArmisInstance>.armis.com/api/v1/doc
Armis デバイス (Azure Functionsを使用)
サポート対象:Armis Corporation
Armis Device コネクタは、Armis REST API を介して Armis デバイスをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント「 https://<YourArmisInstance>.armis.com/api/v1/docs 」を参照してください。 コネクタは、Armis プラットフォームからデバイス情報を取得する機能を提供します。 Armis は、既存のインフラストラクチャを使用して、エージェントをデプロイすることなくデバイスを検出して識別します。 Armis は、既存の IT & セキュリティ管理ツールと統合して、環境内で管理または管理されていない各デバイスを識別して分類することもできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Armis_Devices_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。
https://<YourArmisInstance>.armis.com/api/v1/doc
Atlassian Beacon アラート
サポート対象: :DEFEND Ltd.
Atlassian Beacon は、Atlassian プラットフォーム (Jira、Confluence、Atlassian 管理) 全体でインテリジェントな脅威検出用に構築されたクラウド製品です。 これにより、ユーザーは Atlassian 製品スイートの危険なユーザー アクティビティを検出、調査、対応できます。 このソリューションは、ロジック アプリを介してMicrosoft Sentinelするために Atlassian Beacon から取り込まれたアラートを視覚化するために使用される、DEFEND Ltd. のカスタム データ コネクタです。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
atlassian_beacon_alerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Atlassian Confluence Audit (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Atlassian Confluence Audit データ コネクタは、Confluence Audit Records イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ConfluenceAuditLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Atlassian Confluence API アクセス: Confluence 監査ログ API にアクセスするには、 Confluence の管理 のアクセス許可が必要です。 監査 API の詳細については、 Confluence API のドキュメント を参照してください。
Atlassian Jira Audit (Azure Functionsを使用)
サポート元:Microsoft Corporation
Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Jira_Audit_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: JiraAccessToken、 JiraUsername は REST API に必要です。 詳細については、「 API」を参照してください。 すべての 要件を確認し、資格情報を取得する手順に従います 。
Atlassian Jira Audit (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Jira_Audit_v2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Atlassian Jira API アクセス: Jira 監査ログ API にアクセスするには、 Jira の管理 のアクセス許可が必要です。 監査 API の詳細については、 Jira API のドキュメント を参照してください。
Auth0 Access Management (Azure Functionsを使用)
サポート元:Microsoft Corporation
Auth0 Access Management データ コネクタは、Auth0 ログ イベントをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Auth0AM_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: API トークン が必要です。 詳細については、「API トークン」を参照してください。
Auth0 ログ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Auth0 データ コネクタを使用すると、Auth0 API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 Auth0 API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Auth0Logs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
自動ロジック WebCTRL
サポート元:Microsoft Corporation
Microsoft Sentinelに接続されている Windows マシンでホストされている WebCTRL SQL サーバーから監査ログをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、WebCTRL BAS アプリケーションによって監視または制御される産業用制御システムに関する分析情報が得ることができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
AWS EKS Data Connector (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
AWS EKS データ コネクタは、Amazon Elastic Kubernetes Service から監査ログをMicrosoft Sentinelに取り込む機能を提供します。 このコネクタでは、API サーバーの要求、認証の決定、クラスター アクティビティに関する詳細情報を含む EKS 監査ログ (JSON 形式) に焦点を当てます。 コネクタは AWS SQS を使用して、新しい監査ログ ファイルが S3 にエクスポートされたときに通知を受け取り、Kubernetes クラスターのリアルタイムのセキュリティ監視とコンプライアンス追跡を保証します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSEKSLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
AWS S3 サーバーアクセスログ (コードレスコネクタフレームワーク経由)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 サーバーアクセスログをMicrosoft Sentinelに取り込むことができます。 これらのログには、要求の種類、アクセスされたリソース、要求者情報、応答の詳細など、S3 バケットに対して行われた要求の詳細レコードが含まれます。 これらのログは、アクセス パターンの分析、問題のデバッグ、セキュリティ コンプライアンスの確保に役立ちます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSS3ServerAccess |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
環境: S3 Bucket、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシーという AWS リソースを定義して構成する必要があります。
AWS Security Hub の結果 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタを使用すると、AWS S3 バケットで収集された AWS Security Hub の結果をMicrosoft Sentinelに取り込むことができます。 AWS Security Hub の結果とMicrosoft Sentinelの高度な脅威検出と対応機能を統合することで、セキュリティ アラートの監視と管理のプロセスを効率化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AWSSecurityHubFindings |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
環境: AWS Security Hub、Amazon Data Firehose、Amazon EventBridge、S3 Bucket、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシーを定義して構成する必要があります。
Azure アクティビティ
サポート元:Microsoft Corporation
Azureアクティビティ ログは、Azure Resource Managerの運用データからのイベント、サービス正常性イベント、サブスクリプション内のリソースに対して実行された書き込み操作、Azureで実行されたアクティビティの状態など、Azureで発生するサブスクリプション レベルのイベントに関する分析情報を提供するサブスクリプション ログです。 詳細については、Microsoft Sentinelドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureActivity |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Azure Batch アカウント
サポート元:Microsoft Corporation
Azure Batch アカウントは、Batch サービス内で一意に識別されるエンティティです。 ほとんどの Batch ソリューションでは、リソース ファイルと出力ファイルを格納するために Azure Storage が使用されるため、通常、各 Batch アカウントは対応するストレージ アカウントに関連付けられます。 このコネクタを使用すると、Azure Batch アカウント診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure CloudNGFW by Palo Alto Networks
サポート対象:Palo Alto Networks
Azure ネイティブ ISV サービスである Palo Alto Networks によるクラウド次世代ファイアウォールは、Azureでクラウド ネイティブ サービスとして提供される Palo Alto Networks 次世代ファイアウォール (NGFW) です。 Azure Marketplace でクラウド NGFW を検出し、Azure Virtual Networks (VNet) で使用できます。 Cloud NGFW を使用すると、アプリ ID、URL フィルタリング ベースのテクノロジなどのコア NGFW 機能にアクセスできます。 クラウドで提供されるセキュリティ サービスと脅威防止署名を通じて、脅威の防止と検出を提供します。 コネクタを使用すると、クラウド NGFW ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。 詳細については、Azureのドキュメントについては、Cloud NGFW に関するページを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
fluentbit_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Azure Cognitive Search
サポート元:Microsoft Corporation
Azure Cognitive Searchは、Web、モバイル、エンタープライズ アプリケーションのプライベートな異種コンテンツに対して豊富な検索エクスペリエンスを構築するためのインフラストラクチャ、API、ツールを開発者に提供するクラウド検索サービスです。 このコネクタを使用すると、Azure Cognitive Search 診断 ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
DDoS Protection のAzure
サポート元:Microsoft Corporation
パブリック IP アドレス診断ログを使用して、Azure DDoS Protection Standard ログに接続します。 プラットフォームの主要な DDoS 保護に加えて、Azure DDoS Protection Standardは、ネットワーク攻撃に対する高度な DDoS 軽減機能を提供します。 特定のAzure リソースを保護するように自動的に調整されます。 保護は、新しい仮想ネットワークの作成時に簡単に有効になります。 また、作成後に行うこともでき、アプリケーションやリソースの変更は必要ありません。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
DevOps 監査ログのAzure (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Azure DevOps 監査ログ データ コネクタを使用すると、Azure DevOps から監査イベントをMicrosoft Sentinelに取り込むことができます。 このデータ コネクタは、Microsoft Sentinel Codeless Connector Framework を使用して構築されているため、シームレスな統合が保証されます。 DevOps 監査ログ API Azureを利用して詳細な監査イベントをフェッチし、DCR ベースのインジェスト時間変換をサポートします。 これらの変換を使用すると、インジェスト中に受信した監査データをカスタム テーブルに解析できるため、追加の解析が不要なため、クエリのパフォーマンスが向上します。 このコネクタを使用すると、Azure DevOps 環境の可視性を強化し、セキュリティ運用を効率化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ADOAuditLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
DevOps の前提条件をAzureする: 次のことを確認してください。
1. Microsoft Entra 管理 センターの [アプリの登録] でEntra アプリを登録します。
2. [API のアクセス許可] - [Azure DevOps - vso.auditlog] にアクセス許可を追加します。
3. [証明書 & シークレット] で 、'クライアント シークレット' を生成します。
4. [認証] で、対応するフィールドに以下のリダイレクト URI を追加します。
5. [Azure DevOps 設定] で、監査ログを有効にし、ユーザーの監査ログの表示を設定します。 DevOps 監査をAzureします。
6. データ コネクタに接続するために割り当てられたユーザーに、[監査ログの表示] アクセス許可が常に [許可] に明示的に設定されていることを確認します。 このアクセス許可は、ログ インジェストを成功させるために不可欠です。 アクセス許可が取り消された場合、または許可されていない場合、データ インジェストは失敗するか、中断されます。
Azure イベント ハブ
サポート元:Microsoft Corporation
Azure Event Hubsは、ビッグ データ ストリーミング プラットフォームとイベント インジェスト サービスです。 1 秒あたり何百万ものイベントを受信して処理できます。 このコネクタを使用すると、Azure Event Hub 診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure Firewall
サポート元:Microsoft Corporation
Azure Firewallに接続します。 Azure Firewallは、Azure Virtual Network リソースを保護する、管理されたクラウドベースのネットワーク セキュリティ サービスです。 これは、組み込みの高可用性と無制限のクラウド スケーラビリティを備えたサービスとしての完全なステートフル ファイアウォールです。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
AZFWApplicationRule |
はい | はい |
AZFWFlowTrace |
はい | はい |
AZFWFatFlow |
はい | はい |
AZFWNatRule |
はい | はい |
AZFWDnsQuery |
はい | はい |
AZFWIdpsSignature |
はい | はい |
AZFWInternalFqdnResolutionFailure |
はい | はい |
AZFWNetworkRule |
はい | はい |
AZFWThreatIntel |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Azure Key Vault
サポート元:Microsoft Corporation
Azure Key Vaultは、シークレットを安全に格納してアクセスするためのクラウド サービスです。 シークレットは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要があるあらゆるものです。 このコネクタを使用すると、Azure Key Vault 診断 ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Azure Kubernetes Service (AKS)
サポート元:Microsoft Corporation
Azure Kubernetes Service (AKS) は、クラスター環境で Docker コンテナーとコンテナー ベースのアプリケーションをデプロイ、スケーリング、管理できる、オープンソースのフル マネージド コンテナー オーケストレーション サービスです。 このコネクタを使用すると、Azure Kubernetes Service (AKS) 診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Azure Logic Apps
サポート元:Microsoft Corporation
Azure Logic Apps は、アプリ、データ、サービス、システムを統合する自動化されたワークフローを作成して実行するためのクラウドベースのプラットフォームです。 このコネクタを使用すると、Azure Logic Apps 診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure Resource Graph
サポート元:Microsoft Corporation
Azure Resource Graph コネクタは、Azure サブスクリプションとAzure リソースに関する詳細を補足することで、Azure イベントに関する豊富な分析情報を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: Azure サブスクリプションに対する所有者ロールのアクセス許可
Azure Service Bus
サポート元:Microsoft Corporation
Azure Service Busは、メッセージ キューと発行/サブスクライブ トピック (名前空間内) を持つフル マネージドのエンタープライズ メッセージ ブローカーです。 このコネクタを使用すると、Azure Service Bus 診断 ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure SQL データベース
サポート元:Microsoft Corporation
Azure SQLは、ユーザーの関与を必要とせずに、アップグレード、修正プログラムの適用、バックアップ、監視などのほとんどのデータベース管理機能を処理する、フル マネージドのサービスとしてのプラットフォーム (PaaS) データベース エンジンです。 このコネクタを使用すると、Azure SQL データベースの監査ログと診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
ストレージ アカウントのAzure
サポート元:Microsoft Corporation
Azureストレージ アカウントは、最新のデータ ストレージ シナリオ向けのクラウド ソリューションです。 これには、BLOB、ファイル、キュー、テーブル、ディスクなど、すべてのデータ オブジェクトが含まれています。 このコネクタを使用すると、Azureストレージ アカウント診断ログをMicrosoft Sentinel ワークスペースにストリーミングできます。これにより、すべてのインスタンスのアクティビティを継続的に監視し、organization内の悪意のあるアクティビティを検出できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureMetrics |
不要 | 不要 |
StorageBlobLogs |
はい | はい |
StorageQueueLogs |
はい | はい |
StorageTableLogs |
はい | はい |
StorageFileLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure Stream Analytics
サポート元:Microsoft Corporation
Azure Stream Analytics は、複数のソースからの大量の高速ストリーミング データを同時に分析して処理するように設計された、リアルタイム分析と複雑なイベント処理を行うエンジンです。 このコネクタを使用すると、Azure Stream Analytics ハブ診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
Azure Web Application Firewall (WAF)
サポート元:Microsoft Corporation
Application Gateway、Front Door、または CDN のAzure Web Application Firewall (WAF) に接続します。 この WAF は、SQL インジェクションやクロスサイト スクリプティングなどの一般的な Web 脆弱性からアプリケーションを保護し、誤検知を減らすためのルールをカスタマイズできます。 インストール プロセス中に、Microsoft Web アプリケーションファイアウォールのログをMicrosoft Sentinelにストリーミングする手順が表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
BETTER Mobile Threat Defense (MTD)
サポート対象:Better Mobile Security Inc.
BETTER MTD コネクタを使用すると、企業は Better MTD インスタンスをMicrosoft Sentinelに接続し、ダッシュボードでデータを表示したり、カスタム アラートを作成したり、プレイブックをトリガーしたり、脅威ハンティング機能を拡張したりできます。 これにより、ユーザーはorganizationのモバイル デバイスに関するより多くの分析情報を得られ、現在のモバイル セキュリティ体制をすばやく分析でき、SecOps の全体的な機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BetterMTDIncidentLog_CL |
不要 | 不要 |
BetterMTDDeviceLog_CL |
不要 | 不要 |
BetterMTDNetflowLog_CL |
不要 | 不要 |
BetterMTDAppLog_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
BeyondTrust PM Cloud
サポート対象:BeyondTrust
BeyondTrust Privilege Management Cloud データ コネクタは、BeyondTrust PM Cloud からアクティビティ監査ログとクライアント イベント ログをMicrosoft Sentinelに取り込む機能を提供します。
このコネクタでは、Azure Functionsを使用して BeyondTrust PM Cloud API からデータをプルし、カスタム Log Analytics テーブルに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
はい | はい |
BeyondTrustPM_ClientEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
BeyondTrust PM Cloud API 資格情報: BeyondTrust PM Cloud OAuth クライアント ID とクライアント シークレットが必要です。 API アカウントには、監査 - 読み取り専用とレポート - 読み取り専用のアクセス許可が必要です。
BigID DSPM コネクタ
サポート対象:BigID
BigID DSPM データ コネクタは、影響を受けるオブジェクトとデータソース情報を含む BigID DSPM ケースをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BigIDDSPMCatalog_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
BigID DSPM API アクセス: BigID トークンを使用して BigID DSPM API にアクセスする必要があります。
Bitglass (Azure Functionsを使用)
サポート元:Microsoft Corporation
Bitglass データ コネクタは、Bitglass サービスのセキュリティ イベント ログやその他のイベントを REST API を介してMicrosoft Sentinelに取得する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BitglassLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、BitglassToken と BitglassServiceURL が必要です。
Bitwarden イベント ログ
サポート対象:Bitwarden Inc
このコネクタは、ユーザーのアクティビティ (ログイン、パスワードの変更、2fa など)、暗号アクティビティ (作成、更新、削除、共有など)、収集アクティビティ、organization アクティビティなど、Bitwarden organizationのアクティビティに関する分析情報を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BitwardenEventLogs |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Bitwarden クライアント ID とクライアント シークレット: API キーは、Bitwarden organization管理コンソールにあります。 詳細については 、Bitwarden のドキュメント を参照してください。
Box (Azure Functionsを使用)
サポート元:Microsoft Corporation
Box データ コネクタは、Box REST API を使用して Box エンタープライズのイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BoxEvents_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Box API 資格情報: Box REST API JWT 認証には Box config JSON ファイルが必要です。 詳細については、「 JWT 認証」を参照してください。
Box イベント (CCF)
サポート元:Microsoft Corporation
Box データ コネクタは、Box REST API を使用して Box エンタープライズのイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
BoxEventsV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Box API 資格情報: Box API を認証するには、Box App クライアント ID とクライアント シークレットが必要です。 詳細については、「クライアント資格情報の付与」を参照してください。
-
Box Enterprise ID: 接続を行うには Box Enterprise ID が必要です。
エンタープライズ ID を見つけるには、ドキュメントを参照してください
Check Point CloudGuard CNAPP Connector for Microsoft Sentinel
CloudGuard データ コネクタを使用すると、Microsoft Sentinelの Codeless Connector Framework を使用して、CloudGuard API からMicrosoft Sentinel ™にセキュリティ イベントを取り込むことができます。 コネクタでは、受信セキュリティ イベント データをカスタム列に解析する DCR ベースの インジェスト時間変換 がサポートされています。 この事前解析プロセスにより、クエリ時間の解析が不要になり、データ クエリのパフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CloudGuard_SecurityEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
CloudGuard API キー: API キーを生成するには、 ここに 記載されている手順を参照してください。
Check Point Cyberint Alerts Connector (コードレス コネクタ フレームワーク経由)
サポート対象:Cyberint
Check Point企業である Cyberint は、重要なアラートを合理化し、無限外部リスク管理ソリューションから強化された脅威インテリジェンスをMicrosoft Sentinelに導入するためのMicrosoft Sentinel統合を提供します。 これにより、システム間の自動更新を使用してチケットの状態を追跡するプロセスが簡略化されます。 この新しい統合をMicrosoft Sentinelに使用すると、既存の Cyberint とMicrosoft Sentinelのお客様は、Cyberint の調査結果に基づいて簡単にMicrosoft Sentinelプラットフォームにログをプルできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
argsentdc_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Check Point Cyberint API キー、Argos URL、顧客名: コネクタ API キー、Argos URL、顧客名が必要です
Check Point Cyberint IOC コネクタ
サポート対象:Cyberint
これは、Check Point Cyberint IOC のデータ コネクタです。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
iocsent_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Check Point Cyberint API キーと Argos URL: コネクタ API キーと Argos URL が必要です
AMA 経由の Cisco ASA/FTD
サポート元:Microsoft Corporation
Cisco ASA ファイアウォール コネクタを使用すると、cisco ASA ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azure以外の VM からデータを収集するには、Azure Arc がインストールされ、有効になっている必要があります。
詳細情報
Cisco Cloud Security (Azure Functionsを使用)
サポート元:Microsoft Corporation
Microsoft Sentinel用の Cisco Cloud Security ソリューションを使用すると、Amazon S3 に保存されている Cisco Secure Access ログと Cisco Umbrellaログを、Amazon S3 REST API を使用してMicrosoft Sentinelに取り込むことができます。 詳細については、 Cisco Cloud Security ログ管理に関するドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cisco_Umbrella_dns_CL |
はい | はい |
Cisco_Umbrella_proxy_CL |
はい | はい |
Cisco_Umbrella_ip_CL |
はい | はい |
Cisco_Umbrella_cloudfirewall_CL |
はい | はい |
Cisco_Umbrella_firewall_CL |
はい | はい |
Cisco_Umbrella_dlp_CL |
不要 | 不要 |
Cisco_Umbrella_ravpnlogs_CL |
不要 | 不要 |
Cisco_Umbrella_audit_CL |
不要 | 不要 |
Cisco_Umbrella_ztna_CL |
不要 | 不要 |
Cisco_Umbrella_intrusion_CL |
不要 | 不要 |
Cisco_Umbrella_ztaflow_CL |
不要 | 不要 |
Cisco_Umbrella_fileevent_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセスキー ID、 AWS シークレットアクセスキー、 AWS S3 バケット名 が必要です。
Cisco Cloud Security (エラスティック プレミアム プランを使用) (Azure Functionsを使用)
サポート元:Microsoft Corporation
Cisco Umbrella データ コネクタは、Amazon S3 REST API を使用して、Amazon S3 に格納されている Cisco Umbrella イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cisco Umbrella ログ管理に関するドキュメント を参照してください。
メモ:このデータ コネクタは、Azure Functions Premium プランを使用して安全なインジェスト機能を有効にし、追加のコストが発生します。 価格の詳細 については、こちらを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cisco_Umbrella_dns_CL |
はい | はい |
Cisco_Umbrella_proxy_CL |
はい | はい |
Cisco_Umbrella_ip_CL |
はい | はい |
Cisco_Umbrella_cloudfirewall_CL |
はい | はい |
Cisco_Umbrella_firewall_CL |
はい | はい |
Cisco_Umbrella_dlp_CL |
不要 | 不要 |
Cisco_Umbrella_ravpnlogs_CL |
不要 | 不要 |
Cisco_Umbrella_audit_CL |
不要 | 不要 |
Cisco_Umbrella_ztna_CL |
不要 | 不要 |
Cisco_Umbrella_intrusion_CL |
不要 | 不要 |
Cisco_Umbrella_ztaflow_CL |
不要 | 不要 |
Cisco_Umbrella_fileevent_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセスキー ID、 AWS シークレットアクセスキー、 AWS S3 バケット名 が必要です。
-
Virtual Networkアクセス許可 (プライベート アクセスの場合): プライベート ストレージ アカウントアクセスの場合、Virtual Networkとサブネットに対するネットワーク共同作成者のアクセス許可が必要です。 サブネットは、Function App VNet 統合のために Microsoft.Web/serverFarms に委任する必要があります。
Cisco Duo Security (Azure Functionsを使用)
サポート対象:Cisco Systems
Cisco Duo セキュリティ データ コネクタは、認証ログ、管理者ログ、テレフォニー ログ、オフライン登録ログ、トラスト モニター イベントを Cisco Duo 管理 API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoDuo_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Cisco Duo API の資格情報: Cisco Duo API には許可許可を持つ Cisco Duo API 資格情報 の読み取りログの付与 が必要です。 Cisco Duo API 資格情報の作成の詳細については、 ドキュメント を参照してください。
Cisco ETD (Azure Functionsを使用)
サポート対象: :N/A
コネクタは、脅威分析のために ETD API からデータをフェッチします
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoETD_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Email Threat Defense API、API キー、クライアント ID、シークレット: API キー、クライアント ID、シークレット キーがあることを確認します。
Cisco Meraki (REST API を使用)
サポート元:Microsoft Corporation
Cisco Meraki コネクタを使用すると、Cisco Meraki organization イベント (セキュリティ イベント、構成変更、API 要求) をMicrosoft Sentinelに簡単に接続できます。 データ コネクタは 、Cisco Meraki REST API を使用してログをフェッチし、受信したデータを解析し、Log Analytics ワークスペースの ASIM テーブルとカスタム テーブルに取り込む DCR ベースの インジェスト時間変換 をサポートします。 このデータ コネクタは、DCR ベースのインジェスト時間フィルター処理、データ正規化などの機能の恩恵を受けます。
サポートされている ASIM スキーマ:
- ネットワーク セッション
- Web セッション
- 監査イベント
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimNetworkSessionLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
Cisco Secure Endpoint (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Cisco Secure Endpoint (旧称 AMP for Endpoints) データ コネクタは、Cisco Secure Endpoint 監査ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
はい | はい |
CiscoSecureEndpointEventsV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Cisco Secure Endpoint API Credentials/Regions: API Credentials を作成し、リージョンを理解するには、ここに記載されているドキュメント リンクに従ってください。
ここをクリックしてください。
Cisco Software Defined WAN
サポート対象:Cisco Systems
Cisco ソフトウェア定義 WAN(SD-WAN) データ コネクタは、Cisco SD-WAN Syslog および Netflow データをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
はい | はい |
CiscoSDWANNetflow_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
クラロティ xDome
サポート対象:xDome カスタマー サポート
Claroty xDome は、医療および産業用ネットワーク環境に対して包括的なセキュリティおよびアラート管理機能を提供します。 複数のソースの種類をマップし、収集されたデータを識別し、Microsoft Sentinelデータ モデルに統合するように設計されています。 これにより、医療および産業環境のすべての潜在的な脅威を 1 か所で監視でき、より効果的なセキュリティ監視とセキュリティ体制の強化につながります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Cloudflare (プレビュー) (Azure Functionsを使用)
サポート対象:Cloudflare
Cloudflare データ コネクタは、Cloudflare Logpush と Azure Blob Storageを使用して Cloudflare ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloudflare のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cloudflare_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Azure Blob Storage 接続文字列とコンテナー名: cloudflare Logpush によってログがプッシュされるAzure Blob Storage 接続文字列とコンテナー名。 詳細については、「コンテナー Azure Blob Storage作成する」を参照してください。
Cloudflare (BLOB コンテナーを使用) (コードレス コネクタ フレームワーク経由)
サポート対象:Cloudflare
Cloudflare データ コネクタは、Cloudflare Logpush と Azure Blob Storageを使用して Cloudflare ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloudflare のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CloudflareV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- ストレージ アカウントとコンテナーを作成する: Cloudflare で logpush を設定する前に、まず Microsoft Azureでストレージ アカウントとコンテナーを作成します。 このガイドを使用して、コンテナーと BLOB の詳細を確認してください。 ドキュメントの手順に従って、Azure ストレージ アカウントを作成します。
- BLOB SAS URL の生成: 作成および書き込みアクセス許可が必要です。 BLOB SAS トークンと URL の詳細については、 ドキュメントを参照 してください。
-
Cloudflare から BLOB コンテナーへのログの収集: Cloudflare から BLOB コンテナーへのログの収集に関する ドキュメント の手順に従います。
Cognni
サポート対象:Cognni
Cognni コネクタは、Microsoft Sentinelとの迅速かつ簡単な統合を提供します。 Cognni を使用すると、以前に分類されていない重要な情報を自律的にマップし、関連するインシデントを検出できます。 これにより、重要な情報に対するリスクを認識し、インシデントの重大度を理解し、修復に必要な詳細を調査して、違いを生み出すために十分な速さで調査できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CognniIncidents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
一貫性 (Azure Functionsを使用)
サポート対象:Cohesity
Cohesity 関数アプリは、Cohesity Datahawk ランサムウェア アラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cohesity_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Azure Blob Storage 接続文字列とコンテナー名: Azure Blob Storage 接続文字列とコンテナー名
CommvaultSecurityIQ
サポート対象:Commvault
このAzure関数を使用すると、Commvault ユーザーはアラート/イベントをMicrosoft Sentinel インスタンスに取り込むことができます。 分析ルールを使用すると、Microsoft Sentinelは受信イベントとログからMicrosoft Sentinelインシデントを自動的に作成できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommvaultAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Commvault 環境エンドポイント URL: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください
-
Commvault QSDK トークン: 必ずドキュメントに従い、KeyVault でシークレット値を設定してください
ContrastADR
サポート対象:コントラスト セキュリティ
ContrastADR データ コネクタは、ContrastADR Webhook を使用して Contrast ADR 攻撃イベントをMicrosoft Sentinelに取り込む機能を提供します。 ContrastADR データ コネクタは、ContrastADR API エンリッチメント呼び出しを使用して、受信 Webhook データをエンリッチできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ContrastADR_CL |
不要 | 不要 |
ContrastADRIncident_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
Corelight コネクタ エクスポーター
サポート対象:Corelight
Corelight データ コネクタを使用すると、Microsoft Sentinelを使用して迅速かつ効果的に作業するインシデント レスポンダーと脅威ハンターが可能になります。 データ コネクタを使用すると、Corelight Sensors を介して Zeek と Suricata からのイベントをMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Corelight |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Cortex XDR - インシデント
サポート対象: :DEFEND Ltd.
Cortex API を使用して Cortex XDR プラットフォームからMicrosoft Sentinelにインシデントを取り込むための、DEFEND のカスタム データ コネクタ。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CortexXDR_Incidents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Cortex API 資格情報: REST API には Cortex API トークン が必要です。 詳細については、「 API」を参照してください。 すべての要件を確認し、資格情報を取得する手順に従います。
クリベル
サポート対象:クリベル
クリベルコネクタを使用すると、クリベル(クリベルEnterprise Edition - スタンドアロン)ログをMicrosoft Sentinelで簡単に接続できます。 これにより、organizationのデータ パイプラインに関するより多くのセキュリティ分析情報が得られます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CriblInternal_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
CrowdStrike API Data Connector (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
CrowdStrike データ コネクタを使用すると、CrowdStrike API からMicrosoft Sentinelにログを取り込むことができます。 このコネクタは、CrowdStrike アラート、検出、ホスト、ケース、脆弱性をMicrosoft Sentinelに取り込む機能を提供します。 このコネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築され、CrowdStrike API を使用してログをフェッチします。 クエリをより効率的に実行できるように、DCR ベースのインジェスト時間変換がサポートされています。 詳細については、 CrowdStrike API のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrikeAlerts |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
クラウドストライク OAuth2 API クライアントとスコープ: アラート、API 統合、アプリ ログ、ケース、相関ルール、検出、ホスト、資産、インシデント、検疫されたFiles、REST API には脆弱性が必要です。 詳細については、「 API」を参照してください。
CrowdStrike Falcon 敵対者インテリジェンス (Azure Functionsを使用)
サポート元:Microsoft Corporation
CrowdStrike Falcon Indicators of Compromise コネクタは、Falcon Intel API から侵害のインジケーターを取得し、それらを Threat Intel Microsoft Sentinelアップロードします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelIndicators |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
CrowdStrike API クライアント ID とクライアント シークレット: CROWDSTRIKE_CLIENT_ID、 CROWDSTRIKE_CLIENT_SECRET、 CROWDSTRIKE_BASE_URL。 CrowdStrike 資格情報には、インジケーター (ファルコン インテリジェンス) の読み取りスコープが必要です。
CrowdStrike Falcon Data Replicator (AWS S3) (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Crowdstrike Falcon Data Replicator (S3) コネクタは、FDR ログがストリーミングされた AWS S3 バケットから FDR イベント datainto Microsoft Sentinelを取り込む機能を提供します。 コネクタは、潜在的なセキュリティ リスクの調査、チームのコラボレーションの使用の分析、構成の問題の診断に役立つ、ファルコン エージェントからイベントを取得する機能を提供します。
注:
1. CrowdStrike FDR ライセンスは、有効 & 使用できる必要があります。
2. コネクタでは、AWS S3 バケットへのアクセスを許可するように AWS で IAM ロールを構成する必要があり、CrowdStrike - マネージド バケットを利用する環境には適していない可能性があります。
3. CrowdStrike で管理されるバケットを利用する環境の場合は、 CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3) コネクタを構成してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrike_Additional_Events_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (Azure Functionsを使用)
サポート元:Microsoft Corporation
このコネクタを使用すると、Azure Functionsを使用して FDR データをMicrosoft Sentinelに取り込み、潜在的なセキュリティ リスクの評価、コラボレーション アクティビティの分析、構成の問題の特定、およびその他の運用上の分析情報をサポートできます。
注:
1. CrowdStrike FDR ライセンスは、有効 & 使用できる必要があります。
2. コネクタは、Key & Secret ベースの認証を使用し、CrowdStrike マネージド バケットに適しています。
3. 完全に所有された AWS S3 バケットを使用する環境の場合、Microsoft は CrowdStrike Falcon Data Replicator (AWS S3) コネクタを使用することをお勧めします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CrowdStrikeReplicatorV2 |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
SQS と AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL が必要です。 詳細については、「 データのプル」を参照してください。 開始するには、CrowdStrike サポートにお問い合わせください。 要求に応じて、短いストレージ目的で CrowdStrike マネージド Amazon Web Services (AWS) S3 バケットと、S3 バケットへの変更を監視するための SQS (単純なキュー サービス) アカウントを作成します。
CTERA Syslog
サポート対象:CTERA
MICROSOFT SENTINEL用 CTERA データ コネクタは、CTERA ソリューションの監視と脅威検出機能を提供します。 これには、種類、削除、拒否されたアクセス操作ごとのすべての操作の合計を視覚化するブックが含まれています。 また、ランサムウェア インシデントを検出し、疑わしいランサムウェア アクティビティによってユーザーがブロックされたときにアラートを生成する分析ルールも提供します。 さらに、大量アクセス拒否イベント、一括削除、一括アクセス許可の変更などの重要なパターンを特定し、プロアクティブな脅威の管理と対応を可能にします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CTM360 CyberBlindSpot (サーバーレス)
サポート対象:サイバー脅威管理 360
CTM360 Cyber Blind Spot (CBS) コネクタは、CTM360 の CBS プラットフォームと統合して、インシデント、マルウェア ログ、侵害された資格情報、侵害されたカード、ドメインの侵害、サブドメイン侵害の 6 つのモジュールの種類にわたってセキュリティ データを取り込みます。 このコネクタでは、サーバーレス データ収集に Codeless Connector Framework (CCF) を使用します。
データ型:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CBSLog_AzureV2_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
CTM360 CBS API キー: CBS API エンドポイントに接続するには、有効な CTM360 サイバー ブラインド スポット API キーが必要です。
CTM360 HackerView (サーバーレス)
サポート対象:サイバー脅威管理 360
CTM360 HackerView コネクタを使用すると、HackerView 外部攻撃 Surface Management プラットフォームからセキュリティの問題と脆弱性をMicrosoft Sentinelに取り込みます。 このサーバーレス コネクタでは、REST API を使用して、分析用の問題データを自動的にプルし、他のセキュリティ イベントとの関連付けを行います。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
HackerViewLog_AzureV2_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
HackerView API キー: 問題データにアクセスするためのアクセス許可を持つ有効な HackerView API キーが必要です。
AMA を使用したカスタム ログ
サポート元:Microsoft Corporation
多くのアプリケーションでは、Windows イベント ログ、Syslog、CEF などの標準ログ サービスではなく、テキストまたは JSON ファイルに情報を記録します。 カスタム ログ データ コネクタを使用すると、Windows コンピューターとLinux コンピューターの両方のファイルからイベントを収集し、作成したカスタム ログ テーブルにストリーミングできます。 データのストリーミング中に、DCR を使用してコンテンツを解析および変換できます。 データを収集したら、分析ルール、ハンティング、検索、脅威インテリジェンス、エンリッチメントなどを適用できます。
注: このコネクタは、次のデバイスに使用します。 Cisco Meraki、Zscaler Private Access (ZPA)、VMware vCenter、Apache HTTP サーバー、Apache Tomcat、Jboss Enterprise アプリケーション プラットフォーム、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP サーバー、Oracle Weblogic サーバー、PostgreSQL Events、Squid Proxy、Ubiquiti UniFi、SecurityBridge Threat detection SAP、AI vectra Stream。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
JBossEvent_CL |
不要 | 不要 |
JuniperIDP_CL |
はい | はい |
ApacheHTTPServer_CL |
はい | はい |
Tomcat_CL |
はい | はい |
meraki_CL |
はい | はい |
VectraStream_CL |
不要 | 不要 |
MarkLogicAudit_CL |
不要 | 不要 |
MongoDBAudit_CL |
はい | はい |
NGINX_CL |
はい | はい |
OracleWebLogicServer_CL |
はい | はい |
PostgreSQL_CL |
はい | はい |
SquidProxy_CL |
はい | はい |
Ubiquiti_CL |
はい | はい |
vcenter_CL |
はい | はい |
ZPA_CL |
はい | はい |
SecurityBridgeLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
アクセス許可: Azure以外の VM からデータを収集するには、Azure Arc がインストールされ、有効になっている必要があります。
詳細情報
CyberArk 監査
サポート対象:CyberArk サポート
CyberArk Audit データ コネクタを使用すると、Microsoft Sentinelはセキュリティ イベント ログやその他のイベントを REST API 経由で CyberArk Audit サービスから取り込むことができます。 この統合は、潜在的なセキュリティ リスクの検出、ユーザー アクティビティの監視、コラボレーション パターンの分析、構成の問題のトラブルシューティング、環境に関するより深い分析情報の取得に役立ちます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberArk_AuditEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
CyberArk Audit Service Platform: CyberArk Audit プラットフォームで必要な構成を実行するためのアクセス
CyberArkAudit (Azure Functionsを使用)
サポート対象:CyberArk サポート
CyberArk Audit データ コネクタは、CyberArk Audit サービスのセキュリティ イベント ログやその他のイベントを REST API を介してMicrosoft Sentinelに取得する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberArk_AuditEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API 接続の詳細と資格情報の監査: OauthUsername、 OauthPassword、 WebAppID、 AuditApiKey、 IdentityEndpoint 、 AuditApiBaseUrl は、API 呼び出しを行う際に必要です。
Cybersixgill アクション可能なアラート (Azure Functionsを使用)
サポート対象:Cybersixgill
アクション可能なアラートは、構成された資産に基づいてカスタマイズされたアラートを提供します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberSixgill_Alerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 Client_IDとClient_Secret が必要です。
Cyble Vision アラート
サポート対象:Cyble サポート
Cyble Vision Alerts CCF Data Connector を使用すると、コードレス コネクタ フレームワーク コネクタを使用して、Cyble Vision からMicrosoft Sentinelへの脅威アラートのインジェストが可能になります。 API を介してアラート データを収集し、正規化し、高度な検出、相関関係、応答のためにカスタム テーブルに格納します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CybleVisionAlerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Cyble Vision API トークン: Cyble Vision プラットフォームからの API トークンが必要です。
サイボーグ セキュリティ ハンター ハント パッケージ
サポート対象:Cyborg Security
サイボーグ セキュリティは、最先端のテクノロジとコラボレーション ツールを使用して組織を支援し、サイバー脅威を事前に検出して対応する使命を持つ、高度な脅威ハンティング ソリューションのリーディング プロバイダーです。 Cyborg Security の主力製品である HUNTER プラットフォームは、強力な分析、キュレーションされた脅威ハンティング コンテンツ、包括的なハント管理機能を組み合わせて、効果的な脅威ハンティング操作のための動的エコシステムを作成します。
手順に従って Cyborg Security のコミュニティにアクセスし、HUNTER プラットフォームで "ツールで開く" 機能を設定します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Cyera DSPM Microsoft Sentinel データ コネクタ
サポート対象:Cyera Inc
Cyera DSPM データ コネクタを使用すると、Cyera のDSPM テナントに接続し、分類、資産、問題、ID リソース/定義をMicrosoft Sentinelに取り込みます。 データ コネクタは、Microsoft Sentinelの Codeless Connector Framework 上に構築されており、Cyera の API を使用して、受信した Cyera のDSPMテレメトリを、カスタム列を作成するセキュリティ イベントと関連付けることができるため、クエリでもう一度解析する必要がなくなり、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyeraClassifications_CL |
不要 | 不要 |
CyeraAssets_CL |
不要 | 不要 |
CyeraAssets_MS_CL |
不要 | 不要 |
CyeraIssues_CL |
不要 | 不要 |
CyeraIdentities_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
CYFIRMA 攻撃 Surface
サポート対象:CYFIRMA
該当なし
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
はい | はい |
CyfirmaASConfigurationAlerts_CL |
はい | はい |
CyfirmaASDomainIPReputationAlerts_CL |
はい | はい |
CyfirmaASOpenPortsAlerts_CL |
はい | はい |
CyfirmaASCloudWeaknessAlerts_CL |
はい | はい |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CYFIRMA ブランド インテリジェンス
サポート対象:CYFIRMA
該当なし
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
はい | はい |
CyfirmaBIExecutivePeopleAlerts_CL |
はい | はい |
CyfirmaBIProductSolutionAlerts_CL |
はい | はい |
CyfirmaBISocialHandlersAlerts_CL |
はい | はい |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CYFIRMA 侵害されたアカウント
サポート対象:CYFIRMA
CYFIRMA Compromised Accounts データ コネクタを使用すると、DeCYFIR/DeTCT API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、DeCYFIR/DeTCT API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CYFIRMA サイバー インテリジェンス
サポート対象:CYFIRMA
CYFIRMA サイバー インテリジェンス データ コネクタを使用すると、DeCYFIR API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、DeCYFIR Alerts API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaIndicators_CL |
はい | はい |
CyfirmaThreatActors_CL |
はい | はい |
CyfirmaCampaigns_CL |
はい | はい |
CyfirmaMalware_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CYFIRMA デジタル リスク
サポート対象:CYFIRMA
CYFIRMA Digital Risk Alerts データ コネクタを使用すると、DeCYFIR/DeTCT API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、DeCYFIR Alerts API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
はい | はい |
CyfirmaDBWMRansomwareAlerts_CL |
はい | はい |
CyfirmaDBWMDarkWebAlerts_CL |
はい | はい |
CyfirmaSPESourceCodeAlerts_CL |
はい | はい |
CyfirmaSPEConfidentialFilesAlerts_CL |
はい | はい |
CyfirmaSPEPIIAndCIIAlerts_CL |
はい | はい |
CyfirmaSPESocialThreatAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
CYFIRMA 脆弱性インテリジェンス
サポート対象:CYFIRMA
CYFIRMA 脆弱性インテリジェンス データ コネクタを使用すると、DeCYFIR API からMicrosoft Sentinelへのシームレスなログ インジェストが可能になります。 コードレス コネクタ フレームワークMicrosoft Sentinel基づいて構築され、CYFIRMA API を利用してログを取得します。 さらに、インジェスト中にセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換もサポートされています。 これにより、クエリ時間の解析が不要になり、パフォーマンスと効率が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyfirmaVulnerabilities_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Cynerio セキュリティ イベント
サポート対象:Cynerio
Cynerio コネクタを使用すると、Cynerio セキュリティ イベントをMicrosoft Sentinelに簡単に接続して IDS イベントを表示できます。 これにより、organizationネットワークセキュリティ体制に関するより多くの洞察が得られ、セキュリティ操作機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CynerioEvent_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Cyren Threat Intelligence
サポート対象:Data443 リスク軽減策 Inc.
Common Connector Framework (CCF) を使用して、Cyren から IP 評判とマルウェア URL インジケーターを取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cyren_Indicators_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Cyren JWT トークン: Azure Key Vaultに格納されているか、デプロイ時に提供される JWT トークン。
D3 Smart SOAR インシデント
サポート対象:D3 セキュリティ
D3 Smart SOAR データ コネクタは、D3 コードレス REST API コマンド エンドポイントを使用して、D3 Smart SOAR からインシデントをMicrosoft Sentinelにプルします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
D3SOARIncidents_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Microsoft Sentinel REST API 用 Darktrace コネクタ
サポート対象:Darktrace
Darktrace REST API コネクタは、Darktrace からMicrosoft Sentinelにリアルタイム イベントをプッシュし、Sentinel用の Darktrace Solution で使用するように設計されています。 コネクタは、"darktrace_model_alerts_CL" というタイトルのカスタム ログ テーブルにログを書き込みます。モデル違反、AI アナリスト インシデント、システム アラート、Email アラートを取り込むことができます。追加のフィルターは、Darktrace システム構成ページで設定できます。 データは、Darktrace マスターからSentinelにプッシュされます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
darktrace_model_alerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Darktrace の前提条件: このデータ コネクタを使用するには、v5.2 以降を実行している Darktrace マスターが必要です。 データは、Darktrace マスターから HTTP 経由で HTTP データ コレクター API をAzure Monitor に送信されるため、Darktrace マスターから MICROSOFT SENTINEL REST API への送信接続が必要です。
- Darktrace データのフィルター処理: 構成中に、Darktrace システム構成ページで追加のフィルター処理を設定して、送信されるデータの量または種類を制限することができます。
-
Darktrace Sentinel ソリューションを試す: このコネクタを最大限に活用するには、darktrace Solution for Microsoft Sentinelをインストールします。 これにより、アラート データと分析ルールを視覚化するブックが提供され、Darktrace モデル違反と AI アナリスト インシデントからアラートとインシデントが自動的に作成されます。
DataBahn
サポート対象:Databahn
DataBahn コネクタは、Codeless Connector Framework (CCF) プッシュ パターンを使用して、DataBahn 環境からリアルタイム プラットフォーム テレメトリを直接Microsoft Sentinelにプッシュする機能を提供します。 このコネクタは、分析、アラート、視覚化のために、監査ログ、運用アラート、およびデバイス インベントリをカスタム Log Analytics テーブルに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
databahn_audit_logs_CL |
不要 | 不要 |
databahn_alerts_CL |
不要 | 不要 |
databahn_device_inventory_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
Datalake2Sentinel
サポート対象:Orange Cyberdefense
このソリューションでは、Codeless Connector Framework を使用して構築された Datalake2Sentinel コネクタをインストールし、Datalake Orange Cyberdefense の CTI プラットフォームから脅威インテリジェンス インジケーターをアップロード インジケーター REST API を介してMicrosoft Sentinelに自動的に取り込みます。 ソリューションをインストールしたら、「ソリューションの管理」ビューのガイダンスに従って、このデータ コネクタを構成して有効にします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
Dataminr Pulse Alerts Data Connector (Azure Functionsを使用)
サポート対象:Dataminr サポート
Dataminr Pulse Alerts Data Connector は、AI を利用したリアルタイム インテリジェンスをMicrosoft Sentinelに取り込み、脅威の検出と対応を高速化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DataminrPulse_Alerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- 必要な Dataminr Credentials/permissions:
a. このデータ コネクタを使用するには、有効な Dataminr Pulse API クライアント ID と シークレット が必要です。
b. Dataminr Pulse Web サイトで 1 つ以上の Dataminr Pulse ウォッチリストを構成する必要があります。
Datawiza DAP
サポート対象:Datawiza Technology Inc.
DATAwiza DAP ログを REST API インターフェイスを介して Log Analytics Azureに接続します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
datawizaserveraccess_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Derdack SIGNL4
サポート対象:Derdack
重要なシステムが失敗したり、セキュリティ インシデントが発生したりすると、SIGNL4 は現場のスタッフ、エンジニア、IT 管理者、および作業者に "最後の 1 マイル" を橋渡しします。 リアルタイムのモバイル アラートが、サービス、システム、プロセスに短時間で追加されます。 SIGNL4 は、永続的なモバイル プッシュ、SMS テキスト、音声通話を通じて、確認、追跡、エスカレーションを使用して通知します。 職務とシフトのスケジュールを統合することで、適切なユーザーが適切なタイミングでアラートを受け取れるようにします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityIncident |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Digital Shadows Searchlight (Azure Functionsを使用)
サポート対象:デジタル シャドウ
Digital Shadows データ コネクタは、REST API を使用して、Digital Shadows Searchlight からMicrosoft Sentinelへのインシデントとアラートのインジェストを提供します。 コネクタは、潜在的なセキュリティ リスクと脅威の調査、診断、分析に役立つインシデントとアラート情報を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DigitalShadows_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Digital Shadows アカウント ID、シークレット、キー が必要です。
https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionの API の詳細については、ドキュメントを参照してください。
Dns
サポート元:Microsoft Corporation
DNS ログ コネクタを使用すると、DNS 分析ログと監査ログをMicrosoft Sentinelやその他の関連データと簡単に接続して、調査を改善できます。
DNS ログ収集を有効にすると、次のことができます。
- 悪意のあるドメイン名を解決しようとするクライアントを特定します。
- 古いリソース レコードを識別します。
- 頻繁にクエリを実行するドメイン名と話し合い DNS クライアントを特定します。
- DNS サーバーでの要求の負荷を表示します。
- 動的 DNS 登録エラーを表示します。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DnsEvents |
はい | はい |
DnsInventory |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Doppel Data Connector
データ コネクタは、Doppel イベントとアラートのMicrosoft Sentinelに基づいて構築されており、受信したセキュリティ イベント データをカスタム列に解析する DCR ベースのインジェスト時間変換をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DoppelTable_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entraテナント ID、クライアント ID、クライアント シークレット: Microsoft Entra IDアプリケーションを認証するには、クライアント ID とクライアント シークレットが必要です。 さらに、Entra登録されたアプリケーションをリソース グループ監視メトリックパブリッシャー ロールに割り当てるには、グローバル 管理/所有者レベルのアクセスが必要です。
-
ワークスペース ID、DCE-URI、DCR-ID が必要です:構成の Log Analytics ワークスペース ID、DCE ログ インジェスト URI、および DCR 不変 ID を取得する必要があります。
クラウド サイトストア経由の Dragos 通知
サポート対象:Dragos Inc
Dragos Platformは、他に類を見ない産業用サイバーセキュリティの専門知識によって構築された包括的な運用技術(OT)サイバー脅威検出を提供する産業用サイバーセキュリティプラットフォームです。 このソリューションを使用すると、Dragos Platform の通知データをMicrosoft Sentinelで表示できるため、セキュリティ アナリストは、産業環境で発生する可能性のあるサイバー セキュリティ イベントをトリアージできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DragosAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Dragos Sitestore API アクセス:
notification:readアクセス許可を持つサイトストア ユーザー アカウント。 このアカウントには、Sentinelに提供できる API キーも必要です。
Druva Events Connector
サポート対象:Druva Inc
Druva API から Druva イベントを取り込む機能を提供します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DruvaSecurityEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Druva API Access: Druva API では、認証にクライアント ID とクライアント シークレットが必要です
Dynamics 365 Financeと操作
サポート元:Microsoft Corporation
Finance and Operations のDynamics 365は、財務機能と運用機能を組み合わせて、企業が日常業務を管理するのに役立つ包括的なエンタープライズ リソース プランニング (ERP) ソリューションです。 企業がワークフローを合理化し、タスクを自動化し、運用パフォーマンスに関する分析情報を得られるさまざまな機能を提供します。
Dynamics 365 Finance と Operations データ コネクタは、Dynamics 365 Financeおよび Operations 管理アクティビティと監査ログ、ユーザー ビジネス プロセスとアプリケーション アクティビティのログをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FinanceOperationsActivity_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Microsoft Entraアプリの登録: アプリケーション クライアント ID と、Dynamics 365 Financeと操作へのアクセスに使用されるシークレット。
Dynamics365
サポート元:Microsoft Corporation
Dynamics 365 Common Data Service (CDS) アクティビティ コネクタは、管理者、ユーザー、サポート アクティビティ、および Microsoft Social Engagement ログ イベントに関する分析情報を提供します。 DYNAMICS 365 CRM ログをMicrosoft Sentinelに接続することで、このデータをブックに表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Dynamics365Activity |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
ダイナトレース攻撃
サポート対象:Dynatrace
このコネクタでは、Dynatrace Attacks REST API を使用して、検出された攻撃を log Analytics に取り込Microsoft Sentinel
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceAttacks_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Dynatrace テナント (例: xyz.dynatrace.com): アプリケーション セキュリティ が有効な有効な Dynatrace テナントが必要です。 Dynatrace プラットフォームの詳細については、こちらをご覧ください。
-
Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取り攻撃 (attacks.read) スコープが必要です。
Dynatrace 監査ログ
サポート対象:Dynatrace
このコネクタでは、Dynatrace 監査ログ REST API を使用して、テナント監査ログを Microsoft Sentinel Log Analytics に取り込みます
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceAuditLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Dynatrace テナント (例: xyz.dynatrace.com): Dynatrace プラットフォームの詳細を確認するには、有効な Dynatrace テナントが必要 です。無料試用版を開始します。
-
Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 監査ログの読み取り (auditLogs.read) スコープが必要です。
ダイナトレースの問題
サポート対象:Dynatrace
このコネクタでは、Dynatrace Problem REST API を使用して、問題イベントを log Analytics に取り込Microsoft Sentinel
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceProblems_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Dynatrace テナント (例: xyz.dynatrace.com): Dynatrace プラットフォームの詳細を確認するには、有効な Dynatrace テナントが必要 です。無料試用版を開始します。
-
Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取りの問題 (problems.read) スコープが必要です。
Dynatrace ランタイムの脆弱性
サポート対象:Dynatrace
このコネクタでは、Dynatrace Security Problem REST API を使用して、検出されたランタイムの脆弱性を log Analytics Microsoft Sentinel取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DynatraceSecurityProblems_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Dynatrace テナント (例: xyz.dynatrace.com): アプリケーション セキュリティ が有効な有効な Dynatrace テナントが必要です。 Dynatrace プラットフォームの詳細については、こちらをご覧ください。
-
Dynatrace アクセス トークン: Dynatrace アクセス トークンが必要です。トークンには 読み取りセキュリティの問題 (securityProblems.read) スコープが必要です。
Elastic Agent (スタンドアロン)
サポート元:Microsoft Corporation
Elastic Agent データ コネクタは、Elastic Agent のログ、メトリック、およびセキュリティ データをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ElasticAgentEvent |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
接続が必要な場合はカスタム前提条件を含める - それ以外の場合は税関を削除する: カスタム前提条件の説明
Ermes ブラウザーのセキュリティ イベント
サポート対象:Ermes Cyber Security S.p.A.
Ermes ブラウザーのセキュリティ イベント
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Ermes クライアント ID とクライアント シークレット: Ermes で API アクセスを有効にします。 詳細については 、Ermes Cyber Security サポートにお問い合わせください。
ESET Protect Platform (Azure Functionsを使用)
サポート対象:ESET Enterprise Integrations
ESET Protect Platform データ コネクタを使用すると、ユーザーは提供された Integration REST API を使用して ESET Protect Platform から検出データを挿入できます。 統合 REST API は、関数アプリAzureスケジュールされた方法で実行されます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IntegrationTable_CL |
はい | はい |
IntegrationTableIncidents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Microsoft Entra IDでアプリケーションを登録するためのアクセス許可: Microsoft Entra テナントにアプリケーションを登録するための十分なアクセス許可が必要です。
-
登録済みアプリケーションにロールを割り当てるアクセス許可: Microsoft Entra IDの登録済みアプリケーションに監視メトリックパブリッシャー ロールを割り当てるアクセス許可が必要です。
Exchange Security Insights オンプレミス コレクター
サポート対象:Community
Microsoft Sentinel分析のために Exchange オンプレミスセキュリティ構成をプッシュするために使用されるコネクタ
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ESIExchangeConfig_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Organization Management ロールを持つサービス アカウント: スケジュールされたタスクとしてスクリプトを起動するサービス アカウントは、必要なすべてのセキュリティ情報を取得できるように Organization Management である必要があります。
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Exchange Security Insights Online Collector (Azure Functionsを使用)
サポート対象:Community
Microsoft Sentinel分析Exchange Onlineセキュリティ構成をプッシュするために使用されるコネクタ
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ESIExchangeOnlineConfig_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- microsoft.automation/automationaccounts アクセス許可: Runbook でAzure Automationを作成するには、読み取りおよび書き込みアクセス許可が必要です。 詳細については、「 Automation アカウント」を参照してください。
- Microsoft.Graph のアクセス許可: Groups.Read、Users.Read、Auditing.Read アクセス許可は、Exchange Online割り当てにリンクされているユーザー/グループ情報を取得するために必要です。 詳細については、ドキュメントを参照してください。
- Exchange Onlineアクセス許可: Exchange Onlineセキュリティ構成を取得するには、Exchange.ManageAsApp アクセス許可とグローバル閲覧者ロールまたはセキュリティ閲覧者ロールが必要です。詳細については、ドキュメントを参照してください。
-
(省略可能) ログ ストレージのアクセス許可: Automation アカウントマネージド ID またはアプリケーション ID にリンクされたストレージ アカウントへのストレージ BLOB データ共同作成者は、ログを格納するために必須です。詳細については、ドキュメントを参照してください。
ExtraHop Detections Data Connector (Azure Functionsを使用)
サポート対象:ExtraHop サポート
ExtraHop Detections Data Connector を使用すると、ExtraHop RevealX から検出データをインポートして、webhook ペイロードを介してMicrosoft Sentinelできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ExtraHop_Detections_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
ExtraHop RevealX のアクセス許可: ExtraHop RevealX システムでは、次のものが必要です。1.Your RevealX システムはファームウェア バージョン 9.9.2 以降を実行している必要があります。
2.RevealX システムを ExtraHop Cloud Servicesに接続する必要があります。
3.ユーザー アカウントには、RevealX 360 のシステム管理者特権または RevealX Enterprise の完全書き込み権限が必要です。
F5 BIG-IP
サポート対象:F5 ネットワーク
F5 ファイアウォール コネクタを使用すると、F5 ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
F5Telemetry_LTM_CL |
不要 | 不要 |
F5Telemetry_system_CL |
はい | はい |
F5Telemetry_ASM_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
Feedly IoC
サポート対象:Feedly Inc
Feedly IoC データ コネクタは、Feedly API から侵害のインジケーター (IoC) をMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
feedly_indicators_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
フィード API アクセス: Feedly API へのアクセスが必要です。 取り込む IoC ストリームにアクセスできる Feedly API トークンが必要です。 で API トークンを生成する https://feedly.com/i/team/api
フレア プッシュ コネクタ
サポート対象:フレア
フレア コネクタは、脅威インテリジェンスと露出データを Flare からMicrosoft Sentinelに取り込む機能を提供します。 フレアは、資格情報の漏洩、公開されたクラウド バケット、ダークウェブのメンションなど、人為的なエラーや悪意のある攻撃によって公開された会社のデジタル資産を特定します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FireworkV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。
- Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。
-
フレア: Flare で統合Microsoft Sentinel構成するためのアクセス許可。
Forcepoint DLP
サポート対象:Community
Forcepoint DLP (データ損失防止) コネクタを使用すると、自動的に Forcepoint DLP からリアルタイムでMicrosoft Sentinelに DLP インシデント データをエクスポートできます。 これにより、ユーザー アクティビティとデータ損失インシデントの可視性が強化され、Azure ワークロードやその他のフィードからのデータとの相関関係が向上し、Microsoft Sentinel内のブックでの監視機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForcepointDLPEvents_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Forescout
サポート元:Microsoft Corporation
Forescout データ コネクタは、Forescout イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Forescout のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForescoutEvent |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Forescout Host プロパティ モニター
サポート元:Microsoft Corporation
Forescout Host Property Monitor コネクタを使用すると、Forescout プラットフォームのホスト プロパティをMicrosoft Sentinelに接続して、カスタム インシデントを表示、作成、調査を改善できます。 これにより、organization ネットワークに関するより多くの分析情報が得られ、セキュリティ操作機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ForescoutHostProperties_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Forescout プラグインの要件: Forescout Microsoft Sentinel プラグインが Forescout プラットフォームで実行されていることを確認してください
Fortinet FortiNDR Cloud
サポート対象:Fortinet
Fortinet FortiNDR Cloud データ コネクタは、FortiNDR Cloud API を使用して Fortinet FortiNDR Cloud データをMicrosoft Sentinelに取り込む機能を提供します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
FncEventsSuricata_CL |
不要 | 不要 |
FncEventsObservation_CL |
不要 | 不要 |
FncEventsDetections_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- MetaStream の資格情報: イベント データを取得するには、 AWS アクセス キー ID、 AWS シークレット アクセス キー、 FortiNDR クラウド アカウント コード が必要です。
-
API 資格情報: 検出データを取得するには、 FortiNDR Cloud API トークン、 FortiNDR Cloud Account UUID が必要です。
Garrison ULTRA リモート ログ (Azure Functionsを使用)
サポート対象:Garrison
Garrison ULTRA リモート ログ コネクタを使用すると、Garrison ULTRA リモート ログをMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Garrison ULTRA: このデータ コネクタを使用するには、アクティブな Garrison ULTRA ライセンスが必要です。
GCP クラウド実行 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
GCP Cloud Run データ コネクタは、Pub/Sub を使用して Cloud Run 要求ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 クラウド実行の概要 に関するページを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCloudRun |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
GCP Cloud SQL (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
GCP Cloud SQL データ コネクタは、GCP Cloud SQL API を使用して監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 GCP クラウド SQL 監査ログ のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCloudSQL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
GCP Pub/Sub 監査ログ
サポート元:Microsoft Corporation
Microsoft Sentinelのコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、実践者がアクセスを監視し、Google Cloud Platform (GCP) リソース全体で潜在的な脅威を検出するために使用できる証跡が記録されています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPAuditLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
GCP Pub/Sub Load Balancer ログ (コードレス コネクタ フレームワーク経由)。
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) Load Balancer ログは、ネットワーク トラフィックに関する詳細な分析情報を提供し、受信アクティビティと送信アクティビティの両方をキャプチャします。 これらのログは、アクセス パターンを監視し、GCP リソース全体の潜在的なセキュリティ上の脅威を特定するために使用されます。 さらに、これらのログには GCP Web Application Firewall (WAF) ログも含まれており、リスクを効果的に検出して軽減する機能が強化されます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPLoadBalancerLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
GCP Pub/Sub VPC フロー ログ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) VPC Flow Logs を使用すると、VPC レベルでネットワーク トラフィック アクティビティをキャプチャできます。これにより、アクセス パターンを監視し、ネットワークパフォーマンスを分析し、GCP リソース全体で潜在的な脅威を検出できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPVPCFlow |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
ギガモン AMX コネクタ
サポート対象:ギガモン
Gigamon コネクタは、Microsoft Sentinelで Gigamon から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GigamonV2_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
GitHub (Webhook を使用)
サポート元:Microsoft Corporation
GitHub webhook データ コネクタは、GitHub webhook イベントを使用して GitHub サブスクライブイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、潜在的なセキュリティ リスクの調査、チームのコラボレーションの使用の分析、構成の問題の診断などを行うのに役立つイベントをMicrosoft Sentinelに取得する機能を提供します。
メモ: Github 監査ログを取り込む場合は、"Data Connectors" ギャラリーの GitHub Enterprise 監査ログ コネクタを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
githubscanaudit_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
GitHub Enterprise 監査ログ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
GitHub 監査ログ コネクタは、GitHub ログをMicrosoft Sentinelに取り込む機能を提供します。 GitHub 監査ログをMicrosoft Sentinelに接続することで、このデータをブックで表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
メモ:GitHub のサブスクライブされたイベントをMicrosoft Sentinelに取り込む場合は、"Data Connectors" ギャラリーの GitHub (Webhooks を使用) コネクタを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GitHubAuditLogsV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
GitHub API 個人用アクセス トークン: エンタープライズ監査ログのポーリングを有効にするには、認証されたユーザーが Enterprise 管理者であり、
read:audit_logスコープを持つ GitHub 個人用アクセス トークン (クラシック) を持っていることを確認します。 -
GitHub Enterprise 型: このコネクタは GitHub Enterprise Cloud でのみ機能します。GitHub Enterprise Server はサポートされません。
Google ApigeeX (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google ApigeeX データ コネクタは、Google Apigee API を使用して監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Google Apigee API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPApigee |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform CDN (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform CDN データ コネクタは、コンピューティング エンジン API を使用して、Cloud CDN 監査ログと Cloud CDN Traffic ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 製品の概要 に関するドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPCDN |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform クラウド IDS (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform IDS データ コネクタは、Google Cloud IDS API を使用して、クラウド IDS トラフィック ログ、脅威ログ、監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloud IDS API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPIDS |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform クラウド監視 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform Cloud Monitoring データ コネクタは、Google Cloud Monitoring API を使用して、監視ログを Google Cloud からMicrosoft Sentinelに取り込みます。 詳細については、 Cloud Monitoring API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPMonitoring |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform コンピューティング エンジン (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform Compute Engine データ コネクタは、Google Cloud Compute Engine API を使用してコンピューティング エンジン監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloud Compute Engine API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPComputeEngine |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform DNS (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform DNS データ コネクタは、Google Cloud DNS API を使用してクラウド DNS クエリ ログとクラウド DNS 監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Cloud DNS API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPDNS |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform IAM (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform IAM データ コネクタは、Google Cloud 内の ID およびアクセス管理 (IAM) アクティビティに関連する監査ログを Google IAM API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 GCP IAM API のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPIAM |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform NAT (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform NAT データ コネクタは、コンピューティング エンジン API を使用して、Cloud NAT 監査ログと Cloud NAT トラフィック ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 製品の概要 に関するドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPNATAudit |
はい | はい |
GCPNAT |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Cloud Platform Resource Manager (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Cloud Platform Resource Manager データ コネクタは、Cloud Resource Manager API を使用してResource Manager 管理 アクティビティとデータ アクセス監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 製品の概要 に関するドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GCPResourceManager |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google Kubernetes エンジン (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google Kubernetes Engine (GKE) ログを使用すると、クラスター アクティビティ、ワークロードの動作、セキュリティ イベントをキャプチャできます。これにより、Kubernetes ワークロードを監視し、パフォーマンスを分析し、GKE クラスター全体で潜在的な脅威を検出できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GKEAudit |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google セキュリティ コマンド センター
サポート元:Microsoft Corporation
Google Cloud Platform (GCP) セキュリティ コマンド センターは、Sentinelのコネクタから取り込まれた、Google Cloud の包括的なセキュリティとリスク管理プラットフォームです。 資産のインベントリと検出、脆弱性と脅威の検出、リスク軽減と修復などの機能を提供し、organizationのセキュリティとデータ攻撃の表面に関する洞察を得るのに役立ちます。 この統合により、結果と資産に関連するタスクをより効果的に実行できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GoogleCloudSCC |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Google ワークスペース アクティビティ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Google ワークスペース アクティビティ データ コネクタは、Google ワークスペース API からアクティビティ イベントをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GoogleWorkspaceReports |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Google ワークスペース API アクセス: Oauth を介した Google ワークスペース アクティビティ API へのアクセスが必要です。
GrayNoise 脅威インテリジェンス
サポート対象:GrayNoise
このデータ コネクタは、1 日に 1 回 GreyNoise インジケーターをダウンロードするAzure関数アプリをインストールし、Microsoft Sentinelの ThreatIntelligenceIndicator テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
GrayNoise API キー: GreyNoise API キーを 取得します。
Halcyon コネクタ
サポート対象:Halcyon
Halcyon コネクタは、Halcyon からMicrosoft Sentinelにデータを送信する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
HalcyonAuthenticationEvents_CL |
はい | はい |
HalcyonDnsActivity_CL |
はい | はい |
HalcyonFileActivity_CL |
はい | はい |
HalcyonNetworkSession_CL |
はい | はい |
HalcyonProcessEvent_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entraアクセス許可の作成: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
ロールの割り当てアクセス許可: 監視メトリックパブリッシャー ロールをデータ収集ルール (DCR) に割り当てるために必要な書き込みアクセス許可。 通常、リソース グループ レベルで所有者またはユーザー アクセス管理者ロールが必要です。
Holm セキュリティ資産データ (Azure Functionsを使用)
サポート対象:Holm セキュリティ
コネクタは、Holm Security Center からMicrosoft Sentinelにデータをポーリングする機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
net_assets_CL |
不要 | 不要 |
web_assets_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Holm Security API トークン: Holm Security API トークンが必要です。
Holm Security API トークン
Microsoft Exchange Server の IIS ログ
サポート対象:Community
[オプション 5] - Azure モニター エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべての IIS ログをストリーミングできます。 この接続を使用すると、カスタム アラートを作成し、調査を改善できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
W3CIISLog |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Log Analytics が非推奨となるAzure、Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Illumio Insights
サポート対象: :Illumio
Illumio Insights データ コネクタを使用すると、Illumio API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 Illumio API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースのインジェスト時間変換をサポートしているため、クエリでもう一度解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IlumioInsights |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Illumio Insights の概要
サポート対象: :Illumio
Illumio Insights Summary データ コネクタは、REST API を介して Illumio のセキュリティ分析情報と脅威分析レポートをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Illumio API のドキュメント を参照してください。 コネクタは、Illumio から毎日および毎週の概要レポートを取得し、それらをMicrosoft Sentinelで視覚化する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
IllumioInsightsSummary_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Illumio API アクセス: Illumio Insights Summary API には、Illumio API アクセスが必要です。
Illumio SaaS (Azure Functionsを使用)
サポート対象: :Illumio
Illumio コネクタは、イベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、AWS S3 バケットから監査可能なイベントとフロー イベントを取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Illumio_Auditable_Events_CL |
はい | はい |
Illumio_Flow_Events_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- SQS と AWS S3 アカウントの資格情報/アクセス許可: AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL が必要です。 イルミオが提供する s3 バケットを使用している場合は、Illumio サポートにお問い合わせください。 要求に応じて、AWS S3 バケット名、AWS SQS URL、AWS 資格情報を提供してアクセスします。
-
Illumio API キーとシークレット: ブックが SaaS PCE に接続し、API 応答をフェッチするには、 ILLUMIO_API_KEY、ILLUMIO_API_SECRET が必要です。
Imperva Cloud WAF (Azure Functionsを使用)
サポート元:Microsoft Corporation
Imperva Cloud WAF データ コネクタは、REST API を介してWeb Application Firewall イベントをMicrosoft Sentinelに統合して取り込む機能を提供します。 詳細については、ログ統合 に関するドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ImpervaWAFCloud_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: ImpervaAPIID、 ImpervaAPIKey、 ImpervaLogServerURI が API に必要です。 詳細については、「 ログ統合プロセスのセットアップ」を参照してください。 すべての 要件を確認し、資格情報を取得する手順に従います 。 このコネクタでは CEF ログ イベント形式が使用されることに注意してください。 ログ形式の詳細。
Imperva Cloud WAF (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Imperva WAF Cloud データ コネクタは、SQS 通知を使用して AWS S3 経由の Imperva Log Integration を使用して、ログをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、脅威の検出と調査のためのアクセス ログやセキュリティ アラートなど、CEF 形式の WAF イベントを解析します。詳細については、「 Imperva WAF Cloud Log Integration 」を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ImpervaWAFCloud |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
AMA 経由の Infoblox クラウド データ コネクタ
サポート対象:Infoblox
Infoblox Cloud Data Connector を使用すると、Infoblox データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、ログごとに検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
REST API を使用した Infoblox データ コネクタ
サポート対象:Infoblox
Infoblox Data Connector を使用すると、Infoblox TIDE データと Dossier データをMicrosoft Sentinelに簡単に接続できます。 データをMicrosoft Sentinelに接続することで、各ログの検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Failed_Range_To_Ingest_CL |
不要 | 不要 |
Infoblox_Failed_Indicators_CL |
不要 | 不要 |
dossier_whois_CL |
不要 | 不要 |
dossier_whitelist_CL |
不要 | 不要 |
dossier_tld_risk_CL |
不要 | 不要 |
dossier_threat_actor_CL |
不要 | 不要 |
dossier_rpz_feeds_records_CL |
不要 | 不要 |
dossier_rpz_feeds_CL |
不要 | 不要 |
dossier_nameserver_matches_CL |
不要 | 不要 |
dossier_nameserver_CL |
不要 | 不要 |
dossier_malware_analysis_v3_CL |
不要 | 不要 |
dossier_inforank_CL |
不要 | 不要 |
dossier_infoblox_web_cat_CL |
不要 | 不要 |
dossier_geo_CL |
不要 | 不要 |
dossier_dns_CL |
不要 | 不要 |
dossier_atp_threat_CL |
不要 | 不要 |
dossier_atp_CL |
不要 | 不要 |
dossier_ptr_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Infoblox API キー が必要です。
REST API リファレンスの API の詳細については、ドキュメントを参照してください
AMA 経由の Infoblox SOC Insight データ コネクタ
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、ログごとに検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。
このデータ コネクタは、新しい Azure Monitor エージェントを使用して Infoblox SOC Insight CDC ログを Log Analytics ワークスペースに取り込みます。 新しい Azure Monitor エージェントを使用した取り込みの詳細については、こちらを参照してください。 Microsoft では、この Data Connector の使用をお勧めします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
REST API を使用した Infoblox SOC Insight Data Connector
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、ログごとに検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
InfobloxInsight_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
InfoSecGlobal データ コネクタ
サポート対象:InfoSecGlobal
このデータ コネクタを使用して InfoSec Crypto Analytics と統合し、Microsoft Sentinelに直接送信されるデータを取得します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
InfoSecAnalytics_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
IONIX セキュリティ ログ (コードレス コネクタ フレームワーク経由)
サポート対象:IONIX
IONIX コネクタを使用すると、IONIX Attack Surface Management プラットフォームからコードレス コネクタ フレームワーク (CCF) を使用して、アクション 項目をMicrosoft Sentinelに取り込みます。 アクション 項目は、修復が必要なセキュリティの結果と脆弱性を表します。
このコネクタは、IONIX API を自動的にポーリングし、CyberpionActionItems_CL テーブルにデータを書き込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberpionActionItems_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
IONIX API トークン: IONIX ポータルからの API トークンが必要です。
IONIX ポータルの [設定] > API で作成します。
IPinfo Abuse データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_abuseデータセットをダウンロードし、それをMicrosoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Abuse_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo ASN データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_ASNデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_ASN_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Carrier Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_carrierデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Carrier_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Company Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_companyデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Company_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Core データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールして Core データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_CORE_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Country ASN データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてcountry_asnデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Country_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Domain Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_domainデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Domain_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Iplocation Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_locationデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Location_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Iplocation 拡張データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_location_extendedデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Location_extended_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Plus Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Plus データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入するAzure関数アプリをインストールします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_PLUS_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Privacy Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_privacyデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Privacy_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo Privacy Extended Data Connector
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてstandard_privacyデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_Privacy_extended_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo ResProxy データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールして ResProxy データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo RIRWHOIS データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、AZURE関数アプリをインストールして RIRWHOIS データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo RWHOIS データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、AZURE関数アプリをインストールして RWHOIS データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_RWHOIS_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo WHOIS ASN データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてWHOIS_ASN データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo WHOIS MNT データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールして、WHOIS_MNT データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo WHOIS NET データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてWHOIS_NET データセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo WHOIS ORG データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてWHOIS_ORGデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
IPinfo WHOIS POC データ コネクタ
サポート対象:IPinfo
この IPinfo データ コネクタは、Azure関数アプリをインストールしてWHOIS_POCデータセットをダウンロードし、Microsoft Sentinelのカスタム ログ テーブルに挿入します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
IPinfo API トークン: ここで IPinfo API トークンを取得します。
Island Enterprise Browser 管理 Audit (ポーリング CCF)
サポート対象:Island
Island 管理 コネクタは、Island 管理 Audit ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Island_Admin_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
アイランド API キー: アイランド API キーが必要です。
Island Enterprise Browser ユーザー アクティビティ (ポーリング CCF)
サポート対象:Island
Island コネクタは、Island ユーザー アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Island_User_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
アイランド API キー: アイランド API キーが必要です。
Jamf Protect プッシュ コネクタ
サポート対象:Jamf Software、LLC
Jamf Protect コネクタは、Microsoft Sentinelの Jamf Protect から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
jamfprotecttelemetryv2_CL |
はい | はい |
jamfprotectunifiedlogs_CL |
はい | はい |
jamfprotectalerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
JoeSandboxThreatIntelligence (Azure Functionsを使用)
サポート対象: ステファン ビュールマン
JoeSandboxThreatIntelligence コネクタは、JoeSandbox へのすべての送信に対して脅威インテリジェンスを自動的に生成してフィードし、Sentinelでの脅威検出とインシデント対応を向上させます。 このシームレスな統合により、チームは新たな脅威に積極的に対処できるようになります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: azure active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つAzureサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: JoeSandbox API キー が必要です。
Keeper セキュリティ プッシュ コネクタ
サポート対象:Keeper セキュリティ
Keeper Security コネクタは、Microsoft Sentinelで Keeper Security から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
LastPass Enterprise - Reporting (ポーリング CCF)
サポート対象:集合コンサルティング
LastPass Enterprise コネクタは、LastPass レポート (監査) ログをMicrosoft Sentinelに記録する機能を提供します。 コネクタは、LastPass 内のログインとアクティビティ (パスワードの読み取りと削除など) を可視化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
LastPassNativePoller_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
LastPass API キーと CID: LastPass API キーと CID が必要です。 詳細については、「 LastPass API」を参照してください。
Lookout Mobile Threat Detection コネクタ (コードレス コネクタ フレームワーク経由) (プレビュー)
サポート対象:Lookout
Lookout Mobile Threat Detection データ コネクタは、モバイル セキュリティ リスクに関連するイベントを Mobile Risk API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 このコネクタは、モバイル デバイスで検出された潜在的なセキュリティ リスクを調べるのに役立ちます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
LookoutMtdV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Luminar IOC とリークされた資格情報 (Azure Functionsを使用)
サポート対象:Cognyte Luminar
Luminar IOC とリークされた資格情報コネクタを使用すると、Luminar によって識別されたインテリジェンス ベースの IOC データと顧客関連のリークされたレコードを統合できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: azure active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つAzureサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Luminar クライアント ID、 Luminar クライアント シークレット 、および Luminar アカウント ID が必要です。
MailGuard 365
サポート対象:MailGuard 365
MailGuard 365 Enhanced Email Security for Microsoft 365. Microsoft マーケットプレース専用の MailGuard 365 は、Microsoft 365 セキュリティ (Defender を含む) と統合されており、フィッシング、ランサムウェア、高度な BEC 攻撃などの高度な電子メールの脅威に対する保護を強化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MailGuard365_Threats_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
MailRisk by Secure Practice (Azure Functionsを使用)
サポート対象:セキュリティで保護されたプラクティス
MailRisk から Log Analytics に電子メールをプッシュするデータ コネクタMicrosoft Sentinel。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MailRiskEmails_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
API 資格情報: Secure Practice API キー のペアも必要です。これは 管理ポータルの設定で作成されます。 API シークレットを失った場合は、新しいキー ペアを生成できます (警告: 古いキー ペアを使用する他の統合は動作を停止します)。
Microsoft 365 (旧称、Office 365)
サポート元:Microsoft Corporation
Microsoft 365 (以前のOffice 365) アクティビティ ログ コネクタは、進行中のユーザー アクティビティに関する分析情報を提供します。 ファイルのダウンロード、送信されたアクセス要求、グループ イベントの変更、set-mailbox、アクションを実行したユーザーの詳細などの操作の詳細を取得します。 Microsoft 365 ログをMicrosoft Sentinelに接続することで、このデータを使用してダッシュボードを表示し、カスタム アラートを作成し、調査プロセスを改善できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OfficeActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft 365 Insider Risk Management
サポート元:Microsoft Corporation
Microsoft 365 Insider Risk Management は、Microsoft 365 のコンプライアンス ソリューションであり、organization内の悪意のあるアクティビティや不注意なアクティビティを検出、調査、対処できるようにすることで、内部リスクを最小限に抑えることができます。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。
インサイダー リスク ポリシーを使用すると、次のことができるようになります。
- は、organizationで特定して検出するリスクの種類を定義します。
- は、必要に応じてケースを Microsoft Advanced eDiscoveryにエスカレートするなど、対応するアクションを決定します。
このソリューションは、Microsoft 365 コンプライアンス センターの Insider Risk Management ソリューションで Office のお客様が確認できるアラートを生成します。 Insider Risk Management の詳細については、こちらをご覧ください。
これらのアラートは、このコネクタを使用してMicrosoft Sentinelにインポートできます。これにより、より広範な組織の脅威コンテキストでアラートを表示、調査、対応できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Active-Directory ドメイン コントローラーのセキュリティ イベント ログ
サポート対象:Community
[オプション 3 & 4] - Azure Monitor エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンから、一部またはすべてのドメイン コントローラーセキュリティ イベント ログをストリーミングできます。 この接続を使用すると、カスタム アラートを作成し、調査を改善できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Log Analytics が非推奨となるAzure、Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Copilot
サポート対象:Microsoft
Microsoft SentinelのMicrosoft Copilot ログ コネクタを使用すると、M365 Copilot から Copilot によって生成されたアクティビティ ログをシームレスに取り込み、高度な脅威検出、調査、対応のためにMicrosoft SentinelにSecurity Copilotできます。 使用状況データやシステム応答などのMicrosoft Copilot サービスからテレメトリを収集し、Microsoft Sentinelに取り込み、セキュリティ チームが誤用を監視し、異常を検出し、組織のポリシーへのコンプライアンスを維持できるようにします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CopilotActivity |
不要 | はい |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者"。
Microsoft Dataverse
サポート元:Microsoft Corporation
Microsoft Dataverse は、組織がビジネス アプリケーションで使用されるデータを格納および管理できるようにする、スケーラブルで安全なデータ プラットフォームです。 Microsoft Dataverse データ コネクタは、Microsoft Purview 監査 ログから Dataverse および Dynamics 365 CRM アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
DataverseActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者"。
- Micorosft Purview 監査: Microsoft Purview 監査 (Standardまたは Premium) をアクティブにする必要があります。
- 運用データバース: アクティビティ ログは運用環境でのみ使用できます。 サンドボックスなどのその他の種類では、アクティビティ ログはサポートされていません。
-
Dataverse 監査設定: 監査設定は、グローバルとエンティティ/テーブル レベルの両方で構成する必要があります。 詳細については、「 Dataverse 監査設定」を参照してください。
Microsoft Defender for Cloud Apps
サポート元:Microsoft Corporation
Microsoft Defender for Cloud Appsと接続することで、クラウド アプリを可視化し、サイバー脅威を特定して対処するための高度な分析を取得し、データの移動方法を制御できます。
- ネットワーク上のシャドウ IT クラウド アプリを特定します。
- 条件とセッション コンテキストに基づいてアクセスを制御および制限します。
- データ共有とデータ損失防止には、組み込みのポリシーまたはカスタム ポリシーを使用します。
- ランサムウェア アクティビティ、不可能な移動、疑わしいメール転送ルール、ファイルの一括ダウンロードなど、Microsoft の行動分析と異常検出機能を使用して、リスクの高い使用を特定し、異常なユーザー アクティビティのアラートを取得します。
- ファイルの一括ダウンロード
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
不要 | 不要 |
McasShadowItReporting |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Microsoft Defender for Endpoint
サポート元:Microsoft Corporation
Microsoft Defender for Endpointは、高度な脅威を防止、検出、調査、対応するために設計されたセキュリティ プラットフォームです。 プラットフォームは、不審なセキュリティ イベントがorganizationに表示されたときにアラートを作成します。 セキュリティ イベントを効果的に分析できるように、Microsoft Defender for Endpointで生成されたアラートをMicrosoft Sentinelにフェッチします。 すぐに応答できるように、ルールの作成、ダッシュボードの作成、プレイブックの作成を行うことができます。 詳細については、Microsoft Sentinelドキュメント >を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Defender for Identity
サポート元:Microsoft Corporation
Microsoft Defender for Identity接続して、イベントとユーザー分析を可視化します。 Microsoft Defender for Identityは、高度な脅威、侵害された ID、およびorganizationに向けられた悪意のあるインサイダー アクションを特定、検出、調査するのに役立ちます。 Microsoft Defender for Identityを使用すると、SecOp アナリストとセキュリティ プロフェッショナルがハイブリッド環境での高度な攻撃を検出するのに苦労して、次のことが可能になります。
- 学習ベースの分析を使用してユーザー、エンティティの動作、およびアクティビティを監視する
- Active Directory に保存されているユーザーの ID と認証情報の保護
- キル チェーン全体で疑わしいユーザー アクティビティや高度な攻撃を特定し、調査する
- 迅速なトリアージのために、簡潔なタイムラインで示された明確なインシデント情報を提供する
詳細については、Microsoft Sentinelドキュメント >を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
IoT のMicrosoft Defender
サポート元:Microsoft Corporation
IoT アラートのMicrosoft DefenderをMicrosoft Sentinelに接続することで、IoT セキュリティに関する分析情報を得ることができます。 アラートの傾向、上位アラート、重大度別のアラートの内訳など、すぐに使用できるアラート メトリックとデータを取得できます。 また、上位の推奨事項や重大度別の推奨事項など、IoT ハブに提供される推奨事項に関する情報を取得することもできます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Office 365のMicrosoft Defender (プレビュー)
サポート元:Microsoft Corporation
Office 365のMicrosoft Defenderは、メール メッセージ、リンク (URL)、コラボレーション ツールによってもたらされる悪意のある脅威からorganizationを保護します。 Office 365アラートのMicrosoft DefenderをMicrosoft Sentinelに取り込むことで、電子メールおよび URL ベースの脅威に関する情報を広範なリスク分析に組み込み、それに応じて対応シナリオを構築できます。
次の種類のアラートがインポートされます。
- 悪意のある可能性がある URL のクリックが検出されました
- マルウェアを含んだメール メッセージが配信後に削除されました
- フィッシング URL を含んだメール メッセージが配信後に削除されました
- ユーザーによってマルウェアまたはフィッシングとして報告されたメール
- 不審なメール送信パターンが検出されました
- ユーザーに対してメールの送信が制限されました
これらのアラートは、** Office セキュリティおよびコンプライアンス センター** で Office のお客様が確認できます。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Defender 脅威インテリジェンス
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Microsoft によって生成された脅威インテリジェンスをインポートして、監視、アラート、ハンティングを有効にする機能が提供されます。 このデータ コネクタを使用して、Microsoft Defender 脅威インテリジェンス (MDTI) から Microsoft Sentinel に侵害のインジケーター (IOC) をインポートします。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュなどを含めることができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Defender XDR
サポート元:Microsoft Corporation
Microsoft Defender XDRは、エンドポイント、ID、電子メール、アプリケーションを保護し、高度な脅威の検出、防止、調査、自動対応を支援する、統合されたネイティブに統合された侵害前および侵害後のエンタープライズ防御スイートです。
Microsoft Defender XDRスイートには以下が含まれます:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
- 脅威 & 脆弱性管理
- Microsoft Defender for Cloud Apps
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityIncident |
はい | はい |
SecurityAlert |
はい | はい |
DeviceEvents |
はい | はい |
EmailEvents |
はい | はい |
IdentityLogonEvents |
はい | はい |
CloudAppEvents |
はい | はい |
AlertEvidence |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Entra ID
サポート元:Microsoft Corporation
監査ログとサインイン ログをMicrosoft Sentinelに接続して、Microsoft Entra IDシナリオに関する分析情報を収集することで、Microsoft Entra IDに関する分析情報を得ることができます。 アプリの使用状況、条件付きアクセス ポリシー、レガシ認証の詳細については、サインイン ログを使用して確認できます。 [監査ログ] テーブルを使用して、セルフサービス パスワード リセット (SSPR) の使用状況、Microsoft Entra ID管理アクティビティ (ユーザー、グループ、ロール、アプリ管理など) に関する情報を取得できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SigninLogs |
はい | はい |
AuditLogs |
はい | はい |
AADNonInteractiveUserSignInLogs |
はい | はい |
AADServicePrincipalSignInLogs |
はい | はい |
AADManagedIdentitySignInLogs |
はい | はい |
AADProvisioningLogs |
はい | はい |
ADFSSignInLogs |
はい | はい |
AADUserRiskEvents |
はい | はい |
AADRiskyUsers |
はい | はい |
NetworkAccessTraffic |
はい | はい |
AADRiskyServicePrincipals |
はい | はい |
AADServicePrincipalRiskEvents |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Entra IDアセット
サポート元:Microsoft Corporation
Entra ID 資産データ コネクタは、資産情報で詳細を補足することで、アクティビティ データに関する豊富な分析情報を提供します。 このコネクタのデータは、Purview でデータ リスク グラフを作成するために使用されます。 これらのグラフを有効にしている場合、このコネクタを非アクティブにすると、グラフが作成されなくなります。 データ リスク グラフについて説明します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
Microsoft Entra ID保護
サポート元:Microsoft Corporation
Microsoft Entra ID Protection は、リスク ユーザー、リスク イベント、脆弱性に関する統合ビューを提供し、リスクを直ちに修復し、ポリシーを設定して将来のイベントを自動修復できます。 このサービスは、コンシューマー ID を保護する Microsoft の経験に基づいて構築されており、1 日に 130 億を超えるログインからのシグナルから途方もない精度を得ています。 Microsoft Microsoft Entra ID Protection アラートをMicrosoft Sentinelと統合して、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善します。 詳細については、Microsoft Sentinelドキュメント を参照してください。
Premium P1/P2 をMicrosoft Entra IDする
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Exchange 管理 イベント ログ別の監査ログ
サポート対象:Community
[オプション 1] - Azure モニター エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべての Exchange 監査イベントをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これは、オンプレミスの Exchange 環境のセキュリティ分析情報を提供するために Microsoft Exchange セキュリティ ブックによって使用されます
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Log Analytics が非推奨となるAzure、Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange HTTP プロキシ ログ
サポート対象:Community
[オプション 7] - Azure モニター エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンから HTTP プロキシ ログとセキュリティ イベント ログをストリーミングできます。 この接続を使用すると、カスタム アラートを作成し、調査を改善できます。 詳細情報
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ExchangeHttpProxy_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azure Log Analytics は非推奨になります。Azure Log Analytics は非推奨になります。Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange のログとイベント
サポート対象:Community
[オプション 2] - Azure モニター エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべての Exchange Security & アプリケーション イベント ログをストリーミングできます。 この接続を使用すると、カスタム アラートを作成し、調査を改善できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azure Log Analytics は非推奨になります。Azure Log Analytics は非推奨になります。Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Exchange メッセージ追跡ログ
サポート対象:Community
[オプション 6] - Azure モニター エージェントを使用する - Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべての Exchange メッセージ追跡をストリーミングできます。 これらのログを使用して、Exchange 環境内のメッセージのフローを追跡できます。 このデータ コネクタは、 Microsoft Exchange セキュリティ Wiki のオプション 6 に基づいています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MessageTrackingLog_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azure Log Analytics は非推奨になります。Azure Log Analytics は非推奨になります。Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
Microsoft Power Automate
サポート元:Microsoft Corporation
Power Automate は、ユーザーがアプリとサービスの間に自動化されたワークフローを作成して、ファイルの同期、通知の取得、データの収集などを行うのに役立つ Microsoft サービスです。 これにより、手動で繰り返されるタスクを減らし、生産性を高めることで、タスクの自動化が簡素化され、効率が向上します。 Power Automate データ コネクタは、Microsoft Purview 監査 ログから power Automate アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerAutomateActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者"。
-
Micorosft Purview 監査: Microsoft Purview 監査 (Standardまたは Premium) をアクティブにする必要があります。
Microsoft Power Platform 管理 アクティビティ
サポート元:Microsoft Corporation
Microsoft Power Platform は、ユーザーとプロの開発者の両方が、カスタム アプリの作成、ワークフローの自動化、データ分析を最小限のコーディングで可能にすることで、ビジネス プロセスを合理化できるようにするローコード/ノーコード スイートです。 Power Platform 管理 データ コネクタは、Microsoft Purview 監査 ログから Power Platform 管理者アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerPlatformAdminActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- テナントのアクセス許可: ワークスペースのテナントの "セキュリティ管理者" または "グローバル管理者"。
-
Micorosft Purview 監査: Microsoft Purview 監査 (Standardまたは Premium) をアクティブにする必要があります。
Microsoft PowerBI
サポート元:Microsoft Corporation
Microsoft PowerBI は、ソフトウェア サービス、アプリ、コネクタのコレクションであり、関連のないデータ ソースを一貫した視覚的にイマーシブで対話型の分析情報に変換します。 データは、Excel スプレッドシート、クラウドベースおよびオンプレミスのハイブリッド データ ウェアハウスのコレクション、または他の種類のデータ ストアです。 このコネクタを使用すると、PowerBI 監査ログをMicrosoft Sentinelにストリーミングして、PowerBI 環境内のユーザー アクティビティを追跡できます。 監査データは、日付範囲、ユーザー、ダッシュボード、レポート、データセット、アクティビティの種類でフィルター処理できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PowerBIActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Project
サポート対象:Microsoft
Microsoft Project (MSP) は、プロジェクト管理ソフトウェア ソリューションです。 Microsoft Project では、計画に応じて、プロジェクトの計画、タスクの割り当て、リソースの管理、レポートの作成などを行うことができます。 このコネクタを使用すると、プロジェクトのアクティビティを追跡するために、Azure Project 監査ログをMicrosoft Sentinelにストリーミングできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProjectActivity |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Purview
サポート元:Microsoft Corporation
Microsoft Purview に接続して、Microsoft Sentinelのデータ機密性エンリッチメントを有効にします。 Microsoft Purview スキャンのデータ分類と秘密度ラベル ログは、ブック、分析ルールなどを使用して取り込んで視覚化できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PurviewDataSensitivityLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Microsoft Purview Information Protection
サポート元:Microsoft Corporation
Microsoft Purview Information Protectionは、どこに住んでいるか移動しても機密情報を検出、分類、保護、管理するのに役立ちます。 これらの機能を使用すると、データを把握し、機密性の高いアイテムを特定し、データをより適切に保護するために使用されている方法を把握できます。 秘密度ラベルは、保護アクションを提供し、暗号化、アクセス制限、視覚的マーキングを適用する基本的な機能です。 Microsoft Purview Information ProtectionログをMicrosoft Sentinelと統合して、ダッシュボードを表示し、カスタム アラートを作成し、調査を改善します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MicrosoftPurviewInformationProtection |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Mimecast Audit
サポート対象:Mimecast
Mimecast Audit のデータ コネクタを使用すると、お客様は、Microsoft Sentinel内の監査イベントと認証イベントに関連するセキュリティ イベントを可視化できます。 データ コネクタには、アナリストがユーザー アクティビティに関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮するための、事前に作成されたダッシュボードが用意されています。
コネクタに含まれる Mimecast 製品は、監査です。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Audit_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを 参照してください
Mimecast Audit & Authentication (Azure Functionsを使用)
サポート対象:Mimecast
Mimecast Audit & Authentication のデータ コネクタを使用すると、お客様は、Microsoft Sentinel内の監査イベントと認証イベントに関連するセキュリティ イベントを可視化できます。 データ コネクタには、アナリストがユーザー アクティビティに関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮するための、事前に作成されたダッシュボードが用意されています。
コネクタに含まれる Mimecast 製品は、監査 & 認証です。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastAudit_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのアドレスをEmailします
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録されている Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソール: 管理 |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。 https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- リソース グループ: 使用するサブスクリプションを使用してリソース グループを作成する必要があります。
- Functions アプリ: このコネクタを使用するには、Azure アプリが登録されている必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Awareness Training
サポート対象:Mimecast
Mimecast Awareness Training のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- パフォーマンスの詳細
- セーフ スコアの詳細
- ユーザー データ
- ウォッチリストの詳細
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Awareness_Performance_Details_CL |
はい | はい |
Awareness_SafeScore_Details_CL |
はい | はい |
Awareness_User_Data_CL |
はい | はい |
Awareness_Watchlist_Details_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを 参照してください
Mimecast Cloud Integrated
サポート対象:Mimecast
Mimecast Cloud Integrated のデータ コネクタを使用すると、Microsoft Sentinel内のクラウド統合検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cloud_Integrated_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを 参照してください
Microsoft 用 Mimecast Intelligence - Microsoft Sentinel (Azure Functionsを使用)
サポート対象:Mimecast
Mimecast Intelligence for Microsoft のデータ コネクタは、Mimecast の電子メール検査テクノロジからキュレーションされた地域の脅威インテリジェンスと事前に作成されたダッシュボードを提供し、アナリストが電子メール ベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間を短縮できるようにします。
Mimecast の製品と機能が必要です。
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのアドレスをEmailします
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録されている Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソール: 管理 |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。 https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- リソース グループ: 使用するサブスクリプションを使用してリソース グループを作成する必要があります。
- Functions アプリ: このコネクタを使用するには、Azure アプリが登録されている必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Secure Email Gateway
サポート対象:Mimecast
Mimecast Secure Email Gateway のデータ コネクタを使用すると、Secure Email Gateway から簡単にログを収集して、Microsoft Sentinel内の電子メール分析情報とユーザー アクティビティを表示できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。 Mimecast の製品と機能が必要です。
- Mimecast Cloud Gateway
- Mimecast データ リーク防止
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Seg_Cg_CL |
はい | はい |
Seg_Dlp_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを 参照してください
Mimecast Secure Email Gateway (Azure Functionsを使用)
サポート対象:Mimecast
Mimecast Secure Email Gateway のデータ コネクタを使用すると、Secure Email Gateway から簡単にログを収集して、Microsoft Sentinel内の電子メール分析情報とユーザー アクティビティを表示できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。 Mimecast の製品と機能が必要です。
- Mimecast Secure Email Gateway
- Mimecast データ リーク防止
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastSIEM_CL |
不要 | 不要 |
MimecastDLP_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- Mimecast API 資格情報: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのアドレスをEmailします
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録されている Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソール: 管理 |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。 https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- リソース グループ: 使用するサブスクリプションを使用してリソース グループを作成する必要があります。
- Functions アプリ: このコネクタを使用するには、Azure アプリが登録されている必要があります
- アプリケーション ID
- テナント ID
- クライアント ID
- クライアント シークレット
Mimecast Targeted Threat Protection
サポート対象:Mimecast
Mimecast Targeted Threat Protection のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- URL 保護
- 偽装保護
- 添付ファイルの保護
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Ttp_Url_CL |
はい | はい |
Ttp_Attachment_CL |
はい | はい |
Ttp_Impersonation_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: REST API リファレンスの API の詳細については、ドキュメントを 参照してください
Mimecast Targeted Threat Protection (Azure Functionsを使用)
サポート対象:Mimecast
Mimecast Targeted Threat Protection のデータ コネクタを使用すると、Microsoft Sentinel内の Targeted Threat Protection 検査テクノロジに関連するセキュリティ イベントを可視化できます。 データ コネクタには、事前に作成されたダッシュボードが用意されており、アナリストは電子メールベースの脅威に関する分析情報を表示し、インシデントの相関関係を支援し、調査の応答時間をカスタム アラート機能と組み合わせて短縮できます。
コネクタに含まれる Mimecast 製品は次のとおりです。
- URL 保護
- 偽装保護
- 添付ファイルの保護
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MimecastTTPUrl_CL |
不要 | 不要 |
MimecastTTPAttachment_CL |
不要 | 不要 |
MimecastTTPImpersonation_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- REST API の資格情報/アクセス許可: 統合を構成するには、次の情報が必要です。
- mimecastEmail: 専用 Mimecast 管理者ユーザーのアドレスをEmailします
- mimecastPassword: 専用 Mimecast 管理者ユーザーのパスワード
- mimecastAppId: Mimecast に登録されている Mimecast Microsoft Sentinel アプリの API アプリケーション ID
- mimecastAppKey: Mimecast に登録された Mimecast Microsoft Sentinel アプリの API アプリケーション キー
- mimecastAccessKey: 専用 Mimecast 管理者ユーザーのアクセス キー
- mimecastSecretKey: 専用 Mimecast 管理者ユーザーのシークレット キー
- mimecastBaseURL: Mimecast Regional API Base URL
Mimecast アプリケーション ID、アプリケーション キー、および専用 Mimecast 管理者ユーザーのアクセス キーとシークレット キーは、Mimecast 管理コンソール: 管理 |サービス |API とプラットフォームの統合。
各リージョンの Mimecast API ベース URL については、次のドキュメントを参照してください。 https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
サポート対象:Community
このソリューションでは、MISP2Sentinel コネクタをインストールします。これにより、脅威インジケーターを MISP からアップロード インジケーター REST API を介してMicrosoft Sentinelに自動的にプッシュできます。 ソリューションをインストールしたら、「ソリューションの管理」ビューのガイダンスに従って、このデータ コネクタを構成して有効にします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
MongoDB Atlas ログ
サポート対象:MongoDB
MongoDBAtlas Logs コネクタは、MongoDB Atlas 管理 API を使用して MongoDB Atlas データベース ログをMicrosoft Sentinelにアップロードする機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタは、指定されたホストと指定したプロジェクトのデータベース ログ メッセージの範囲を取得する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MDBALogTable_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: MongoDB Atlas サービス アカウント のクライアント ID と クライアント シークレット が必要です。 詳細については、「サービス アカウントの作成」を参照してください。
MuleSoft Cloudhub (Azure Functionsを使用)
サポート元:Microsoft Corporation
MuleSoft Cloudhub データ コネクタは、Cloudhub API を使用して Cloudhub アプリケーションからログを取得し、その他のイベントを REST API を介してMicrosoft Sentinelする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
MuleSoft_Cloudhub_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: MuleSoftEnvId、 MuleSoftAppName、 MuleSoftUsername 、 MuleSoftPassword は、API 呼び出しを行う際に必要です。
NC 保護
NC Protect Data Connector (archtis.com) は、ユーザー アクティビティ ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、Microsoft Sentinelの NC Protect ユーザー アクティビティ ログとイベントを可視化し、監視と調査の機能を向上させます
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NCProtectUAL_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
NC 保護: NC Protect for O365 の実行中のインスタンスが必要です。 お 問い合わせください。
Netskope のアラートとイベント
サポート対象:Netskope
Netskope のセキュリティ アラートとイベント
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NetskopeAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Netskope 組織の URL: Netskope データ コネクタでは、組織の URL を指定する必要があります。 組織の URL は、Netskope ポータルにサインインすることで確認できます。
-
Netskope API キー: Netskope データ コネクタでは、有効な API キーを指定する必要があります。
Netskope ドキュメントに従って作成できます。
Netskope Data Connector
サポート対象:Netskope
Netskope データ コネクタには、次の機能があります。
- NetskopeToAzureStorage :
- Netskope から Netskope アラートとイベント データを取得し、Azureストレージに取り込みます。 2. StorageToSentinel :
- Netskope アラートとイベント データをAzureストレージから取得し、log analytics ワークスペースのカスタム ログ テーブルに取り込みます。 3. WebTxMetrics:
- Netskope から WebTxMetrics データを取得し、log analytics ワークスペースのカスタム ログ テーブルに取り込みます。
REST API の詳細については、次のドキュメントを参照してください。
- Netskope API のドキュメント:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azureストレージのドキュメント: /azure/storage/common/storage-introduction 3。Microsoft log analytic ドキュメント: /azure/azure-monitor/logs/log-analytics-overview
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
alertscompromisedcredentialdata_CL |
不要 | 不要 |
alertsctepdata_CL |
不要 | 不要 |
alertsdlpdata_CL |
不要 | 不要 |
alertsmalsitedata_CL |
不要 | 不要 |
alertsmalwaredata_CL |
不要 | 不要 |
alertspolicydata_CL |
不要 | 不要 |
alertsquarantinedata_CL |
不要 | 不要 |
alertsremediationdata_CL |
不要 | 不要 |
alertssecurityassessmentdata_CL |
不要 | 不要 |
alertsubadata_CL |
不要 | 不要 |
eventsapplicationdata_CL |
不要 | 不要 |
eventsauditdata_CL |
不要 | 不要 |
eventsconnectiondata_CL |
不要 | 不要 |
eventsincidentdata_CL |
不要 | 不要 |
eventsnetworkdata_CL |
不要 | 不要 |
eventspagedata_CL |
不要 | 不要 |
Netskope_WebTx_metrics_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Azureサブスクリプション: azure active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つAzureサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Netskope テナント と Netskope API トークン が必要です。
REST API リファレンスの API の詳細については、ドキュメントを参照してください
Netskope Web Transaction Connector (Blob Storage 経由)
サポート対象:Netskope
Netskope Web Transaction コネクタは、Codeless Connector Framework (CCF) を使用して、Web トランザクション ログを Netskope Log Streaming から Azure Blob Storage 経由でMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NetskopeWebTransactions_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- サブスクリプションのアクセス許可: データ フロー リソースを作成するには、次のアクセス許可が必要です。
- ストレージ キュー (通知キューと配信不能キュー)
- event grid トピックとサブスクリプション (通知キューに 'BLOB 作成イベント' 通知を送信する)
- ロールの割り当て (BLOB コンテナーとストレージ キュー Microsoft Sentinelアプリへのアクセスを許可するため)。
- ストレージ アカウントのネットワーク構成: Azure Blob Storage アカウントのネットワーク制限 (ファイアウォール/IP 規則) は、Azureストレージ ファイアウォールの制限と制限のため、このコネクタではサポートされていません。
- IP ネットワーク 規則は、ストレージ アカウントと同じ Azure リージョンからの要求には影響しません。
- IP ネットワーク 規則は、同じリージョンにデプロイされたAzure サービスへのアクセスを制限できません。これらのサービスは、通信にプライベート Azure IP アドレスを使用するためです。
- 仮想ネットワーク サービス エンドポイント規則は、ペアのリージョン内のクライアントには適用されません。
ストレージ アカウントの [ネットワーク ] ブレードが [ すべてのネットワークから有効] に設定されていることを確認します。
- ストレージ アカウント ロールの割り当て: 次のAzure RBAC ロールは、BLOB コンテナーを含むストレージ アカウントのMicrosoft Sentinelエンタープライズ アプリケーション サービス プリンシパル (以下に表示) に割り当てる必要があります。
- ストレージ BLOB データ共同作成者 - コンテナーから BLOB データを読み取る場合に必要です。
- ストレージ キュー データ共同作成者 - 通知メッセージと配信不能キュー メッセージを管理するために必要です。
これらのロールを割り当てるには、ストレージ アカウント → Access Control (IAM) →[ロールの割り当ての追加] に移動し、次に示すサービス プリンシパル ID を検索し、両方のロールを割り当てます。
-
Netskope から BLOB コンテナーへのデータの収集: Netskope Log Streaming のドキュメントの手順に従って、Web トランザクション ログを Azure Blob Storage コンテナーにストリーミングするように Netskope を構成します。
Netskope Web Transactions Data Connector
サポート対象:Netskope
Netskope Web Transactions データ コネクタは、Docker イメージの機能を提供して、Google pubsublite から Netskope Web Transactions データをプルし、データを処理し、処理されたデータを Log Analytics に取り込みます。 このデータ コネクタの一部として、Log Analytics で 2 つのテーブルが形成されます。1 つは Web トランザクション データ用で、もう 1 つは実行中に発生したエラー用です。
Web トランザクションに関連する詳細については、次のドキュメントを参照してください。
- Netskope Web Transactions のドキュメント:
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NetskopeWebtxData_CL |
不要 | 不要 |
NetskopeWebtxErrors_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Azureサブスクリプション: Azure所有者ロールを持つサブスクリプションは、アプリケーションをMicrosoft Entra IDに登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには必要です。
- Microsoft.Compute のアクセス許可: Azure VM への読み取りおよび書き込みアクセス許可が必要です。 詳細については、「VM のAzure」を参照してください。
- TransactionEvents の資格情報とアクセス許可: Netskope テナント と Netskope API トークン が必要です。 詳細については、「トランザクション イベント」を参照してください。
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
ネットワーク セキュリティ グループ
サポート元:Microsoft Corporation
Azureネットワーク セキュリティ グループ (NSG) を使用すると、Azure仮想ネットワーク内のAzure リソースとの間のネットワーク トラフィックをフィルター処理できます。 ネットワーク セキュリティ グループには、仮想ネットワーク サブネット、ネットワーク インターフェイス、またはその両方へのトラフィックを許可または拒否する規則が含まれています。
NSG のログ記録を有効にすると、次の種類のリソース ログ情報を収集できます。
- イベント: エントリは、MAC アドレスに基づいて VM に適用される NSG ルールに対してログに記録されます。
- ルール カウンター: 各 NSG 規則がトラフィックを拒否または許可するために適用される回数のエントリが含まれます。 これらのルールの状態は、300 秒ごとに収集されます。
このコネクタを使用すると、NSG 診断 ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
AzureDiagnostics |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
NordPass
サポート対象:NordPass
Api を介して NordPass と Microsoft Sentinel SIEM を統合すると、NordPass から Microsoft Sentinel にアクティビティ ログ データを自動的に転送し、アイテム アクティビティ、すべてのログイン試行、セキュリティ通知などのリアルタイムの分析情報を取得できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NordPassEventLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- リソース グループと Log Analytics ワークスペースが作成され、同じリージョンに配置されていることを確認して、Azure Functionsをデプロイできるようにします。
- 作成した Log Analytics ワークスペースにMicrosoft Sentinelを追加します。
- NordPass 管理 パネルでMicrosoft Sentinel API URL とトークンを生成して、Azure Functions統合を完了します。 そのため、NordPass Enterprise アカウントが必要であることに注意してください。
-
大事な:このコネクタでは、Azure Functionsを使用して NordPass からアクティビティ ログをMicrosoft Sentinelに取得します。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。
Obsidian Datasharing コネクタ
サポート対象:Obsidian セキュリティ
Obsidian Datasharing コネクタは、Microsoft Sentinelで Obsidian Datasharing から生のイベント データを読み取る機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ObsidianActivity_CL |
不要 | 不要 |
ObsidianThreat_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Okta シングル サインオン
サポート元:Microsoft Corporation
Okta 単一 Sign-On (SSO) データ コネクタは、Okta Sysem Log API から監査ログとイベント ログをMicrosoft Sentinelに取り込む機能を提供します。 データ コネクタは、コードレス コネクタ フレームワークMicrosoft Sentinel上に構築され、Okta システム ログ API を使用してイベントをフェッチします。 コネクタでは、受信したセキュリティ イベント データをカスタム列に解析する DCR ベースの インジェスト時間変換 がサポートされているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OktaSSO |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
Okta 単一 Sign-On (Azure Functionsを使用)
サポート元:Microsoft Corporation
Okta Single Sign-On (SSO) コネクタは、Okta API から監査ログとイベント ログをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上のために、Microsoft Sentinelでこれらのログの種類を可視化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Okta_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Okta API トークン: Okta API トークンが必要です。
Okta システム ログ API の詳細については、ドキュメントを参照してください。
Onapsis 防御: Intel & 一致しない SAP 脅威検出をMicrosoft Sentinelと統合する
サポート対象:Onapsis
独自の悪用、ゼロデイ、脅威アクターのアクティビティを詳細に把握することで、セキュリティ チームを強化します。疑わしいユーザーまたはインサイダーの動作。機密データのダウンロード。セキュリティ制御違反。その他 - すべて Onapsis の SAP エキスパートによって強化されています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Onapsis_Defend_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
OneLogin IAM プラットフォーム (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
OneLogin データ コネクタは、OneLogin Events API と OneLogin Users API を使用して、REST API を介して一般的な OneLogin IAM Platform イベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OneLoginEventsV2_CL |
はい | はい |
OneLoginUsersV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
OneLogin IAM API Credentials: API 資格情報を作成するには、ここに記載されているドキュメント リンクに従って 、[ここをクリック] をクリックします。
API 資格情報を作成するには、アカウント所有者または管理者のいずれかのアカウントの種類があることを確認します。
API 資格情報を作成すると、クライアント ID とクライアント シークレットが取得されます。
OneTrust
サポート対象:OneTrust、LLC
Microsoft Sentinel用 OneTrust コネクタを使用すると、Google Cloud やその他の OneTrust でサポートされているデータ ソース全体で機密データが配置または修復された場所をほぼリアルタイムで可視化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OneTrustMetadataV3_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Open Systems Data Connector
サポート対象: OpenSystems
Open Systems Logs API Microsoft Sentinel Connector には、Open Systems Logs API を使用して Open Systems ログをMicrosoft Sentinelに取り込む機能が用意されています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OpenSystemsZtnaLogs_CL |
はい | はい |
OpenSystemsFirewallLogs_CL |
不要 | 不要 |
OpenSystemsAuthenticationLogs_CL |
不要 | 不要 |
OpenSystemsProxyLogs_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- コンテナー アプリ、DCR、および DCEs のAzure: コンテナー アプリ、マネージド環境、データ収集規則 (DCR)、およびデータ収集エンドポイント (DCEs) Azure展開するためのアクセス許可が必要です。 これは通常、サブスクリプションまたはリソース グループに "共同作成者" ロールを持つことでカバーされます。
- ロールの割り当てアクセス許可: ロールの割り当てを作成するためのアクセス許可 (特に DCR の "監視メトリックパブリッシャー") は、デプロイするユーザーまたはサービス プリンシパルに必要です。
- ARM テンプレートに必要な資格情報: デプロイ中に、Open Systems Logs API エンドポイントと接続文字列、およびサービス プリンシパルの資格情報 (クライアント ID、クライアント シークレット、オブジェクト/プリンシパル ID) を指定する必要があります。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
必要に応じてカスタム前提条件を満たす場合は、この税関タグを削除します。カスタム前提条件の説明
Oracle Cloud Infrastructure (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Oracle Cloud Infrastructure (OCI) データ コネクタは、OCI ストリーミング REST API を使用して OCI Streamから OCI ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OCI_LogsV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
OCI ストリーミング API アクセス: API 署名キーを使用して OCI ストリーミング API にアクセスする必要があります。
Orca セキュリティ アラート
サポート対象:Orca セキュリティ
Orca Security Alerts コネクタを使用すると、アラート ログをMicrosoft Sentinelに簡単にエクスポートできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
OrcaAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Palo Alto Cortex XDR
サポート元:Microsoft Corporation
Palo Alto Cortex XDR データ コネクタを使用すると、Palo Alto Cortex XDR API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 Palo Alto Cortex XDR API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
はい | はい |
PaloAltoCortexXDR_Endpoints_CL |
はい | はい |
PaloAltoCortexXDR_Audit_Management_CL |
はい | はい |
PaloAltoCortexXDR_Audit_Agent_CL |
はい | はい |
PaloAltoCortexXDR_Alerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Palo Alto Cortex Xpanse (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Palo Alto Cortex Xpanse データ コネクタは、アラート データをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CortexXpanseAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Palo Alto Prisma Cloud CSPM (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Palo Alto Prisma Cloud CSPM データ コネクタを使用すると、Palo Alto Prisma Cloud CSPM インスタンスに接続し、アラート (https://pan.dev/prisma-cloud/api/cspm/alerts/) & 監査ログ (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) をMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Palo Alto Prisma Cloud CWPP (REST API を使用)
サポート元:Microsoft Corporation
Palo Alto Prisma Cloud CWPP データ コネクタを使用すると、Palo Alto Prisma Cloud CWPP インスタンスに接続し、アラートをMicrosoft Sentinelに取り込みます。 データ コネクタはMicrosoft Sentinelの Codeless Connector Framework 上に構築されており、Prisma Cloud API を使用してセキュリティ イベントをフェッチし、受信したセキュリティ イベント データをカスタム列に解析する DCR ベースのインジェスト時間変換をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PrismaCloudCompute_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
PrismaCloudCompute API キー: Palo Alto Prisma Cloud CWPP Monitor API のユーザー名とパスワードが必要です。 詳細については、「 PrismaCloudCompute SIEM API」を参照してください。
Pathlock Inc.: SAP の脅威検出と対応
サポート対象:Pathlock Inc.
Pathlock Threat Detection and Response (TD&R) と Microsoft Sentinel Solution for SAP の統合により、SAP セキュリティ イベントを統合してリアルタイムで可視化し、組織はすべての SAP ランドスケープの脅威を検出して対処できます。 このすぐに利用できる統合により、Security Operations Center (SOC) は SAP 固有のアラートを企業全体のテレメトリと関連付け、IT セキュリティとビジネス プロセスを結び付ける実用的なインテリジェンスを作成できます。
Pathlock のコネクタは、SAP 専用に構築されており、 セキュリティ関連のイベントのみを既定で転送し、必要に応じてすべてのログ ソースを転送する柔軟性を維持しながら、データ量とノイズを最小限に抑えます。 各イベントはビジネス プロセス コンテキストで強化され、Microsoft Sentinelソリューション for SAP Analytics は運用パターンを実際の脅威と区別し、真に重要なものを優先できます。
この精度重視のアプローチは、セキュリティ チームが誤検知を大幅に減らし、調査に集中し、 平均検出時間 (MTTD) と 平均応答時間 (MTTR) を加速するのに役立ちます。 Pathlock のライブラリは、70 以上のログ ソースにわたって 1,500 を超える SAP 固有の検出署名で構成されており、このソリューションは複雑な攻撃動作、構成の弱点、アクセスの異常を明らかにします。
Pathlock では、ビジネス コンテキスト インテリジェンスと高度な分析を組み合わせることで、企業は、複雑さや冗長な監視レイヤーを追加することなく、検出の精度を強化し、対応アクションを合理化し、SAP 環境全体で継続的な制御を維持できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
境界 81 アクティビティ ログ
サポート対象:境界 81
境界 81 アクティビティ ログ コネクタを使用すると、境界 81 アクティビティ ログをMicrosoft Sentinelに簡単に接続して、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Perimeter81_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
リンデバイス
サポート対象:Phosphorus Inc.
Phosphorus Device Connector は、Phosphorus に対して、Phosphorus REST API を介してデバイス データ ログをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、Phosphorus に登録されているデバイスが表示されます。 この Data Connector は、対応するアラートと共にデバイス情報をプルします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Phosphorus_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- REST API の資格情報/アクセス許可: Phosphorus API キー が必要です。 ユーザーに関連付けられている API キーで、[設定の管理] アクセス許可が有効になっていることを確認してください。
設定の管理アクセス許可を有効にするには、次の手順に従います。
- リンアプリケーションにログインする
- [設定] -> [グループ] に移動します
- 統合ユーザーが参加しているグループを選択します
- [設定の管理] 権限の [製品アクション] -> トグルに移動します。
Ping 1 (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
このコネクタは、PingOne Identity プラットフォームからコードレス コネクタ フレームワークを使用して、監査アクティビティ ログをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
プランサー データ コネクタ
サポート対象:プランサー PenSuiteAI 統合
プランサー データ コネクタには、プランサー (CSPM)[https://docs.prancer.io/web/CSPM/] と PAC データを取り込み、Microsoft Sentinelを介して処理する機能が用意されています。 詳細については、「 プランサーのドキュメント」 を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
prancer_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
接続が必要な場合はカスタム前提条件を含める - それ以外の場合は税関を削除する: カスタム前提条件の説明
Premium Microsoft Defender 脅威インテリジェンス
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Microsoft によって生成された脅威インテリジェンスをインポートして、監視、アラート、ハンティングを有効にする機能が提供されます。 このデータ コネクタを使用して、Premium Microsoft Defender 脅威インテリジェンス (MDTI) から Microsoft Sentinel に侵害のインジケーター (IOC) をインポートします。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュなどを含めることができます。注: これは有料コネクタです。 データを使用して取り込むには、パートナー センターから "MDTI API Access" SKU を購入してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
Proofpoint On Demand Email セキュリティ (コードレス コネクタ フレームワーク経由)
サポート対象:Proofpoint, Inc.
Proofpoint On Demand Email セキュリティ データ コネクタは、Proofpoint on Demand Email Protection データを取得する機能を提供します。これにより、ユーザーはメッセージの追跡可能性をチェックし、攻撃者や悪意のあるインサイダーによる電子メール アクティビティ、脅威、データ流出を監視できます。 コネクタを使用すると、組織のイベントを迅速に確認し、最近のアクティビティに対して 1 時間単位でイベント ログ ファイルを取得できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofpointPODMailLog_CL |
はい | はい |
ProofpointPODMessage_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Websocket API の資格情報/アクセス許可: ProofpointClusterID、 ProofpointToken が必要です。 詳細については、「 API」を参照してください。
Proofpoint On Demand Email セキュリティ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Proofpoint On Demand Email セキュリティ データ コネクタは、Proofpoint on Demand Email Protection データを取得する機能を提供します。これにより、ユーザーはメッセージの追跡可能性をチェックし、攻撃者や悪意のあるインサイダーによる電子メール アクティビティ、脅威、データ流出を監視できます。 コネクタを使用すると、組織のイベントを迅速に確認し、最近のアクティビティに対して 1 時間単位でイベント ログ ファイルを取得できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofpointPODMailLog_CL |
はい | はい |
ProofpointPODMessage_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Websocket API の資格情報/アクセス許可: ProofpointClusterID、 ProofpointToken が必要です。 詳細については、「 API」を参照してください。
Proofpoint TAP (コードレス コネクタ フレームワーク経由)
サポート対象:Proofpoint, Inc.
Proofpoint Targeted Attack Protection (TAP) コネクタは、Proofpoint TAP ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上を図るために、Microsoft Sentinelのメッセージ イベントとクリック イベントを可視化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
はい | はい |
ProofPointTAPMessagesBlockedV2_CL |
はい | はい |
ProofPointTAPClicksPermittedV2_CL |
はい | はい |
ProofPointTAPClicksBlockedV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Proofpoint TAP API キー: Proofpoint の SIEM API にアクセスするには、Proofpoint TAP API サービス プリンシパルとシークレットが必要です。 詳細については、「 Proofpoint SIEM API」を参照してください。
Proofpoint TAP (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Proofpoint Targeted Attack Protection (TAP) コネクタは、Proofpoint TAP ログとイベントをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、ダッシュボードの表示、カスタム アラートの作成、監視と調査の機能の向上を図るために、Microsoft Sentinelのメッセージ イベントとクリック イベントを可視化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
はい | はい |
ProofPointTAPMessagesBlockedV2_CL |
はい | はい |
ProofPointTAPClicksPermittedV2_CL |
はい | はい |
ProofPointTAPClicksBlockedV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Proofpoint TAP API キー: Proofpoint の SIEM API にアクセスするには、Proofpoint TAP API サービス プリンシパルとシークレットが必要です。 詳細については、「 Proofpoint SIEM API」を参照してください。
QscoutAppEventsConnector (コードレス コネクタ フレームワーク経由)
サポート対象:Quokka
Qscout アプリケーション イベントをMicrosoft Sentinelに取り込む
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QscoutAppEvents_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Qscout 組織 ID: API には Qscout のorganization ID が必要です。
-
Qscout Organization API キー: API には Qscout の organization API キーが必要です。
Qualys ナレッジ ベース (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Qualys API のバージョン 2.0 を使用して、Qualys ナレッジ ベースの脆弱性データをMicrosoft Sentinelに取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QualysKnowledgeBase |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Qualys API アクセス: ナレッジ ベース エンドポイントへの読み取りアクセス権を持つ Qualys ユーザー アカウントが必要です。
Qualys VM KnowledgeBase (Azure Functionsを使用)
サポート元:Microsoft Corporation
Qualys Vulnerability Management (VM) KnowledgeBase (KB) コネクタは、Qualys KB から最新の脆弱性データをMicrosoft Sentinelに取り込む機能を提供します。
このデータは、 Qualys Vulnerability Management (VM) データ コネクタによって検出された脆弱性検出を関連付け、強化するために使用できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QualysKB_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Qualys API キー: Qualys VM API のユーザー名とパスワードが必要です。 詳細については、「 Qualys VM API」を参照してください。
Qualys Vulnerability Management (コードレス コネクタ フレームワークを使用)
サポート元:Microsoft Corporation
Qualys Vulnerability Management (VM) データ コネクタは、Qualys API を介して脆弱性ホスト検出データをMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、vulerability スキャンからホスト検出データを可視化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
QualysHostDetectionV3_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
API アクセスとロール: Qualys VM ユーザーが閲覧者以上のロールを持っていることを確認します。 ロールが [閲覧者] の場合は、アカウントに対して API アクセスが有効になっていることを確認します。 監査者ロールは、API にアクセスするためにサポートされていません。 詳細については、Qualys VM ホスト検出 API と ユーザー ロールの比較 に関するドキュメントを参照してください。
AMA 経由の Radiflow iSID
サポート対象:Radiflow
iSID を使用すると、複数のセキュリティ パッケージを使用して、トポロジと動作の変更に関する分散 ICS ネットワークを中断しない監視が可能になり、それぞれが特定の種類のネットワーク アクティビティに関連する一意の機能を提供します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
RadiflowEvent |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Rapid7 Insight Platform の脆弱性管理レポート (Azure Functionsを使用)
サポート元:Microsoft Corporation
Rapid7 Insight VM Report データ コネクタは、Rapid7 Insight プラットフォーム (クラウドで管理) から REST API を介してスキャン レポートと脆弱性データをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
不要 | 不要 |
NexposeInsightVMCloud_vulnerabilities_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API 資格情報: REST API には InsightVMAPIKey が必要です。 詳細については、「 API」を参照してください。 すべての要件を確認し、資格情報を取得する手順に従います
RSA ID Plus 管理 Logs コネクタ
サポート対象:RSA サポート チーム
RSA ID Plus AdminLogs Connector には、クラウド 管理 コンソール監査イベントを Cloud 管理 API を使用してMicrosoft Sentinelに取り込む機能が用意されています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
RSA ID Plus API 認証: 管理 API にアクセスするには、クライアントのレガシ管理 API キーで署名された有効な Base64URL でエンコードされた JWT トークンが必要です。
Rubrik Security Cloud データ コネクタ (Azure Functionsを使用)
Rubrik Security Cloud データ コネクタを使用すると、セキュリティ運用チームは Rubrik の Data Observability サービスからの分析情報をMicrosoft Sentinelに統合できます。 分析情報には、ランサムウェアと大量削除に関連する異常なファイルシステムの動作の特定、ランサムウェア攻撃の爆発半径の評価、潜在的なインシデントの優先順位付けと迅速な調査を行う機密データオペレーターが含まれます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Rubrik_Anomaly_Data_CL |
はい | はい |
Rubrik_Ransomware_Data_CL |
はい | はい |
Rubrik_ThreatHunt_Data_CL |
はい | はい |
Rubrik_Events_Data_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
SaaS セキュリティ
サポート対象:Valence セキュリティ
REST API インターフェイスを介して Valence SaaS セキュリティ プラットフォームAzure Log Analytics に接続します
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ValenceAlert_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
SailPoint IdentityNow (Azure Functionsを使用)
サポート対象:SailPoint
SailPoint IdentityNow データ コネクタは、[SailPoint IdentityNow] 検索イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 コネクタを使用すると、IdentityNow テナントから監査情報を抽出できます。 これは、IdentityNow ユーザー アクティビティとガバナンス イベントをMicrosoft Sentinelに取り込み、セキュリティ インシデントとイベント監視ソリューションからの分析情報を向上させることを目的としています。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SailPointIDN_Events_CL |
はい | はい |
SailPointIDN_Triggers_CL |
不要 | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
SailPoint IdentityNow API 認証資格情報: 認証には、TENANT_ID、CLIENT_ID、CLIENT_SECRETが必要です。
Salesforce Service Cloud (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Salesforce Service Cloud データ コネクタでは、Salesforce 運用イベントに関する情報を REST API を介してMicrosoft Sentinelに取り込む機能が提供されます。 コネクタを使用すると、組織のイベントを迅速に確認し、最近のアクティビティに対して 1 時間単位で イベント ログ ファイル を取得できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SalesforceServiceCloudV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Salesforce Service Cloud API アクセス: 接続済みアプリを使用して Salesforce Service Cloud API にアクセスする必要があります。
Samsung Knox Asset Intelligence
サポート対象:サムスン電子株式会社
Samsung Knox Asset Intelligence Data Connector を使用すると、ブック テンプレートを使用してカスタマイズされた分析情報を表示し、分析ルール テンプレートに基づいてインシデントを特定するために、モバイル セキュリティ イベントとログを一元化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Samsung_Knox_Audit_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Entra アプリ: Entra アプリを "Microsoft Metrics Publisher" ロールで登録してプロビジョニングし、セキュリティで保護されたデータ転送の資格情報として証明書またはクライアント シークレットで構成する必要があります。
アプリの作成、登録、資格情報の構成Entra詳細については、「ログ インジェスト チュートリアル」を参照してください。
SAP BTP
サポート元:Microsoft Corporation
SAP Business Technology Platform (SAP BTP) は、データ管理、分析、人工知能、アプリケーション開発、自動化、統合を 1 つの統合環境にまとめます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPBTPAuditLog_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
監査取得 API のクライアント ID とクライアント シークレット: BTP で API アクセスを有効にします。
SAP Enterprise Threat Detection(クラウド エディション)
サポート対象:SAP
SAP Enterprise Threat Detection、Cloud Edition (ETD) データ コネクタを使用すると、ETD からMicrosoft Sentinelにセキュリティ アラートを取り込み、相互相関、アラート、脅威ハンティングをサポートできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPETDAlerts_CL |
はい | はい |
SAPETDInvestigations_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
ETD 取得 API のクライアント ID とクライアント シークレット: ETD で API アクセスを有効にします。
SAP LogServ (RISE)、S/4HANA Cloud プライベート エディション
サポート対象:SAP
SAP LogServ は、ログの収集、ストレージ、転送、アクセスを目的とした SAP Enterprise Cloud Services (ECS) サービスです。 LogServ は、登録された顧客が使用するすべてのシステム、アプリケーション、ECS サービスからログを一元化します。
主な機能は次のとおりです。
ほぼリアルタイムのログ収集: SIEM ソリューションとしてMicrosoft Sentinelに統合できます。
LogServ は、Microsoft Sentinelの既存の SAP アプリケーション層の脅威の監視と検出を、SAP ECS がシステム プロバイダーとして所有するログの種類と補完します。 これには、SAP セキュリティ監査ログ (AS ABAP)、HANA データベース、AS JAVA、ICM、SAP Web Dispatcher、SAP Cloud Connector、OS、SAP Gateway、サード パーティ データベース、ネットワーク、DNS、プロキシ、ファイアウォールなどのログが含まれます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SAPLogServ_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
SAP S/4HANA Cloud Public Edition
サポート対象:SAP
SAP S/4HANA Cloud Public Edition (GROW with SAP) データ コネクタを使用すると、SAP のセキュリティ監査ログを SAP 向けMicrosoft Sentinel ソリューションに取り込み、相互相関、アラート、脅威ハンティングをサポートできます。 代替認証メカニズムをお探しですか? こちらを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
監査取得 API のクライアント ID とクライアント シークレット: BTP で API アクセスを有効にします。
SecurityBridge Solution for SAP
サポート対象:SecurityBridge
SecurityBridge は、Microsoft Sentinelとシームレスに統合することで SAP セキュリティを強化し、SAP 環境全体でリアルタイムの監視と脅威検出を可能にします。 この統合により、Security Operations Center (SOC) は、SAP セキュリティ イベントを他の組織データと統合し、脅威の状況を一元的に表示できます。 AI を利用した分析と Microsoft のSecurity Copilotを利用して、SecurityBridge は、ABAP コード スキャンや構成評価など、SAP アプリケーション内の高度な攻撃パターンと脆弱性を特定します。 このソリューションは、オンプレミス、クラウド、ハイブリッド環境など、複雑な SAP ランドスケープ全体にわたるスケーラブルなデプロイをサポートします。 IT と SAP セキュリティ チームのギャップを埋めることで、SecurityBridge は組織が脅威を事前に検出、調査、対応し、全体的なセキュリティ体制を強化できるようにします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ABAPAuditLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルールに対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
Semperis Lightning ログ
サポート対象:Semperis
Semperis Lightning コネクタでは、Azure Functionsを使用して Semperis Lightning ID セキュリティ データをMicrosoft Sentinelに取り込みます。 コネクタは、Azure関数をデプロイし、調査と脅威ハンティングのためにカスタム Log Analytics テーブルにデータを収集します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
LightningTier0Nodes_CL |
不要 | 不要 |
LightningAttackPaths_CL |
不要 | 不要 |
LightningIOEResults_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Semperis Lightning API の資格情報: Semperis Lightning API キー と選択された ゾーン (na または eu) は、Semperis Lightning へのコネクタを認証するために必要です。
SentinelOne
サポート元:Microsoft Corporation
SentinelOne データ コネクタを使用すると、SentinelOne API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 SentinelOne API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリでもう一度解析する必要がないため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SentinelOneActivities_CL |
はい | はい |
SentinelOneAgents_CL |
はい | はい |
SentinelOneGroups_CL |
はい | はい |
SentinelOneThreats_CL |
はい | はい |
SentinelOneAlerts_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
SentinelOne (Azure Functionsを使用)
サポート元:Microsoft Corporation
SentinelOne データ コネクタは、脅威、エージェント、アプリケーション、アクティビティ、ポリシー、グループなどの一般的な SentinelOne サーバー オブジェクトを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、「API ドキュメント: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview 」を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SentinelOne_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: SentinelOneAPIToken が必要です。
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewの API の詳細については、ドキュメントを参照してください。
Seraphic Web セキュリティ
サポート対象:Seraphic セキュリティ
Seraphic Web Security データ コネクタは、Seraphic Web セキュリティ イベントとアラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SeraphicWebSecurity_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Seraphic API キー: Seraphic Web セキュリティ テナントに接続されているMicrosoft Sentinelの API キー。 テナントのこの API キーを取得するには、 こちらのドキュメントを参照してください。
Silverfort 管理 コンソール
サポート対象:Silverfort
Silverfort ITDR 管理 コンソール コネクタ ソリューションを使用すると、Silverfort イベントを取り込み、Microsoft Sentinelにログインできます。 Silverfort は、共通イベント形式 (CEF) を使用して syslog ベースのイベントとログを提供します。 Silverfort ITDR 管理 コンソール CEF データをMicrosoft Sentinelに転送することで、Silverfort データに対する Sentinel の検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。 詳細については、Silverfort に問い合わせるか、Silverfort のドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
SlackAudit (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
SlackAudit データ コネクタは、REST API を介して Slack 監査ログをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SlackAuditV2_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
UserName、SlackAudit API Key & アクションの種類: アクセス トークンを生成するには、Slack で新しいアプリケーションを作成し、必要なスコープを追加してリダイレクト URL を構成します。 アクセス トークン、ユーザー名、アクション名の制限の生成に関する詳細な手順については、 リンクを参照してください。
Snowflake (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Snowflake データ コネクタは、Snowflake ログイン履歴ログ、クエリ履歴ログ、ユーザー許可ログ、ロール付与ログ、ロード履歴ログ、具体化されたビュー更新履歴ログ、ロール ログ、テーブル ログ、テーブル ストレージ メトリック ログ、ユーザー ログを Snowflake SQL API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Snowflake SQL API のドキュメント を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SnowflakeLogin_CL |
はい | はい |
SnowflakeQuery_CL |
はい | はい |
SnowflakeUserGrant_CL |
はい | はい |
SnowflakeRoleGrant_CL |
はい | はい |
SnowflakeLoad_CL |
はい | はい |
SnowflakeMaterializedView_CL |
はい | はい |
SnowflakeRoles_CL |
はい | はい |
SnowflakeTables_CL |
はい | はい |
SnowflakeTableStorageMetrics_CL |
はい | はい |
SnowflakeUsers_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
SOC Prime Platform Audit Logs Data Connector
サポート対象:SOC Prime
SOC Prime Audit Logs データ コネクタを使用すると、SOC Prime Platform API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 SOC Prime Platform API を使用して SOC Prime プラットフォーム監査ログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、パフォーマンスが向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SOCPrimeAuditLogs_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Sonrai Data Connector
サポート対象: :N/A
このデータ コネクタを使用して、Sonrai Security と統合し、Sonrai チケットをMicrosoft Sentinelに直接送信します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Sonrai_Tickets_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Sophos Endpoint Protection (Azure Functionsを使用)
サポート元:Microsoft Corporation
Sophos Endpoint Protection データ コネクタは、ソフォスのイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、Sophos Central 管理ドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SophosEP_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: API トークン が必要です。 詳細については、「API トークン」を参照してください。
Sophos Endpoint Protection (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Sophos Endpoint Protection データ コネクタは、ソフォスのイベントとソフォスのアラートをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、Sophos Central 管理ドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SophosEPEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Sophos Endpoint Protection API アクセス: サービス プリンシパルを介した Sophos Endpoint Protection API へのアクセスが必要です。
Symantec 統合サイバー防御 Exchange
サポート元:Microsoft Corporation
Symantec ICDx コネクタを使用すると、Symantec セキュリティ ソリューション ログをMicrosoft Sentinelに簡単に接続して、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SymantecICDx_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Synqly Integration Connector
サポート対象:Synqly
Synqly コネクタは、Azure ログ インジェスト API を使用して、Synqly 統合からMicrosoft Sentinelにセキュリティ イベントをプッシュする機能を提供します。 Microsoft Sentinel分析、ブック、ハンティング クエリで使用するために、イベントは ASIM (高度なセキュリティ情報モデル) テーブルに自動的に正規化されます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entra ID: アプリケーションの登録を作成するためのアプリケーション開発者ロール (以上)。
-
Microsoft Azure: リソース グループの所有者またはユーザー アクセス管理者ロールを使用して DCR をデプロイし、監視メトリックパブリッシャー ロールを割り当てます。
AMA 経由の Syslog
サポート元:Microsoft Corporation
Syslog は、Linuxに共通するイベント ログ プロトコルです。 アプリケーションは、ローカル コンピューターに格納されるか、Syslog コレクターに配信される可能性があるメッセージを送信します。 エージェント for Linuxがインストールされると、エージェントにメッセージを転送するようにローカル Syslog デーモンが構成されます。 その後、エージェントはメッセージをワークスペースに送信します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
TacitRed の侵害された資格情報
サポート対象:Data443 リスク軽減策 Inc.
Common Connector Framework (CCF) を使用して、侵害された資格情報の結果を TacitRed から取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TacitRed_Findings_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
TacitRed API キー: Azure Key Vaultに格納されるか、デプロイ時に提供される API キー。
Talon Insights
サポート対象:Talon セキュリティ
Talon セキュリティ ログ コネクタを使用すると、Talon イベントと監査ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Talon_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Team Cymru Scout Data Connector (Azure Functionsを使用)
サポート対象:Team Cymru
TeamCymruScout データ コネクタを使用すると、ユーザーはチーム Cymru Scout の IP、ドメイン、アカウントの使用状況データをMicrosoft Sentinelに持ち込んでエンリッチメントを行うことができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Foundation_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Details_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Communications_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_PDNS_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Fingerprints_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_OpenPorts_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_x509_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Summary_Details_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Summary_Certs_CL |
不要 | 不要 |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
不要 | 不要 |
Cymru_Scout_Account_Usage_Data_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- 登録済みアプリケーションにロールを割り当てるアクセス許可: Microsoft Entra IDの登録済みアプリケーションにロールを割り当てるアクセス許可が必要です。
-
Team Cymru Scout の資格情報/アクセス許可: Team Cymru Scout アカウントの資格情報 (ユーザー名、パスワード) が必要です。
テナント ID の公開
Tenable Identity Exposure コネクタを使用すると、露出のインジケーター、攻撃のインジケーター、証跡フロー ログをMicrosoft Sentinelに取り込むことができます。さまざまな作業ブックとデータ パーサーを使用すると、ログをより簡単に操作し、Active Directory 環境を監視できます。 分析テンプレートを使用すると、さまざまなイベント、露出、攻撃に関する応答を自動化できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
TenableIE 構成へのアクセス: Syslog アラート エンジンを構成するためのアクセス許可
Tenable Vulnerability Management (Azure Functionsを使用)
TVM データ コネクタは、資産、脆弱性、コンプライアンス、WAS 資産、WAS の脆弱性データを TVM REST API を使用してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタは、潜在的なセキュリティ リスクの調査、コンピューティング資産の分析情報の取得、構成の問題の診断に役立つデータを取得する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Tenable_VM_Asset_CL |
はい | はい |
Tenable_VM_Vuln_CL |
はい | はい |
Tenable_VM_Compliance_CL |
はい | はい |
Tenable_WAS_Asset_CL |
はい | はい |
Tenable_WAS_Vuln_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Tenable REST API にアクセスするには、 TenableAccessKey と TenableSecretKey の両方が必要です。 詳細については、「 API」を参照してください。 すべての 要件を確認し、資格情報を取得する手順に従います 。
クラウド用のテナント ベースのMicrosoft Defender
サポート元:Microsoft Corporation
Microsoft Defender for Cloud は、Azure、ハイブリッド、マルチクラウドの各ワークロードにわたる脅威を検出して迅速に対応できるセキュリティ管理ツールです。 このコネクタを使用すると、Microsoft 365 Defender から MDC セキュリティ アラートをMicrosoft Sentinelにストリーミングできるため、クラウド リソース、デバイス、ID 間でドットを接続する XDR 相関関係の利点を活用し、ブック、クエリ、調査、インシデントに対応するデータを表示できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
TheHive (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
TheHive データ コネクタは、REST API を介して TheHive セキュリティ インシデント対応プラットフォーム データをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタは、TheHive からケース、タスク、アラートを取得し、Microsoft Sentinelで視覚化する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TheHiveData |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
TheHive API access: TheHive API Version 4 以降 のアクセスは TheHive API に必要です。
Theom
サポート対象:Theom
Theom Data Connector を使用すると、組織は Theom 環境をMicrosoft Sentinelに接続できます。 このソリューションを使用すると、ユーザーはデータ セキュリティ リスクに関するアラートを受け取り、インシデントを作成および強化し、統計情報をチェックし、Microsoft Sentinelで SOAR プレイブックをトリガーできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TheomAlerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
脅威インテリジェンス - TAXII
サポート元:Microsoft Corporation
Microsoft Sentinelは TAXII 2.0 および 2.1 データ ソースと統合され、脅威インテリジェンスを使用した監視、アラート、ハンティングが可能になります。 このコネクタを使用して、サポートされている STIX オブジェクトの種類を TAXII サーバーからMicrosoft Sentinelに送信します。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュを含めることができます。 詳細については、Microsoft Sentinelドキュメント >を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
脅威インテリジェンス プラットフォーム
サポート元:Microsoft Corporation
Microsoft Sentinelは、Microsoft Graph Security API データ ソースと統合され、脅威インテリジェンスを使用した監視、アラート、ハンティングが可能になります。 このコネクタを使用して、Threat Connect、Palo Alto Networks MindMeld、MISP、その他の統合アプリケーションなど、脅威インテリジェンス プラットフォーム (TIP) からMicrosoft Sentinelに脅威インジケーターを送信します。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュを含めることができます。 詳細については、Microsoft Sentinelドキュメント >を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
脅威インテリジェンスアップロード API (プレビュー)
サポート元:Microsoft Corporation
Microsoft Sentinelでは、Threat Connect、Palo Alto Networks MineMeld、MISP、その他の統合アプリケーションなど、脅威インテリジェンス プラットフォーム (TIP) から脅威インテリジェンスを取り込むデータ プレーン API が提供されます。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュ、電子メール アドレスを含めることができます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
Transmit Security Connector (Azure Functionsを使用)
サポート対象:送信セキュリティ
[Transmit Security] データ コネクタは、一般的な Transmit Security API イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API ドキュメントを参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TransmitSecurityActivity_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API クライアント ID: TransmitSecurityClientID が必要です。
https://developer.transmitsecurity.com/の API の詳細については、ドキュメントを参照してください。 -
REST API クライアント シークレット: TransmitSecurityClientSecret が必要です。
https://developer.transmitsecurity.com/の API の詳細については、ドキュメントを参照してください。
Trellix エンドポイント セキュリティ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Trellix エンドポイント セキュリティ データ コネクタを使用すると、Trellix ePO (ePolicy Orchestrator) からセキュリティ イベントをMicrosoft Sentinelに取り込みます。 このコネクタでは、OAuth2 クライアント資格情報認証を使用し、改ページ処理を自動的に処理して、脅威の検出、アナライザー情報、ソースとターゲット のシステムの詳細、脅威対応アクションなど、包括的なエンドポイント セキュリティ データを収集します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TrellixEvents |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Trend Vision One (Azure Functionsを使用)
サポート対象:Trend Micro
Trend Vision One コネクタを使用すると、Workbench アラート データをMicrosoft Sentinelに簡単に接続して、ダッシュボードを表示したり、カスタム アラートを作成したり、監視と調査の機能を向上させることができます。 これにより、organizationのネットワーク/システムに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。
Trend Vision One コネクタは、次のリージョンのMicrosoft Sentinelでサポートされています:オーストラリア東部、オーストラリア南東部、ブラジル南部、カナダ中部、カナダ東部、インド中部、米国中部、東アジア、米国東部、米国東部 2、フランス中部、東日本、韓国中部、米国中北部、北ヨーロッパ、ノルウェー東部、南アフリカ北部、米国中南部、東南アジア、スウェーデン中部、 スイス北部、アラブ首長国連邦北部、英国南部、英国西部、西ヨーロッパ、米国西部、米国西部 2、米国西部 3。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
不要 | 不要 |
TrendMicro_XDR_RCA_Task_CL |
不要 | 不要 |
TrendMicro_XDR_RCA_Result_CL |
不要 | 不要 |
TrendMicro_XDR_OAT_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Trend Vision One API トークン: Trend Vision One API トークンが必要です。
Trend Vision One API の詳細については、ドキュメントを参照してください。
Tropico セキュリティ - アラート
サポート対象:TROPICO セキュリティ
OCSF セキュリティ検索形式で Tropico セキュリティ プラットフォームからセキュリティ アラートを取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Tropico セキュリティ - イベント
サポート対象:TROPICO セキュリティ
OCSF セキュリティ検索形式で Tropico セキュリティ プラットフォームからセキュリティ イベントを取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Tropico セキュリティ - インシデント
サポート対象:TROPICO セキュリティ
Tropico セキュリティ プラットフォームから攻撃者セッション インシデントを取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
{{graphQueriesTableName}} |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Varonis Purview プッシュ コネクタ
サポート対象:Varonis
Varonis Purview コネクタは、Varonis から Microsoft Purview にリソースを同期する機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VaronisResources_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です
Varonis SaaS
サポート対象:Varonis
Varonis SaaS には、Varonis アラートをMicrosoft Sentinelに取り込む機能が用意されています。
Varonis は、データ アクセスの詳細なデータの可視性、分類機能、自動修復を優先します。 Varonis は、データに対するリスクの優先順位付けされた 1 つのビューを構築するため、インサイダーの脅威やサイバー攻撃によるリスクを事前かつ体系的に排除できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VaronisAlerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
Vectra XDR (Azure Functionsを使用)
サポート対象:Vectra サポート
Vectra XDR コネクタは、Vectra REST API を介して Vectra 検出、監査、エンティティ スコアリング、ロックダウン、正常性、エンティティのデータをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント「 https://support.vectra.ai/s/article/KB-VS-1666 」を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Detections_Data_CL |
はい | はい |
Audits_Data_CL |
はい | はい |
Entity_Scoring_Data_CL |
はい | はい |
Lockdown_Data_CL |
はい | はい |
Health_Data_CL |
はい | はい |
Entities_Data_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: 正常性、エンティティ スコアリング、エンティティ、検出、ロックダウン、監査のデータ収集には 、Vectra クライアント ID と クライアント シークレット が必要です。
https://support.vectra.ai/s/article/KB-VS-1666の API の詳細については、ドキュメントを参照してください。
Veeam Data Connector (Azure Functionsを使用)
サポート対象:Veeam Software
Veeam Data Connector を使用すると、複数のカスタム テーブルから veeam テレメトリ データをMicrosoft Sentinelに取り込めます。
コネクタは、包括的な監視とセキュリティ分析を提供するために、Veeam Backup & Replication、Veeam ONE、Coveware プラットフォームとの統合をサポートしています。 データはAzure Functionsを介して収集され、専用のデータ収集規則 (DCR) とデータ収集エンドポイント (DCE) を使用してカスタム Log Analytics テーブルに格納されます。
カスタム テーブルが含まれています:
- VeeamMalwareEvents_CL: Veeam Backup & レプリケーションからのマルウェア検出イベント
- VeeamSecurityComplianceAnalyzer_CL: Veeam バックアップ インフラストラクチャ コンポーネントから収集されたセキュリティ & コンプライアンス アナライザーの結果
- VeeamAuthorizationEvents_CL: 承認イベントと認証イベント
- VeeamOneTriggeredAlarms_CL: Veeam ONE サーバーからトリガーされたアラーム
- VeeamCovewareFindings_CL: Coveware ソリューションからのセキュリティ結果
- VeeamSessions_CL: Veeam セッション
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VeeamMalwareEvents_CL |
はい | はい |
VeeamSecurityComplianceAnalyzer_CL |
はい | はい |
VeeamOneTriggeredAlarms_CL |
はい | はい |
VeeamAuthorizationEvents_CL |
はい | はい |
VeeamCovewareFindings_CL |
はい | はい |
VeeamSessions_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Veeam インフラストラクチャ アクセス: Veeam Backup & Replication REST API と Veeam ONE 監視プラットフォームへのアクセスが必要です。 これには、適切な認証資格情報とネットワーク接続が含まれます。
VersasecCms
サポート対象:Versasec サポート
VersasecCms データ コネクタを使用すると、ログをMicrosoft Sentinelに取り込むことができます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
VersasecCmsSysLogs_CL |
不要 | 不要 |
VersasecCmsErrorLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
Microsoft Sentinelの VirtualMetric DataStream
サポート対象:VirtualMetric
VirtualMetric DataStream コネクタは、セキュリティ テレメトリをMicrosoft Sentinelに取り込むためのデータ収集ルールをデプロイします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- アプリの登録またはマネージド ID のAzure: VirtualMetric DataStream では、Microsoft Sentinelにログを認証して送信するために、Entra ID ID が必要です。 クライアント ID とクライアント シークレットを使用してアプリ登録を作成するか、資格情報管理なしでセキュリティを強化するために Azure マネージド ID を使用するかのどちらかを選択できます。
-
リソース グループ ロールの割り当て: 選択した ID (アプリ登録またはマネージド ID) は、データ収集エンドポイントを含むリソース グループに割り当てる必要があります。監視メトリック パブリッシャー (ログ インジェスト用) と監視リーダー (読み取りストリーム構成用)。
Microsoft Sentinel Data Lake の VirtualMetric DataStream
サポート対象:VirtualMetric
VirtualMetric DataStream コネクタは、データ収集ルールをデプロイして、セキュリティ テレメトリをデータ レイクMicrosoft Sentinel取り込みます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- アプリの登録またはマネージド ID のAzure: VirtualMetric DataStream では、Microsoft Sentinel データ レイクにログを認証して送信するために、Entra ID ID が必要です。 クライアント ID とクライアント シークレットを使用してアプリ登録を作成するか、資格情報管理なしでセキュリティを強化するために Azure マネージド ID を使用するかのどちらかを選択できます。
-
リソース グループ ロールの割り当て: 選択した ID (アプリ登録またはマネージド ID) は、データ収集エンドポイントを含むリソース グループに割り当てる必要があります。監視メトリック パブリッシャー (ログ インジェスト用) と監視リーダー (読み取りストリーム構成用)。
VirtualMetric Director プロキシ
サポート対象:VirtualMetric
VirtualMetric Director Proxy は、Azure関数アプリをデプロイして、VirtualMetric DataStream をMicrosoft Sentinel、Azure Data Explorer、Azure Storage などのAzure サービスと安全にブリッジします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azure関数アプリ: ディレクター プロキシをホストするには、Azure関数アプリをデプロイする必要があります。 関数アプリを作成および管理するには、リソース グループ内の Microsoft.Web/sites リソースに対する読み取り、書き込み、削除のアクセス許可が必要です。
- VirtualMetric DataStream 構成: ディレクター プロキシに接続するには、認証資格情報を使用して VirtualMetric DataStream を構成する必要があります。 ディレクター プロキシは、VirtualMetric DataStream と Azure サービスの間のセキュリティで保護されたブリッジとして機能します。
-
ターゲット Azure サービス: Microsoft Sentinel データ収集エンドポイント、Azure Data Explorer クラスター、ディレクター プロキシがデータを転送するAzure ストレージ アカウントなどのターゲット Azure サービスを構成します。
VMRayThreatIntelligence (Azure Functionsを使用)
サポート対象:VMRay
VMRayThreatIntelligence コネクタは、VMRay へのすべての送信に対して脅威インテリジェンスを自動的に生成してフィードし、Sentinelでの脅威検出とインシデント対応を向上させます。 このシームレスな統合により、チームは新たな脅威に積極的に対処できるようになります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ThreatIntelligenceIndicator |
はい | 不要 |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Azureサブスクリプション: azure active directory() にアプリケーションを登録し、リソース グループ内のアプリに共同作成者のロールを割り当てるには、所有者ロールを持つAzureサブスクリプションが必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: VMRay API キー が必要です。
VMware Carbon Black Cloud (Azure Functionsを使用)
サポート対象:Microsoft
VMware Carbon Black Cloud コネクタは、Carbon Black データをMicrosoft Sentinelに取り込む機能を提供します。 コネクタは、ダッシュボードの表示、カスタム アラートの作成、監視と調査機能の向上のために、Microsoft Sentinelの監査、通知、イベント ログを可視化します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CarbonBlackEvents_CL |
不要 | 不要 |
CarbonBlackNotifications_CL |
不要 | 不要 |
CarbonBlackAuditLogs_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- VMware Carbon Black API キー: カーボンブラック API または SIEM レベル API キーが必要です。 Carbon Black API の詳細については、ドキュメントを参照してください。
- 監査ログとイベント ログには、Carbon Black API アクセス レベルの API ID とキーが必要です。
- 通知アラートには、Carbon Black SIEM アクセス レベルの API ID とキーが必要です。
-
Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセスキー ID、 AWS シークレットアクセスキー、 AWS S3 バケット名、 AWS S3 バケットのフォルダー名 が必要です。
AWS S3 経由の VMware Carbon Black Cloud (コードレス コネクタ フレームワーク経由)
サポート対象:Microsoft
AWS S3 データ コネクタを介した VMware Carbon Black Cloud は、AWS S3 を介してウォッチリスト、アラート、認証、エンドポイントのイベントを取り込み、それらを ASIM 正規化されたテーブルにストリーミングする機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CarbonBlack_Alerts_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- 環境: S3、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシー:次の AWS リソースを定義して構成する必要があります。
-
環境: AWS S3 バケットに転送されるデータを作成するには、カーボンブラックアカウントと必要なアクセス許可が必要です。
詳細については、「Carbon Black Data Forwarder Docs」を参照してください。
AMA を使用した Windows DNS イベント
サポート元:Microsoft Corporation
Windows DNS ログ コネクタを使用すると、Azure監視エージェント (AMA) を使用して、Windows DNS サーバーのすべての分析ログを簡単にフィルター処理し、Microsoft Sentinel ワークスペースにストリーミングできます。 このデータをMicrosoft Sentinelにすると、次のような問題やセキュリティ上の脅威を特定するのに役立ちます。
- 悪意のあるドメイン名を解決しようとしています。
- 古いリソース レコード。
- 頻繁にクエリを実行するドメイン名と話し合い DNS クライアント。
- DNS サーバーに対して実行された攻撃。
Microsoft Sentinelから Windows DNS サーバーに関する次の分析情報を取得できます。
- すべてのログを 1 か所で一元化します。
- DNS サーバーの負荷を要求します。
- 動的 DNS 登録エラー。
Windows DNS イベントは、Advanced SIEM Information Model (ASIM) でサポートされ、ASimDnsActivityLogs テーブルにデータをストリーミングします。 詳細情報 を参照してください。
詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimDnsActivityLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
Windows ファイアウォール
サポート元:Microsoft Corporation
Windows ファイアウォールは、インターネットからシステムに送信される情報をフィルター処理し、有害な可能性のあるプログラムをブロックする Microsoft Windows アプリケーションです。 ソフトウェアは、ほとんどのプログラムがファイアウォールを介して通信することをブロックします。 ユーザーは、許可されているプログラムの一覧にプログラムを追加するだけで、ファイアウォール経由で通信できます。 パブリック ネットワークを使用する場合、Windows ファイアウォールは、お使いのコンピューターへの接続に関するすべての未承諾の試行をブロックすることで、システムをセキュリティで保護することもできます。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
AMA を使用した Windows ファイアウォール イベント
サポート元:Microsoft Corporation
Windows ファイアウォールは、インターネットからシステムに送信される情報をフィルター処理し、有害な可能性のあるプログラムをブロックする Microsoft Windows アプリケーションです。 ファイアウォール ソフトウェアは、ほとんどのプログラムがファイアウォール経由で通信することをブロックします。 マシンから収集された Windows ファイアウォール アプリケーション ログをストリーミングするには、Azure Monitor エージェント (AMA) を使用して、それらのログを Microsoft Sentinel ワークスペースにストリーミングします。
AMA がログを収集するために作成したデータ収集規則 (DCR) とリンクするには、構成されたデータ収集エンドポイント (DCE) が必要です。 このコネクタの場合、DCE はワークスペースと同じリージョンに自動的に作成されます。 同じリージョンに格納されている DCE を既に使用している場合は、既定で作成された DCE を変更し、API を使用して既存の DCE を使用できます。 DCEs は、リソース名に SentinelDCE プレフィックスを持つリソース内に配置できます。
詳細については、次の記事を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|
データ収集ルールのサポート: 現在サポートされていません
Windows 転送イベント
サポート元:Microsoft Corporation
Azure Monitor Agent (AMA) を使用して、Microsoft Sentinel ワークスペースに接続されている Windows サーバーからすべての Windows イベント転送 (WEF) ログをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
WindowsEvent |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
AMA を使用したイベントのWindows セキュリティ
サポート元:Microsoft Corporation
Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべてのセキュリティ イベントをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
WithSecure Elements API (Azure 関数)
サポート対象:WithSecure
WithSecure Elements は、リスク、複雑さ、非効率性を軽減するように設計された統合クラウドベースのサイバー セキュリティ プラットフォームです。
セキュリティをエンドポイントからクラウド アプリケーションに昇格させます。 標的型攻撃からゼロデイ ランサムウェアまで、あらゆる種類のサイバー脅威に対して自分を守ります。
WithSecure Elements は、強力な予測、予防、応答性の高いセキュリティ機能を組み合わせたものであり、すべて単一のセキュリティ センターを介して管理および監視されます。 当社のモジュール構造と柔軟な価格モデルは、進化の自由を提供します。 当社の専門知識と洞察により、あなたは常に力を与えられ、あなたは決して独りになることはありません。
Microsoft Sentinel統合を使用すると、WithSecure Elements ソリューションのセキュリティ イベント データを他のソースからのデータと関連付けることができ、環境全体の豊富な概要と脅威に対する迅速な対応が可能になります。
このソリューションではAzure関数がテナントにデプロイされ、WithSecure Elements セキュリティ イベントについて定期的にポーリングされます。
詳細については、「 https://www.withsecure.com」の Web サイトを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
WsSecurityEvents_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
WithSecure Elements API クライアント資格情報: クライアント資格情報が必要です。
詳細については、ドキュメントを参照してください。
Wiz (Azure Functionsを使用)
サポート対象:Wiz
Wiz コネクタを使用すると、Wiz の問題、脆弱性の検出、監査ログをMicrosoft Sentinelに簡単に送信できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
不要 | 不要 |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
不要 | 不要 |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Wiz サービス アカウントの資格情報: Wiz サービス アカウントのクライアント ID とクライアント シークレット、API エンドポイント URL、および認証 URL があることを確認します。 手順については、 Wiz のドキュメントを参照してください。
Workday ユーザー アクティビティ
サポート元:Microsoft Corporation
Workday ユーザー アクティビティ データ コネクタは、Workday API からユーザー アクティビティ ログをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ASimAuditEventLogs |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
Workday ユーザー アクティビティ API アクセス: Oauth を介した Workday ユーザー アクティビティ API へのアクセスが必要です。 API クライアントのスコープは System である必要があり、システム監査アクセス許可を持つアカウントによって承認される必要があります。
Facebookの Workplace (Azure Functionsを使用)
サポート元:Microsoft Corporation
Workplace データ コネクタは、Webhook を介して一般的な Workplace イベントをMicrosoft Sentinelに取り込む機能を提供します。 Webhook を使用すると、カスタム統合アプリで Workplace のイベントをサブスクライブし、リアルタイムで更新プログラムを受信できます。 Workplace で変更が発生すると、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタ URL に送信されます。 詳細については、 Webhooks のドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Workplace_Facebook_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Webhooks の資格情報/アクセス許可: WorkplaceAppSecret、WorkplaceVerifyToken、コールバック URL は、Webhook を動作するために必要です。
Webhook の構成、アクセス許可の構成の詳細については、ドキュメントを参照してください。
XBOW セキュリティ プラットフォーム (Azure関数経由)
サポート対象:XBOW
XBOW データ コネクタは、資産スナップショット、脆弱性の検出、評価アクティビティを XBOW セキュリティ プラットフォームからMicrosoft Sentinelに取り込みます。 Azure関数は、タイマーで XBOW API をポーリングし、Azure Monitor Ingestion API (DCE/DCR) を使用して、資産 JSON スナップショットをXbowAssets_CL、エンリッチされた結果 (証拠、PoC レシピ、影響、軽減策) をXbowFindings_CLにプッシュし、評価ライフサイクル イベントをXbowAssessments_CLにプッシュします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
XbowAssets_CL |
不要 | 不要 |
XbowFindings_CL |
不要 | 不要 |
XbowAssessments_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- XBOW API トークン: XBOW 個人用アクセス トークンが必要です。 XBOW コンソールの [設定] > [個人用アクセス トークン] で生成します。 監視するorganizationにトークンのスコープを設定します。
- XBOW 組織 ID: XBOW アカウントの組織 ID。 XBOW コンソール URL または API を使用して見つけます。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
- 必要に応じてカスタム前提条件を満たす場合は、この税関タグを削除します。カスタム前提条件の説明
-
Azure AD アプリ登録: Azure AD アプリ登録 (サービス プリンシパル) が必要です。 デプロイ後に、データ収集規則 (DCR) の 監視メトリック パブリッシャー ロールをこのアプリ登録に手動で割り当てる必要があります。
ゼロ ネットワーク セグメント (プッシュ)
サポート対象: ゼロネットワーク
ゼロ ネットワーク セグメント プッシュ コネクタを使用すると、ゼロ ネットワークは、監査、ネットワーク アクティビティ、ID アクティビティ、RPC アクティビティをリアルタイムでMicrosoft Sentinelに直接送信できます。 コネクタをデプロイしてデータ収集規則 (DCR) とMicrosoft Entra アプリを作成し、接続の詳細を使用してゼロ ネットワーク アプリケーションを構成してイベントをプッシュします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZNAudit_CL |
はい | はい |
ZNNetworkActivity_CL |
はい | はい |
ZNIdentityActivity_CL |
はい | はい |
ZNRPCActivity_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft Entra: Microsoft Entra IDでアプリ登録を作成するためのアクセス許可。 通常、ENTRA ID アプリケーション開発者ロール以上が必要です。
-
Microsoft Azure: データ収集ルール (DCR) に対して監視メトリックパブリッシャー ロールを割り当てるアクセス許可。 通常、RBAC 所有者またはユーザー アクセス管理者ロールAzure必要です。
ゼロ ネットワーク セグメント監査
サポート対象: ゼロネットワーク
ゼロ ネットワーク セグメント監査データ コネクタは、REST API を介してゼロ ネットワーク監査イベントをMicrosoft Sentinelに取り込む機能を提供します。 このデータ コネクタでは、ネイティブ ポーリング機能Microsoft Sentinel使用されます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
ゼロ ネットワーク API トークン: REST API には ZeroNetworksAPIToken が必要です。 API ガイドを参照し、資格情報を取得する手順に従います。
ZeroFox CTI
サポート対象:ZeroFox
ZeroFox CTI データ コネクタは、さまざまな ZeroFox サイバー脅威インテリジェンス アラートをMicrosoft Sentinelに取り込む機能を提供します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
不要 | 不要 |
ZeroFox_CTI_botnet_CL |
不要 | 不要 |
ZeroFox_CTI_breaches_CL |
不要 | 不要 |
ZeroFox_CTI_C2_CL |
不要 | 不要 |
ZeroFox_CTI_compromised_credentials_CL |
不要 | 不要 |
ZeroFox_CTI_credit_cards_CL |
不要 | 不要 |
ZeroFox_CTI_dark_web_CL |
不要 | 不要 |
ZeroFox_CTI_discord_CL |
不要 | 不要 |
ZeroFox_CTI_disruption_CL |
不要 | 不要 |
ZeroFox_CTI_email_addresses_CL |
不要 | 不要 |
ZeroFox_CTI_exploits_CL |
不要 | 不要 |
ZeroFox_CTI_irc_CL |
不要 | 不要 |
ZeroFox_CTI_malware_CL |
不要 | 不要 |
ZeroFox_CTI_national_ids_CL |
不要 | 不要 |
ZeroFox_CTI_phishing_CL |
不要 | 不要 |
ZeroFox_CTI_phone_numbers_CL |
不要 | 不要 |
ZeroFox_CTI_ransomware_CL |
不要 | 不要 |
ZeroFox_CTI_telegram_CL |
不要 | 不要 |
ZeroFox_CTI_threat_actors_CL |
不要 | 不要 |
ZeroFox_CTI_vulnerabilities_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
ZeroFox API の資格情報/アクセス許可: ZeroFox CTI REST API には、 ZeroFox Username、ZeroFox Personal Access Token が必要です。
ZeroFox Enterprise - アラート (ポーリング CCF)
サポート対象:ZeroFox
ZeroFox API からアラートを収集します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZeroFoxAlertPoller_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
-
ZeroFox Personal Access Token (PAT): ZeroFox PAT が必要です。 データ コネクタ >API データ フィードで取得できます。
Zimperium Mobile Threat Defense
サポート対象:Zimperium
Zimperium Mobile Threat Defense コネクタを使用すると、Zimperium 脅威ログをMicrosoft Sentinelに接続してダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのモバイル脅威状況に関するより多くの洞察が得られ、セキュリティ操作機能が強化されます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZimperiumThreatLog_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
レポートのズーム (Azure Functionsを使用)
サポート元:Microsoft Corporation
Zoom Reports データ コネクタは、ズーム レポート イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Zoom_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
REST API の資格情報/アクセス許可: Zoom API には AccountID、 ClientID 、 ClientSecret が必要です。 詳細については、「 Zoom API」を参照してください。
Zoom API 構成の手順に従います。
Zoom Reports コネクタ (コードレス コネクタ フレームワーク経由)
サポート元:Microsoft Corporation
Zoom Reports データ コネクタを使用すると、Zoom REST API v2 を使用して Zoom Reports データをMicrosoft Sentinelに取り込み、organization全体の Zoom 使用状況を監視および監査できます。 このコネクタでは、認証にサーバー間 OAuth アカウント資格情報を使用し、会議の統計情報と使用状況メトリックの日次使用状況レポート、アクティブ/非アクティブユーザー ホスト情報のユーザー レポート、テレフォニー使用状況統計のテレフォニー レポート、クラウドストレージと記録使用状況のクラウド記録使用状況レポート、管理操作と監査証跡の操作ログなど、複数のレポートの種類のインジェストをサポートします。 および ユーザーのサインイン/サインアウト アクティビティのアクティビティ ログ。 各レポートの種類は、NextPageToken を使用した自動改ページ処理のサポートを備えた個別のポーリング構成で収集されます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されており、最適化されたクエリ パフォーマンスのために DCR ベースのインジェスト時間変換をサポートします。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
ZoomV2_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
Zoom API アクセス: アカウント資格情報を使用して Zoom REST API v2 にアクセスする
非推奨のSentinel データ コネクタ
注:
次の表に、非推奨のデータ コネクタとレガシ データ コネクタの一覧を示します。 非推奨のコネクタはサポートされなくなりました。
[非推奨]GitHub Enterprise 監査ログ
サポート元:Microsoft Corporation
GitHub 監査ログ コネクタは、GitHub ログをMicrosoft Sentinelに取り込む機能を提供します。 GitHub 監査ログをMicrosoft Sentinelに接続することで、このデータをブックで表示し、それを使用してカスタム アラートを作成し、調査プロセスを改善できます。
メモ:GitHub のサブスクライブされたイベントをMicrosoft Sentinelに取り込む場合は、"Data Connectors" ギャラリーの GitHub (Webhooks を使用) コネクタを参照してください。
注: このデータ コネクタは非推奨になりました。非推奨の HTTP データ コレクター API を介したインジェストを置き換えるソリューションで使用できる CCF データ コネクタへの移行を検討してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
GitHubAuditLogPolling_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- GitHub API 個人用アクセス トークン: organization監査ログのポーリングを有効にするには、GitHub 個人用アクセス トークンが必要です。 "read:org" スコープを持つクラシック トークンか、"管理: 読み取り専用" スコープを持つきめ細かいトークンを使用できます。
-
GitHub Enterprise 型: このコネクタは GitHub Enterprise Cloud でのみ機能します。GitHub Enterprise Server はサポートされません。
[非推奨]レガシ エージェントを使用した Infoblox SOC Insight Data Connector
サポート対象:Infoblox
Infoblox SOC Insight Data Connector を使用すると、Infoblox BloxOne SOC Insight データをMicrosoft Sentinelに簡単に接続できます。 ログをMicrosoft Sentinelに接続することで、ログごとに検索 & 関連付け、アラート、脅威インテリジェンスエンリッチメントを利用できます。
このデータ コネクタは、従来の Log Analytics エージェントを使用して Infoblox SOC Insight CDC ログを Log Analytics ワークスペースに取り込みます。
Microsoft では、AMA コネクタを使用して Infoblox SOC Insight Data Connector をインストールすることをお勧めします。 レガシ コネクタでは、 2024 年 8 月 31 日 までに非推奨となる Log Analytics エージェントが使用されており、AMA がサポートされていない場合にのみインストールする必要があります。
同じコンピューターで MMA と AMA を使用すると、ログの重複と余分なインジェスト コストが発生する可能性があります。 詳細については、以下を参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CommonSecurityLog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
[非推奨]IONIX セキュリティ ログ (プッシュ)
サポート対象:IONIX
⚠️ このコネクタは非推奨であり、2026 年 6 月に削除される予定です。 代わりに、IONIX ポータルで手動構成を必要とせずに、毎日の自動ポーリングを提供する新しい "IONIX セキュリティ ログ (Codeless Connector Framework 経由) " コネクタを使用してください。
IONIX セキュリティ ログ データ コネクタは、IONIX システムから直接Sentinelにログを取り込みます。 コネクタを使用すると、ユーザーは自分のデータを視覚化し、アラートとインシデントを作成し、セキュリティ調査を改善できます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
CyberpionActionItems_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
-
IONIX サブスクリプション: IONIX ログにはサブスクリプションとアカウントが必要です。
1 つはここで取得できます。
[非推奨]展望 台
サポート対象:Lookout
Lookout データ コネクタは、Mobile Risk API を使用して Lookout イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 Lookout データ コネクタは、潜在的なセキュリティ リスクなどを調べるのに役立つイベントを取得する機能を提供します。
注: このデータ コネクタは非推奨になりました。非推奨の HTTP データ コレクター API を介したインジェストを置き換えるソリューションで使用できる CCF データ コネクタへの移行を検討してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Lookout_CL |
不要 | 不要 |
データ収集ルールのサポート: 現在サポートされていません
前提条件:
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
-
Mobile Risk API の資格情報/アクセス許可: Mobile Risk API には EnterpriseName & ApiKey が必要です。 詳細については、「 API」を参照してください。 すべての 要件を確認し、資格情報を取得する手順に従います 。
[非推奨]Microsoft Exchange のログとイベント
サポート対象:Community
非推奨の場合は、'ESI-Opt' データ接続子を使用します。 Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンから、すべての Exchange 監査イベント、IIS ログ、HTTP プロキシ ログ、セキュリティ イベント ログをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これは、オンプレミスの Exchange 環境のセキュリティ分析情報を提供するために Microsoft Exchange セキュリティ ブックによって使用されます
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Event |
はい | 不要 |
SecurityEvent |
はい | はい |
W3CIISLog |
はい | 不要 |
MessageTrackingLog_CL |
はい | はい |
ExchangeHttpProxy_CL |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
前提条件:
- Log Analytics が非推奨となるAzure、Azure以外の VM からデータを収集するには、Arc Azureすることをお勧めします。 詳細情報
-
詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください。
レガシ エージェントを使用したセキュリティ イベント
サポート元:Microsoft Corporation
Windows エージェントを使用して、Microsoft Sentinel ワークスペースに接続されている Windows マシンからすべてのセキュリティ イベントをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。 詳細については、Microsoft Sentinelドキュメントを参照してください。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityEvent |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
クラウド用のサブスクリプション ベースのMicrosoft Defender (レガシ)
サポート元:Microsoft Corporation
Microsoft Defender for Cloud は、Azure、ハイブリッド、マルチクラウドの各ワークロードにわたる脅威を検出して迅速に対応できるセキュリティ管理ツールです。 このコネクタを使用すると、セキュリティ アラートを Microsoft Defender for Cloud から Microsoft Sentinel にストリーミングできるため、ブック内の Defender データを表示したり、クエリを実行してアラートを生成したり、インシデントを調査して対応したりできます。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
SecurityAlert |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
レガシ エージェント経由の Syslog
サポート元:Microsoft Corporation
Syslog は、Linuxに共通するイベント ログ プロトコルです。 アプリケーションは、ローカル コンピューターに格納されるか、Syslog コレクターに配信される可能性があるメッセージを送信します。 エージェント for Linuxがインストールされると、エージェントにメッセージを転送するようにローカル Syslog デーモンが構成されます。 その後、エージェントはメッセージをワークスペースに送信します。
Log Analytics テーブル:
| Table | DCR のサポート | レイクのみのインジェスト |
|---|---|---|
Syslog |
はい | はい |
データ収集ルールのサポート:ワークスペース変換 DCR
次の手順
詳細については、以下を参照してください。