メイン コンテンツにスキップ このブラウザーはサポートされなくなりました。 Show
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 Microsoft Edge をダウンロードする Internet Explorer と Microsoft Edge の詳細情報
英語で読む 英語で読む Microsoft Azure Sentinel データ コネクタを見つける
この記事の内容この記事では、Microsoft Sentinel にデータ コネクタをデプロイする方法について説明します。サポート対象ですぐに使えるデータ コネクタをすべて列挙し、一般的なデプロイ手順へのリンクと、特定のコネクタに必要な追加手順を示します。 一部のデータ コネクタは、ソリューションによってのみデプロイされます。 詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを検出してデプロイする」を参照してください。 また、Microsoft Sentinel の GitHub リポジトリで、コミュニティで作成された他のデータ コネクタを見つけることもできます。 このガイドを使用する方法
ヒント
重要 Microsoft Sentinel データ コネクタは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。 データ コネクタの前提条件Azure ワークスペース、サブスクリプション、ポリシーなどに対する必要なアクセス許可や、接続先となるパートナー データ ソースの要件など、各データ コネクタには固有の前提条件があります。 各データ コネクタの前提条件は、Microsoft Sentinel の関連データ コネクタ ページの [Instructions](手順) タブに掲載されています。 Agari のフィッシング対策とブランド保護 (プレビュー)
Security Graph API を有効にする (省略可能)重要 この手順を実行する場合は、データ コネクタをデプロイする前に実行してください。 Agari 関数アプリを使用すると、セキュリティ Graph API を介して Microsoft Sentinel と脅威インテリジェンスを共有できます。 この機能を使用するには、Sentinel 脅威インテリジェンス プラットフォーム コネクタを有効にし、Azure Active Directory でアプリケーションを登録する必要があります。 このプロセスでは、関数アプリをデプロイするときに使用する 3 つの情報 (Graph テナント ID、Graph クライアント ID、Graph クライアント シークレット) が提供されます (上の表の「アプリケーション設定」を参照してください)。 関数アプリに必要なアクセス許可を割り当てるAgari コネクタでは、環境変数を使用してログ アクセスのタイムスタンプを格納します。 アプリケーションでこの変数に書き込むには、システムに割り当てられている ID にアクセス許可を割り当てる必要があります。
Darktrace による AI Analyst (AIA) (プレビュー)
AI Analyst 用に CEF ログ転送を構成するLog Analytics エージェントを使用して CEF 形式の Syslog メッセージを Azure ワークスペースに転送するように Darktrace を構成します。
Al Vectra 検出 (プレビュー)
AI Vectra 検出用に CEF ログ転送を構成するLog Analytics エージェントを使用して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。 Vectra インターフェイスから、[設定] > [通知] の順に移動して、[Edit Syslog configuration](Syslog 構成の編集) を選択します。 以下の手順に従って、接続を設定します。
[テスト] ボタンを選択して、いくつかのテスト イベントをログ フォワーダーに強制的に送信できます。 詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドをご覧ください。 Akamai セキュリティ イベント (プレビュー)
Alcide kAudit
Active Directory 用の Alsid
Alsid の追加構成
アマゾン ウェブ サービス
アマゾン ウェブ サービス S3 (プレビュー)
Apache HTTP Server
Apache Tomcat
Aruba ClearPass (プレビュー)
Atlassian Confluence 監査 (プレビュー)
Atlassian Jira 監査 (プレビュー)
Azure Active Directory
Azure Active Directory Identity Protection
Azure アクティビティ
新しい Azure アクティビティ コネクタにアップグレードするデータ構造の変更このコネクタでは、最近、アクティビティ ログ イベントを収集するためのバックエンド メカニズムが変更されました。 現在は、診断設定パイプラインが使用されています。 このコネクタでまだ従来の方式を使用している場合は、新しいバージョンへのアップグレードを強くお勧めします。これにより、機能が強化され、リソース ログとの整合性が向上します。 以下の手順を参照してください。 診断設定方式では、従来の方式でアクティビティ ログ サービスから送信していたものと同じデータを送信しますが、AzureActivity テーブルの構造の変更がいくつかあります。 診断設定パイプラインへの移行によって向上する点の中で重要なものは次のとおりです。
Azure アクティビティ ログと診断設定パイプラインの詳細については、Azure Monitor のドキュメントを参照してください。 古いパイプラインからの切断新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来方式から切断する必要があります。
Azure DDoS Protection
注意 Azure DDoS Protection データ コネクタの状態が [接続完了] に変わるのは、保護対象のリソースが DDoS 攻撃を受けている場合のみです。 Azure Defender「Microsoft Defender for Cloud」を参照してください。 Azure Firewall
Azure Information Protection (プレビュー)
注意 Azure Information Protection (AIP) データ コネクタは、AIP 監査ログ (パブリック プレビュー) 機能を使用します。 2022 年 3 月 18 日の時点で、AIP の分析と監査ログのパブリック プレビューを終了します。今後は、Microsoft 365 監査ソリューションを使用します。 完全な提供終了は、2022 年 9 月30 日に予定されています。 詳細については、「削除されたサービスと廃止されたサービス」を参照してください。 Azure Key Vault
Azure Kubernetes Service (AKS)
Microsoft Purview
Azure SQL Databases
Azure Storage アカウント
ストレージ アカウントの診断設定の構成に関する注意事項ストレージ アカウント (親) リソースの内部には、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。 ストレージ アカウントの診断を構成する場合は、次の項目を順番に選択して構成する必要があります。
実際にリソースを定義したストレージの種類だけが表示されます。 Azure Web アプリケーション ファイアウォール (WAF)
Barracuda CloudGen Firewall
Barracuda WAF
Barracuda の手順を参照してください。各種ログに割り当てられているファシリティをメモし、それらを既定の Syslog 構成に追加するようにします。 BETTER Mobile Threat Defense (MTD) (プレビュー)
Beyond Security beSECURE
BlackBerry CylancePROTECT (プレビュー)
Broadcom Symantec データ損失防止 (DLP) (プレビュー)
AMA 経由の Common Event Format (CEF)
Check Point
Cisco ASA
Cisco Firepower eStreamer (プレビュー)
Cisco Firepower eStreamer の追加構成
Cisco Meraki (プレビュー)
Cisco Umbrella (プレビュー)
Cisco Unified Computing System (UCS) (プレビュー)
Citrix Analytics (セキュリティ)
Citrix Web App Firewall (WAF) (プレビュー)
Cognni (プレビュー)
Continuous Threat Monitoring for SAP (プレビュー)
CyberArk Enterprise Password Vault (EPV) Events (プレビュー)
Cyberpion セキュリティ ログ (プレビュー)
DNS (プレビュー)「AMA 経由の Windows DNS イベント (プレビュー)」または「Windows DNS Server (プレビュー)」を参照してください。 Dynamics 365
ESET Enterprise Inspector (プレビュー)
API ユーザーを作成する
ESET Security Management Center (SMC) (プレビュー)
収集する ESET SMC ログを構成するESET SMC の IP アドレスからのログを受け入れるように rsyslog を構成します。
ESET SMC データを API 形式で渡すように OMS エージェントを構成するESET データを簡単に認識するため、データを別のテーブルにプッシュし、エージェントで解析して、Microsoft Sentinel クエリを簡略化および高速化します。 /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ファイルで、 セクションの型を
完全な
oms.api.eset タグをキャッチし、構造化されたデータを解析するように OMS エージェントの構成を変更する/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf ファイルを変更します。 次に例を示します。
自動構成を無効にして、エージェントを再起動する次に例を示します。
ログをコネクタに送信するように ESET SMC を構成するBSD スタイルと JSON 形式を使用して ESET ログを構成します。
詳細については、ESET のドキュメントをご覧ください。 Exabeam Advanced Analytics (プレビュー)
ExtraHop Reveal(x)
F5 BIG-IP
F5 Networks (ASM)
Forcepoint クラウド アクセス セキュリティ ブローカー (CASB) (プレビュー)
Forcepoint Cloud Security Gateway (CSG) (プレビュー)
Forcepoint Data Loss Prevention (DLP) (プレビュー)
Forcepoint Next Generation Firewall (NGFW) (プレビュー)
ForgeRock Common Audit (CAUD) for CEF (プレビュー)
Fortinet
Fortinet ログをログ フォワーダーに送信するお使いの Fortinet アプライアンスで CLI を開き、次のコマンドを実行します。
GitHub (プレビュー)
GitHub コネクタの追加構成前提条件: Microsoft Sentinel から GitHub に接続するには、GitHub エンタープライズ アカウントおよびアクセス可能な組織が必要です。
Google Workspace (G-Suite) (プレビュー)
Google Reports API の追加構成Web アプリケーションの資格情報の作成時に、http://localhost:8081/ に http://localhost:8081/ を追加します。
Illusive 攻撃管理システム (AMS) (プレビュー)
Imperva WAF Gateway (プレビュー)
Infoblox Network Identity Operating System (NIOS) (プレビュー)
Juniper SRX (プレビュー)
Lookout Mobile Threat Defense (プレビュー)
Microsoft 365 Defender
Microsoft Purview Insider Risk Management (IRM) (プレビュー)
Microsoft Defender for Cloud
Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint
Microsoft Defender for Identity
Microsoft Defender for IoT
Microsoft Defender for Office 365
Microsoft Office 365
Microsoft Power BI (プレビュー)
Microsoft Project (プレビュー)
Microsoft Sysmon for Linux (プレビュー)
Morphisec UTPP (プレビュー)
Netskope (プレビュー)
NGINX HTTP Server (プレビュー)
NXLog Basic Security Module (BSM) macOS (プレビュー)
NXLog DNS ログ (プレビュー)
NXLog LinuxAudit (プレビュー)
Okta シングル サインオン (プレビュー)
Onapsis Platform (プレビュー)
CEF ログをログ フォワーダーに送信するように Onapsis を構成するLog Analytics エージェントへのログ転送を設定するには、Onapsis 製品に組み込まれているヘルプをご覧ください。
One Identity Safeguard (プレビュー)
Oracle WebLogic Server (プレビュー)
Orca Security (プレビュー)
OSSEC (プレビュー)
Palo Alto Networks
Perimeter 81 のアクティビティ ログ (プレビュー)
Proofpoint On Demand (POD) の電子メール セキュリティ (プレビュー)
Proofpoint Targeted Attack Protection (TAP) (プレビュー)
Pulse Connect Secure (プレビュー)
Qualys VM のナレッジベース (KB) (プレビュー)
Qualys VM KB の追加構成
Qualys Vulnerability Management (VM) (プレビュー)
Qualys VM の追加構成
手動デプロイ - 関数アプリの構成後host.json ファイルを構成する 大量の Qualys ホスト検出データが取り込まれる可能性があるため、実行時間が関数アプリの既定のタイムアウトである 5 分を超える可能性があります。 従量課金プランで、既定のタイムアウト時間を最大の 10 分に増やして、関数アプリを実行できる時間を増やします。
より長いタイムアウト時間が必要な場合は、App Service プランへのアップグレードを検討してください。 Salesforce Service Cloud (プレビュー)
レガシ エージェントを使用したセキュリティ イベント (Windows)
詳細については、次を参照してください。
SentinelOne (プレビュー)
SentinelOne の追加構成手順に従って資格情報を取得します。
SonicWall ファイアウォール (プレビュー)
Sophos Cloud Optix (プレビュー)
Sophos XG Firewall (プレビュー)
Squadra Technologies secRMM
Squid Proxy (プレビュー)
Symantec Integrated Cyber Defense Exchange (ICDx)
Symantec ProxySG (プレビュー)
Symantec VIP (プレビュー)
Thycotic Secret Server (プレビュー)
Trend Micro Deep Security
Trend Micro TippingPoint (プレビュー)
Trend Micro Vision One (XDR) (プレビュー)
VMware Carbon Black Endpoint Standard (プレビュー)
VMware ESXi (プレビュー)
WatchGuard Firebox (プレビュー)
WireX Network Forensics Platform (プレビュー)
AMA 経由の Windows DNS イベント (プレビュー)
Windows DNS Server (プレビュー)このコネクタでは、レガシ エージェントが使用されます。 上記の AMA コネクタ経由で DNS を使用することをお勧めします。
Windows DNS Server データ コネクタのトラブルシューティングDNS イベントが Microsoft Sentinel に表示されない場合:
詳細については、「DNS Analytics プレビュー ソリューションを使用した DNS インフラストラクチャに関する分析情報の収集」を参照してください。 Windows の転送済みイベント (プレビュー)
Windows の転送済みイベント コネクタをデプロイするための追加手順データ正規化の完全なサポートを保証するために、Advanced Security Information Model (ASIM) パーサーをインストールすることをお勧めします。 これらのパーサーは、GitHub リポジトリから、 [Deploy to Azure](Azure にデプロイする) ボタンを使用してデプロイできます。 Windows ファイアウォール
AMA を使用した Windows セキュリティ イベント
関連項目:
異常な RDP ログイン検出用にセキュリティ イベント/Windows セキュリティ イベント コネクタを構成する重要 異常な RDP ログイン検出は現在、パブリック プレビュー段階です。 この機能はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。 Microsoft Sentinel では、セキュリティ イベント データに機械学習 (ML) を適用して、リモート デスクトップ プロトコル (RDP) ログインの異常なアクティビティを識別できます。 シナリオには以下が含まれます。
構成の手順
Workplace from Facebook (プレビュー)
Webhook を構成する
Webhook 構成にコールバック URL を追加する
Zimperium Mobile Thread Defense (プレビュー)Zimperium Mobile Threat Defense データ コネクタでは、Zimperium の脅威ログを Microsoft Sentinel に接続して、ダッシュボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 このコネクタにより、組織のモバイル脅威のランドスケープに関するより詳細な分析情報が提供され、セキュリティ運用機能が向上します。 詳細については、Zimperium の Azure Sentinel への接続に関する記事をご覧ください。
Zimperium MTD を構成して接続する
Zoom Reports (プレビュー)
Zscaler
Zscaler Private Access (ZPA) (プレビュー)
Zscaler Private Access の追加構成次の構成手順に従って、Zscaler Private Access のログを Microsoft Sentinel に取り込みます。 詳細については、Azure Monitor のドキュメントを参照してください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください。
ワークスペース ID の値は、Zscaler Private Access コネクタのページまたは Log Analytics ワークスペースのエージェント管理ページで確認できます。 次のステップ詳細については、次を参照してください。
この記事の内容ESETの通知設定は?< 通知の設定手順 >. [通知]→[悪意のあるファイルが検出されました(トロイの木馬/ワーム/ウイルス/アプリケーション)]→[編集]をクリックします。. [基本]を展開し、「有効」のボタンをクリックして有効化します。. [配布]を展開し、以下の通りに設定します。 項目 設定内容 配布(※) ... . [終了]ボタンをクリックします。. ESETの通知表示は?ESET Endpoint Securityがイベントをユーザーに通知する方法を管理するには、詳細設定(F5) > ツール > Notificationsに移動します。 この設定ウィンドウでは、次のタイプの通知を設定できます。 アプリケーション通知–プログラムのメインウィンドウに直接表示されます。
ESET Protectのポート番号は?ESET PROTECTサーバーポート (既定は2222、2223) - ESET PROTECT Webコンソールにログインし、詳細 > サーバー設定 > 接続に移動し、必要な変更を行います。
|