メイン コンテンツにスキップ
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Microsoft Edge をダウンロードする Internet Explorer と Microsoft Edge の詳細情報
英語で読む
英語で読む
Microsoft Azure Sentinel データ コネクタを見つける
- [アーティクル]
- 11/23/2022
この記事の内容
この記事では、Microsoft Sentinel にデータ コネクタをデプロイする方法について説明します。サポート対象ですぐに使えるデータ コネクタをすべて列挙し、一般的なデプロイ手順へのリンクと、特定のコネクタに必要な追加手順を示します。
一部のデータ コネクタは、ソリューションによってのみデプロイされます。 詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを検出してデプロイする」を参照してください。 また、Microsoft Sentinel の GitHub リポジトリで、コミュニティで作成された他のデータ コネクタを見つけることもできます。
このガイドを使用する方法
まず、右側の見出しメニューで、製品、サービス、またはデバイスのコネクタを見つけて選択します。
各コネクタに関して表示される 1 つ目の情報は、そのデータ インジェスト方法です。 そこに表示される方法は、次の一般的なデプロイ手順の 1 つへのリンクになっており、データ ソースを Microsoft Sentinel に接続するために必要な情報のほとんどを確認できます。
データ インジェスト方法手順を含むリンクされた記事 Azure サービス間の統合 Azure、Windows、Microsoft、Amazon サービスへの接続 Syslog を介した Common Event Format (CEF) デバイスまたはアプライアンスの CEF 形式のログを Microsoft Sentinel に取得する Microsoft Sentinel データ コレクター API データ ソースを Microsoft Sentinel のデータ コレクター API に接続してデータを取り込む Azure Functions と REST API Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続する Syslog Syslog を使用して Linux ベースのソースからデータを収集する カスタム ログ Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Sentinel に収集する Note
Azure サービス間の統合データ インジェスト方法は、コネクタの種類に応じて、その記事の 3 つの異なるセクションにリンクしています。 以下の各コネクタのセクションでは、その記事内のリンク先のセクションを示しています。
特定のコネクタをデプロイする場合は、そのデータ インジェスト方法にリンクされている適切な記事を選択し、以下の関連セクションの情報と追加のガイダンスを使用して、その記事の情報を補足します。
ヒント
多くのデータ コネクタは、Microsoft Sentinel ソリューションの一部として、関連する分析ルール、ブック、プレイブックと共にデプロイすることもできます。 詳細については、Microsoft Sentinel ソリューション カタログに関するページを参照してください。
その他のデータ コネクタは、Microsoft Sentinel コミュニティから提供され、Azure Marketplace で見つけることができます。 コミュニティ データ コネクタに関するドキュメントは、コネクタを作成した組織によって作成されます。
一覧に表示されていない、または現在サポートされていないデータ ソースがある場合は、独自のカスタム コネクタを作成することもできます。 詳細については、「Microsoft Sentinel カスタム コネクタを作成するためのリソース」を参照してください。
重要
Microsoft Sentinel データ コネクタは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
データ コネクタの前提条件
Azure ワークスペース、サブスクリプション、ポリシーなどに対する必要なアクセス許可や、接続先となるパートナー データ ソースの要件など、各データ コネクタには固有の前提条件があります。
各データ コネクタの前提条件は、Microsoft Sentinel の関連データ コネクタ ページの [Instructions](手順) タブに掲載されています。
Agari のフィッシング対策とブランド保護 (プレビュー)
データ インジェスト方法 | Azure Functions と REST API デプロイ前: Security Graph API を有効にする (省略可能)。 |
Log Analytics テーブル | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-agari-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
アプリケーションの設定 | enableSecurityGraphSharing が true に設定されている場合は必須 (下記参照)。 |
サポートしているもの | Agari |
Security Graph API を有効にする (省略可能)
重要
この手順を実行する場合は、データ コネクタをデプロイする前に実行してください。
Agari 関数アプリを使用すると、セキュリティ Graph API を介して Microsoft Sentinel と脅威インテリジェンスを共有できます。 この機能を使用するには、Sentinel 脅威インテリジェンス プラットフォーム コネクタを有効にし、Azure Active Directory でアプリケーションを登録する必要があります。
このプロセスでは、関数アプリをデプロイするときに使用する 3 つの情報 (Graph テナント ID、Graph クライアント ID、Graph クライアント シークレット) が提供されます (上の表の「アプリケーション設定」を参照してください)。
関数アプリに必要なアクセス許可を割り当てる
Agari コネクタでは、環境変数を使用してログ アクセスのタイムスタンプを格納します。 アプリケーションでこの変数に書き込むには、システムに割り当てられている ID にアクセス許可を割り当てる必要があります。
- Azure portal で [関数アプリ] に移動します。
- [関数アプリ] ページで、一覧から関数アプリを選択し、関数アプリのナビゲーション メニューの [設定] で [ID] を選択します。
- [システム割り当て済み] タブで、 [状態] を [オン] に設定します。
- [保存] を選択すると、 [Azure でのロールの割り当て] ボタンが表示されます。 それを選択します。
- [Azure でのロールの割り当て] 画面で、 [ロールの割り当ての追加] を選択します。 [スコープ] を [サブスクリプション] に設定し、 [サブスクリプション] ドロップダウンからサブスクリプションを選択し、 [ロール] を [App Configuration データ所有者] に設定します。
- [保存] を選択します。
Darktrace による AI Analyst (AIA) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) AI Analyst 用に CEF ログ転送を構成する |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Darktrace |
AI Analyst 用に CEF ログ転送を構成する
Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Azure ワークスペースに転送するように Darktrace を構成します。
- Darktrace Threat Visualizer 内で、メイン メニューの [管理] の下にある [システム構成] ページに移動します。
- 左側のメニューから [モジュール] を選択し、使用可能な [ワークフロー統合] から Microsoft Sentinel を選択します。
- 構成ウィンドウが開きます。 Microsoft Sentinel Syslog CEF を見つけて [新規] を選択し、構成設定を表示します (まだ表示されていない場合)。
- [サーバー構成] フィールドにログ フォワーダーの場所を入力し、必要に応じて通信ポートを変更します。 選択したポートが 514 に設定され、中間ファイアウォールによって許可されていることを確認します。
- 必要に応じて、アラートのしきい値、時間オフセット、または追加の設定を構成します。
- 有効にする必要があり、Syslog 構文が変更されるその他の構成オプションを確認します。
- [アラートの送信] を有効にして、変更を保存します。
Al Vectra 検出 (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) AI Vectra 検出用に CEF ログ転送を構成する |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Vectra AI |
AI Vectra 検出用に CEF ログ転送を構成する
Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。
Vectra インターフェイスから、[設定] > [通知] の順に移動して、[Edit Syslog configuration](Syslog 構成の編集) を選択します。 以下の手順に従って、接続を設定します。
- 新しい宛先 (ログ フォワーダーのホスト名) を追加します
- ポートを 514 として設定します
- [プロトコル] を [UDP] に設定します
- 形式を [CEF] に設定します
- ログの種類を設定します (使用可能なすべてのログの種類を選択します)
- [保存] を選びます。
[テスト] ボタンを選択して、いくつかのテスト イベントをログ フォワーダーに強制的に送信できます。
詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドをご覧ください。
Akamai セキュリティ イベント (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | AkamaiSIEMEvent |
Kusto 関数 URL: | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
ベンダーのドキュメント/ インストール手順 | セキュリティ情報イベント管理 (SIEM) 統合の構成 CEF コネクタを設定する。 |
サポートしているもの | Akamai |
Alcide kAudit
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | alcide_kaudit_activity_1_CL - Alcide kAudit アクティビティ ログ alcide_kaudit_detections_1_CL - Alcide kAudit の検出 alcide_kaudit_selections_count_1_CL - Alcide kAudit アクティビティ数 alcide_kaudit_selections_details_1_CL - Alcide kAudit アクティビティの詳細 |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Alcide kAudit インストール ガイド |
サポートしているもの | Alcide |
Active Directory 用の Alsid
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ Alsid の追加構成 |
Log Analytics テーブル | AlsidForADLog_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | afad_parser |
Kusto 関数 URL: | //aka.ms/Sentinel-alsidforad-parser |
サポートしているもの | Alsid |
Alsid の追加構成
Syslog サーバーを構成する
まず、Alsid for AD のログの送信先となる Linux Syslog サーバーが必要です。 通常は、Ubuntu で rsyslog を実行できます。
その後、このサーバーを必要に応じて構成できますが、AFAD ログを別のファイルに出力することをお勧めします。 または、クイックスタート テンプレートを使用して、Syslog サーバーと Microsoft エージェントを自動的にデプロイすることもできます。 テンプレートを使用する場合は、エージェントのインストール手順をスキップできます。
Syslog サーバーにログを送信するように Alsid を構成する
Alsid for AD ポータルで、 [システム] 、 [構成] 、 [Syslog] の順に選択します。 そこから、Syslog サーバーに対して新しい Syslog アラートを作成できます。
新しい Syslog アラートを作成したら、ログがサーバー上の別のファイルに正しく収集されていることを確認します。 たとえば、ログを確認するには、AFAD の Syslog アラート構成の [構成のテスト] ボタンを使用できます。 クイックスタート テンプレートを使用した場合、Syslog サーバーでは、既定で TLS を使用せずにポート 514 (UDP) および 1514 (TCP) でリッスンします。
アマゾン ウェブ サービス
データ インジェスト方法 | Azure サービス間の統合: Microsoft Sentinel をアマゾン ウェブ サービスに接続し、AWS サービス ログ データを取り込む (上位のコネクタに関する記事) |
Log Analytics テーブル | AWSCloudTrail |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
アマゾン ウェブ サービス S3 (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: Microsoft Sentinel をアマゾン ウェブ サービスに接続し、AWS サービス ログ データを取り込む (上位のコネクタに関する記事) |
Log Analytics テーブル | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Apache HTTP Server
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ |
Log Analytics テーブル | ApacheHTTPServer_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | ApacheHTTPServer |
Kusto 関数 URL: | //aka.ms/Sentinel-apachehttpserver-parser |
カスタム ログのサンプル ファイル: | access.log または error.log |
Apache Tomcat
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ |
Log Analytics テーブル | Tomcat_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | TomcatEvent |
Kusto 関数 URL: | //aka.ms/Sentinel-ApacheTomcat-parser |
カスタム ログのサンプル ファイル: | access.log または error.log |
Aruba ClearPass (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | ArubaClearPass |
Kusto 関数 URL: | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt |
ベンダーのドキュメント/ インストール手順 | Aruba の指示に従って ClearPass を構成します。 |
サポートしているもの | Microsoft |
Atlassian Confluence 監査 (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | Confluence_Audit_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-confluenceauditapi-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | ConfluenceAudit |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-confluenceauditapi-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Atlassian Jira 監査 (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | Jira_Audit_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-jiraauditapi-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | JiraAudit |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-jiraauditapi-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Azure Active Directory
データ インジェスト方法 | Azure サービス間の統合: Azure Active Directory データを Microsoft Sentinel に接続する (上位のコネクタに関する記事) |
ライセンスの前提条件/ コスト情報 | その他の料金が適用される場合があります |
Log Analytics テーブル | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Azure Active Directory Identity Protection
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Azure AD Premium P2 サブスクリプション その他の料金が適用される場合があります |
Log Analytics テーブル | SecurityAlert |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Azure アクティビティ
データ インジェスト方法 | Azure サービス間の統合: Azure Policy によって管理される診断設定ベースの接続 新しい Azure アクティビティ コネクタにアップグレードする |
Log Analytics テーブル | AzureActivity |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
新しい Azure アクティビティ コネクタにアップグレードする
データ構造の変更
このコネクタでは、最近、アクティビティ ログ イベントを収集するためのバックエンド メカニズムが変更されました。 現在は、診断設定パイプラインが使用されています。 このコネクタでまだ従来の方式を使用している場合は、新しいバージョンへのアップグレードを強くお勧めします。これにより、機能が強化され、リソース ログとの整合性が向上します。 以下の手順を参照してください。
診断設定方式では、従来の方式でアクティビティ ログ サービスから送信していたものと同じデータを送信しますが、AzureActivity テーブルの構造の変更がいくつかあります。
診断設定パイプラインへの移行によって向上する点の中で重要なものは次のとおりです。
- インジェストの待機時間の短縮 (イベントのインジェストに発生から 15 ~ 20 分かかっていたのが 2 ~ 3 分以内に)。
- 信頼性が向上します。
- パフォーマンスが向上します。
- アクティビティ ログ サービスによってログに記録されるイベントのすべてのカテゴリをサポートします (従来のメカニズムではサブセットのみをサポートしています。たとえば、サービス正常性イベントはサポートされていません)。
- Azure Policy を使用して大規模に管理します。
Azure アクティビティ ログと診断設定パイプラインの詳細については、Azure Monitor のドキュメントを参照してください。
古いパイプラインからの切断
新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来方式から切断する必要があります。
Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。 コネクタの一覧で [Azure Activity](Azure アクティビティ) を選択し、右下にある [Open connector page](コネクタ ページを開く) ボタンを選択します。
[Instructions](手順) タブの [構成] セクションの手順 1 で、従来方式に接続している既存のサブスクリプションの一覧を確認して、新しい方式に追加するものを特定し、下にある [Disconnect All](すべて切断) ボタンをクリックしてすべてを一度に切断します。
上の表にリンクされている指示に従って、新しいコネクタの設定を続けます。
Azure DDoS Protection
データ インジェスト方法 | Azure サービス間の統合: 診断設定ベースの接続 |
ライセンスの前提条件/ コスト情報 | その他の料金が適用される場合があります |
Log Analytics テーブル | AzureDiagnostics |
DCR のサポート | 現在、サポートされていません |
推奨される診断 | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
サポートしているもの | Microsoft |
注意
Azure DDoS Protection データ コネクタの状態が [接続完了] に変わるのは、保護対象のリソースが DDoS 攻撃を受けている場合のみです。
Azure Defender
「Microsoft Defender for Cloud」を参照してください。
Azure Firewall
データ インジェスト方法 | Azure サービス間の統合: 診断設定ベースの接続 |
Log Analytics テーブル | AzureDiagnostics |
DCR のサポート | 現在、サポートされていません |
推奨される診断 | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
サポートしているもの | Microsoft |
Azure Information Protection (プレビュー)
データ インジェスト方法 | Azure サービス間の統合 |
Log Analytics テーブル | InformationProtectionLogs_CL |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
注意
Azure Information Protection (AIP) データ コネクタは、AIP 監査ログ (パブリック プレビュー) 機能を使用します。 2022 年 3 月 18 日の時点で、AIP の分析と監査ログのパブリック プレビューを終了します。今後は、Microsoft 365 監査ソリューションを使用します。 完全な提供終了は、2022 年 9 月30 日に予定されています。
詳細については、「削除されたサービスと廃止されたサービス」を参照してください。
Azure Key Vault
データ インジェスト方法 | Azure サービス間の統合: Azure Policy によって管理される診断設定ベースの接続 |
Log Analytics テーブル | KeyVaultData |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
Azure Kubernetes Service (AKS)
データ インジェスト方法 | Azure サービス間の統合: Azure Policy によって管理される診断設定ベースの接続 |
Log Analytics テーブル | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
Microsoft Purview
データ インジェスト方法 | Azure サービス間の統合: 診断設定ベースの接続 詳細については、「チュートリアル: Microsoft Sentinel と Microsoft Purview を統合する」を参照してください。 |
Log Analytics テーブル | PurviewDataSensitivityLogs |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
Azure SQL Databases
データ インジェスト方法 | Azure サービス間の統合: Azure Policy によって管理される診断設定ベースの接続 Azure SQL および SQL PaaS 用 Microsoft Sentinel ソリューションでも利用可能 |
Log Analytics テーブル | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics エラー DatabaseWaitStatistics Timeouts Blocks デッドロック Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
Azure Storage アカウント
データ インジェスト方法 | Azure サービス間の統合: 診断設定ベースの接続 ストレージ アカウントの診断設定の構成に関する注意事項 |
Log Analytics テーブル | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
推奨される診断 | アカウント リソース BLOB/キュー/テーブル/ファイル リソース |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
ストレージ アカウントの診断設定の構成に関する注意事項
ストレージ アカウント (親) リソースの内部には、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。
ストレージ アカウントの診断を構成する場合は、次の項目を順番に選択して構成する必要があります。
- Transaction メトリックをエクスポートする親アカウント リソース。
- すべてのログとメトリックをエクスポートする、子ストレージの種類の各リソース (上の表を参照)。
実際にリソースを定義したストレージの種類だけが表示されます。
Azure Web アプリケーション ファイアウォール (WAF)
データ インジェスト方法 | Azure サービス間の統合: 診断設定ベースの接続 |
Log Analytics テーブル | AzureDiagnostics |
DCR のサポート | 現在、サポートされていません |
推奨される診断 | Application Gateway Front Door CDN WAF ポリシー |
サポートしているもの | Microsoft |
Barracuda CloudGen Firewall
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | CGFWFirewallActivity |
Kusto 関数 URL: | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity |
ベンダーのドキュメント/ インストール手順 | //aka.ms/Sentinel-barracudacloudfirewall-connector |
サポートしているもの | Barracuda |
Barracuda WAF
データ インジェスト方法 | Syslog |
Log Analytics テーブル | CommonSecurityLog (Barracuda) Barracuda_CL |
ベンダーのドキュメント/ インストール手順 | //aka.ms/asi-barracuda-connector |
サポートしているもの | Barracuda |
Barracuda の手順を参照してください。各種ログに割り当てられているファシリティをメモし、それらを既定の Syslog 構成に追加するようにします。
BETTER Mobile Threat Defense (MTD) (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | BETTER MTD のドキュメント 脅威ポリシーのセットアップ。Microsoft Sentinel に報告されるインシデントを定義します。
|
サポートしているもの | Better Mobile |
Beyond Security beSECURE
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | [統合] メニューにアクセスします。
|
サポートしているもの | Beyond Security |
BlackBerry CylancePROTECT (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | CylancePROTECT |
Kusto 関数 URL: | //aka.ms/Sentinel-cylanceprotect-parser |
ベンダーのドキュメント/ インストール手順 | Cylance Syslog ガイド |
サポートしているもの | Microsoft |
Broadcom Symantec データ損失防止 (DLP) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | SymantecDLP |
Kusto 関数 URL: | //aka.ms/Sentinel-symantecdlp-parser |
ベンダーのドキュメント/ インストール手順 | Syslog サーバーへのログ アクションの構成 |
サポートしているもの | Microsoft |
AMA 経由の Common Event Format (CEF)
データ インジェスト方法 | Azure Monitor エージェントベースの接続 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | 標準 DCR |
サポートしているもの | Microsoft |
Check Point
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Check Point ソリューションからも利用可能 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Log Exporter - Check Point ログのエクスポート |
サポートしているもの | Check Point |
Cisco ASA
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Cisco ASA ソリューションで利用可能 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Cisco ASA シリーズ CLI 構成ガイド |
サポートしているもの | Microsoft |
Cisco Firepower eStreamer (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Cisco Firepower eStreamer の追加構成 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | eStreamer eNcore for Sentinel 操作ガイド |
サポートしているもの | Cisco |
Cisco Firepower eStreamer の追加構成
Firepower eNcore クライアントをインストールする
Firepower eNcore eStreamer クライアントをインストールして構成します。 詳細については、Cisco の完全なインストール ガイドをご覧ください。Firepower Connector を GitHub からダウンロードする
Cisco GitHub リポジトリから、Microsoft Sentinel 用の Firepower eNcore コネクタの最新バージョンをダウンロードします。 python3 を使用する予定の場合は、python3 eStreamer コネクタを使用します。Azure/VM IP アドレスを使用して pkcs12 ファイルを作成する
Firepower の [システム] [統合] > [eStreamer] で、VM インスタンスのパブリック IP を使用して pkcs12 証明書を作成します。 詳細については、インストール ガイドをご覧ください。Azure/VM クライアントと FMC の間の接続をテストする
pkcs12 ファイルを FMC から Azure/VM インスタンスにコピーし、テスト ユーティリティ (./encore.sh test) を実行して、接続を確立できることを確認します。 詳細については、設定ガイドをご覧ください。エージェントにデータをストリーミングするように eNcore を構成する
TCP 経由で Log Analytics エージェントにデータをストリーミングするように eNcore を構成します。 この設定は既定で有効にする必要がありますが、ネットワークのセキュリティ体制に応じて、追加のポートとストリーミング プロトコルを構成できます。 データをファイル システムに保存することもできます。 詳細については、eNcore の構成に関するページをご覧ください。
Cisco Meraki (プレビュー)
データ インジェスト方法 | Syslog Cisco ISE ソリューションで利用可能 |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | CiscoMeraki |
Kusto 関数 URL: | //aka.ms/Sentinel-ciscomeraki-parser |
ベンダーのドキュメント/ インストール手順 | Meraki デバイスのレポートに関するドキュメント |
サポートしているもの | Microsoft |
Cisco Umbrella (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Cisco Umbrella ソリューションで利用可能 |
Log Analytics テーブル | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | Cisco_Umbrella |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-ciscoumbrella-function |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Cisco Unified Computing System (UCS) (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | CiscoUCS |
Kusto 関数 URL: | //aka.ms/Sentinel-ciscoucs-function |
ベンダーのドキュメント/ インストール手順 | Cisco UCS の Syslog を設定する - Cisco |
サポートしているもの | Microsoft |
Citrix Analytics (セキュリティ)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | CitrixAnalytics_SAlerts_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Citrix を Microsoft Sentinel に接続する |
サポートしているもの | Citrix Systems |
Citrix Web App Firewall (WAF) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | WAF を構成するには、サポート WIKI - WAF の構成と NetScaler に関するページを参照してください。 CEF ログを構成するには、アプリケーション ファイアウォールでの CEF のログ記録のサポートに関するページを参照してください。 ログをプロキシに転送するには、監査ログ用に Citrix ADC アプライアンスを構成に関するページを参照してください。 |
サポートしているもの | Citrix Systems |
Cognni (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | CognniIncidents_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Cognni に接続する
|
サポートしているもの | Cognni |
Continuous Threat Monitoring for SAP (プレビュー)
データ インジェスト方法 | Continuous Threat Monitoring for SAP ソリューションのインストール後にのみ利用可能 |
Log Analytics テーブル | 「Microsoft Sentinel SAP ソリューションのデータ リファレンス」を参照 |
ベンダーのドキュメント/ インストール手順 | SAP の継続的な脅威監視のデプロイ |
サポートしているもの | Microsoft |
CyberArk Enterprise Password Vault (EPV) Events (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | セキュリティ情報イベント管理 (SIEM) アプリケーション |
サポートしているもの | CyberArk |
Cyberpion セキュリティ ログ (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | CyberpionActionItems_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Cyberpion サブスクリプションを取得する Cyberpion のセキュリティ アラートを Microsoft Sentinel に統合する |
サポートしているもの | Cyberpion |
DNS (プレビュー)
「AMA 経由の Windows DNS イベント (プレビュー)」または「Windows DNS Server (プレビュー)」を参照してください。
Dynamics 365
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 Microsoft Sentinel 4 Dynamics 365 ソリューションの一部として利用することもできます |
ライセンスの前提条件/ コスト情報 | その他の料金が適用される場合があります |
Log Analytics テーブル | Dynamics365Activity |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
ESET Enterprise Inspector (プレビュー)
データ インジェスト方法 | Azure Functions と REST API API ユーザーを作成する |
Log Analytics テーブル | ESETEnterpriseInspector_CL |
DCR のサポート | 現在、サポートされていません |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ |
サポートしているもの | ESET |
API ユーザーを作成する
- 管理者アカウントを使用して ESET Security Management Center/ESET PROTECT コンソールにログインし、 [その他] タブと [ユーザー] サブタブを選択します。
- [新規追加] ボタンを選択して、ネイティブ ユーザーを追加します。
- API アカウントの新しいユーザーを作成します。 省略可能:[すべて] 以外のホーム グループを選択して、取り込む検出を制限します。
- [アクセス許可セット] タブで、Enterprise Inspector レビュー担当者のアクセス許可セットを割り当てます。
- 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからサインアウトします。
ESET Security Management Center (SMC) (プレビュー)
データ インジェスト方法 | Syslog 収集する ESET SMC ログを構成する
|
Log Analytics テーブル | eset_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | ESET Syslog サーバーのドキュメント |
サポートしているもの | ESET |
収集する ESET SMC ログを構成する
ESET SMC の IP アドレスからのログを受け入れるように rsyslog を構成します。
sudo -i # Set ESET SMC source IP address export ESETIP={Enter your IP address} # Create rsyslog configuration file cat > /etc/rsyslog.d/80-remote.conf << EOF \$ModLoad imudp \$UDPServerRun 514 \$ModLoad imtcp \$InputTCPServerRun 514 \$AllowedSender TCP, 127.0.0.1, $ESETIP \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224 EOF # Restart rsyslog systemctl restart rsyslogESET SMC データを API 形式で渡すように OMS エージェントを構成する
ESET データを簡単に認識するため、データを別のテーブルにプッシュし、エージェントで解析して、Microsoft Sentinel クエリを簡略化および高速化します。
/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ファイルで、 セクションの型を out_oms_api に変更して、データを API オブジェクトとして送信するようにします。
完全な match oms.** セクションの例を次のコードに示します。
<match oms.** docker.**> type out_oms_api log_level info num_threads 5 run_in_background false omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key buffer_chunk_limit 15m buffer_type file buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer buffer_queue_limit 10 buffer_queue_full_action drop_oldest_chunk flush_interval 20s retry_limit 10 retry_wait 30s max_retry_wait 9m </match>oms.api.eset タグをキャッチし、構造化されたデータを解析するように OMS エージェントの構成を変更する
/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf ファイルを変更します。
次に例を示します。
<source> type syslog port 25224 bind 127.0.0.1 protocol_type udp tag oms.api.eset </source> <filter oms.api.**> @type parser key_name message format /(?<message>.*?{.*})/ </filter> <filter oms.api.**> @type parser key_name message format json </filter>自動構成を無効にして、エージェントを再起動する
次に例を示します。
# Disable changes to configuration files from Portal sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable' # Restart agent sudo /opt/microsoft/omsagent/bin/service_control restart # Check agent logs tail -f /var/opt/microsoft/omsagent/log/omsagent.logログをコネクタに送信するように ESET SMC を構成する
BSD スタイルと JSON 形式を使用して ESET ログを構成します。
- Syslog サーバー構成に移動し、[ホスト] (お使いのコネクタ)、[形式] (BSD)、[トランスポート] (TCP) を構成します
- [ロギング] セクションに移動し、JSON を有効にします
詳細については、ESET のドキュメントをご覧ください。
Exabeam Advanced Analytics (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | ExabeamEvent |
Kusto 関数 URL: | //aka.ms/Sentinel-Exabeam-parser |
ベンダーのドキュメント/ インストール手順 | Advanced Analytics システム アクティビティの通知を構成する |
サポートしているもの | Microsoft |
ExtraHop Reveal(x)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | ExtraHop 検出 SIEM コネクタ |
サポートしているもの | ExtraHop |
F5 BIG-IP
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | F5 BIG-IP を Microsoft Sentinel と統合する |
サポートしているもの | F5 Networks |
F5 Networks (ASM)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | アプリケーション セキュリティ イベント ログの構成 |
サポートしているもの | F5 Networks |
Forcepoint クラウド アクセス セキュリティ ブローカー (CASB) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Forcepoint CASB と Microsoft Sentinel |
サポートしているもの | Forcepoint |
Forcepoint Cloud Security Gateway (CSG) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Forcepoint Cloud Security Gateway と Microsoft Sentinel |
サポートしているもの | Forcepoint |
Forcepoint Data Loss Prevention (DLP) (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | ForcepointDLPEvents_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Forcepoint Data Loss Prevention と Microsoft Sentinel |
サポートしているもの | Forcepoint |
Forcepoint Next Generation Firewall (NGFW) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Forcepoint Next-Gen Firewall と Microsoft Sentinel |
サポートしているもの | Forcepoint |
ForgeRock Common Audit (CAUD) for CEF (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | 最初に ForgeRock Common Audit (CAUD) for Microsoft Sentinel をインストールしてください。 |
サポートしているもの | ForgeRock |
Fortinet
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Fortinet ログをログ フォワーダーに送信する Fortinet Fortigate ソリューションで利用可能) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Fortinet ドキュメント ライブラリ お使いのバージョンを選択し、Handbook (ハンドブック) および Log Message Reference (ログ メッセージ リファレンス) PDF を使用します。 |
サポートしているもの | Fortinet |
Fortinet ログをログ フォワーダーに送信する
お使いの Fortinet アプライアンスで CLI を開き、次のコマンドを実行します。
config log syslogd setting set status enable set format cef set port 514 set server <ip_address_of_Forwarder> end- サーバーの IP アドレスをログ フォワーダーの IP アドレスに置き換えます。
- Syslog のポートを 514 に設定するか、フォワーダーの Syslog デーモンに設定されているポートに設定します。
- 初期の FortiOS のバージョンで CEF 形式を有効にするため、コマンド セット csv disable を実行する必要が生じる場合があります。
GitHub (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API Continuous Threat Monitoring for GitHub ソリューションのインストール後にのみ利用可能。 |
Log Analytics テーブル | GitHubAuditLogPolling_CL |
DCR のサポート | 現在、サポートされていません |
API 資格情報 | GitHub アクセス トークン |
コネクタのデプロイ手順 | GitHub コネクタの追加構成 |
サポートしているもの | Microsoft |
GitHub コネクタの追加構成
前提条件: Microsoft Sentinel から GitHub に接続するには、GitHub エンタープライズ アカウントおよびアクセス可能な組織が必要です。
Microsoft Sentinel ワークスペースに Continuous Threat Monitoring for GitHub ソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを一元的に検出してデプロイする (パブリック プレビュー)」を参照してください。
Microsoft Sentinel コネクタで使用する GitHub 個人用アクセス トークンを作成します。 詳細については、関連する GitHub のドキュメントを参照してください。
Microsoft Sentinel の [データ コネクタ] 領域で、GitHub コネクタを検索します。 右側の [コネクタ ページを開く] を選択します。
[手順] タブの [構成] 領域で、次の情報を入力します。
- [組織名]: 接続したいログがある組織の名前を入力します。
- API キー: 先ほどこの手順で作成した GitHub 個人用アクセス トークンを入力します。
[接続] を選択すると、Microsoft Sentinel への GitHub ログの取り込みが開始されます。
Google Workspace (G-Suite) (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Google Reports API の追加構成 |
Log Analytics テーブル | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | GWorkspaceActivityReports |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Google Reports API の追加構成
Web アプリケーションの資格情報の作成時に、//localhost:8081/ に //localhost:8081/ を追加します。
- 手順に従って credentials.json を取得します。
- Google pickle 文字列を取得するには、(credentials.json と同じパスで) この Python スクリプトを実行します。
- 単一引用符で囲まれた pickle 文字列の出力をコピーして保存します。 これは、関数アプリをデプロイするために必要になります。
Illusive 攻撃管理システム (AMS) (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Illusive Networks 管理者ガイド |
サポートしているもの | Illusive Networks |
Imperva WAF Gateway (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Imperva Cloud WAF ソリューションで利用可能 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Imperva WAF Gateway アラートの Microsoft Sentinel へのログ記録を有効にする手順 |
サポートしているもの | Imperva |
Infoblox Network Identity Operating System (NIOS) (プレビュー)
データ インジェスト方法 | Syslog InfoBlox Threat Defense ソリューションで利用可能 |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | InfobloxNIOS |
Kusto 関数 URL: | //aka.ms/sentinelgithubparsersinfoblox |
ベンダーのドキュメント/ インストール手順 | NIOS SNMP および Syslog デプロイ ガイド |
サポートしているもの | Microsoft |
Juniper SRX (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | JuniperSRX |
Kusto 関数 URL: | //aka.ms/Sentinel-junipersrx-parser |
ベンダーのドキュメント/ インストール手順 | SRX Branch デバイスのトラフィック ログ (セキュリティ ポリシー ログ) を構成する システム ログを構成する |
サポートしているもの | Juniper Networks |
Lookout Mobile Threat Defense (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Lookout Mobile Threat Defense for Microsoft Sentinel ソリューションのインストール後にのみ利用可能 |
Log Analytics テーブル | Lookout_CL |
DCR のサポート | 現在、サポートされていません |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
サポートしているもの | Lookout |
Microsoft 365 Defender
データ インジェスト方法 | Azure サービス間の統合: Microsoft 365 Defender から Microsoft Sentinel にデータを接続する (上位のコネクタに関する記事) |
ライセンスの前提条件/ コスト情報 | Microsoft 365 Defender の有効なライセンス |
Log Analytics テーブル | アラート: SecurityAlert SecurityIncident Defender for Endpoint のイベント: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender for Office 365 のイベント: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Defender for Identity のイベント: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Defender for Cloud Apps のイベント: CloudAppEvents イベントとしての Defender アラート: AlertInfo AlertEvidence |
DCR のサポート | 現在、サポートされていません |
サポートしているもの | Microsoft |
Microsoft Purview Insider Risk Management (IRM) (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 Microsoft Purview Insider Risk Management ソリューションでも利用可能 |
ライセンスと他の前提条件 |
|
Log Analytics テーブル | SecurityAlert |
データ クエリ フィルター | SecurityAlert | where ProductName == "Microsoft Purview Insider Risk Management" |
サポートしているもの | Microsoft |
Microsoft Defender for Cloud
データ インジェスト方法 | Azure サービス間の統合: Microsoft Defender for Cloud からのセキュリティ アラートを接続する (上位のコネクタに関する記事) |
Log Analytics テーブル | SecurityAlert |
サポートしているもの | Microsoft |
Microsoft Defender for Cloud Apps
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 Cloud Discovery ログのために、Microsoft Defender for Cloud Apps で Microsoft Sentinel を SIEM として有効にします |
Log Analytics テーブル | SecurityAlert - アラート用 McasShadowItReporting - Cloud Discovery ログ用 |
サポートしているもの | Microsoft |
Microsoft Defender for Endpoint
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Microsoft Defender for Endpoint デプロイの有効なライセンス |
Log Analytics テーブル | SecurityAlert |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Microsoft Defender for Identity
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
Log Analytics テーブル | SecurityAlert |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Microsoft Defender for IoT
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
Log Analytics テーブル | SecurityAlert |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Microsoft Defender for Office 365
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Office 365 ATP プラン 2 の有効なライセンスを持っている必要があります |
Log Analytics テーブル | SecurityAlert |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Microsoft Office 365
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。 その他の料金が適用される場合があります。 |
Log Analytics テーブル | OfficeActivity |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Microsoft Power BI (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。 その他の料金が適用される場合があります。 |
Log Analytics テーブル | PowerBIActivity |
サポートしているもの | Microsoft |
Microsoft Project (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: API ベースの接続 |
ライセンスの前提条件/ コスト情報 | Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。 その他の料金が適用される場合があります。 |
Log Analytics テーブル | ProjectActivity |
サポートしているもの | Microsoft |
Microsoft Sysmon for Linux (プレビュー)
データ インジェスト方法 | Syslog および Kusto 関数に基づく ASIM パーサー |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Morphisec UTPP (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | Morphisec |
Kusto 関数 URL | //github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/ |
サポートしているもの | Morphisec |
Netskope (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | Netskope_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-netskope-functioncode |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | Netskope |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-netskope-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
NGINX HTTP Server (プレビュー)
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ |
Log Analytics テーブル | NGINX_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | NGINXHTTPServer |
Kusto 関数 URL | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt |
ベンダーのドキュメント/ インストール手順 | モジュール ngx_http_log_module |
カスタム ログのサンプル ファイル: | access.log または error.log |
サポートしているもの | Microsoft |
NXLog Basic Security Module (BSM) macOS (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | BSMmacOS_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | NXLog Microsoft Sentinel ユーザー ガイド |
サポートしているもの | NXLog |
NXLog DNS ログ (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | DNS_Logs_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | NXLog Microsoft Sentinel ユーザー ガイド |
サポートしているもの | NXLog |
NXLog LinuxAudit (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | LinuxAudit_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | NXLog Microsoft Sentinel ユーザー ガイド |
サポートしているもの | NXLog |
Okta シングル サインオン (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | Okta_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/sentineloktaazurefunctioncodev2 |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Onapsis Platform (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto の検索およびエンリッチメント関数 CEF ログをログ フォワーダーに送信するように Onapsis を構成する |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | incident_lookup |
Kusto 関数 URL | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt |
サポートしているもの | Onapsis |
CEF ログをログ フォワーダーに送信するように Onapsis を構成する
Log Analytics エージェントへのログ転送を設定するには、Onapsis 製品に組み込まれているヘルプをご覧ください。
- [Setup](セットアップ) [Third-party integrations](サードパーティ統合) > [Defend Alarms](防御アラーム) に移動し、Microsoft Sentinel 用の手順に従います。
- Onapsis コンソールからエージェントがインストールされているログ フォワーダー マシンに到達できることを確認します。 ログは、TCP を使用してポート 514 に送信する必要があります。
One Identity Safeguard (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | One Identity Safeguard for Privileged Sessions 管理ガイド |
サポートしているもの | One Identity |
Oracle WebLogic Server (プレビュー)
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ |
Log Analytics テーブル | OracleWebLogicServer_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | OracleWebLogicServerEvent |
Kusto 関数 URL: | //aka.ms/Sentinel-OracleWebLogicServer-parser |
ベンダーのドキュメント/ インストール手順 | Oracle WebLogic Server のドキュメント |
カスタム ログのサンプル ファイル: | server.log |
サポートしているもの | Microsoft |
Orca Security (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | OrcaAlerts_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Microsoft Sentinel の統合 |
サポートしているもの | Orca Security |
OSSEC (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | OSSECEvent |
Kusto 関数 URL: | //aka.ms/Sentinel-OSSEC-parser |
ベンダーのドキュメント/ インストール手順 | OSSEC のドキュメント Syslog を使用したアラートの送信 |
サポートしているもの | Microsoft |
Palo Alto Networks
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) Palo Alto PAN-OS and Prisma ソリューションでも利用可能 |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Common Event Format (CEF) 構成ガイド Syslog の監視を構成する |
サポートしているもの | Palo Alto Networks |
Perimeter 81 のアクティビティ ログ (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | Perimeter81_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Perimeter 81 のドキュメント |
サポートしているもの | Perimeter 81 |
Proofpoint On Demand (POD) の電子メール セキュリティ (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Proofpoint POD ソリューションでも利用可能 |
Log Analytics テーブル | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-proofpointpod-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | ProofpointPOD |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-proofpointpod-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Proofpoint Targeted Attack Protection (TAP) (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Proofpoint TAP ソリューションでも利用可能 |
Log Analytics テーブル | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/sentinelproofpointtapazurefunctioncode |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Pulse Connect Secure (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | PulseConnectSecure |
Kusto 関数 URL: | //aka.ms/sentinelgithubparserspulsesecurevpn |
ベンダーのドキュメント/ インストール手順 | Syslog の構成 |
サポートしているもの | Microsoft |
Qualys VM のナレッジベース (KB) (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Qualys VM KB の追加構成 Qualys VM ソリューションでも利用可能 |
Log Analytics テーブル | QualysKB_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-qualyskb-functioncode |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | QualysKB |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-qualyskb-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Qualys VM KB の追加構成
- 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
- [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
- API アカウントのユーザー名とパスワードを作成します。
- [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUI と API へのアクセスが許可されていることを確認します
- 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにサインインした後、API アカウントからサインアウトします。
- 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
- すべての変更を保存します。
Qualys Vulnerability Management (VM) (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Qualys VM の追加構成
|
Log Analytics テーブル | QualysHostDetection_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/sentinelqualysvmazurefunctioncode |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Qualys VM の追加構成
- 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
- [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
- API アカウントのユーザー名とパスワードを作成します。
- [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUI と API へのアクセスが許可されていることを確認します
- 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからサインアウトします。
- 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
- すべての変更を保存します。
手動デプロイ - 関数アプリの構成後
host.json ファイルを構成する
大量の Qualys ホスト検出データが取り込まれる可能性があるため、実行時間が関数アプリの既定のタイムアウトである 5 分を超える可能性があります。 従量課金プランで、既定のタイムアウト時間を最大の 10 分に増やして、関数アプリを実行できる時間を増やします。
- 関数アプリで、関数アプリ名を選択し、 [App Service Editor] ページを選択します。
- [移動] を選択してエディターを開いた後、wwwroot ディレクトリの host.json ファイルを選択します。
- 行 managedDependancy の前に行 "functionTimeout": "00:10:00", を追加します。
- [保存済み] がエディターの右上隅に表示されたことを確認してから、エディターを終了します。
より長いタイムアウト時間が必要な場合は、App Service プランへのアップグレードを検討してください。
Salesforce Service Cloud (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | SalesforceServiceCloud_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | Salesforce REST API 開発者ガイド [認可の設定] で、OAuth の代わりにセッション ID の方法を使用します。 |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | SalesforceServiceCloud |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-SalesforceServiceCloud-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
レガシ エージェントを使用したセキュリティ イベント (Windows)
データ インジェスト方法 | Azure サービス間の統合: Log Analytics エージェントベースの接続 (レガシ) |
Log Analytics テーブル | SecurityEvents |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
詳細については、次を参照してください。
- Microsoft Sentinel に送信できる Windows セキュリティ イベント セット
- 安全でないプロトコル ブックのセットアップ
- Azure Monitor エージェント (AMA) に基づく AMA コネクタを使用した Windows セキュリティ イベント
- 異常な RDP ログイン検出用にセキュリティ イベント/Windows セキュリティ イベント コネクタを構成する。
SentinelOne (プレビュー)
データ インジェスト方法 | Azure Functions と REST API SentinelOne の追加構成 |
Log Analytics テーブル | SentinelOne_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-SentinelOneAPI-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | SentinelOne |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-SentinelOneAPI-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
SentinelOne の追加構成
手順に従って資格情報を取得します。
- 管理者ユーザーの資格情報を使用して SentinelOne 管理コンソールにサインインします。
- 管理コンソールで、 [設定] を選択します。
- [設定] ビューで、 [ユーザー] を選択します
- [新しいユーザー] を選択します。
- 新しいコンソール ユーザーの情報を入力します。
- [ロール] で、 [管理者] を選択します。
- [保存] を選択します
- 新しいユーザーの資格情報を、データ コネクタで使用するために保存します。
SonicWall ファイアウォール (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | [ログ] [Syslog] ファシリティとして local4、Syslog 形式として ArcSight をそれぞれ選択します。 |
サポートしているもの | SonicWall |
Sophos Cloud Optix (プレビュー)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | SophosCloudOptix_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Microsoft Sentinel と統合します (最初の手順はスキップします)。 Sophos クエリのサンプル |
サポートしているもの | Sophos |
Sophos XG Firewall (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | SophosXGFirewall |
Kusto 関数 URL: | //github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt |
ベンダーのドキュメント/ インストール手順 | Syslog サーバーを追加する |
サポートしているもの | Microsoft |
Squadra Technologies secRMM
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | secRMM_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | secRMM Microsoft Sentinel 管理者ガイド |
サポートしているもの | Squadra Technologies |
Squid Proxy (プレビュー)
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ |
Log Analytics テーブル | SquidProxy_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | SquidProxy |
Kusto 関数 URL | //aka.ms/Sentinel-squidproxy-parser |
カスタム ログのサンプル ファイル: | access.log または cache.log |
サポートしているもの | Microsoft |
Symantec Integrated Cyber Defense Exchange (ICDx)
データ インジェスト方法 | Microsoft Sentinel データ コレクター API |
Log Analytics テーブル | SymantecICDx_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Microsoft Sentinel (Log Analytics) フォワーダーの構成 |
サポートしているもの | Broadcom Symantec |
Symantec ProxySG (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | SymantecProxySG |
Kusto 関数 URL: | //aka.ms/sentinelgithubparserssymantecproxysg |
ベンダーのドキュメント/ インストール手順 | Syslog サーバーへのアクセス ログの送信 |
サポートしているもの | Microsoft |
Symantec VIP (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | SymantecVIP |
Kusto 関数 URL: | //aka.ms/sentinelgithubparserssymantecvip |
ベンダーのドキュメント/ インストール手順 | Syslog の構成 |
サポートしているもの | Microsoft |
Thycotic Secret Server (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | セキュリティで保護された Syslog/CEF ログ |
サポートしているもの | Thycotic |
Trend Micro Deep Security
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | TrendMicroDeepSecurity |
Kusto 関数 URL | //aka.ms/TrendMicroDeepSecurityFunction |
ベンダーのドキュメント/ インストール手順 | Deep Security イベントを Syslog または SIEM サーバーに転送する |
サポートしているもの | Trend Micro |
Trend Micro TippingPoint (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) と Kusto 関数パーサー |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | TrendMicroTippingPoint |
Kusto 関数 URL | //aka.ms/Sentinel-trendmicrotippingpoint-function |
ベンダーのドキュメント/ インストール手順 | ArcSight CEF Format v4.2 形式で Syslog メッセージを送信します。 |
サポートしているもの | Trend Micro |
Trend Micro Vision One (XDR) (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | TrendMicro_XDR_CL |
DCR のサポート | 現在、サポートされていません |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | Azure Resource Manager (ARM) テンプレートを使用したワンクリック デプロイ |
サポートしているもの | Trend Micro |
VMware Carbon Black Endpoint Standard (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/sentinelcarbonblackazurefunctioncode |
API 資格情報 | API アクセス レベル ("監査" および "イベント" ログの場合): SIEM アクセス レベル ("通知" イベントの場合): |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
VMware ESXi (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | VMwareESXi |
Kusto 関数 URL: | //aka.ms/Sentinel-vmwareesxi-parser |
ベンダーのドキュメント/ インストール手順 | ESXi 3.5 および 4.x での Syslog の有効化 ESXi ホストで Syslog を構成する |
サポートしているもの | Microsoft |
WatchGuard Firebox (プレビュー)
データ インジェスト方法 | Syslog |
Log Analytics テーブル | Syslog |
DCR のサポート | ワークスペース変換 DCR |
Kusto 関数エイリアス: | WatchGuardFirebox |
Kusto 関数 URL: | //aka.ms/Sentinel-watchguardfirebox-parser |
ベンダーのドキュメント/ インストール手順 | Microsoft Sentinel 統合ガイド |
サポートしているもの | WatchGuard Technologies |
WireX Network Forensics Platform (プレビュー)
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Syslog メッセージを CEF 形式で送信するように NFP ソリューションを構成するには、WireX サポートにお問い合わせください。 |
サポートしているもの | WireX Systems |
AMA 経由の Windows DNS イベント (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: Azure Monitor エージェントベースの接続 |
Log Analytics テーブル | DnsEvents DnsInventory |
DCR のサポート | 標準 DCR |
サポートしているもの | Microsoft |
Windows DNS Server (プレビュー)
このコネクタでは、レガシ エージェントが使用されます。 上記の AMA コネクタ経由で DNS を使用することをお勧めします。
データ インジェスト方法 | Azure サービス間の統合: Log Analytics エージェントベースの接続 (レガシ) |
Log Analytics テーブル | DnsEvents DnsInventory |
DCR のサポート | ワークスペース変換 DCR |
サポートしているもの | Microsoft |
Windows DNS Server データ コネクタのトラブルシューティング
DNS イベントが Microsoft Sentinel に表示されない場合:
- サーバー上の DNS 分析ログが有効になっていることを確認します。
- Azure DNS Analytics に移動します。
- [構成] 領域で設定を変更し、その内容を保存します。 必要であれば、設定を元に戻したうえで再度変更を保存してください。
- Azure DNS Analytics をチェックして、イベントとクエリが適切に表示されることを確認します。
詳細については、「DNS Analytics プレビュー ソリューションを使用した DNS インフラストラクチャに関する分析情報の収集」を参照してください。
Windows の転送済みイベント (プレビュー)
データ インジェスト方法 | Azure サービス間の統合: Azure Monitor エージェントベースの接続 Windows の転送済みイベント コネクタをデプロイするための追加手順 |
前提条件 | Windows イベント コレクション (WEC) が有効になっていて、実行されている必要があります。 WEC マシンに、Azure Monitor エージェントをインストールします。 |
xPath クエリ プレフィックス | "ForwardedEvents!*" |
Log Analytics テーブル | WindowsEvents |
DCR のサポート | 標準 DCR |
サポートしているもの | Microsoft |
Windows の転送済みイベント コネクタをデプロイするための追加手順
データ正規化の完全なサポートを保証するために、Advanced Security Information Model (ASIM) パーサーをインストールすることをお勧めします。 これらのパーサーは、GitHub リポジトリから、 [Deploy to Azure](Azure にデプロイする) ボタンを使用してデプロイできます。
Windows ファイアウォール
データ インジェスト方法 | Azure サービス間の統合: Log Analytics エージェントベースの接続 (レガシ) |
Log Analytics テーブル | WindowsFirewall |
サポートしているもの | Microsoft |
AMA を使用した Windows セキュリティ イベント
データ インジェスト方法 | Azure サービス間の統合: Azure Monitor エージェントベースの接続 |
xPath クエリ プレフィックス | "Security!*" |
Log Analytics テーブル | SecurityEvents |
DCR のサポート | 標準 DCR |
サポートしているもの | Microsoft |
関連項目:
- AMA コネクタ経由の Windows DNS イベント (プレビュー): Azure Monitor エージェントを使用して、Windows ドメイン ネーム システム (DNS) サーバー ログからイベントをストリーミングおよびフィルター処理します。
- レガシ エージェント コネクタを使用したセキュリティ イベント。
異常な RDP ログイン検出用にセキュリティ イベント/Windows セキュリティ イベント コネクタを構成する
重要
異常な RDP ログイン検出は現在、パブリック プレビュー段階です。 この機能はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。
Microsoft Sentinel では、セキュリティ イベント データに機械学習 (ML) を適用して、リモート デスクトップ プロトコル (RDP) ログインの異常なアクティビティを識別できます。 シナリオには以下が含まれます。
通常とは異なる IP - その IP アドレスが過去 30 日間にほとんどまたはまったく確認されていない
通常とは異なる地理的な場所 - IP アドレス、市区町村、国、および ASN が過去 30 日間にほとんどまたはまったく確認されていない
新しいユーザー - 新しいユーザーが、過去 30 日間のデータに基づいて予期されないか確認されていない (またはその両方の) IP アドレスおよび地理的な場所からログインしている。
構成の手順
セキュリティ イベントまたは Windows セキュリティ イベント データ コネクタを使用して、RDP ログイン データ (イベント ID 4624) を収集している必要があります。 イベント セットを Microsoft Sentinel にストリーミングするには、"なし" 以外のイベント セットを選択するか、このイベント ID を含めたデータ収集ルールを作成します。
Microsoft Sentinel ポータルで、 [分析] を選択した後、 [規則のテンプレート] タブを選択します。 (Preview) Anomalous RDP Login Detection((プレビュー) 異常な RDP ログイン検出) 規則を選択し、 [状態] スライダーを [有効] に移動します。
Note
機械学習アルゴリズムでは、ユーザー動作のベースライン プロファイルを作成するために 30 日間分のデータが必要であるため、インシデントを検出する前に、30 日間の Windows セキュリティ イベント データの収集を許可する必要があります。
Workplace from Facebook (プレビュー)
データ インジェスト方法 | Azure Functions と REST API Webhook を構成する
|
Log Analytics テーブル | Workplace_Facebook_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | Workplace_Facebook |
Kusto 関数 URL/ パーサーの構成手順 | //raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Webhook を構成する
- 管理者ユーザーの資格情報を使用して Workplace にサインインします。
- 管理者用パネルで、 [統合] を選択します。
- [すべての統合] ビューで、 [カスタム統合を作成] を選択します。
- 名前と説明を入力して、 [作成] を選択します。
- [統合の詳細] パネルで、 [アプリ シークレット] を表示してコピーします。
- [統合へのアクセス許可] パネルで、すべての読み取りアクセス許可を設定します。 詳細については、アクセス許可に関するページをご覧ください。
Webhook 構成にコールバック URL を追加する
- 関数アプリのページを開き、 [関数] の一覧に移動し、 [関数の URL の取得] を選択してコピーします。
- Workplace from Facebook に戻ります。 [Webhook を設定] パネルの各タブで、 [コールバック URL] を直前の手順でコピーした関数の URL として設定し、 [トークンを認証] を自動デプロイ中に受信した、または手動デプロイ中に入力した同じ値として設定します。
- [保存] を選択します。
Zimperium Mobile Thread Defense (プレビュー)
Zimperium Mobile Threat Defense データ コネクタでは、Zimperium の脅威ログを Microsoft Sentinel に接続して、ダッシュボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 このコネクタにより、組織のモバイル脅威のランドスケープに関するより詳細な分析情報が提供され、セキュリティ運用機能が向上します。
詳細については、Zimperium の Azure Sentinel への接続に関する記事をご覧ください。
データ インジェスト方法 | Microsoft Sentinel データ コレクター API Zimperium MTD を構成して接続する |
Log Analytics テーブル | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
DCR のサポート | 現在、サポートされていません |
ベンダーのドキュメント/ インストール手順 | Zimperium カスタマー サポート ポータル (サインインが必要) |
サポートしているもの | Zimperium |
Zimperium MTD を構成して接続する
- zConsole のナビゲーション バーで、 [管理] を選択します。
- [統合] タブを選択します。
- [脅威レポート] ボタン、 [統合を追加] ボタンの順に選択します。
- 統合を作成します。
- 使用可能な統合から、Microsoft Sentinel を選択します。
- [ワークスペース ID] と [主キー] を入力して、 [次へ] を選択します。
- Microsoft Sentinel 統合の名前を入力します。
- Microsoft Sentinel にプッシュする脅威データの [Filter Level](フィルター レベル) を選択します。
- [完了] を選択します。
Zoom Reports (プレビュー)
データ インジェスト方法 | Azure Functions と REST API |
Log Analytics テーブル | Zoom_CL |
DCR のサポート | 現在、サポートされていません |
Azure 関数アプリのコード | //aka.ms/Sentinel-ZoomAPI-functionapp |
API 資格情報 | |
ベンダーのドキュメント/ インストール手順 | |
コネクタのデプロイ手順 | |
Kusto 関数エイリアス | Zoom |
Kusto 関数 URL/ パーサーの構成手順 | //aka.ms/Sentinel-ZoomAPI-parser |
アプリケーションの設定 | |
サポートしているもの | Microsoft |
Zscaler
データ インジェスト方法 | Syslog を介した Common Event Format (CEF) |
Log Analytics テーブル | CommonSecurityLog |
DCR のサポート | ワークスペース変換 DCR |
ベンダーのドキュメント/ インストール手順 | Zscaler と Microsoft Sentinel のデプロイ ガイド |
サポートしているもの | Zscaler |
Zscaler Private Access (ZPA) (プレビュー)
データ インジェスト方法 | Log Analytics エージェント - カスタム ログ Zscaler Private Access の追加構成 |
Log Analytics テーブル | ZPA_CL |
DCR のサポート | 現在、サポートされていません |
Kusto 関数エイリアス: | ZPAEvent |
Kusto 関数 URL | //aka.ms/Sentinel-zscalerprivateaccess-parser |
ベンダーのドキュメント/ インストール手順 | Zscaler Private Access のドキュメント 以下も参照してください |
サポートしているもの | Microsoft |
Zscaler Private Access の追加構成
次の構成手順に従って、Zscaler Private Access のログを Microsoft Sentinel に取り込みます。 詳細については、Azure Monitor のドキュメントを参照してください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください。
ログ レシーバーを構成します。 ログ レシーバーの構成中に、 [ログ テンプレート] として [JSON] を選択します。
構成ファイル (zpa.conf) をダウンロードします。
wget -v //aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confAzure Log Analytics エージェントをインストールしたサーバーにサインインします。
zpa.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。
次のように zpa.conf を編集します。
- Zscaler ログ レシーバーのログの転送先として設定したポートを指定します (4 行目)
- workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)
次のコマンドを使用して、Linux 用 Log Analytics エージェント サービスを再起動します。
sudo /opt/microsoft/omsagent/bin/service_control restart
ワークスペース ID の値は、Zscaler Private Access コネクタのページまたは Log Analytics ワークスペースのエージェント管理ページで確認できます。
次のステップ
詳細については、次を参照してください。
- Azure Marketplace での Microsoft Sentinel のソリューションカタログ
- Microsoft Sentinel ソリューション カタログ
- Microsoft Sentinel への脅威インテリジェンスの統合