次の方法で共有

API ベースのデータ コネクタを使用して Microsoft Sentinel を他の Microsoft サービスに接続する

  • [アーティクル]

この記事では、Microsoft Sentinel への API ベースの接続を作成する方法について説明します。 Microsoft Sentinel では Azure 基盤を使用して、多くの Azure と Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまな Windows Server サービスからのデータ インジェスト用の組み込みのサービス間サポートを提供します。 これらの接続を行う方法はいくつかあります。

この記事では、API ベースのデータ コネクタのグループに共通する情報について説明します。

注意

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

前提条件

  • Log Analytics ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • Microsoft Sentinel ワークスペースのテナントに対するセキュリティ管理者の役割または同等のアクセス許可が必要です。

  • データ コネクタ固有の要件:

    データ コネクタ ライセンス、コスト、その他の前提条件
    Microsoft Entra ID Protection - Microsoft Entra ID P2 サブスクリプション
    - その他の料金が適用される場合があります。
    Dynamics 365 - Microsoft Dynamics 365 の運用ライセンス。 サンドボックス環境では使用できません。
    - 少なくとも 1 人のユーザーに Microsoft/Office 365 E1 以上のライセンスが割り当てられている。
    - Microsoft Purview 内で有効な監査ログ。 「監査のオンとオフを切り替える」をご参照ください。
    - ご利用の Microsoft Dataverse 環境内で有効な監査ログ。 「Microsoft Dataverse およびモデル駆動型アプリのアクティビティ ログ」をご参照ください。
    - その他の料金が適用される場合があります。
    Microsoft Defender for Cloud Apps Cloud Discovery ログのために、Microsoft Defender for Cloud Apps で Microsoft Sentinel を SIEM として有効にします
    Microsoft Defender for Endpoint Microsoft Defender for Endpoint デプロイの有効なライセンス
    Microsoft Defender for Office 365 Office 365 ATP プラン 2 の有効なライセンス
    Microsoft Office 365 - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Power BI - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview Information Protection - Office 365 のデプロイは、Microsoft Sentinel ワークスペースと同じテナントに存在する必要があります。
    - その他の料金が適用される場合があります。
    Microsoft Purview インサイダー リスク管理 (IRM) - Microsoft 365 E5/A5/G5、またはそれに付随するコンプライアンスまたは IRM アドオンの有効なサブスクリプション。
    - Microsoft Purview Insider Risk Management が完全にオンボードされ、IRM ポリシーが定義され、アラートが生成されている。
    - Microsoft Sentinel コネクタ経由でアラートを受信するために、Office 365 Management Activity API への IRM アラートのエクスポートを有効にするように構成された Microsoft 365 IRM

API ベースのコネクタを経由して Microsoft サービスに接続する

  1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。

  2. データ コネクタ ギャラリーからご利用のサービスを選び、プレビュー ペインで [コネクタ ページを開く] を選択します。

  3. [接続] を選択して、サービスから Microsoft Sentinel へのイベントやアラートのストリーミングを開始します。

  4. コネクタ ページに [Create incidents - recommended!](インシデントの作成 - 推奨) というタイトルのセクションがある状態で、アラートからインシデントを自動的に作成する場合は [有効] を選択します。

データ コネクタのリファレンス ページで、サービスのコネクタのセクションに表示されるテーブル名を使用することで、各サービスのデータを検索してクエリを実行できます。

関連するコンテンツ

詳細については、以下を参照してください: