次の方法で共有

Microsoft Sentinel データ レイクに使用するログ ソース

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

この記事では、コネクタを有効にした場合にのみ、データ レイク層として構成することを検討するログ ソースについて説明します。 特定のテーブルを構成するレベルを選択する前に、ユース ケースに最も適したレベルを確認します。 データ カテゴリとデータ層の詳細については、「 Microsoft Sentinel のログ保持プラン」を参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

クラウド プロバイダーのストレージ アクセス ログ

ストレージ アクセス ログは、認可されていない当事者への機密データ漏洩に関係する調査のための二次的な情報源を提供できます。 これらのログは、データに付与されたシステムまたはユーザーのアクセス許可に関する問題を特定するのに役立ちます。

多くのクラウド プロバイダーでは、すべてのアクティビティをログに記録することを許可しています。 これらのログを使用して、異常または不正なアクティビティを追求することや、インシデントに応じて調査することができます。

NetFlow ログ

NetFlow ログは、組織のインフラストラクチャ内のネットワーク通信や、組織のインフラストラクチャと外部サービス間のインターネット経由のネットワーク通信について調査を行うために使用します。 ほとんどの場合、このデータには送信元と宛先の IP とポートが含まれるため、コマンドとコントロールのアクティビティを調査するために使用されます。 NetFlow によって提供されるメタデータを使用して、ネットワーク上の攻撃者に関する断片的な情報をつなぎ合わせます。

クラウド プロバイダーの VPC フロー ログ

仮想プライベート クラウド (VPC) フロー ログは、調査と脅威の捜索のために重要なものになっています。 組織でクラウド環境を運用する場合、脅威の捜索者は、クラウド間またはクラウドとエンドポイント間のネットワーク フローを調査できる必要があります。

TLS/SSL 証明書モニター ログ

TLS/SSL 証明書モニターのログは、最近注目を集めているサイバー攻撃と非常に大きな関連性があります。 TLS/SSL 証明書の監視は一般的なログ ソースではありませんが、このログは、証明書が関係するさまざまな種類の攻撃について貴重なデータを提供します。 証明書のソースについて、次のような点を理解するのに役立ちます。

  • 自己署名されたかどうか
  • どのような方法で生成されたか
  • 信頼できるソースから証明書が発行されたかどうか

プロキシ ログ

多くのネットワークでは、内部ユーザーのトラフィックを可視化するために透過的なプロキシを維持しています。 プロキシ サーバー ログには、ローカル ネットワーク上のユーザーとアプリケーションによって行われた要求が含まれます。 これらのログには、アプリケーションの更新など、インターネット経由で行われたアプリケーションまたはサービス要求も含まれます。す。 ログに記録される内容は、アプライアンスまたはソリューションによって異なります。 ただし多くの場合、ログによって次の情報が提供されます。

  • 日付
  • Time
  • サイズ
  • 要求を行った内部ホスト
  • ホストが要求した内容

調査の一環としてネットワークを掘り下げるときに、プロキシ ログ データの重複は貴重なリソースになる可能性があります。

ファイアウォール ログ

ファイアウォール イベント ログは多くの場合、脅威の捜索と調査のための最も基本的なネットワーク ログ ソースです。 ファイアウォール イベント ログによって、異常に大きなファイルの転送、ボリューム、ホストによる通信の頻度、プローブ接続試行、ポート スキャンが明らかになることがあります。 ファイアウォール ログは、エフェメラル ポートのスタッキング、さまざまな通信パターンのグループ化とクラスター化など、体系化されていないさまざまな捜索手法のためのデータ ソースとしても役立ちます。

IoT ログ

モノのインターネット (IoT) に接続されたデバイスは、ログ データのソースとして新たに増え続けています。 IoT デバイスは、デバイスによってキャプチャされた独自のアクティビティやセンサー データをログに記録する場合があります。 セキュリティ調査と脅威の捜索にとって、IoT の可視性は大きな課題です。 高度な IoT デプロイでは、Azure のような集中型のクラウド サービスにログ データを保存します。

次のステップ

  • Last updated on