重要
非推奨のお知らせ: SIEM エージェントMicrosoft Defender for Cloud Apps
Microsoft Defender ワークロードにわたる継続的な収束プロセスの一環として、Microsoft Defender for Cloud Apps SIEM エージェントは 2025 年 11 月から非推奨になります。
既存のMicrosoft Defender for Cloud Apps SIEM エージェントは、その時点までそのまま機能し続けます。 2025 年 6 月 19 日の時点で、 新しい SIEM エージェントは構成できませんが、 Microsoft Sentinel エージェント統合 (プレビュー) は引き続きサポートされ、引き続き追加できます。
複数のワークロードからのアクティビティとアラート データの管理をサポートする API に移行することをお勧めします。 これらの API は、セキュリティの監視と管理を強化し、複数のMicrosoft Defender ワークロードのデータを使用して追加の機能を提供します。
Microsoft Defender for Cloud Apps SIEM エージェントを通じて現在利用可能なデータへの継続性とアクセスを確保するには、次のサポートされている API に移行することをお勧めします。
- アラートとアクティビティについては、「Microsoft Defender XDR ストリーミング API」を参照してください。
- ログオン イベントMicrosoft Entra ID 保護については、高度なハンティング スキーマの IdentityLogonEvents テーブルに関するページを参照してください。
- Microsoft Graph セキュリティ アラート API については、「リスト alerts_v2」を参照してください。
- Microsoft Defender XDR インシデント API でMicrosoft Defender for Cloud Appsアラート データを表示するには、「インシデント API とインシデント リソースの種類をMicrosoft Defender XDRする」を参照してください。
Microsoft Defender for Cloud Appsを Microsoft Sentinel (スケーラブルなクラウドネイティブ SIEM および SOAR) と統合して、アラートと検出データを一元的に監視できます。 Microsoft Sentinel と統合すると、通常のセキュリティ ワークフローを維持しながら、クラウド アプリケーションをより適切に保護し、セキュリティ手順を自動化し、クラウドベースとオンプレミスのイベントの間で関連付けを行うことができます。
Microsoft Sentinel を使用する利点は次のとおりです。
- Log Analytics によって提供されるデータ保持期間が長くなります。
- すぐに使える視覚化。
- Microsoft Power BIや Microsoft Sentinel ブックなどのツールを使用して、組織のニーズに合った独自の検出データの視覚化を作成します。
その他の統合ソリューションは次のとおりです。
- 汎用 SIEM - Defender for Cloud Appsを汎用 SIEM サーバーと統合します。 汎用 SIEM との統合の詳細については、「 汎用 SIEM 統合」を参照してください。
- Microsoft セキュリティ グラフ API - 複数のセキュリティ プロバイダーを接続するための 1 つのプログラム インターフェイスを提供する中間サービス (またはブローカー)。 詳細については、「Microsoft Graph Security APIを使用したセキュリティ ソリューションの統合」を参照してください。
Microsoft Sentinel との統合には、Defender for Cloud Appsと Microsoft Sentinel の両方で構成が含まれます。
前提条件
Microsoft Sentinel と統合するには:
- 有効な Microsoft Sentinel ライセンスが必要です
- テナントのセキュリティ管理者以上である必要があります。
米国政府のサポート
直接Defender for Cloud Apps - Microsoft Sentinel 統合は、商用のお客様のみが利用できます。
ただし、すべてのDefender for Cloud Apps データはMicrosoft Defender XDRで使用できるため、Microsoft Defender XDR コネクタを介して Microsoft Sentinel で使用できます。
Microsoft Sentinel でDefender for Cloud Appsデータを表示することに関心がある GCC、GCC High、DoD のお客様は、Microsoft Defender XDR ソリューションをインストールすることをお勧めします。
詳細については、以下を参照してください:
Microsoft Sentinel との統合
Microsoft Defender ポータルで、[設定] > [Cloud Apps] を選択します。
[ システム] で、[ SIEM エージェント] > [SIEM エージェント > Sentinel の追加] を選択します。 以下に例を示します。
![[SIEM 統合の追加] メニューを示すスクリーンショット。](media/siem0.png)
注:
以前に統合を実行した場合、Microsoft Sentinel を追加するオプションは使用できません。
ウィザードで、Microsoft Sentinel に転送するデータ型を選択します。 統合は、次のように構成できます。
- アラート: Microsoft Sentinel が有効になると、アラートが自動的にオンになります。
- 検出ログ: スライダーを使用して有効または無効にします。既定では、すべてが選択され、[適用] ドロップダウン を 使用して Microsoft Sentinel に送信される検出ログをフィルター処理します。
以下に例を示します。
[ 次へ] を選択し、Microsoft Sentinel に進んで統合を完了します。 Microsoft Sentinel の構成については、Defender for Cloud Apps用の Microsoft Sentinel データ コネクタに関するページを参照してください。 以下に例を示します。
注:
通常、新しい検出ログは、Defender for Cloud Appsで構成してから 15 分以内に Microsoft Sentinel に表示されます。 ただし、システム環境の状況によっては、時間がかかる場合があります。 詳細については、「 分析ルールでのインジェスト遅延の処理」を参照してください。
Microsoft Sentinel のアラートと検出ログ
統合が完了すると、アラートと検出ログDefender for Cloud Apps Microsoft Sentinel で表示できます。
Microsoft Sentinel の [ログ] の [Security Insights] で、Defender for Cloud Appsデータ型のログを次のように見つけることができます。
| データ型 | Table |
|---|---|
| 検出ログ | McasShadowItReporting |
| アラート | SecurityAlert |
次の表では、 McasShadowItReporting スキーマの各フィールドについて説明します。
| フィールド | 種類 | 説明 | 例 |
|---|---|---|---|
| TenantId | 文字列 | ワークスペース ID | b459b4u5-912x-46d5-9cb1-p43069212nb4 |
| SourceSystem | 文字列 | ソース システム – 静的な値 | Azure |
| TimeGenerated [UTC] | DateTime | 検出データの日付 | 2019-07-23T11:00:35.858Z |
| StreamName | 文字列 | 特定のストリームの名前 | Marketing Department |
| TotalEvents | 整数 | セッションあたりのイベントの合計数 | 122 |
| BlockedEvents | 整数 | ブロックされたイベントの数 | 0 |
| UploadedBytes | 整数 | アップロードされたデータの量 | 1,514,874 |
| TotalBytes | 整数 | データの総量 | 4,067,785 |
| DownloadedBytes | 整数 | ダウンロードされたデータの量 | 2,552,911 |
| IpAddress | 文字列 | 送信元 IP アドレス | 127.0.0.0 |
| UserName | 文字列 | ユーザー名 | Raegan@contoso.com |
| EnrichedUserName | 文字列 | ユーザー名をMicrosoft Entraしたエンリッチされたユーザー名 | Raegan@contoso.com |
| AppName | 文字列 | クラウド アプリの名前 | Microsoft OneDrive for Business |
| AppId | 整数 | クラウド アプリ識別子 | 15600 |
| AppCategory | 文字列 | クラウド アプリのカテゴリ | クラウド ストレージ |
| AppTags | String array | アプリ用に定義された組み込みタグとカスタム タグ | ["sanctioned"] |
| AppScore | 整数 | 0 から 10 のスケールでのアプリのリスク スコア。10 はリスクのないアプリのスコアです | 10 |
| Type | 文字列 | ログの種類 – 静的な値 | McasShadowItReporting |
Microsoft Sentinel で Power BI とDefender for Cloud Apps データを使用する
統合が完了したら、他のツールで Microsoft Sentinel に格納されているDefender for Cloud Apps データを使用することもできます。
このセクションでは、Microsoft Power BIを使用してデータを簡単に整形および結合して、organizationのニーズを満たすレポートとダッシュボードを構築する方法について説明します。
次の手順をお試しください。
Power BI で、microsoft Sentinel からDefender for Cloud Apps データのクエリをインポートします。 詳細については、「Azure Monitor ログ データを Power BI にインポートする」を参照してください。
Defender for Cloud Apps Shadow IT Discovery アプリをインストールし、それを検出ログ データに接続して、組み込みの Shadow IT Discovery ダッシュボードを表示します。
注:
現在、アプリは Microsoft AppSource では公開されていません。 そのため、アプリをインストールするためのアクセス許可については、Power BI 管理者に問い合わせる必要がある場合があります。
以下に例を示します。
必要に応じて、Power BI Desktopでカスタム ダッシュボードを構築し、organizationのビジュアル分析とレポートの要件に合わせて調整します。
Defender for Cloud Apps アプリを接続する
Power BI で、[ アプリ] > [シャドウ IT 検出 アプリ] を選択します。
[ 新しいアプリの概要 ] ページで、[接続] を選択 します。 以下に例を示します。
[ワークスペース ID] ページで、ログ分析の概要ページに表示されている Microsoft Sentinel ワークスペース ID を入力し、[ 次へ] を選択します。 以下に例を示します。
認証ページで、認証方法とプライバシー レベルを指定し、[サインイン] を選択 します。 以下に例を示します。
データを接続したら、ワークスペースの [データセット ] タブに移動し、[ 最新の情報に更新] を選択します。 これにより、独自のデータでレポートが更新されます。
問題が発生した場合は、こちらにお問い合わせください。 製品の問題に関するサポートを受ける場合は、サポート チケットを開いてください。