データ ソースを Microsoft Sentinel に接続するには、データ コネクタをインストールして構成する必要があります。 この記事では、通常、Microsoft Sentinel コンテンツ ハブ で利用可能なデータ コネクタをインストールして、脅威検出を改善するためにデータを取り込んで分析する方法について説明します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
前提条件
開始する前に、適切なアクセス権を持っていることを確認し、自分または組織内のユーザーが関連ソリューションをインストールします。
- Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
- Microsoft Sentinel の コンテンツ ハブ からデータ コネクタを含むソリューションをインストールします。 詳細については、「Microsoft Sentinel の標準コンテンツの発見と管理」を参照してください。
データ コネクタを有効にする
自分または組織内のユーザーが、必要なデータ コネクタを含むソリューションをインストールしたら、データの取り込みを開始するようにデータ コネクタを構成します。
Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Configurations>Data コネクタを選択します。 Azure portal の Microsoft Sentinel の場合、[構成] で [データ コネクタ] を選択します。
コネクタを検索して選択します。 目的のデータ コネクタが表示されない場合は、関連するソリューションが コンテンツ ハブにインストールされていることをもう一度確認してください。
[ コネクタ ページを開く] を選択します。
データ コネクタ の前提条件 を確認し、それらが満たされていることを確認します。
データ コネクタの [構成] セクションで説明されている手順に従います。
一部のコネクタについては、Microsoft Sentinel ドキュメントの「 データの収集 」セクションで、より具体的な構成情報を確認してください。
データ保持と階層化を構成する
Microsoft Sentinel データ レイクにオンボードしている場合は、データ コネクタのデータ保持と階層化を構成できます。 Data Lake は、分析層 (現在の Microsoft Sentinel ワークスペース) と、最大 12 年間データを格納できる Data Lake 層で構成されます。 オンボードの詳細については、「 Microsoft Sentinel Data Lake へのオンボード」を参照してください。
コネクタを有効にすると、既定では、データは分析層に送信され、データ レイク層にミラー化されます。 各層でデータ保持を構成するか、データを Data Lake 層にのみ送信します。 保持と階層化は、コネクタのセットアップ ページから、または Defender ポータルの [テーブル管理 ] ページを使用して管理されます。 テーブルの管理と保持の詳細については、 Microsoft Defender ポータルでのデータ層と保持の管理に関するページを参照してください。
コネクタを設定したら、次の手順に従ってデータの保持と階層化を構成します。
[ コネクタの詳細 ] ページの [ テーブル管理 ] セクションで、管理するテーブルを選択します。
現在の保持設定を示すテーブル パネルが表示されます。
リテンション期間を構成するには、[ テーブルの管理] を選択します。
![[テーブルの管理] パネルを示すスクリーンショット。](media/configure-data-connector/manage-table.png)
[ テーブルの管理 ] パネルが表示され、現在の保持設定が表示されます。 分析層とデータ レイク層の保持設定を変更できます。 既定では、分析層と同じリテンション期間でデータをデータ レイク層にミラーリングします。
[ 分析のリテンション期間 ] で、分析レベルの保持期間を選択します。
データ レイク層を構成するには、[合計保有期間] ドロップダウン リストから 保持 期間を選択します。
層を Data Lake のみに変更するには、 Data Lake 層 を選択し、[ 保持] ドロップダウン リストから保持期間を選択します。 このオプションを選択すると、分析レベルへのインジェストがさらに停止します。
[保存] を選択して変更を保存します。
![[テーブルの管理] パネルを示すスクリーンショット。](media/configure-data-connector/manage-table.png#lightbox)
データ コネクタを構成した後、データが Microsoft Sentinel に取り込まれるまで時間がかかる場合があります。 データがデータ レイクに取り込まれるには、90 から 120 分かかります。 データ コネクタが接続されると、 データ受信 グラフにデータの概要と、データ型の接続状態が表示されます。
データの検索
コネクタを正常に有効にすると、コネクタは、構成したデータ型に関連するテーブル スキーマへのデータのストリーム配信を開始します。
Defender ポータルで、[ 高度なハンティング ] ページまたは Azure portal の [ ログ ] ページでデータのクエリを実行します。
Data Lake Explorer に移動し、KQL クエリを実行してデータ レイク内のデータにクエリを実行します。 詳細については、 KQL と Microsoft Sentinel データ レイクに関する説明を参照してください。
データ コネクタのサポートを見つける
Microsoft と他の組織の両方が Microsoft Azure Sentinel データ コネクタを作成しています。 Microsoft Sentinel のデータ コネクタ ページからサポートの連絡先を見つけます。
Microsoft Sentinel データ コネクタ ページで 、関連するコネクタを選択します。
コネクタのサポートとメンテナンスにアクセスするには、コネクタのサイド パネルの [ サポート対象 ] フィールドにあるサポート連絡先リンクを使用します。
![Microsoft Sentinel のデータ コネクタの [サポート対象] フィールドを示すスクリーンショット。](media/configure-data-connector/support.png)
![Microsoft Sentinel のデータ コネクタの [サポート対象] フィールドを示すスクリーンショット。](media/configure-data-connector/support.png#lightbox)
詳細については、「 データ コネクタのサポート」を参照してください。
関連するコンテンツ
Microsoft Sentinel のソリューションとデータ コネクタの詳細については、次の記事を参照してください。
- Microsoft Sentinel データ コネクタ
- Microsoft Sentinel データ コネクタを見つける
- Microsoft Sentinel を Azure、Windows、Microsoft、Amazon のサービスに接続する
- Microsoft Sentinel Data Lake とは
- Microsoft Sentinel Data Lake へのオンボーディング
- Microsoft Defender ポータルでデータ層とリテンション期間を管理します。
- KQL と Microsoft Sentinel データ レイク
- Jupyter Notebook と Microsoft Sentinel データ レイク