As part of our ongoing convergence process for all Microsoft Defender workloads, we will retire SIEM (Security Information and Event Management) agents from Microsoft Defender for Cloud Apps in starting mid-November 2025 and ending late November 2025. We recommend you transition to APIs that support the management of activities and alerts data from multiple workloads.

[How this will affect your organization:]

Existing Microsoft Defender for Cloud Apps SIEM agents will function as is until the SIEM agents retire, but no new SIEM agents can be configured starting June 19, 2025. Microsoft Sentinel agents will remain supported and can still be added.

Defender for Cloud Apps alerts and activities data currently supported in the SIEM agents are also available in the unified API and SIEM solutions that provide access to alerts and activity data for all Microsoft security products, for cross-workload visibility:

• For alerts and activities, Defender XDR streaming API: Stream Microsoft Defender XDR events – Microsoft Defender XDR | Microsoft Learn
• For Microsoft Entra ID Protection login events: IdentityLogonEvents table in the advanced hunting schema – Microsoft Defender XDR | Microsoft Learn
• For alerts, Microsoft Graph security alerts API (v2): List alerts_v2 – Microsoft Graph v1.0 | Microsoft Learn
• We also recommend viewing Defender for Cloud Apps alerts data in the Microsoft Defender XDR incidents API. Learn more: Microsoft Defender XDR incidents APIs and the incidents resource type – Microsoft Defender XDR | Microsoft Learn

These APIs enhance security monitoring and management and offer additional supported capabilities that utilize data from multiple Microsoft Defender workloads.

[What you need to do to prepare:]

To ensure continuity and access to the same data available before this retirement through Microsoft Defender for Cloud Apps SIEM agents, we recommend transitioning to the supported unified API and SIEM solutions. We encourage you to begin planning your migration to these solutions to take advantage of their enhanced capabilities.

Learn more: Generic SIEM integration – Microsoft Defender for Cloud Apps | Microsoft Learn

すべての Microsoft Defender ワークロードに対する継続的なコンバージェンス プロセスの一環として、2025 年 11 月中旬から 2025 年 11 月下旬まで、Microsoft Defender for Cloud Apps から SIEM (セキュリティ情報およびイベント管理) エージェントを廃止します。複数のワークロードからのアクティビティとアラート データの管理をサポートする API に移行することをお勧めします。

[これがあなたの組織にどのように影響しますか:]

既存の Microsoft Defender for Cloud Apps SIEM エージェントは、SIEM エージェントが廃止されるまでそのまま機能しますが、2025 年 6 月 19 日以降、新しい SIEM エージェントを構成することはできません。Microsoft Sentinel エージェントは引き続きサポートされ、引き続き追加できます。

SIEM エージェントで現在サポートされている Defender for Cloud Apps のアラートとアクティビティ データは、すべての Microsoft セキュリティ製品のアラートとアクティビティ データへのアクセスを提供する統合 API と SIEM ソリューションでも使用でき、ワークロード間の可視性を実現します。

• アラートとアクティビティについては、Defender XDR ストリーミング API: Microsoft Defender XDR イベントのストリーミング – Microsoft Defender XDR |マイクロソフト ラーン
• Microsoft Entra ID Protection ログイン イベントの場合: 高度なハンティング スキーマの IdentityLogonEvents テーブル – Microsoft Defender XDR |マイクロソフト ラーン
• アラートの場合、Microsoft Graph セキュリティ アラート API (v2): リスト alerts_v2 – Microsoft Graph v1.0 |マイクロソフト ラーン
• また、Microsoft Defender XDR インシデント API で Defender for Cloud Apps アラート データを表示することもお勧めします。詳細情報: Microsoft Defender XDR インシデント API とインシデント リソースの種類 – Microsoft Defender XDR |マイクロソフト ラーン

これらの API は、セキュリティの監視と管理を強化し、複数の Microsoft Defender ワークロードからのデータを利用する追加のサポート機能を提供します。

【準備に必要なこと】

この廃止前に Microsoft Defender for Cloud Apps SIEM エージェントを通じて利用可能な同じデータへの継続性とアクセスを確保するために、サポートされている統合 API と SIEM ソリューションに移行することをお勧めします。これらのソリューションへの移行を計画し始めて、その強化された機能を活用することをお勧めします。

詳細情報: 汎用 SIEM 統合 – Microsoft Defender for Cloud Apps |マイクロソフト ラーン