Updated December 1, 2025: We have updated the timeline. Thank you for your patience. 

As part of our ongoing convergence process for all Microsoft Defender workloads, we will retire SIEM (Security Information and Event Management) agents from Microsoft Defender for Cloud Apps in starting late December 2025 (previously mid-November) and ending early January 2026 (previously late November 2025). We recommend you transition to APIs that support the management of activities and alerts data from multiple workloads.

[How this will affect your organization:]

Existing Microsoft Defender for Cloud Apps SIEM agents will function as is until the SIEM agents retire, but no new SIEM agents can be configured starting June 19, 2025. Microsoft Sentinel agents will remain supported and can still be added.

Defender for Cloud Apps alerts and activities data currently supported in the SIEM agents are also available in the unified API and SIEM solutions that provide access to alerts and activity data for all Microsoft security products, for cross-workload visibility:

• For alerts and activities, Defender XDR streaming API: Stream Microsoft Defender XDR events – Microsoft Defender XDR | Microsoft Learn
• For Microsoft Entra ID Protection login events: IdentityLogonEvents table in the advanced hunting schema – Microsoft Defender XDR | Microsoft Learn
• For alerts, Microsoft Graph security alerts API (v2): List alerts_v2 – Microsoft Graph v1.0 | Microsoft Learn
• We also recommend viewing Defender for Cloud Apps alerts data in the Microsoft Defender XDR incidents API. Learn more: Microsoft Defender XDR incidents APIs and the incidents resource type – Microsoft Defender XDR | Microsoft Learn

These APIs enhance security monitoring and management and offer additional supported capabilities that utilize data from multiple Microsoft Defender workloads.

[What you need to do to prepare:]

To ensure continuity and access to the same data available before this retirement through Microsoft Defender for Cloud Apps SIEM agents, we recommend transitioning to the supported unified API and SIEM solutions. We encourage you to begin planning your migration to these solutions to take advantage of their enhanced capabilities.

Learn more: Generic SIEM integration – Microsoft Defender for Cloud Apps | Microsoft Learn

2025年12月1日更新:タイムラインを更新しました。ご辛抱いただきありがとうございます。 

すべてのMicrosoft Defenderワークロードの継続的な統合プロセスの一環として、Microsoft Defender for Cloud AppsのSIEM(Security Information and Event Management)エージェントを2025年12月下旬(以前は11月中旬)から2026年1月初旬(以前は2025年11月下旬)まで終了します。複数のワークロードからのアクティビティ管理やアラートデータをサポートするAPIへの移行を推奨します。

[これがあなたの組織にどのような影響を与えるか:]

既存のMicrosoft Defender for Cloud Apps SIEMエージェントは、SIEMエージェントが退職するまで現状維持されますが、2025年6月19日以降は新しいSIEMエージェントの設定はできません。Microsoft Sentinelエージェントは引き続きサポートされ、追加も可能です。

現在SIEMエージェントでサポートされているDefender for Cloud Appsのアラートやアクティビティデータも、すべてのMicrosoftセキュリティ製品向けのアラートやアクティビティデータへのアクセスを提供する統合APIおよびSIEMソリューションで利用可能で、ワークロードを横断して可視化します。

• アラートやアクティビティについては、Defender XDR streaming API: Stream Microsoft Defender XDR events – Microsoft Defender XDR |Microsoft Learn
• Microsoft Entra ID Protection ログインイベントの場合: Advanced Hunting schema – Microsoft Defender XDR |Microsoft Learn
• アラートについては、Microsoft Graph security alerts API (v2): List alerts_v2 – Microsoft Graph v1.0 |Microsoft Learn
• また、Microsoft Defender XDRインシデントAPIでDefender for Cloud Appsのアラートデータを見ることも推奨します。詳細はこちら: Microsoft Defender XDRインシデントAPIとインシデントリソースタイプ – Microsoft Defender XDR |Microsoft Learn

これらのAPIはセキュリティ監視と管理を強化し、複数のMicrosoft Defenderワークロードのデータを利用する追加サポート機能を提供します。

[準備のためにやるべきこと:]

Microsoft Defender for Cloud Apps SIEMエージェントを通じて、このリタイア前に利用可能なデータへの継続性とアクセスを確保するために、サポートされている統合APIおよびSIEMソリューションへの移行を推奨します。これらのソリューションへの移行計画を始めて、強化された機能を活用することをお勧めします。

詳細はこちら: Generic SIEM統合 – Microsoft Defender for Cloud Apps |Microsoft Learn