Explanation:

Microsoft Sentinel (Microsoft Defender XDR の一部) では、データ コネクタを使用して、セキュリティ分析と監視のためのログ ソースを統合します。
Microsoft Teams の場合、適切かつ最も効率的なコネクタは Office 365 です。Microsoft Teams ログ (ユーザー アクティビティ、チャット イベント、チーム管理アクションなど) は、Office 365 監査ログの一部です。
Microsoft Sentinel には、Exchange Online、SharePoint Online、Microsoft Teams からの監査データを Microsoft 365 セキュリティおよびコンプライアンス センターから直接取り込む組み込みの Office 365 コネクタが用意されています。
このコネクタには最小限の構成 (監査ログの有効化とテナントの接続) のみが必要なため、管理作業を最小限に抑えるという要件を満たします。
Azure でホストされている Linux 仮想マシンの場合、適切なコネクタは Syslog です。Linux システムはセキュリティイベントと運用イベントを Syslog 経由で送信します。Microsoft Sentinel は Syslog データコネクタを通じてこれをネイティブにサポートしています。Syslog エージェント（Log Analytics エージェントまたは AMA）はログを収集し、Sentinel ワークスペースに送信します。このコネクタは Linux VM 専用に構築されており、相関分析と脅威検出のために認証、承認、およびシステムログを確実にキャプチャします。
したがって：
* Microsoft Teams # Office 365 (Teams は Office 365 ログを介してデータフローを監査するため)
* Azure の Linux 仮想マシン # Syslog (Linux はイベント転送に Syslog を使用するため) この構成は、最小限のセットアップと最大限のネイティブ統合による Sentinel データ取り込みに関する Microsoft の文書化されたベスト プラクティスに従います。

1 - AD DS ドメインに Microsoft Defender for Identity を展開します。
2 - Sentinel1 の場合、Microsoft Defender for Indentity コネクタを構成します。
3 - Sentinel1 の場合、UEBA を有効にします。