このセクションでは、Microsoft Sentinel データ コネクタを使用してデータを収集するためのベスト プラクティスについて説明します。 詳細については、「データ ソースの接続」、「Microsoft Sentinel データ コネクタリファレンス」、「Microsoft Sentinel ソリューション カタログ」を参照してください。
データ コネクタに優先順位を付ける
Microsoft Sentinelデプロイ プロセスの一環として、データ コネクタに優先順位を付ける方法について説明します。
インジェスト前にログをフィルター処理する
データがMicrosoft Sentinelに取り込まれる前に、収集されたログやログ コンテンツをフィルター処理することもできます。 たとえば、セキュリティ操作とは無関係または重要ではないログを除外したり、不要な詳細をログ メッセージから削除したりできます。 メッセージ コンテンツのフィルター処理は、関係のない詳細が多い Syslog、CEF、または Windows ベースのログを操作するときにコストを削減しようとするときにも役立ちます。
次のいずれかの方法を使用してログをフィルター処理します。
Azure モニター エージェント。 Windows セキュリティ イベントを取り込むための Windows とLinuxの両方でサポートされます。 指定したイベントのみを収集するようにエージェントを構成して、収集されたログをフィルター処理します。
Logstash。 ログ メッセージに変更を加えるなど、メッセージ コンテンツのフィルター処理をサポートします。 詳細については、「 Logstash で接続する」を参照してください。
重要
Logstash を使用してメッセージ コンテンツをフィルター処理すると、ログがカスタム ログとして取り込まれます。これにより、 無料レベルのログ が有料レベルのログになります。
カスタム ログは、自動的に追加されないため、 分析ルール、 脅威ハンティング、 ブックにも取り組む必要があります。 カスタム ログは、現在 、Machine Learning 機能ではサポートされていません。
代替データ インジェスト要件
Standardデータ収集の構成は、さまざまな課題のために、organizationに適していない可能性があります。 次の表では、一般的な課題または要件と、考えられる解決策と考慮事項について説明します。
注:
次のセクションに示す多くのソリューションでは、カスタム データ コネクタが必要です。 詳細については、「カスタム コネクタを作成するためのリソースMicrosoft Sentinel参照してください。
オンプレミスの Windows ログ 収集
| チャレンジ/要件 | 考えられる解決策 | 考慮事項 |
|---|---|---|
| ログ フィルター処理が必要 | Logstash を使用する Azure Functions を使用する LogicApps を使用する カスタム コードを使用する (.NET、Python) |
フィルター処理によってコストが削減され、必要なデータのみが取り込まれる場合もありますが、UEBA、エンティティ ページ、機械学習、フュージョンなど、一部のMicrosoft Sentinel機能はサポートされていません。 ログ フィルタリングを構成するときは、脅威ハンティング クエリや分析ルールなどのリソースで更新を行います。 |
| エージェントをインストールできません | Azure Monitor エージェントでサポートされている Windows イベント転送を使用する | Windows イベント転送を使用すると、Windows イベント コレクターから 1 秒あたりの負荷分散イベントが 10,000 イベントから 500 - 1000 イベントに低下します。 |
| サーバーがインターネットに接続しない | Log Analytics ゲートウェイを使用する | エージェントにプロキシを構成するには、ゲートウェイを動作させるために追加のファイアウォール規則が必要です。 |
| インジェスト時にタグ付けとエンリッチメントが必要 | Logstash を使用して ResourceID を挿入する ARM テンプレートを使用して ResourceID をオンプレミスのマシンに挿入する リソース ID を個別のワークスペースに取り込む |
Log Analytics では、カスタム テーブルのロールベースのアクセス制御 (RBAC) はサポートされていません。 Microsoft Sentinelでは、行レベルの RBAC はサポートされていません。 ヒント: Microsoft Sentinelにクロス ワークスペースの設計と機能を採用する必要がある場合があります。 |
| 操作ログとセキュリティ ログを分割する必要があります | Microsoft Monitor エージェントまたは Azure Monitor Agent マルチホーム機能を使用する | マルチホーム機能では、エージェントのデプロイ オーバーヘッドが増える必要があります。 |
| カスタム ログが必要 | 特定のフォルダー パスからファイルを収集する API インジェストを使用する PowerShell を使う Logstash を使用する |
ログのフィルター処理に問題が発生する可能性があります。 カスタム メソッドはサポートされていません。 カスタム コネクタには開発者のスキルが必要な場合があります。 |
オンプレミスのLinux ログ収集
| チャレンジ/要件 | 考えられる解決策 | 考慮事項 |
|---|---|---|
| ログ フィルター処理が必要 | Syslog-NG を使用する Rsyslog を使用する エージェントに FluentD 構成を使用する Azure Monitor エージェント/Microsoft Monitoring Agent を使用する Logstash を使用する |
一部のLinuxディストリビューションは、エージェントでサポートされていない可能性があります。 Syslog または FluentD を使用するには、開発者の知識が必要です。 詳細については、「Windows サーバーに接続してセキュリティ イベントを収集する」および「カスタム コネクタを作成するためのリソースMicrosoft Sentinel参照してください。 |
| エージェントをインストールできません | Syslog フォワーダー (syslog-ng や rsyslog など) を使用します。 | |
| サーバーがインターネットに接続しない | Log Analytics ゲートウェイを使用する | エージェントにプロキシを構成するには、ゲートウェイを動作させるために追加のファイアウォール規則が必要です。 |
| インジェスト時にタグ付けとエンリッチメントが必要 | エンリッチメントまたはカスタム メソッド (API や Event Hubs など) には Logstash を使用します。 | フィルター処理には余分な労力が必要な場合があります。 |
| 操作ログとセキュリティ ログを分割する必要があります | マルチホーム構成でAzure モニター エージェントを使用します。 | |
| カスタム ログが必要 | Microsoft Monitoring (Log Analytics) エージェントを使用してカスタム コレクターを作成します。 |
エンドポイント ソリューション
EDR、その他のセキュリティ イベント、Sysmon などのエンドポイント ソリューションからログを収集する必要がある場合は、次のいずれかの方法を使用します。
- Microsoft Defender XDR コネクタを使用して、Microsoft Defender for Endpointからログを収集します。 このオプションでは、データ インジェストの追加コストが発生します。
- Windows イベント転送。
注:
負荷分散は、ワークスペースに処理できる 1 秒あたりのイベントを削減します。
Office データ
標準コネクタ データ以外の Microsoft Office データを収集する必要がある場合は、次のいずれかのソリューションを使用します。
| チャレンジ/要件 | 考えられる解決策 | 考慮事項 |
|---|---|---|
| Teams、メッセージ トレース、フィッシング データなどから生データを収集する | 組み込みのOffice 365 コネクタ機能を使用し、他の生データ用のカスタム コネクタを作成します。 | 対応する recordID へのイベントのマッピングは困難な場合があります。 |
| 国/地域、部門などを分割するための RBAC が必要です | データにタグを追加し、必要な分離ごとに専用ワークスペースを作成して、データ収集をカスタマイズします。 | カスタム データ収集には、追加のインジェスト コストがあります。 |
| 1 つのワークスペースに複数のテナントが必要 | Azure LightHouse と統合インシデント ビューを使用してデータ収集をカスタマイズします。 | カスタム データ収集には、追加のインジェスト コストがあります。 詳細については、「ワークスペースとテナント間でMicrosoft Sentinelを拡張する」を参照してください。 |
クラウド プラットフォーム データ
| チャレンジ/要件 | 考えられる解決策 | 考慮事項 |
|---|---|---|
| 他のプラットフォームからログをフィルター処理する | Logstash を使用する Azure モニター エージェント/Microsoft Monitoring (Log Analytics) エージェントを使用する |
カスタム コレクションには、追加のインジェスト コストがあります。 すべての Windows イベントとセキュリティ イベントのみを収集することに課題がある場合があります。 |
| エージェントを使用できません | Windows イベント転送を使用する | リソース全体で作業の負荷分散が必要になる場合があります。 |
| サーバーがエアギャップ ネットワーク内にある | Log Analytics ゲートウェイを使用する | エージェントにプロキシを構成するには、ゲートウェイの動作を許可するファイアウォール規則が必要です。 |
| インジェスト時の RBAC、タグ付け、エンリッチメント | Logstash または Log Analytics API を使用してカスタム コレクションを作成します。 | RBAC はカスタム テーブルではサポートされていません 行レベルの RBAC はどのテーブルでもサポートされていません。 |
関連コンテンツ
詳細については、以下を参照してください: