適用対象: Azure Local 2311.2 以降
この記事では、Azure Local の syslog プロトコルを使用して、カスタマー マネージドのセキュリティ情報およびイベント管理 (SIEM) システムに転送されるようにセキュリティ イベントを構成する方法について説明します。
syslog 転送を使用してセキュリティ監視ソリューションと統合し、関連するセキュリティイベントログを取得して、それらを自身のSIEMプラットフォームに保管し、保持することができます。 このリリースのセキュリティ機能の詳細については、「 Azure Local のセキュリティ機能」を参照してください。
Syslog 転送エージェントは、既定ですべての Azure ローカル ホストにデプロイされ、構成する準備が整います。 各エージェントは、syslog 形式のセキュリティ イベントをホストから顧客が構成した syslog サーバーに転送します。
Syslog 転送エージェントは互いに独立して動作しますが、ホストのいずれかでまとめて管理できます。 すべてのフォワーダー エージェントの動作を制御するには、任意のホストの管理特権を持つ PowerShell コマンドレットを使用します。
Azure Local の syslog フォワーダーでは、次の構成がサポートされています。
TCP、相互認証 (クライアントとサーバー)、TLS 暗号化を使用した Syslog 転送: この構成では、syslog サーバーと syslog クライアントの両方が、証明書を使用して相互の ID を検証します。 メッセージは、TLS で暗号化されたチャネル経由で送信されます。 詳細については、TCP による Syslog 転送、相互認証 (クライアントとサーバー)、TLS 暗号化に関するページを参照してください。
TCP、サーバー認証、TLS 暗号化を使用した Syslog 転送: この構成では、syslog クライアントは証明書を介して syslog サーバーの ID を検証します。 メッセージは、TLS で暗号化されたチャネル経由で送信されます。 詳細については、TCP、 サーバー認証、TLS 暗号化による Syslog 転送に関するページを参照してください。
暗号化なしで TCP を使用した Syslog 転送: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは TCP 経由でクリア テキストで送信されます。 詳細については、「TCP による Syslog 転送と暗号化なし」を参照してください。
UDP と暗号化なしの Syslog: この構成では、syslog クライアントと syslog サーバーの ID は検証されません。 メッセージは UDP 経由でクリア テキストで送信されます。 詳細については、「UDP を 使用した Syslog 転送と暗号化なし」を参照してください。
重要
中間者攻撃やメッセージの傍受から保護するために、運用環境では認証と暗号化で TCP を使用することを強くお勧めします。
TLS 暗号化のバージョンは、エンドポイント間のハンドシェイクに依存します。 TLS 1.2 と TLS 1.3 の両方が既定でサポートされています。
Syslog フォワーダーを構成するには、ドメイン管理者アカウントを使用して物理ホストにアクセスする必要があります。 Syslog フォワーダーの動作を制御するために、一連の PowerShell コマンドレットがすべての Azure ローカル ホストに追加されます。
Set-AzSSyslogForwarder
コマンドレットは、すべてのホストの syslog フォワーダー構成を設定するために使用されます。 成功した場合、アクション プラン インスタンスが開始され、すべてのホストで syslog フォワーダー エージェントが構成されます。 アクション プランインスタンス ID が返されます。
次のコマンドレットを使用して、syslog サーバー情報をフォワーダーに渡し、トランスポート プロトコル、暗号化、認証、およびクライアントとサーバーの間で使用されるオプションの証明書を構成します。
Set-AzSSyslogForwarder [-ServerName <String>] [-ServerPort <UInt16>] [-NoEncryption] [-SkipServerCertificateCheck | -SkipServerCNCheck] [-UseUDP] [-ClientCertificateThumbprint <String>] [-OutputSeverity {Default | Verbose}] [-Remove]
コマンドレットのパラメーター
次の表に、 Set-AzSSyslogForwarder
コマンドレットのパラメーターを示します。
パラメーター |
内容 |
タイプ |
必須 |
サーバー名 |
Syslog サーバーの FQDN または IP アドレス。 |
糸 |
はい |
ServerPort |
Syslog サーバーがリッスンしているポート番号。 |
UInt16 |
はい |
NoEncryption |
クライアントに Syslog メッセージを強制的にクリア テキストで送信させます。 |
フラグ |
いいえ |
サーバー証明書のチェックをスキップしてください |
初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の検証をスキップします。 |
フラグ |
いいえ |
SkipServerCNCheck |
初期 TLS ハンドシェイク時に Syslog サーバーによって提供された証明書の共通名値の検証をスキップします。 |
フラグ |
いいえ |
UDPを使用 |
トランスポート プロトコルとして UDP を使用して、Syslog を使用します。 |
フラグ |
いいえ |
ClientCertificateThumbprint |
Syslog サーバーとの通信に使用されるクライアント証明書の拇印。 |
糸 |
いいえ |
OutputSeverity |
出力ログのレベル。 値は [既定値] または [詳細] です。 規定値には、重大度レベルの警告、クリティカル、またはエラーが含まれています。 詳細には、すべての重大度レベル (詳細、情報、警告、クリティカル、またはエラー) が含まれています。 |
糸 |
いいえ |
削除 |
現在の syslog フォワーダー構成を削除し、syslog フォワーダーを停止します。 |
フラグ |
いいえ |
TCP、相互認証 (クライアントとサーバー)、TLS 暗号化を使用した Syslog 転送
この構成では、Azure Local の syslog クライアントは、TLS 暗号化を使用して TCP 経由で syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることが、クライアントによって確認されます。 また、クライアントでは、ID の証明としてサーバーに証明書も提供されます。
この構成は、クライアントとサーバーの両方の ID を完全に検証し、暗号化されたチャネル経由でメッセージを送信するため、最も安全です。
重要
運用環境では、この構成を使用することをお勧めします。
TCP、相互認証、TLS 暗号化を使用して syslog フォワーダーを構成するには、サーバーを構成し、サーバーに対して認証する証明書をクライアントに提供します。
物理ホストに対して次のコマンドレットを実行します。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -ClientCertificateThumbprint <Thumbprint of the client certificate>
重要
クライアント証明書には秘密キーが含まれている必要があります。 自己署名ルート証明書を使用してクライアント証明書が署名されている場合は、ルート証明書もインポートする必要があります。
TCP、サーバー認証、TLS 暗号化を使用した Syslog 転送
この構成では、Azure Local の syslog フォワーダーが TLS 暗号化を使用して TCP 経由で syslog サーバーにメッセージを転送します。 初期ハンドシェイク時には、有効で信頼された証明書がサーバーから提供されていることも、クライアントによって確認されます。
この構成により、信頼されていない宛先にクライアントからメッセージを送信することができなくなります。 認証と暗号化を使用する TCP は既定の構成であり、Microsoft が運用環境にお勧めする最小限のセキュリティのレベルです。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
自己署名証明書または信頼されていない証明書を使用して Syslog サーバーと Azure Local Syslog フォワーダーの統合をテストする場合は、これらのフラグを使用して、最初のハンドシェイク中にクライアントによって実行されるサーバー検証をスキップします。
サーバー証明書の共通名の値の検証をスキップします。 Syslog サーバーの IP アドレスを指定する場合は、このフラグを使用します。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipServerCNCheck
サーバー証明書の検証をスキップします。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening>
-SkipServerCertificateCheck
重要
運用環境では、-SkipServerCertificateCheck
フラグを使用しないことをお勧めします。
TCP による Syslog 転送と暗号化なし
この構成では、Azure Local の syslog クライアントは、暗号化なしで TCP 経由で syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のためにサーバーに独自の ID も提供しません。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening on> -NoEncryption
重要
運用環境ではこの構成を使用しないことをお勧めします。
UDP による Syslog 転送と暗号化なし
この構成では、Azure Local の syslog クライアントは、暗号化なしで UDP 経由で syslog サーバーにメッセージを転送します。 クライアントはサーバーの ID を検証せず、検証のためにサーバーに独自の ID も提供しません。
Set-AzSSyslogForwarder -ServerName <FQDN or IP address of syslog server> -ServerPort <Port number on which the syslog server is listening> -UseUDP
暗号化のない UDP は構成するのが最も簡単ですが、中間者攻撃やメッセージの傍受に対する保護は提供されません。
重要
運用環境ではこの構成を使用しないことをお勧めします。
Syslog 転送を有効にする
次のコマンドレットを実行して、syslog 転送を有効にします。
Enable-AzSSyslogForwarder [-Force]
Syslog フォワーダーは、最後に成功した Set-AzSSyslogForwarder
呼び出しによって提供された保存された構成で有効になります。
Set-AzSSyslogForwarder
を使用して構成が指定されていない場合、コマンドレットは失敗します。
Syslog 転送を無効にする
次のコマンドレットを実行して、syslog 転送を無効にします。
Disable-AzSSyslogForwarder [-Force]
Enable-AzSSyslogForwarder
およびDisable-AzSSyslogForwarder
コマンドレットのパラメーター:
パラメーター |
内容 |
タイプ |
必須 |
力 |
指定した場合、ターゲットの状態が現在の状態と同じ場合でも、アクション プランは常にトリガーされます。 これは、帯域外の変更をリセットするのに役立ちます。 |
フラグ |
いいえ |
syslog のセットアップを確認する
syslog クライアントを syslog サーバーに正常に接続すると、イベント通知の受信が開始されます。 通知が表示されない場合は、次のコマンドレットを実行して、クラスター syslog フォワーダーの構成を確認します。
Get-AzSSyslogForwarder [-Local | -PerNode | -Cluster]
各ホストには、クラスター構成のローカル コピーを使用する独自の Syslog フォワーダー エージェントがあります。 これらは常にクラスター構成と同じである必要があります。 次のコマンドレットを使用して、各ホストの現在の構成を確認できます。
Get-AzSSyslogForwarder -PerNode
次のコマンドレットを使用して、接続先のホストの構成を確認することもできます。
Get-AzSSyslogForwarder -Local
Get-AzSSyslogForwarder
コマンドレットのコマンドレット パラメーター:
パラメーター |
内容 |
タイプ |
必須 |
ローカル |
現在のホストで現在使用されている構成を表示します。 |
フラグ |
いいえ |
PerNode |
各ホストで現在使用されている構成を表示します。 |
フラグ |
いいえ |
クラスター |
Azure Local で現在のグローバル構成を表示します。 これは、パラメーターが指定されていない場合の既定の動作です。 |
フラグ |
いいえ |
syslog 転送を削除する
次のコマンドを実行して syslog フォワーダーの構成を削除し、syslog フォワーダーを停止します。
Set-AzSSyslogForwarder -Remove
メッセージ スキーマとイベント ログのリファレンス
次のリファレンス 資料では、syslog メッセージ スキーマとイベント定義について説明します。
Azure ローカル インフラストラクチャの syslog フォワーダーは、RFC3164で定義されている BSD syslog プロトコルに従って書式設定されたメッセージを送信します。 CEF は、syslog メッセージ ペイロードの書式設定にも使用されます。
各 syslog メッセージは、次のスキーマに基づいて構造化されています: Priority (PRI) |時間 |ホスト |CEF ペイロード |
PRI パーツには、 機能 と重大度の 2 つの値 が含まれています。 どちらも、Windows イベントなどのメッセージの種類によって異なります。
すべての Windows イベントでは、PRI 機能の値 10 が使用されます。
- 署名 ID: プロバイダ名: イベントID
- 名前: TaskName
- 重大度: レベル。 詳細については、次の重大度の表を参照してください。
- 拡張機能: カスタム拡張機能名。 詳細については、次の表を参照してください。
Windows イベントの重大度
PRI 重大度値 |
CEF 重大度値 |
Windows イベント レベル |
MasLevel 値 (拡張機能内) |
7 |
0 |
未定義 |
値: 0。 すべてのレベルのログを示します。 |
2 |
10 |
クリティカル |
値: 1。 重大なアラートのログを示します。 |
3 |
8 |
エラー |
値: 2。 エラーのログを示します。 |
4 |
5 |
警告 |
値: 3。 警告のログを示します。 |
6 |
2 |
情報 |
値: 4。 情報メッセージのログを示します。 |
7 |
0 |
詳細 |
値: 5。 冗長メッセージのログを示します。 |
Azure Local のカスタム拡張機能と Windows イベント
カスタム拡張機能名 |
Windows イベント |
MasChannel |
システム |
MasComputer |
test.azurestack.contoso.com |
MasCorrelationActivityID |
C8F40D7C-3764-423B-A4FA-C994442238AF |
MasCorrelationRelatedActivityID |
C8F40D7C-3764-423B-A4FA-C994442238AF |
MasEventData |
svchost!!4132,G,0!!!EseDiskFlushConsistency!!ESENT!!0x800000 |
MASイベント説明 |
ユーザーのグループ ポリシー設定は正しく処理されました。 前回グループ ポリシーが正しく処理されてからの変更は検出されませんでした。 |
MasEventID |
1501 |
MasEventRecordID |
26637 |
MasExecutionProcessID |
29380 |
MasExecutionThreadID |
25,480 |
MasKeywords |
0x8000000000000000 |
MasKeywordName |
監査成功 |
MasLevel |
4 |
MasOpcode |
1 |
MasOpcodeName |
情報 |
MasProviderEventSourceName |
|
MasProviderGuid |
AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9 |
MasProviderName |
Microsoft-Windows-GroupPolicy |
MasSecurityUserId |
Windowsのセキュリティ識別子 (SID) |
MasTask |
0 |
MasTaskCategory |
プロセス作成 |
MasUserData |
KB4093112!!5112!!インストール!!0x0!!WindowsUpdateAgent Xpath: /Event/UserData/* |
MasVersion |
0 |
転送されるその他のイベント。 これらのイベントはカスタマイズできません。
イベントの種類 |
イベント クエリ |
ピア MAC アドレスを使用したワイヤレス Lan 802.1x 認証イベント |
query="Security!*[System[(EventID=5632)]]" |
新しいサービス (4697) |
query="Security!*[System[(EventID=4697)]] |
TS セッション再接続 (4778)、TS セッション切断 (4779) |
query="Security!*[System[(EventID=4778 or EventID=4779)]" |
IPC$ と Netlogon 共有を使用しないネットワーク共有オブジェクト アクセス |
query="Security![System[(EventID=5140)] and EventData[Data[@Name='ShareName']!='\\IPC$'] and EventData[Data[@Name='ShareName']!='\*\NetLogon']]" |
システム時間の変更 (4616) |
query="Security!*[System[(EventID=4616)]] |
ネットワークやサービスイベントが発生しないローカルログオン |
query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']!='3'] and EventData[Data[@Name='LogonType']!='5']]" |
セキュリティ ログでクリアされたイベント (1102)、EventLog サービスのシャットダウン (1100) |
query="Security!*[System[(EventID=1102 or EventID=1100)]" |
ユーザーがログオフを開始しました |
query="Security!*[System[(EventID=4647)]]" |
ネットワーク以外のすべてのログオン セッションのユーザー ログオフ |
query="Security!*[System[(EventID=4634)] and EventData[Data[@Name='LogonType'] != '3']]" |
ユーザー アカウントが LocalSystem、NetworkService、LocalService でない場合のサービス ログオン イベント |
query="Security!*[System[(EventID=4624)] and EventData[Data[@Name='LogonType']='5'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-18 '' と EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20']]" |
ネットワーク共有の作成 (5142)、ネットワーク共有の削除 (5144) |
query="Security!*[System[(EventID=5142 or EventID=5144)]" |
プロセス作成 (4688) |
query="Security!*[System[EventID=4688]] |
セキュリティ チャネルに特化したイベントログサービスのイベント |
query="Security!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]" |
LocalSystem を除く、新しいログオンに割り当てられた特別な特権 (管理者と同等のアクセス) |
query="Security!*[System[(EventID=4672)] and EventData[Data[1] != 'S-1-5-18']]" |
ローカル、グローバル、またはユニバーサル セキュリティ グループに追加された新しいユーザー |
query="Security!*[System[(EventID=4732 または EventID=4728 or EventID=4756)]]" |
ローカルの Administrators グループから削除されたユーザー |
query="Security!*[System[(EventID=4733)] and EventData[Data[@Name='TargetUserName']='Administrators']]" |
Certificate Services が証明書要求を受信しました (4886)、承認済み、発行された証明書 (4887)、拒否された要求 (4888) |
query="Security!*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]" |
新しいユーザー アカウントの作成(4720)、ユーザー アカウントの有効化 (4722)、ユーザー アカウントの無効化 (4725)、ユーザー アカウントの削除 (4726) |
query="Security!*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]] |
マルウェア対策の "古い" イベントですが、イベントのみを検出します (ノイズを低減) |
query="System!*[System[Provider[@Name='Microsoft Antimalware'] and (EventID >= 1116 and EventID <= 1119)]]" |
システムの起動 (12 - OS/SP/バージョンを含む) とシャットダウン |
query="System!*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or EventID=13)]" |
サービスのインストール (7000)、サービスの開始エラー (7045) |
query="System!*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or EventID=7045)]]" |
ユーザー、プロセス、および理由 (指定されている場合) を使用したシャットダウン開始要求 |
query="System!*[System[Provider[@Name='USER32'] and (EventID=1074)]]" |
イベント ログ サービス イベント |
query="System!*[System[Provider[@Name='Microsoft-Windows-Eventlog']]" |
その他のログ消去イベント (104) |
query="System!*[System[(EventID=104)]] |
EMET/Exploit Protection イベント |
query="Application!*[System[Provider[@Name='EMET']]" |
アプリケーションクラッシュのみの WER イベント |
query="Application!*[System[Provider[@Name='Windows Error Reporting']] and EventData[Data[3]='APPCRASH']]" |
一時プロファイル (1511) でログオンしているユーザーは、一時プロファイルを使用してプロファイルを作成できません (1518) |
query="Application!*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and (EventID=1511 or EventID=1518)]" |
WER/1001 と同様に、アプリケーションのクラッシュ/ハング イベント。 これには、障害が発生している EXE/モジュールへの完全なパスが含まれます。 |
query="Application!*[System[Provider[@Name='Application Error'] and (EventID=1000)] or System[Provider[@Name='Application Hang'] and (EventID=1002)]]" |
タスク スケジューラ タスク登録済み (106)、タスク登録の削除 (141)、タスクの削除 (142) |
query="Microsoft-Windows-TaskScheduler/Operational!*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]" |
AppLocker パッケージ (モダン UI) アプリの実行 |
query="Microsoft-Windows-AppLocker/Packaged app-Execution!*" |
AppLocker パッケージ (モダン UI) アプリのインストール |
query="Microsoft-Windows-AppLocker/パッケージ化されたアプリ-デプロイメント!*" |
リモート サーバーへの TS 接続が試行されたログ |
query="Microsoft-Windows-TerminalServices-RDPClient/Operational!*[System[(EventID=1024)]" |
ホストで実行されたすべてのスマート カード カード 所有者検証 (CHV) イベント (成功と失敗) を取得します。 |
query="Microsoft-Windows-SmartCard-Audit/Authentication!*" |
すべての UNC/マップ済みドライブの正常な接続を取得します |
query="Microsoft-Windows-SMBClient/Operational!*[System[(EventID=30622 or EventID=30624)]" |
最新の SysMon イベント プロバイダー |
query="Microsoft-Windows-Sysmon/Operational!*" |
最新の Windows Defender イベント プロバイダー検出イベント (1006-1009) および (1116-1119); プラス顧客によって要求された (5001,5010,5012) |
query="Microsoft-Windows-Windows Defender/Operational!*[System[( (EventID >= 1006 and EventID <= 1009) または (EventID >= 1116 and EventID <= 1119) または (EventID = 5001 または EventID = 5010 or EventID = 5012)]" |
コード整合性イベント |
query="Microsoft-Windows-CodeIntegrity/Operational!*[System[Provider[@Name='Microsoft-Windows-CodeIntegrity'] and (EventID=3076 or EventID=3077)]" |
CA 停止/開始イベント CA サービス停止 (4880)、CA サービス開始 (4881)、CA DB 行の削除 (4896)、CA テンプレートの読み込み (4898) |
query="Security!*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]" |
RRAS イベント – Microsoft IAS サーバーでのみ生成されます |
query="Security!*[System[( (EventID >= 6272 and EventID <= 6280) )]] |
プロセス終了 (4689) |
query="Security!*[System[(EventID = 4689)]]" |
操作のレジストリ変更イベント: 新しいレジストリ値の作成 (%%1904)、既存のレジストリ値の変更 (%%1905)、レジストリ値の削除 (%%1906) |
query="Security!*[System[(EventID=4657)] and (EventData[Data[@Name='OperationType'] = '%%1904'] または EventData[Data[@Name='OperationType'] = '%%1905'] または EventData[Data[@Name='OperationType'] = '%%1906'])]" |
ワイヤレス ネットワークに対する認証要求 (ピア MAC (5632) を含む) |
query="Security!*[System[(EventID=5632)]]" |
システムによって新しい外部デバイスが認識されました(6416) |
query="Security!*[System[(EventID=6416)]] |
RADIUS 認証イベント ユーザー割り当て IP アドレス (20274)、ユーザーが正常に認証された (20250)、ユーザー切断 (20275) |
query="System!*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or EventID=20275)]]" |
CAPI イベント ビルド チェーン (11)、秘密キーアクセス済み (70)、X509 オブジェクト (90) |
query="Microsoft-Windows-CAPI2/Operational!*[System[(EventID=11 or EventID=70 or EventID=90)]" |
新しいログインに割り当てられたグループ (既知の組み込みアカウントを除く) |
query="Microsoft-Windows-LSA/Operational!*[System[(EventID=300)] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-20'] and EventData[Data[@Name='TargetUserSid'] @Name='TargetUserSid'] != 'S-1-5-18'] and EventData[Data[@Name='TargetUserSid'] != 'S-1-5-19']]" |
DNS クライアント イベント |
query="Microsoft-Windows-DNS-Client/Operational!*[System[(EventID=3008)] and EventData[Data[@Name='QueryOptions'] != '140737488355328'] and EventData[Data[@Name='QueryResults']='']]" |
読み込まれたユーザー モード ドライバーを検出する - 潜在的な BadUSB 検出用。 |
query="Microsoft-Windows-DriverFrameworks-UserMode/Operational!*[System[(EventID=2004)]" |
従来の PowerShell パイプライン実行の詳細 (800) |
query="Windows PowerShell!*[System[(EventID=800)]" |
Defender によって停止されたイベント |
query="System!*[System[(EventID=7036)] and EventData[Data[@Name='param1']='Microsoft Defender ウイルス対策ネットワーク検査サービス'] と EventData[Data[@Name='param2']='stopped']]" |
BitLocker 管理イベント |
query="Microsoft-Windows-BitLocker/BitLocker Management!*" |
次のステップ
各項目の詳細情報