Azure Arc 対応サーバーを Microsoft Sentinel に接続します

[アーティクル]
04/07/2023

この記事では、Azure Arc 対応サーバーを Microsoft Sentinel にオンボードする方法に関するガイダンスを提供します。これにより、セキュリティ関連のイベントの収集を開始し、他のデータソースとそれらの関連付けを開始できます。

次の手順を行うと、Azure サブスクリプションで Microsoft Sentinel を有効にして構成できます。このプロセスには次のものが含まれます。

分析と収集のためにログとイベントが集計される Log Analytics ワークスペースを設定する。
ワークスペースで Microsoft Sentinel を有効にします。
拡張機能の管理機能と Azure Policy を使用して Microsoft Sentinel で Azure Arc 対応サーバーをオンボードします。

重要

この記事の手順では、既に VM、またはオンプレミスや他のクラウドで実行されているサーバーをデプロイ済みで、それらが Azure Arc に接続されていることを前提としています。まだ行っていない場合は、これを自動化するのに次の情報が役立ちます。

前提条件

Azure Arc Jumpstart リポジトリを複製します。
```
git clone https://github.com/microsoft/azure_arc
```
前述のように、このガイドは、既に VM またはベアメタルサーバーをデプロイして Azure Arc に接続している段階から開始します。このシナリオでは、既に Azure Arc に接続されており、Azure のリソースとして表示されている Google Cloud Platform (GCP) インスタンスを使用します。次のスクリーンショットのようになります。
Azure CLI をインストールするか更新します。 Azure CLI は、バージョン 2.7 以降を実行している必要があります。現在インストールされているバージョンを確認するには、az --version を使用します。
Azure サービスプリンシパルを作成します。

VM またはベアメタルサーバーを Azure Arc に接続するには、共同作成者ロールが割り当てられた Azure サービスプリンシパルが必要です。これを作成するには、自分の Azure アカウントにサインインして、次のコマンドを実行します。代わりに、これを Azure Cloud Shell で実行することもできます。
```
az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
```
次に例を示します。
```
az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
```
出力は次のようになります。
```
{
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}
```

Note

サービスプリンシパルのスコープを、特定の Azure サブスクリプションとリソースグループに限定することを強くお勧めします。

Microsoft Sentinel にオンボードする

Microsoft Sentinel では、Log Analytics エージェントを使用して Windows と Linux サーバーのログファイルが収集され、Microsoft Sentinel に転送されます。収集されたデータは、Log Analytics ワークスペースに格納されます。 Microsoft Defender for Cloud によって作成されたデフォルトワークスペースは使用できないので、カスタムワークスペースが必要です。 Microsoft Sentinel と同じカスタムワークスペース内に、Defender for Cloud の未加工のイベントとアラートを含めすることができます。

専用の Log Analytics ワークスペースを作成し、その上で Microsoft Sentinel ソリューションを有効にします。この Azure Resource Manager テンプレート (ARM テンプレート) を使用して、新しい Log Analytics ワークスペースを作成し、Microsoft Sentinel ソリューションを定義して、それをワークスペースに対して有効にします。デプロイを自動化するには、ARM テンプレートパラメーターファイルを編集し、ワークスペースの名前と場所を指定します。
ARM テンプレートをデプロイする。デプロイフォルダーに移動し、次のコマンドを実行します。

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

次に例を示します。

A screenshot of the az deployment group create command.

Azure Arc 対応 VMs を Microsoft Sentinel にオンボードします

Log Analytics ワークスペースに Microsoft Sentinel をデプロイしたら、それにデータソースを接続する必要があります。

Microsoft サービス用のコネクタと、セキュリティ製品エコシステムのサードパーティソリューションがあります。 Common Event Format (CEF)、Syslog、または REST-API を使用して、データソースを Microsoft Sentinel に接続することもできます。

サーバーと VM には、ログ分析エージェント (MMA) エージェント、またはログを収集して Microsoft Sentinel に送信する Microsoft Sentinel エージェントをインストールできます。 Azure Arc を使用すると、複数の方法でエージェントをデプロイできます。

拡張機能の管理: Azure Arc 対応サーバーのこの機能を使用すると、Azure 以外の Windows または Linux VM に MMA エージェントの VM 拡張機能をデプロイできます。 Azure portal、Azure CLI、ARM テンプレート、PowerShell スクリプトを使用して、Azure Arc 対応サーバーへの拡張機能のデプロイを管理できます。
Azure Policy: ポリシーを割り当てて、Azure Arc 対応サーバーに MMA エージェントがインストールされているかどうかを監査できます。エージェントがインストールされていない場合は、この拡張機能を使用して、Azure VM と比較する登録エクスペリエンスである修復タスクによって、VM への自動デプロイを行うことができます。

環境をクリーンアップする

ご利用の環境をクリーンアップするには、次の手順を実行します。

次の各ガイドに記載されている破棄手順を使用して、各環境から仮想マシンを削除します。
- GCP Ubuntu インスタンスおよび GCP Windows インスタンス
- AWS Ubuntu EC2 インスタンス
- VMware vSphere Ubuntu VM および VMware vSphere Windows Server VM
- Vagrant Ubuntu box および Vagrant Windows box
Azure CLI で次のスクリプトを実行して、Log Analytics ワークスペースを削除します。 Log Analytics ワークスペースの作成時に使用したワークスペース名を指定します。

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes