Azure Arc 対応サーバーを Microsoft Sentinel に接続します
この記事では、Azure Arc 対応サーバーを Microsoft Sentinel にオンボードする方法に関するガイダンスを提供します。 これにより、セキュリティ関連のイベントの収集を開始し、他のデータ ソースとそれらの関連付けを開始できます。
次の手順を行うと、Azure サブスクリプションで Microsoft Sentinel を有効にして構成できます。 このプロセスには次のものが含まれます。
- 分析と収集のためにログとイベントが集計される Log Analytics ワークスペースを設定する。
- ワークスペースで Microsoft Sentinel を有効にします。
- 拡張機能の管理機能と Azure Policy を使用して Microsoft Sentinel で Azure Arc 対応サーバーをオンボードします。
重要
この記事の手順では、既に VM、またはオンプレミスや他のクラウドで実行されているサーバーをデプロイ済みで、それらが Azure Arc に接続されていることを前提としています。まだ行っていない場合は、これを自動化するのに次の情報が役立ちます。
- GCP Ubuntu インスタンス
- GCP Windows インスタンス
- AWS Ubuntu EC2 インスタンス
- AWS Amazon Linux 2 EC2 インスタンス
- VMware vSphere Ubuntu VM
- VMware vSphere Windows Server VM
- Vagrant Ubuntu box
- Vagrant Windows box
前提条件
Azure Arc Jumpstart リポジトリを複製します。
git clone https://github.com/microsoft/azure_arc
前述のように、このガイドは、既に VM またはベアメタル サーバーをデプロイして Azure Arc に接続している段階から開始します。このシナリオでは、既に Azure Arc に接続されており、Azure のリソースとして表示されている Google Cloud Platform (GCP) インスタンスを使用します。 次のスクリーン ショットのようになります。
Azure CLI をインストールするか更新します。 Azure CLI は、バージョン 2.7 以降を実行している必要があります。 現在インストールされているバージョンを確認するには、
az --version
を使用します。Azure サービス プリンシパルを作成します。
VM またはベアメタル サーバーを Azure Arc に接続するには、共同作成者ロールが割り当てられた Azure サービス プリンシパルが必要です。 これを作成するには、自分の Azure アカウントにサインインして、次のコマンドを実行します。 代わりに、これを Azure Cloud Shell で実行することもできます。
az login az account set -s <Your Subscription ID> az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
次に例を示します。
az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
出力は次のようになります。
{ "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX", "displayName": "http://AzureArcServers", "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX", "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX" }
Note
サービス プリンシパルのスコープを、特定の Azure サブスクリプションとリソース グループに限定することを強くお勧めします。
Microsoft Sentinel にオンボードする
Microsoft Sentinel では、Log Analytics エージェントを使用して Windows と Linux サーバーのログ ファイルが収集され、Microsoft Sentinel に転送されます。 収集されたデータは、Log Analytics ワークスペースに格納されます。 Microsoft Defender for Cloud によって作成されたデフォルト ワークスペースは使用できないので、 カスタム ワークスペースが必要です。 Microsoft Sentinel と同じカスタム ワークスペース内に、Defender for Cloud の未加工のイベントとアラートを含めすることができます。
専用の Log Analytics ワークスペースを作成し、その上で Microsoft Sentinel ソリューションを有効にします。 この Azure Resource Manager テンプレート (ARM テンプレート) を使用して、新しい Log Analytics ワークスペースを作成し、Microsoft Sentinel ソリューションを定義して、それをワークスペースに対して有効にします。 デプロイを自動化するには、ARM テンプレート パラメーター ファイルを編集し、ワークスペースの名前と場所を指定します。
ARM テンプレートをデプロイする。 デプロイ フォルダーに移動し、次のコマンドを実行します。
az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>
次に例を示します。
Azure Arc 対応 VMs を Microsoft Sentinel にオンボードします
Log Analytics ワークスペースに Microsoft Sentinel をデプロイしたら、それにデータ ソースを接続する必要があります。
Microsoft サービス用のコネクタと、セキュリティ製品エコシステムのサードパーティ ソリューションがあります。 Common Event Format (CEF)、Syslog、または REST-API を使用して、データ ソースを Microsoft Sentinel に接続することもできます。
サーバーと VM には、ログ分析エージェント (MMA) エージェント、またはログを収集して Microsoft Sentinel に送信する Microsoft Sentinel エージェントをインストールできます。 Azure Arc を使用すると、複数の方法でエージェントをデプロイできます。
拡張機能の管理: Azure Arc 対応サーバーのこの機能を使用すると、Azure 以外の Windows または Linux VM に MMA エージェントの VM 拡張機能をデプロイできます。 Azure portal、Azure CLI、ARM テンプレート、PowerShell スクリプトを使用して、Azure Arc 対応サーバーへの拡張機能のデプロイを管理できます。
Azure Policy: ポリシーを割り当てて、Azure Arc 対応サーバーに MMA エージェントがインストールされているかどうかを監査できます。 エージェントがインストールされていない場合は、この拡張機能を使用して、Azure VM と比較する登録エクスペリエンスである修復タスクによって、VM への自動デプロイを行うことができます。
環境をクリーンアップする
ご利用の環境をクリーンアップするには、次の手順を実行します。
次の各ガイドに記載されている破棄手順を使用して、各環境から仮想マシンを削除します。
Azure CLI で次のスクリプトを実行して、Log Analytics ワークスペースを削除します。 Log Analytics ワークスペースの作成時に使用したワークスペース名を指定します。
az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示