Microsoft Sentinel をアマゾン ウェブ サービスに接続して AWS サービス ログ データを取り込む

Amazon Web Services (AWS) サービス ログ コネクタは、CloudTrail 管理ログとデータ ログ用のレガシ コネクタと、S3 バケットからログをプルすることによって次の AWS サービスからログを取り込むことができる新しいバージョンの 2 つのバージョンで利用できます (AWS ドキュメントへのリンク)。

• Amazon Virtual Private Cloud (VPC) - VPC フローログ
• Amazon GuardDuty - 所見
• AWS CloudTrail - 管理とデータ イベント
• AWS CloudWatch - CloudWatch ログ

S3 コネクタ (新規)

このタブでは、次の 2 つの方法のいずれかを使用して AWS S3 コネクタを構成する方法について説明します。

• 自動セットアップ (推奨)
• 手動セットアップ

[前提条件]

• Microsoft Sentinel ワークスペースへの書き込みアクセス許可が必要です。

• Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。 詳細については、「Microsoft Sentinel のあらかじめ用意されたコンテンツの検出と管理」を参照してください。

• PowerShell と AWS CLI をマシンにインストールします (自動セットアップのみ)。

  • PowerShell のインストール手順
  • AWS CLI のインストール手順 (AWS ドキュメントから)

• 選択した AWS サービスのログで、Microsoft Sentinel で受け入れられる形式が使用されていることを確認します。

  • Amazon VPC: ヘッダー付きの GZIP 形式ファイル .csv。区切り文字: スペース。
  • Amazon GuardDuty: json-line と GZIP の形式。
  • AWS CloudTrail: ファイルはGZIP形式で.jsonです。
  • CloudWatch: ヘッダーのない GZIP 形式の .csv ファイル。 ログをこの形式に変換する必要がある場合は、この CloudWatch ラムダ関数を使用できます。

自動セットアップ

オンボード プロセスを簡略化するために、Microsoft Sentinel には、コネクタの AWS 側のセットアップ (必要な AWS リソース、資格情報、アクセス許可) を 自動化する PowerShell スクリプト が用意されています。

スクリプトは次のようになります。

• OIDC Web ID プロバイダーを作成して、AWS に対して Microsoft Entra ID ユーザーを認証します。 Web ID プロバイダーが既に存在する場合、スクリプトは Microsoft Sentinel を対象ユーザーとして既存のプロバイダーに追加します。

• OIDC で認証されたユーザーに特定の S3 バケットと SQS キュー内のログへのアクセス権を付与するために、必要最小限のアクセス許可を持つ IAM 想定ロール を作成します。

• 指定した AWS サービスがその S3 バケットにログを送信し、その SQS キューに通知メッセージを送信できるようにします。

• 必要に応じて、この目的で S3 バケットとその SQS キューを作成します。

• 必要な IAM アクセス許可ポリシーを構成し、上記で作成した IAM ロールに適用します。

Azure Government クラウドの場合、特殊化されたスクリプトによって異なる OIDC Web ID プロバイダーが作成され、それに IAM が引き受けたロールが割り当てられます。

インストラクション

コネクタを設定するスクリプトを実行するには、次の手順に従います。

1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。

2. データ コネクタ ギャラリーから Amazon Web Services S3 を選択します。

   コネクタが表示されない場合は、Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。

3. コネクタの詳細ペインで、[コネクタ ページを開く] を選択します。

4. [構成] セクションの [1] の下。AWS 環境を設定し、PowerShell スクリプトを使用して [セットアップ] を展開します (推奨)。

5. 画面の指示に従って 、AWS S3 セットアップスクリプト (リンクはメインセットアップスクリプトとヘルパースクリプトを含む zip ファイルをダウンロードします) をコネクタページからダウンロードして抽出します。

   注

   AZURE Government クラウドに AWS ログを取り込むには、代わりにこの特殊な AWS S3 Gov セットアップ スクリプトをダウンロードして抽出します。

6. スクリプトを実行する前に、PowerShell コマンド ラインから aws configure コマンドを実行し、プロンプトに従って関連情報を入力します。 AWS コマンドラインインターフェイス | 構成の基本（AWS ドキュメントより）を参照してください。詳細については、

7. 次に、スクリプトを実行します。 コネクタ ページ ([Run script to set up the environment]\(スクリプトを実行して環境を設定する\) からコマンドをコピーし、コマンド ラインに貼り付けます。

8. このスクリプトでは、ワークスペース ID の入力を求められます。 この ID はコネクタ ページに表示されます。 それをコピーし、スクリプトのプロンプトに貼り付けます。

   

9. スクリプトの実行が完了したら、スクリプトの出力から ロール ARN と SQS URL を コピーし (下の最初のスクリーンショットの例を参照)、コネクタ ページの 2 の下にあるそれぞれのフィールドに貼り付けます 。接続を追加します (下の 2 番目のスクリーンショットを参照)。

   

   

10. 変換先テーブル ドロップダウン リストからデータ型を選択してください。 これにより、この接続を確立して収集する AWS サービスのログと、取り込まれたデータを格納する Log Analytics テーブルがコネクタに通知されます。 [接続の追加] を選択します。

注

スクリプトの実行が完了するまでに最大 30 分かかる場合があります。

手動セットアップ

このコネクタをデプロイするには、自動セットアップ スクリプトを使用することをお勧めします。 何らかの理由でこの利便性を活用したくない場合は、次の手順に従ってコネクタを手動で設定します。

1. 「 Aws ログを Microsoft Sentinel に収集するようにアマゾン ウェブ サービス環境を設定する」の説明に従って、AWS 環境を設定します。

2. AWS コンソールで、次の手順を実行します。

   1. ID およびアクセス管理 (IAM) サービスを入力し、ロールの一覧に移動します。 上記で作成したロールを選択します。

   2. ARN をクリップボードにコピーします。

   3. Simple Queue Service を入力し、作成した SQS キューを選択し、キューの URL をクリップボードにコピーします。

3. Microsoft Azure Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

4. データ コネクタ ギャラリーから Amazon Web Services S3 を選択します。

   コネクタが表示されない場合は、Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。 詳細については、「Microsoft Sentinel のあらかじめ用意されたコンテンツの検出と管理」を参照してください。

5. コネクタの詳細ペインで、[コネクタ ページを開く] を選択します。

6. [2. 接続の追加] で:

   1. 2 ステップ前にコピーした IAM ロール ARN を、ロールを追加するフィールドに貼り付けてください。
   2. 最後の手順でコピーした SQS キューの URL を SQS URL フィールドに貼り付けます。
   3. 変換先テーブル ドロップダウン リストからデータ型を選択してください。 これにより、この接続を確立して収集する AWS サービスのログと、取り込まれたデータを格納する Log Analytics テーブルがコネクタに通知されます。
   4. [接続の追加] を選択します。

   

既知の問題とトラブルシューティング

既知の問題

• 異なる種類のログを同じ S3 バケットに格納できますが、同じパスに格納しないでください。

• 各 SQS キューは、1 種類のメッセージを指している必要があります。 GuardDuty の結果 と VPC フロー ログを取り込む場合は、種類ごとに個別のキューを設定します。

• 1 つの SQS キューは、S3 バケット内のパスを 1 つだけ提供できます。 複数のパスにログを格納する場合、各パスには専用の SQS キューが必要です。

トラブルシューティング

Amazon Web Services S3 コネクタに関する問題のトラブルシューティングを行う方法について説明します。

CloudTrail コネクタ (レガシ)

このタブでは、AWS CloudTrail コネクタを構成する方法について説明します。 設定プロセスには、AWS 側と Microsoft Sentinel 側の 2 つの部分があります。 各側のプロセスは、もう一方の側で使用される情報を生成します。 この双方向認証により、セキュリティで保護された通信が作成されます。

注

AWS CloudTrail には、LookupEvents API に 組み込みの制限があります 。 アカウントごとに 1 秒あたり 2 つ (TPS) 以下のトランザクションを許可し、各クエリは最大 50 個のレコードを返すことができます。 1 つのテナントで 1 つのリージョンで 1 秒あたり 100 を超えるレコードが常に生成される場合、バックログとデータ インジェストの遅延が発生します。

現時点では、AWS GovCloud CloudTrail ではなく、AWS Commercial CloudTrail を Microsoft Sentinel にのみ接続できます。

[前提条件]

• Microsoft Sentinel ワークスペースへの書き込みアクセス許可が必要です。
• Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。 詳細については、「Microsoft Sentinel のあらかじめ用意されたコンテンツの検出と管理」を参照してください。

注

Microsoft Sentinel は、すべてのリージョンから CloudTrail 管理イベントを収集します。 あるリージョンから別のリージョンにイベントをストリーミングしないことをお勧めします。

AWS CloudTrail を接続する

このコネクタのセットアップには、次の 2 つの手順があります。

• AWS の想定ロールを作成し、AWS Sentinel アカウントへのアクセスを許可する
• AWS CloudTrail データ コネクタに AWS ロール情報を追加する

AWS の想定ロールを作成し、AWS Sentinel アカウントへのアクセスを許可する

1. Microsoft Azure Sentinel で、ナビゲーション メニューから [データ コネクタ] を選択します。

2. データ コネクタ ギャラリーから Amazon Web Services を選択します。

   コネクタが表示されない場合は、Microsoft Sentinel の コンテンツ ハブ からアマゾン ウェブ サービス ソリューションをインストールします。 詳細については、「Microsoft Sentinel のあらかじめ用意されたコンテンツの検出と管理」を参照してください。

3. コネクタの詳細ペインで、[コネクタ ページを開く] を選択します。

4. [ 構成] で、 Microsoft アカウント ID と 外部 ID (ワークスペース ID) を クリップボードにコピーします。

5. 別のブラウザー ウィンドウまたはタブで、AWS コンソールを開きます。 AWS アカウントのロールを作成するには、AWS ドキュメントの手順に従います。

   • アカウントの種類として、[ このアカウント] ではなく、[別の AWS アカウント] を選択します。

   • [ アカウント ID ] フィールドに、 197857026523 番号を入力します (または、前の手順でコピーした Microsoft アカウント ID をクリップボードから貼り付けます)。 この番号は、 AWS の Microsoft Sentinel のサービス アカウント ID です。 このロールを使用するアカウントが Microsoft Sentinel ユーザーであることを AWS に通知します。

   • オプションで、[外部 ID を必須にする] を選択します ([MFA を要求する] を選択しないでください)。 [ 外部 ID ] フィールドに、前の手順でコピーした Microsoft Sentinel ワークスペース ID を 貼り付けます。 これにより、AWS に 対する特定の Microsoft Sentinel アカウント が識別されます。

   • AWSCloudTrailReadOnlyAccessアクセス許可ポリシーを割り当てます。 必要に応じてタグを追加します。

   • Microsoft Sentinel への参照を含むわかりやすい名前でロールに名前を付けます。 例: "MicrosoftSentinelRole"。

AWS CloudTrail データ コネクタに AWS ロール情報を追加する

1. AWS コンソールを開くブラウザー タブで、 IDENTITY and Access Management (IAM) サービスを入力し、ロールの一覧に移動 します。 上記で作成したロールを選択します。

2. ARN をクリップボードにコピーします。

3. Microsoft Sentinel ブラウザー タブに戻ります。このタブは、 Amazon Web Services データ コネクタ ページに表示されます。 [ 構成 ] セクションで、 ロール ARN を 追加するロールのフィールド に貼り付け、[ 追加 ] を選択します。

   

4. Log Analytics で AWS イベントに関連するスキーマを使用するには、 AWSCloudTrail を検索します。

   Von Bedeutung

   2020 年 12 月 1 日の時点で、 AwsRequestId フィールドは AwsRequestId_ フィールドに置き換えられました (追加されたアンダースコアに注意してください)。 古い AwsRequestId フィールドのデータは、顧客が指定したデータ保有期間の終わりまで保持されます。

ラムダ関数を使用して書式設定された CloudWatch イベントを S3 に送信する (省略可能)

CloudWatch ログが、ヘッダーなしで GZIP 形式のファイル .csv Microsoft Sentinel で受け入れられていない場合は、AWS 内の ソース コードを表示 するラムダ関数ビューを使用して、CloudWatch イベントを受け入れられた形式で S3 バケットに送信します。

Lambda 関数は、Python 3.9 ランタイムと x86_64 アーキテクチャを使用します。

ラムダ関数をデプロイするには:

1. AWS マネジメントコンソールで、Lambda サービスを選択します。

2. [ 関数の作成] を選択します。

   

3. 関数の名前を入力し、ランタイムとして [Python 3.9] を選択し、アーキテクチャとして [x86_64] を選択します。

4. [ 関数の作成] を選択します。

5. [Choose a layer](レイヤーの選択) で、レイヤーを選択し、[Add](追加) を選択します。

   

6. [Permissions](アクセス許可) を選択し、[Execution role](実行ロール) で [Role name](ロール名) を選択します。

7. [Permissions policies](アクセス許可ポリシー) で、[Add permissions](アクセス許可の追加)>[Attach policies](ポリシーのアタッチ) の順に選択します。

   

8. AmazonS3FullAccess ポリシーと CloudWatchLogsReadOnlyAccess ポリシーを検索してアタッチします。

   

9. 関数に戻り、[Code](コード) を選択し、[Code source](コード ソース) の下にコード リンクを貼り付けます。

10. パラメーターの既定値は、環境変数を使用して設定されます。 必要に応じて、これらの値をコード内で直接手動で調整できます。

11. [Deploy](デプロイ) を選択し、[Test](テスト) を選択します。

12. 必須フィールドを入力してイベントを作成します。

    

13. [Test](テスト) を選択して、S3 バケットにイベントがどのように表示されるかを確認します。

次のステップ

このドキュメントでは、AWS リソースに接続してログを Microsoft Sentinel に取り込む方法について説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法について説明します。
• Microsoft Sentinel を使用して脅威の検出を開始しましょう。
• ワークブックを使用して データを監視します。