Azure Virtual Desktop データを Microsoft Sentinel に接続する
この記事では、Microsoft Sentinel を使用して Azure Virtual Desktop 環境を監視する方法について説明します。
たとえば、Azure Virtual Desktop 環境を監視することで、組織のセキュリティ体制を維持しながら、仮想化されたデスクトップを使用してより多くのリモート作業を行うことができます。
Microsoft Sentinel の Azure Virtual Desktop データ
Microsoft Sentinel の Azure Virtual Desktop データには、次の種類が含まれます。
| データ | 説明 |
|---|---|
| Windows イベント ログ | Azure Virtual 環境の Windows イベント ログは、Azure Virtual Desktop 環境の外部にある他の Windows マシンの Windows イベント ログと同じ方法で、Microsoft Sentinel 対応の Log Analytics ワークスペースにストリーミングされます。 Azure Monitor エージェントを Windows マシンにインストールし、Log Analytics ワークスペースに送信される Windows イベント ログを構成します。 詳細については、以下を参照してください: - クライアント インストーラーを使用して Windows クライアント デバイスに Azure Monitor エージェントをインストールする - Azure Monitor エージェントを使用して Windows イベントを収集する - Microsoft Sentinel 用 AMA コネクタ経由の Windows セキュリティ イベント |
| Microsoft Defender for Endpoint アラート | Azure Virtual Desktop 用に Defender for Endpoint を構成するには、他の Windows エンドポイントと同じ手順を使用します。 詳細については、次を参照してください。 - Microsoft Defender for Endpoint の展開をセットアップする - Microsoft Defender XDR から Microsoft Sentinel にデータを接続する |
| Azure Virtual Desktop の診断 | Azure Virtual Desktop 診断は、Azure Virtual Desktop PaaS サービスの機能であり、Azure Virtual Desktop ロールが割り当てられているユーザーがこのサービスを使用するたびに、情報がログに記録されます。 各ログには、そのアクティビティに関与した Azure Virtual Desktop ロールに関する情報、そのセッション中に表示されるすべてのエラー メッセージ、テナント情報、ユーザー情報が格納されます。 診断機能は、ユーザーと管理者の両方のアクションのアクティビティ ログを作成します。 詳細については、Azure Virtual Desktop の診断機能でのログ分析の使用に関する記事を参照してください。 |
Azure Virtual Desktop データへ接続する
Azure Virtual Desktop データの Microsoft Sentinel への取り込みを開始するには、Azure Virtual Desktop のドキュメントの手順を使用します。
詳細については、Log Analytics ワークスペースへの Azure Virtual Desktop データのプッシュに関する記事を参照してください。
データの検索
正常な接続が確立されたら、Microsoft Sentinel で Log Analytics データに対するクエリを実行します。
例については、Azure Virtual Desktop のドキュメントにあるサンプル クエリをご覧ください。
また、Microsoft Sentinel には、[全般]>[ログ]>[Azure Virtual Desktop] 領域に組み込みのクエリも用意されています。
次の手順
詳細については、「Azure Monitor for Azure Virtual Desktop の用語集」を参照してください。