この記事では、診断設定接続を使用してMicrosoft Sentinelに接続する方法について説明します。 Microsoft Sentinelでは、Azure 基盤を使用して、多くのAzureおよび Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまなWindows Server サービスからのデータ インジェストに対して、組み込みのサービス間サポートを提供します。 これらの接続を行う方法がいくつかあります。
この記事では、診断設定ベースの接続を使用するデータ コネクタのグループに共通する情報について説明します。 これらの種類のコネクタの一部は、Azure Policyを使用して管理されます。 この種類の他のコネクタについては、スタンドアロンの手順を使用します。
注:
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。
前提条件
スタンドアロンの診断設定ベースのコネクタを使用してMicrosoft Sentinelにデータを取り込むには、Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースに対する読み取りと書き込みのアクセス許可が必要です。
Azure Policyによって管理される診断設定ベースのコネクタを使用してMicrosoft Sentinelにデータを取り込むには、次の前提条件も必要です。
Azure Policyを使用してログ ストリーミング ポリシーをリソースに適用するには、ポリシー割り当てスコープの所有者ロールが必要です。
使用しているコネクタに応じて、次の前提条件を満たします。
データ コネクタ ライセンス、コスト、およびその他の情報 Azure アクティビティ このコネクタでは、診断設定パイプラインが使用されるようになりました。 レガシ メソッドを使用している場合は、新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションをレガシ メソッドから切断する必要があります。
1. [Microsoft Sentinel] ナビゲーション メニューで、[データ コネクタ] を選択します。 コネクタの一覧から [Azure アクティビティ] を選択し、右下の [コネクタ ページを開く] ボタンを選択します。
2. [ 手順 ] タブの [ 構成 ] セクションの手順 1 で、レガシ メソッドに接続されている既存のサブスクリプションの一覧を確認し、下の [ すべて切断 ] ボタンをクリックして一度に切断します。
3. このセクションの手順に従って、新しいコネクタの設定を続行します。DDoS Protection のAzure - DDoS Standard保護プランAzure構成されています。
- Azure DDoS Standardが有効になっている構成済みの仮想ネットワーク
- その他の料金が適用される場合があります
- DDoS Protection データ コネクタAzureの状態が [接続済み] に変わるのは、保護されたリソースが DDoS 攻撃を受けている場合のみです。ストレージ アカウントのAzure ストレージ アカウント (親) リソースには、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。
ストレージ アカウントの診断を構成する場合は、次を選択して構成する必要があります。
- トランザクション メトリックをエクスポートする親アカウント リソース。
- 子ストレージの種類の各リソース。すべてのログとメトリックをエクスポートします。
実際にリソースを定義したストレージの種類のみが表示されます。
スタンドアロンの診断設定ベースのコネクタを使用して接続する
この手順では、診断設定に基づいてスタンドアロン接続を使用するデータ コネクタを使用してMicrosoft Sentinelに接続する方法について説明します。
Microsoft Sentinel ナビゲーション メニューで、[データ コネクタ] を選択します。
データ コネクタ ギャラリーからリソースの種類を選択し、プレビュー ウィンドウで [ コネクタ ページを開く ] を選択します。
コネクタ ページの [構成 ] セクションで、リンクを選択してリソース構成ページを開きます。
目的の種類のリソースの一覧が表示される場合は、ログを取り込むリソースのリンクを選択します。
リソース ナビゲーション メニューで、[ 診断設定] を選択します。
一覧の下部にある [ + 診断設定の追加] を選択します。
[ 診断設定 ] 画面で、[ 診断設定 名] フィールドに名前を入力します。
[Log Analytics に送信] チェック ボックスにマークを付けます。 その下に 2 つの新しいフィールドが表示されます。 関連するサブスクリプションと Log Analytics ワークスペース (Microsoft Sentinelが存在する場所) を選択します。
収集するログとメトリックの種類のチェック ボックスにマークを付けます。 [ データ コネクタ] リファレンス ページのリソースのコネクタのセクションで、各リソースの種類に対して推奨される選択肢を参照してください。
画面の上部にある [ 保存] を選択します 。
詳細については、Azure Monitor のドキュメントの「Azure Monitor プラットフォーム のログとメトリックをさまざまな宛先に送信するための診断設定の作成」も参照してください。
Azure Policyによって管理される診断設定ベースのコネクタ経由で接続する
この手順では、診断設定に基づいてAzure Policyによって管理される接続を使用するデータ コネクタを使用して、Microsoft Sentinelに接続する方法について説明します。
この種類のコネクタでは、Azure Policyを使用して、スコープとして定義された単一の型のリソースのコレクションに単一の診断設定構成を適用します。 特定のリソースの種類から取り込まれたログの種類は、そのリソースのコネクタ ページの左側の [データ型] で確認できます。
Microsoft Sentinel ナビゲーション メニューで、[データ コネクタ] を選択します。
データ コネクタ ギャラリーからリソースの種類を選択し、プレビュー ウィンドウで [ コネクタ ページを開く ] を選択します。
コネクタ ページの [構成] セクションで、そこに表示される展開ツールを展開し、[Azure Policy割り当てウィザードの起動] ボタンを選択します。
ポリシー割り当てウィザードが開き、ポリシー名が事前設定された新しいポリシーを作成する準備が整います。
[ 基本 ] タブで、[ スコープ ] の下にある 3 つのドットを含むボタンを選択して、サブスクリプション (および必要に応じてリソース グループ) を選択します。 説明を追加することもできます。
[パラメーター] タブで、次の 手順を実行 します。
- [入力が必要なパラメーターのみを表示するチェック] ボックスをオフにします。
- [効果] フィールドと [設定名] フィールドが表示される場合は、そのままにします。
- [Log Analytics ワークスペース] ドロップダウン リストからMicrosoft Sentinel ワークスペースを選択します。
- 残りのドロップダウン フィールドは、使用可能な診断ログの種類を表します。 取り込むすべてのログの種類を True としてマークしたままにします。
ポリシーは、今後追加されるリソースに適用されます。 既存のリソースにもポリシーを適用するには、[修復] タブを選択し、[修復タスクの作成] チェック ボックスにマークを付けます。
[ 確認と作成 ] タブで、[ 作成] をクリックします。 これで、選択したスコープにポリシーが割り当てられます。
この種類のデータ コネクタでは、接続状態インジケーター (データ コネクタ ギャラリーのカラー ストライプとデータ型名の横の接続アイコン) は、過去 14 日間のある時点でデータが取り込まれた場合にのみ 、接続 (緑) として表示されます。 データ インジェストなしで 14 日が経過すると、コネクタは切断されていると表示されます。 より多くのデータが通過すると、 接続 状態が返されます。
[データ コネクタ] リファレンス ページのリソースのコネクタのセクションに表示されるテーブル名を使用して、リソースの種類ごとにデータを検索してクエリを実行できます。 詳細については、Azure Monitor ドキュメントの「診断設定を作成して、Azure Monitor プラットフォーム のログとメトリックをさまざまな宛先に送信する」を参照してください。
関連コンテンツ
詳細については、以下を参照してください: