Windows エージェント ベースのデータ コネクタを使用して、Microsoft Sentinelを他の Microsoft サービスに接続する

この記事では、Microsoft Sentinelを他の Microsoft サービスの Windows エージェント ベースの接続に接続する方法について説明します。 Microsoft Sentinelでは、Azure Monitor エージェントを使用して、多くのAzureおよび Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまなWindows Server サービスからのデータ インジェストに対して、組み込みのサービス間サポートを提供します。

Azure モニター エージェントは、データ収集規則 (DCR) を使用して、各エージェントから収集するデータを定義します。 データ収集ルールには、次の 2 つの利点があります。

• コレクション設定を大規模に管理しながら、マシンのサブセットに対して一意のスコープ設定を許可します。 これらはワークスペースに依存せず、仮想マシンに依存しません。つまり、1 回定義して、マシンと環境間で再利用できます。 「Azure Monitor エージェントのデータ収集を構成する」を参照してください。

• カスタム フィルターをビルド して、取り込む正確なイベントを選択します。 Azureモニター エージェントでは、これらのルールを使用してソースのデータをフィルター処理し、必要なイベントのみを取り込み、他のすべてを残します。 これにより、データインジェストコストを大幅に削減できます。

注:

米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府機関のお客様向けのクラウド機能の可用性に関するMicrosoft Sentinelテーブルを参照してください。

重要

Azure Monitor Agent (AMA) に基づく一部のコネクタは現在プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。

前提条件

• Microsoft Sentinel ワークスペースに対する読み取りと書き込みのアクセス許可が必要です。

• Azure仮想マシンではないシステムからイベントを収集するには、Azure Monitor エージェント ベースのコネクタを有効にする前に、Arc がインストールされ、有効になっている Azure必要があります。

  保持されるデータには以下が含まれます。

  • 物理マシンにインストールされている Windows サーバー
  • オンプレミスの仮想マシンにインストールされている Windows サーバー
  • Azure以外のクラウドの仮想マシンにインストールされている Windows サーバー

• Windows 転送イベント データ コネクタの場合:

  • WEC マシンにAzure モニター エージェントがインストールされている状態で、Windows イベント コレクション (WEC) を有効にして実行している必要があります。
  • データ正規化を完全にサポートするために、 高度なセキュリティ情報モデル (ASIM) パーサーをインストールすることをお勧めします。 [Deploy to Azure] ボタンを使用して、Azure-Sentinel GitHub リポジトリからこれらのパーサーをデプロイできます。

• Microsoft Sentinelの Content Hub から関連するMicrosoft Sentinel ソリューションをインストールします。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。

GUI を使用してデータ収集ルールを作成する

1. Microsoft Sentinelから、[構成>Data コネクタ] を選択します。 一覧からコネクタを選択し、詳細ウィンドウで [ コネクタ ページを開く ] を選択します。 次に、このセクションの残りの部分で説明されているように、[ 手順 ] タブの画面の指示に従います。

2. コネクタ ページの [前提条件 ] セクションの説明に従って、適切なアクセス許可があることを確認します。

3. [ 構成] で、[ +データ収集規則の追加] を選択します。 右側に [データ収集ルールの作成 ] ウィザードが開きます。

4. [ 基本] で、 ルール名 を入力し、データ収集規則 (DCR) を作成する サブスクリプション と リソース グループ を指定します。 これは 、 監視対象のマシンとその関連付けが同じテナント内にある限り、同じリソース グループまたはサブスクリプションである必要はありません。

5. [ リソース ] タブで、[ +リソースの追加] を選択して、データ収集ルールが適用されるマシンを追加します。 [ スコープの選択 ] ダイアログが開き、使用可能なサブスクリプションの一覧が表示されます。 サブスクリプションを展開してリソース グループを表示し、リソース グループを展開して使用可能なマシンを表示します。 一覧には、Azure仮想マシンとAzure Arc 対応サーバーが表示されます。 サブスクリプションまたはリソース グループのチェック ボックスにマークを付けて、含まれるすべてのマシンを選択するか、個々のマシンを選択できます。 すべてのマシンを選択したら、[ 適用] を選択します。 このプロセスの最後に、Azure モニター エージェントは、まだインストールされていない選択したマシンにインストールされます。

6. [ 収集 ] タブで、収集するイベントを選択します。 [すべてのイベント ] または [ カスタム ] を選択して他のログを指定するか、 XPath クエリを使用してイベントをフィルター処理します。 収集するイベントの特定の XML 条件に評価される式をボックスに入力し、[ 追加] を選択します。 1 つのボックスに最大 20 個の式を入力し、ルールに最大 100 個のボックスを入力できます。

   詳細については、Azure Monitor のドキュメントを参照してください。

   注:

   • Windows セキュリティ イベント コネクタには、収集するために選択できる他の 2 つの事前構築済みイベント セット (Common と Minimal) が用意されています。

   • Azure モニター エージェントでは、XPath バージョン 1.0 の XPath クエリのみがサポートされます。

   XPath クエリの有効性をテストするには、-FilterXPath パラメーターを使用して PowerShell コマンドレット Get-WinEvent を使用します。 例:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • イベントが返された場合、クエリは有効です。
   • "指定した選択条件に一致するイベントが見つかりませんでした" というメッセージが表示された場合、クエリは有効ですが、ローカル コンピューターに一致するイベントはありません。
   • "指定したクエリが無効です" というメッセージが表示された場合、クエリ構文は無効です。

7. 必要なすべてのフィルター式を追加したら、[ 次へ: 確認と作成] を選択します。

8. [検証に合格しました] メッセージが表示されたら、[作成] を選択します。

コネクタ ページの [構成] には、API を使用して作成されたものも含め、すべてのデータ収集ルールが表示されます。 そこから、既存のルールを編集または削除できます。

API を使用してデータ収集ルールを作成する

また、API を使用してデータ収集ルールを作成することもできます。これにより、MSSP の場合など、多くのルールを作成する場合に、作業を容易にすることができます。 ルールを作成するためのテンプレートとして使用できる (AMA コネクタを使用したWindows セキュリティ イベントの) 例を次に示します。

要求 URL とヘッダー

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

要求本文

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

詳細については、以下を参照してください:

• Azure Monitor でのデータ収集規則 (DCR)
• データ収集ルール API スキーマ

次の手順

詳細については、以下を参照してください。

• Microsoft Sentinel ソリューション カタログ
• Microsoft Sentinelでの脅威インテリジェンス統合