Windows エージェントベースのデータ コネクタを使用して Microsoft Sentinel を他の Microsoft サービスに接続する
この記事では、Windows エージェント ベースの接続を使用して、Microsoft Sentinel を他の Microsoft サービスに接続する方法について説明します。 Microsoft Sentinel では Azure 基盤を使用して、多くの Azure と Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまな Windows Server サービスからのデータ インジェスト用の組み込みのサービス間サポートを提供します。 これらの接続を行う方法はいくつかあります。
この記事では、Windows エージェント ベースのデータ コネクタのグループに共通する情報について説明します。
Note
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
Azure Monitor エージェント
Azure Monitor エージェント (AMA) に基づくコネクタの一部は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
現在、Azure Monitor エージェントは、Windows セキュリティ イベントと Windows の転送済みイベント、および Windows DNSイベントに対してのみサポートされます。
Azure Monitor エージェントでは、データ収集ルール (DCR) を使用して、各エージェントから収集するデータが定義されます。 データ収集ルールには、次の 2 つの明確な利点があります。
大規模に収集設定を管理しながら、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 それらはワークスペースから独立し、仮想マシンからも独立しているため、一度定義すると、コンピューターや環境間で再利用できます。 「Azure Monitor エージェント用のデータ収集の構成」をご覧ください。
カスタム フィルターを作成して、取り込むイベントを正確に選択できます。 Azure Monitor エージェントは、これらのルールを使用してソースのデータをフィルター処理し、必要なイベントだけを取り込み、その他のすべてを残します。 これにより、データ インジェストのコストを削減できます。
データ収集ルールを作成する方法については、以下を参照してください。
前提条件
Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Azure 仮想マシン以外からイベントを収集するには、Azure Monitor エージェントベースのコネクタを有効にする前に、システムに Azure Arc をインストールし、有効にしておく必要があります。
これには次のものが含まれます
- 物理マシンにインストールされている Windows サーバー
- オンプレミスの仮想マシンにインストールされている Windows サーバー
- Azure 以外のクラウドの仮想マシンにインストールされている Windows サーバー
データ コネクタ固有の要件:
データ コネクタ ライセンス、コスト、その他の情報 Windows の転送済みイベント - Windows イベント コレクション (WEC) が有効になっていて、実行されている必要があります。
WEC マシンに、Azure Monitor エージェントをインストールします。
- データ正規化の完全なサポートを保証するために、Advanced Security Information Model (ASIM) パーサーをインストールすることをお勧めします。 これらのパーサーは、Azure-SentinelGitHub リポジトリから、[Deploy to Azure]\(Azure にデプロイする\) ボタンを使用してデプロイできます。関連する Microsoft Sentinel ソリューションを Microsoft Sentinel のコンテンツ ハブからインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。
手順
Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。 一覧からコネクタを選び、詳細ペインの [コネクタ ページを開く] を選びます。 その後、 [Instructions](手順) タブで画面の指示に従い、このセクションの残りの作業を行います。
コネクタ ページの [前提条件] セクションに記載された適切なアクセス許可があることを確認します。
[構成] の下の [+ データ収集ルールの追加] を選択します。 右に [データ収集ルールの作成] ウィザードが表示されます。
[基本] の下の [規則名] を入力し、データ収集ルール (DCR) を作成する [サブスクリプション] および [リソース グループ] を指定します。 監視対象のマシンとその関連付けが同じテナント内にある限り、同じリソース グループまたはサブスクリプションである必要はありません。
[リソース] タブで [+ リソースの追加] を選択し、データ収集ルールが適用されるマシンを追加します。 [スコープの選択] ダイアログが開き、使用可能なサブスクリプションの一覧が表示されます。 サブスクリプションを展開してそのリソース グループを表示し、リソース グループを展開して使用可能なマシンを表示します。 一覧に、Azure 仮想マシンと Azure Arc 対応サーバーが表示されます。 サブスクリプションまたはリソース グループのチェック ボックスをオンにして、含まれるすべてのマシンを選択するか、個々のマシンを選択できます。 すべてのマシンを選択したら、 [適用] を選択します。 このプロセスの最後で、選択した未インストールのマシンに Azure Monitor エージェントがインストールされます。
[収集] タブで、収集するイベントを選びます。[すべてのイベント] または [カスタム] を選んで他のログを指定するか、XPath クエリを使用してイベントをフィルター処理します。 収集するイベントの特定の XML 条件を評価する式をボックスに入力し、 [追加] を選択します。 1 つのボックスには最大 20 個の式を、ルールには最大 100 個のボックスを入力できます。
データ収集ルールの詳細については、Azure Monitoring のドキュメントを参照してください。
Note
Windows セキュリティ イベント コネクタには、収集できる他の 2 つの事前構築済みイベント セット (Common と Minimal) が用意されています。
Azure Monitor エージェントは、 XPath バージョン 1.0 のみの XPath クエリをサポートしています。
必要なすべてのフィルター式を追加した後、 [次へ: 確認および作成] を選択します。
"検証に成功しました" というメッセージが表示されたら、 [作成] を選択します。
コネクタ ページの [構成] に、すべてのデータ収集ルール (API を使用して作成されたルールを含む) が表示されます。 そこから既存のルールを編集または削除することができます。
ヒント
XPath クエリの有効性をテストするには、 -FilterXPath パラメーターを指定した PowerShell コマンドレット Get-WinEvent を使用します。 次のスクリプトは、一例を示しています。
$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
- イベントが返されたら、クエリは有効です。
- [No events were found that match the specified selection criteria](指定した選択条件に一致するイベントは見つかりませんでした) というメッセージが表示された場合は、クエリはおそらく有効ですが、一致するイベントがローカル コンピューターにありません。
- [The specified query is invalid](指定したクエリは無効です) というメッセージが表示された場合は、クエリ構文が無効です。
API を使用してデータ収集ルールを作成する
また、API (スキーマを参照) を使用してデータ収集ルールを作成することもできます。これは、多くのルールを作成する場合 (たとえば、MSSP の場合) の作業が容易になる可能性があります。 ルールを作成するためのテンプレートとして使用できる (AMA コネクタ経由の Windows セキュリティ イベント用) の例を次に示します。
要求 URL とヘッダー
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
要求本文
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
Azure Monitor のドキュメントのこちらのデータ収集ルールの完全な説明を参照してください。
Log Analytics エージェント (レガシ)
Log Analytics エージェントは、2024 年 8 月 31 日に廃止される予定です。 Microsoft Sentinel のデプロイで Log Analytics エージェントを使用している場合は、AMA への移行の計画を開始することをお勧めします。 詳細については、「 Microsoft Sentinel の AMA 移行」を参照してください。
前提条件
- Log Analytics ワークスペースに対する読み取りと書き込みのアクセス許可と、ログの収集元となるマシンを含むワークスペースが必要です。
- Microsoft Sentinel ロールに加えて、それらのワークスペースの SecurityInsights (Microsoft Sentinel) ソリューションに対する Log Analytics 共同作成者ロールが必要です。
手順
Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。
ご利用のサービス ( [DNS] または [Windows ファイアウォール] ) を選んでから、 [コネクタ ページを開く] を選択します。
ログを生成するデバイスにエージェントをインストールし、オンボードします。
マシンの種類 Instructions Azure Windows VM の場合 1. [エージェントのインストール先を選択してください] で、 [Azure Windows 仮想マシンにエージェントをインストールする] を展開します。
2. [Azure Windows 仮想マシン>のエージェントのダウンロードとインストール] リンクを選択します。
3. [仮想マシン] ブレードで、エージェントのインストール先となる仮想マシンを選んでから、 [接続] を選択します。 接続する各 VM に対してこの手順を繰り返します。その他の Windows マシンの場合 1. [エージェントのインストール先を選択してください] で、 [Azure 以外の Windows マシンにエージェントをインストールする] を展開します
2. [Azure 以外の Windows マシン > のエージェントのダウンロードとインストール] リンクを選択します。
3. [エージェントの管理] ブレードの [Windows サーバー] タブで、32 ビットまたは 64 ビット システム用の [Windows エージェントのダウンロード] リンクを適宜選択します。
4. ダウンロードした実行可能ファイルを使用して、目的の Windows システムにエージェントをインストールし、前の手順のダウンロード リンクの下に表示される [ワークスペース ID とキー] を使用してその構成を行います。
必要なインターネット接続を備えていない Windows システムでも Microsoft Sentinel にイベントをストリーム配信できるようにする場合は、プロキシとして機能する Log Analytics ゲートウェイを別のマシンにインストールします。それには、 [エージェントの管理] ページの [Log Analytics ゲートウェイのダウンロード] リンクを使用します。 その場合でも、イベントを収集する個々の Windows システムに Log Analytics エージェントをインストールする必要があります。
このシナリオの詳細については、Log Analytics ゲートウェイのドキュメントを参照してください。
その他のインストール オプションとさらに詳しい情報については、Log Analytics エージェントのドキュメントを参照してください。
送信するログを決定する
Windows DNS サーバーと Windowsファイアウォール コネクタに対して、[ソリューションのインストール] ボタンを選びます。 レガシ セキュリティ イベント コネクタについては、送信するイベント セットを選択し、[更新] を選びます。 詳細については、「Microsoft Sentinel に送信できる Windows セキュリティ イベント セット」を参照してください。
データ コネクタ リファレンス ページの各セクションのテーブル名を使用して、これらのサービスのデータを検索してクエリを実行できます。
Windows DNS Server データ コネクタのトラブルシューティング
DNS イベントが Microsoft Sentinel に表示されない場合:
- サーバー上の DNS 分析ログが有効になっていることを確認します。
- Azure DNS Analytics に移動します。
- [構成] 領域で設定を変更し、その内容を保存します。 必要であれば、設定を元に戻したうえで再度変更を保存してください。
- Azure DNS Analytics をチェックして、イベントとクエリが適切に表示されることを確認します。
詳細については、「DNS Analytics プレビュー ソリューションを使用した DNS インフラストラクチャに関する分析情報の収集」を参照してください。
次のステップ
詳細については、次を参照してください。