Microsoft Sentinelでは、Azure サービスと外部ソリューション用のさまざまなすぐに使用できるコネクタが提供され、専用コネクタを使用しない一部のソースからのデータの取り込みもサポートされます。
使用可能な既存のソリューションのいずれかを使用してデータ ソースをMicrosoft Sentinelに接続できない場合は、独自のデータ ソース コネクタを作成することを検討してください。
サポートされているコネクタの完全な一覧については、「Microsoft Sentinel データ コネクタの検索」を参照してください。
カスタム コネクタ メソッドを比較する
次の表では、この記事で説明するカスタム コネクタを作成するための各方法に関する基本的な詳細を比較します。 各メソッドの詳細については、表のリンクを選択してください。
| メソッドの説明 | 機能 | サーバーレス | 複雑さ |
|---|---|---|---|
|
コードレス コネクタ フレームワーク (CCF) 高度な開発の代わりに構成ファイルを使用して SaaS コネクタを作成する技術的な対象ユーザーが少ない場合に最適です。 |
コードで使用できるすべての機能をサポートします。 | はい | 低;シンプルでコードレスな開発 |
|
Azure モニター エージェント オンプレミスおよび IaaS ソースからファイルを収集するのに最適 |
ファイルの収集、データ変換 | 不要 | 低 |
|
Logstash オンプレミスおよび IaaS ソース、プラグインが利用可能なソース、および Logstash に既に精通している組織に最適 |
Azure モニター エージェントのすべての機能をサポート | いいえ;を実行するには、VM または VM クラスターが必要です | 低;プラグインで多くのシナリオをサポート |
|
ロジック アプリ 高コスト。大量のデータの場合は避ける 少量のクラウド ソースに最適 |
コードレス プログラミングを使用すると、アルゴリズムの実装をサポートすることなく、限られた柔軟性を実現できます。 使用可能なアクションが要件をまだサポートしていない場合は、カスタム アクションを作成すると複雑になる可能性があります。 |
はい | 低;シンプルでコードレスな開発 |
|
Azure Monitor でのログ インジェスト API 統合を実装する ISV、および固有のコレクション要件に最適 |
コードで使用できるすべての機能をサポートします。 | 実装によって異なります | 高 |
|
Azure Functions 大量のクラウド ソースと、独自のコレクション要件に最適 |
コードで使用できるすべての機能をサポートします。 | はい | 高;プログラミングに関する知識が必要 |
ヒント
同じコネクタに Logic Apps とAzure Functionsを使用する方法の比較については、次を参照してください。
- 高速Web Application FirewallログをMicrosoft Sentinelに取り込む
- Office 365 (Microsoft Sentinel GitHub コミュニティ): Logic App コネクタ | Azure 関数コネクタ
コードレス コネクタ フレームワークを使用して接続する
Codeless Connector Framework (CCF) は、顧客とパートナーの両方で使用し、独自のワークスペースに展開したり、Microsoft Sentinelのコンテンツ ハブのソリューションとしてデプロイしたりできる構成ファイルを提供します。
CCF を使用して作成されたコネクタは完全に SaaS であり、サービスのインストールの要件がなく、正常性の監視とMicrosoft Sentinelからの完全なサポートも含まれています。
詳細については、「Microsoft Sentinel用のコードレス コネクタを作成する」を参照してください。
Azure モニター エージェントに接続する
データ ソースがテキスト ファイルでイベントを配信する場合は、Azure Monitor エージェントを使用してカスタム コネクタを作成することをお勧めします。
詳細については、「Azure Monitor Agent を使用してテキスト ファイルからログを収集する」を参照してください。
この方法の例については、「monitor エージェントを使用して JSON ファイルからログを収集する」Azure参照してください。
Logstash で接続する
Logstash に慣れている場合は、Logstash 出力プラグインで Logstash を使用して、Microsoft Sentinelカスタム コネクタを作成することができます。
Microsoft Sentinel Logstash 出力プラグインを使用すると、任意の Logstash 入力とフィルター 処理プラグインを使用し、Logstash パイプラインの出力としてMicrosoft Sentinelを構成できます。 Logstash には、Event Hubs、Apache Kafka、Files、データベース、クラウド サービスなど、さまざまなソースからの入力を可能にするプラグインの大規模なライブラリがあります。 フィルター プラグインを使用して、イベントの解析、不要なイベントのフィルター処理、値の難読化などを行います。
Logstash をカスタム コネクタとして使用する例については、次を参照してください。
- Microsoft Sentinelを使用した AWS ログでの Capital One Breach TCP のハンティング (ブログ)
- Radware Microsoft Sentinel実装ガイド
便利な Logstash プラグインの例については、次を参照してください。
ヒント
Logstash では、クラスターを使用したスケーリングされたデータ収集も有効になります。 詳細については、「 負荷分散された Logstash VM を大規模に使用する」を参照してください。
Logic Apps で接続する
Azure Logic Apps を使用して、Microsoft Sentinel用のサーバーレスカスタム コネクタを作成します。
注:
Logic Apps を使用してサーバーレス コネクタを作成すると便利ですが、コネクタに Logic Apps を使用すると、大量のデータにコストがかかる場合があります。
この方法は、少量のデータ ソースに対してのみ使用するか、データアップロードをエンリッチすることをお勧めします。
Logic Apps を起動するには、次のいずれかのトリガーを使用します。
トリガー 説明 定期的なタスク たとえば、特定のファイル、データベース、または外部 API から定期的にデータを取得するようにロジック アプリをスケジュールします。
詳細については、「Azure Logic Apps で定期的なタスクとワークフローを作成、スケジュール、実行する」を参照してください。オンデマンド トリガー ロジック アプリをオンデマンドで実行して、手動でデータの収集とテストを行います。
詳細については、「 HTTPS エンドポイントを使用したロジック アプリの呼び出し、トリガー、または入れ子」を参照してください。HTTP/S エンドポイント ストリーミングに推奨され、ソース システムがデータ転送を開始できる場合。
詳細については、「 HTTP または HTTPS 経由でサービス エンドポイントを呼び出す」を参照してください。情報を読み取るロジック アプリ コネクタのいずれかを使用して、イベントを取得します。 例:
ヒント
REST API、SQL Server、およびファイル システムへのカスタム コネクタでは、オンプレミスのデータ ソースからのデータの取得もサポートされています。 詳細については、 オンプレミス データ ゲートウェイのインストールに関するドキュメントを 参照してください。
取得する情報を準備します。
たとえば、 JSON の解析アクション を使用して JSON コンテンツのプロパティにアクセスし、ロジック アプリの入力を指定するときに動的コンテンツ リストからこれらのプロパティを選択できます。
詳細については、「Azure Logic Apps でデータ操作を実行する」を参照してください。
Log Analytics にデータを書き込みます。
詳細については、Azure Log Analytics データ コレクターのドキュメントを参照してください。
Logic Apps を使用してMicrosoft Sentinel用のカスタム コネクタを作成する方法の例については、次を参照してください。
- データ コレクター API を使用してデータ パイプラインを作成する
- Webhook を使用した Palo Alto Prisma Logic App コネクタ (GitHub コミュニティMicrosoft Sentinel)
- スケジュールされたアクティブ化を使用してMicrosoft Teams呼び出しをセキュリティで保護 する (ブログ)
- AlienVault OTX 脅威インジケーターをMicrosoft Sentinelに取り込む (ブログ)
ログ インジェスト API を使用して接続する
Log Analytics Data Collector API を使用して RESTful エンドポイントを直接呼び出すことで、イベントをMicrosoft Sentinelにストリーミングできます。
RESTful エンドポイントを直接呼び出すと、より多くのプログラミングが必要になりますが、柔軟性も高くなります。
詳細については、次の記事を参照してください。
Azure Functionsで接続する
Azure Functionsを RESTful API や PowerShell などのさまざまなコーディング言語と共に使用して、サーバーレス カスタム コネクタを作成します。
このメソッドの例については、次を参照してください。
- VMware Carbon Black Cloud Endpoint Standardを Azure 関数を使用してMicrosoft Sentinelに接続する
- okta シングル Sign-On を Azure 関数を使用してMicrosoft Sentinelに接続する
- Proofpoint TAP を Azure 関数でMicrosoft Sentinelに接続する
- Azure 関数を使用して Qualys VM をMicrosoft Sentinelに接続する
- XML、CSV、またはその他の形式のデータの取り込み
- Microsoft Sentinelによるズームの監視 (ブログ)
- Office 365 Management API データをMicrosoft Sentinelに取得するための関数アプリをデプロイする (Microsoft Sentinel GitHub コミュニティ)
カスタム コネクタ データを解析する
カスタム コネクタで収集されたデータを活用するには、コネクタを操作するための 高度なセキュリティ情報モデル (ASIM) パーサーを開発 します。 ASIM を使用すると、Microsoft Sentinelの組み込みコンテンツでカスタム データを使用できるようになり、アナリストはデータのクエリを簡単に実行できます。
コネクタ メソッドで許可されている場合は、コネクタの一部として解析の一部を実装して、クエリ時間の解析パフォーマンスを向上させることができます。
- Logstash を使用している場合は、 Grok フィルター プラグインを使用してデータを解析します。
- Azure関数を使用している場合は、コードを使用してデータを解析します。
それでも ASIM パーサーを実装する必要がありますが、コネクタを使用して直接解析の一部を実装すると、解析が簡略化され、パフォーマンスが向上します。
次の手順
Microsoft Sentinelに取り込まれたデータを使用して、次のいずれかのプロセスで環境をセキュリティで保護します。