Microsoft Sentinel 用 Azure Storage アカウント コネクタ
Azure Storage アカウントは、最新のデータ ストレージ シナリオ用のクラウド ソリューションです。 すべてのデータ オブジェクト (BLOB、ファイル、キュー、テーブル、ディスク) が含まれます。 このコネクタを使用すると、Azure Storage アカウントの診断ログを Microsoft Sentinel ワークスペースにストリーミングできるため、すべてのインスタンスのアクティビティを継続的に監視し、組織内の悪意のあるアクティビティを検出できます。 詳細については、Microsoft Sentinel のドキュメントを参照してください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | AzureMetrics (Azure Storage) StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべてのログ
StorageBlobLogs
| where TimeGenerated > ago(3d)
| project TimeGenerated, OperationName, StatusCode, StatusText, _ResourceId
| sort by TimeGenerated
前提条件
Azure Storage アカウントと統合するには、次があることを確認してください。
- ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール
ベンダーのインストール手順
Azure Storage アカウントの診断ログを Sentinel に接続します。
このコネクタは、一連の Azure ポリシーを使用して、スコープとして定義されたインスタンスのコレクションにログ ストリーミング構成を適用します。 下の手順に従って、ポリシーを作成し、現在および将来のすべてのインスタンスに適用します。 Azure Storage アカウントのストレージ アカウント診断ログを最大限に活用するために、Azure Storage アカウント内のすべてのサービス (BLOB、キュー、テーブル、ファイル) で診断ログを有効にすることをお勧めします。 このリソースの種類に対してアクティブなポリシーが既に存在する可能性があります。
次の手順
詳細については、Azure Marketplace の関連ソリューションを参照してください。