Microsoft Sentinel 用 iboss コネクタ

  • [アーティクル]

iboss データ コネクタを使用すると、Threat Console を Microsoft Sentinel にシームレスに接続し、iboss URL イベント ログを使用してインスタンスをエンリッチすることができます。 ログは Syslog 経由で Common Event Format (CEF) で転送され、必要な構成はプロキシを使用せずに iboss プラットフォームで完了できます。 コネクタを利用して、重要なデータ ポイントを収集し、セキュリティ上の脅威に関する分析情報を得ることができます。

コネクタの属性

コネクタ属性 説明
Log Analytics テーブル ibossUrlEvent
データ収集ルールのサポート 現在、サポートされていません
サポートしているもの iboss

クエリのサンプル

過去 1 週間に受信したログ

ibossUrlEvent 
| where TimeGenerated > ago(7d)

ベンダーのインストール手順

  1. 専用プロキシ Linux マシンを構成する

iboss gov 環境を使用している場合、または専用プロキシ Linux マシンにログを転送する設定がある場合は、この手順に進みます。 それ以外の場合は、手順 2 に進んでください。

1.1 Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して、Microsoft Sentinel に転送するように構成します。

選択したワークスペースにすべてのリージョンのデータが格納されます

1.2 Linux マシンの選択または作成

セキュリティ ソリューションと Microsoft Sentinel の間の専用プロキシ Linux マシンとして Microsoft Sentinel が使用する Linux マシンを選択または作成します。このマシンは、オンプレミス環境、Azure、その他のクラウドに配置できます。

1.3 Linux マシンへの CEF コレクターのインストール

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Common Event Format (CEF) ログを転送する

Syslog メッセージを CEF 形式で Azure ワークスペースに送信するように、Threat Console を設定します。 Log Analytics ワークスペース内のワークスペース ID と主キーをメモします (Azure portal の [Log Analytics ワークスペース] メニューからワークスペースを選択します。次に、[設定] セクションで [エージェント管理] を選択します)。

  1. iboss コンソール内でレポートと分析に移動します
  1. [Log Forwarding](ログ転送) -> [Forward From Reporter](レポーターから転送) の順に選択します
  1. [Actions](アクション) -> [Add Service](サービスの追加) の順に選択します
  1. [Service Type](サービスの種類) を [Microsoft Sentinel] に切り替え、ワークスペース ID/主キーを他の条件と共に入力します。 専用プロキシ Linux マシンが構成されている場合は、[Service Type](サービスの種類) を [Syslog] に切り替え、専用プロキシ Linux マシンを指すように設定を構成します
  1. セットアップが完了するまで 1 から 2 分待ちます
  1. Microsoft Sentinel サービスを選択し、[Microsoft Sentinel Setup Status] (Microsoft Sentinel のセットアップ状態) が [Successful] (成功) になっていることを確認します。 専用プロキシ Linux マシンが構成されている場合は、接続の検証に進むことができます
  1. 接続の検証

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります

  1. マシンをセキュリティで保護する

組織のセキュリティ ポリシーに従ってマシンのセキュリティを構成してください (専用プロキシ Linux マシンが構成されている場合のみ)。

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。