Azure監視ログは、Microsoft Sentinelのデータ プラットフォームとして機能します。 Microsoft Sentinelに取り込まれるすべてのログは Log Analytics ワークスペースに格納され、Kusto 照会言語 (KQL) に書き込まれたログ クエリを使用して脅威を検出し、ネットワーク アクティビティを監視します。
Log Analytics では、カスタム データ インジェストとデータ 収集ルール (DCR) を使用して、ワークスペースに取り込まれるデータを高度に制御できます。 DCR を使用すると、データを収集して操作してから、ワークスペースに格納できます。 DCR は、一意のログ形式を生成するデータ ソース用の標準の Log Analytics テーブルとカスタマイズ可能なテーブルの両方にデータのフォーマットと送信の両方を行います。
フィルター変換と分割変換をインジェスト時にデータに適用してノイズを減らし、データを適切なストレージ層にルーティングできます。 これらの変換では、DCR を作成する必要がなく、Defender ポータルのMicrosoft Sentinelのテーブル管理ページで定義されます。 詳細については、「Microsoft Sentinelでの変換のフィルター処理と分割」を参照してください。
Azure Microsoft Sentinel でのカスタム データ インジェスト用の監視ツール
Microsoft Sentinelでは、次のAzure Monitor ツールを使用して、カスタム データ インジェストを制御します。
変換 は DCR で定義され、KQL クエリは、ワークスペースに格納される前に受信データに適用されます。 これらの変換により、無関係なデータを除外したり、分析や外部データを使用して既存のデータをエンリッチしたり、機密情報や個人情報をマスクしたりできます。
ログ インジェスト API を使用すると、任意のデータ ソースから Log Analytics ワークスペースにカスタム形式のログを送信し、それらのログを特定の標準テーブルまたは作成したカスタム形式のテーブルに格納できます。 列名と型の指定まで、これらのカスタム テーブルの作成を完全に制御できます。 API では、DCR を 使用して、これらのデータ フローに変換を定義、構成、および適用します。
注:
Microsoft Sentinelに対して有効になっている Log Analytics ワークスペースは、変換フィルターのデータ量に関係なく、モニターのフィルターインジェスト料金Azure適用されません。 ただし、Microsoft Sentinelの変換には、Azure Monitor と同じ制限があります。 詳細については、「 制限事項と考慮事項」を参照してください。
Microsoft Sentinelでの DCR サポート
インジェスト時間変換は、Azure Monitor のデータ フローを制御するデータ収集ルール (DCR) で定義されます。 DCR は、ログ インジェスト API を使用して、AMA ベースのSentinel コネクタとワークフローで使用されます。 各 DCR には、特定のデータ収集シナリオの構成が含まれており、複数のコネクタまたはソースが 1 つの DCR を共有できます。
ワークスペース変換 DCR では 、それ以外の場合は DCR を使用しないワークフローがサポートされます。 ワークスペース変換 DCR には 、サポートされているテーブル の変換が含まれており、そのテーブルに送信されるすべてのトラフィックに適用されます。
詳細については、以下を参照してください:
ユース ケースとサンプル シナリオ
「Azure Monitor のサンプル変換」では、Azure Monitor でインジェスト時間変換を使用する一般的なシナリオの説明とサンプル クエリについて説明します。 Microsoft Sentinelに特に役立つシナリオは次のとおりです。
データ コストを削減します。 行または列でデータ収集をフィルター処理して、インジェストとストレージのコストを削減します。
データを正規化します。 高度なセキュリティ情報モデル (ASIM) を使用してログを正規化して、正規化されたクエリのパフォーマンスを向上させます。 詳細については、「 Ingest-time 正規化」を参照してください。
データをエンリッチする。 インジェスト時間変換を使用すると、構成された KQL 変換に追加の列を追加してデータをエンリッチすることで、分析を向上させることができます。 追加の列には、解析されたデータや、既存の列からの計算データが含まれる場合があります。
機密データを削除します。 インジェスト時間変換を使用して、社会保障番号またはクレジット カード番号の最後の数字以外のすべてをマスクするなどの個人情報をマスクまたは削除できます。
Microsoft Sentinelのデータ インジェスト フロー
次の図は、インジェスト時のデータ変換がMicrosoft Sentinelのデータ インジェスト フローに入る場所を示しています。 このデータは、標準テーブルまたは 特定のカスタム テーブルのセットでサポートできます。
この画像は、Azure Monitor のデータ収集コンポーネントを表すクラウド パイプラインを示しています。 詳細については、Azure Monitor のデータ収集ルール (DCR) で他のデータ収集シナリオと共に学習できます。
Microsoft Sentinelは、複数のソースから Log Analytics ワークスペース内のデータを収集します。
- Logs インジェスト API エンドポイントまたは Azure Monitor エージェント (AMA) から収集されたデータは、インジェスト時間変換を含む特定の DCR によって処理されます。
- 組み込みのデータ コネクタからのデータ は、ハードコーディングされたワークフローとワークスペース DCR のインジェスト時間変換の組み合わせを使用して Log Analytics で処理されます。
次の表では、Microsoft Sentinel データ コネクタの種類に対する DCR のサポートについて説明します。
| データ コネクタの種類 | DCR のサポート |
|---|---|
|
Azure Monitor エージェント (AMA) ログを次に示します。 |
エージェントに関連付けられている 1 つ以上の DCR |
| ログ インジェスト API を使用した直接 インジェスト | API 呼び出しで指定された DCR |
|
次のような組み込みの API ベースのデータ コネクタ。 |
コネクタ用に作成された DCR |
| 診断設定ベースの接続 | サポートされている出力テーブルを使用したワークスペース変換 DCR |
|
次のような API ベースの組み込みデータ コネクタ。 |
現在サポートされていません |
|
次のような組み込みのサービス間データ コネクタ。 |
変換をサポートするテーブルのワークスペース変換 DCR |
関連コンテンツ
詳細については、以下を参照してください: