AMA コネクタ経由で Windows セキュリティ イベントを使用して接続する

  • 3 分

AMA コネクタ経由の Windows セキュリティ イベントでは、データ収集ルール (DCR) を使って、各エージェントから収集するデータを定義します。 データ収集ルールには、次の 2 つの明確な利点があります。

  • 大規模に収集設定を管理しながら、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 それらはワークスペースや仮想マシンから独立しているため、一度定義すると、複数のコンピューターや環境間で再利用できます。

  • カスタム フィルターを作成して、取り込むイベントを正確に選択できます。 Azure Monitor エージェントは、これらのルールを使用してソースのデータをフィルター処理し、必要なイベントだけを取り込み、その他のすべてを残します。

前提条件

  • Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • Azure 仮想マシンではないシステムからイベントを収集するには、Azure Monitor エージェントベースのコネクタを有効にする前に、システムに Azure Arc をインストールし、有効にしておく必要があります。

たとえば、次のようなアニメーションや効果を作成できます。

- Windows servers installed on physical machines
- Windows servers installed on on-premises virtual machines
- Windows servers installed on virtual machines in non-Azure clouds

Windows ホストを接続する

  1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。

  2. 一覧から [AMA コネクタを使用した Windows セキュリティ イベント] を選択して、詳細ウィンドウの [コネクタを開く] ページを選択します。

  3. コネクタ ページの [前提条件] セクションに記載された適切なアクセス許可があることを確認します。

  4. [構成] の下の [+ データ収集ルールの追加] を選択します。 右に [データ収集ルールの作成] ウィザードが表示されます。

  5. [基本] の下の [規則名] を入力し、データ収集ルール (DCR) を作成する [サブスクリプション] および [リソース グループ] を指定します。 この場合、監視対象のマシンとその関連付けは、同じテナント内にある限り、同じリソース グループまたはサブスクリプションである必要はありません。

  6. [リソース] タブで [+ リソースの追加] を選択し、データ収集ルールが適用されるマシンを追加します。 [スコープの選択] ダイアログが開き、使用可能なサブスクリプションの一覧が表示されます。 サブスクリプションを展開してそのリソース グループを表示し、リソース グループを展開して使用可能なマシンを表示します。 一覧に、Azure 仮想マシンと Azure Arc 対応サーバーが表示されます。 サブスクリプションまたはリソース グループのチェック ボックスをオンにして、含まれるすべてのマシンを選択するか、個々のマシンを選択できます。 すべてのマシンを選択したら、 [適用] を選択します。 このプロセスの最後で、選択した未インストールのマシンに Azure Monitor エージェントがインストールされます。

  7. [収集] タブで、収集するイベントを選びます。 選択:

    • すべてのセキュリティ イベント
    • 共通
    • Minimal
    • Custom

    注意

    カスタムでは、他のログを指定したり、XPath クエリを使用してイベントをフィルター処理したりできます。 XPath クエリの場合、1 つのボックスには最大 20 個の式を、ルールには最大 100 個のボックスを入力できます。 Azure Monitor エージェントは、 XPath バージョン 1.0 のみの XPath クエリをサポートしています。

  8. 必要なすべてのフィルター式を追加した後、 [次へ: 確認および作成] を選択します。

  9. "検証に成功しました" というメッセージが表示されたら、[作成] を選びます。

コネクタ ページの [構成] に、すべてのデータ収集ルール (API を使用して作成されたルールを含む) が表示されます。 そこから既存のルールを編集または削除することができます。

XPath クエリの有効性をテストする

XPath クエリの有効性をテストするには、 -FilterXPath パラメーターを指定した PowerShell コマンドレット Get-WinEvent を使用します。 次のスクリプトは、一例を示しています。

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • イベントが返されたら、クエリは有効です。
  • [No events were found that match the specified selection criteria](指定した選択条件に一致するイベントは見つかりませんでした) というメッセージが表示された場合は、クエリはおそらく有効ですが、一致するイベントがローカル コンピューターにありません。
  • [The specified query is invalid](指定したクエリは無効です) というメッセージが表示された場合は、クエリ構文が無効です。