この記事では、診断設定接続を使用してMicrosoft Sentinelに接続する方法について説明します。 Microsoft Sentinelでは、Azure基盤を使用して、多くのAzureおよびMicrosoft 365サービス、アマゾン ウェブ サービス、およびさまざまなWindows Server サービスからのデータ インジェストに対する組み込みのサービス間サポートを提供します。 これらの接続を行うにはいくつかの方法があります。
この記事では、診断設定ベースの接続を使用するデータ コネクタのグループに共通する情報を示します。 これらの種類のコネクタの一部は、Azure Policyを使用して管理されます。 この種類の他のコネクタについては、スタンドアロンの手順を使用してください。
注意
米国政府機関向けクラウドでの機能の可用性の詳細については、米国政府のお客様向けのクラウド機能の可用性のMicrosoft Sentinelテーブルを参照してください。
前提条件
スタンドアロンの診断設定ベースのコネクタを使用してMicrosoft Sentinelにデータを取り込むには、Microsoft Sentinelが有効になっているLog Analytics ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Azure Policyによって管理される診断設定ベースのコネクタを使用してMicrosoft Sentinelにデータを取り込むには、次の前提条件も満たす必要があります。
Azure Policyを使用してログ ストリーミング ポリシーをリソースに適用するには、ポリシー割り当てスコープの所有者ロールが必要です。
使用するコネクタに応じて、次の前提条件があります。
データ コネクタ ライセンス、コスト、その他の情報 Azure Activity このコネクタは、診断設定パイプラインを使用するようになりました。 従来の方法を使用している場合は、新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来の方法から切断する必要があります。
1. Microsoft Sentinel ナビゲーション メニューから、データ コネクタを選択します。 コネクタの一覧から Azure Activity を選択し、右下にある Open connector page ボタンを選択します。
2. [手順 ] タブの [ 構成 ] セクションの手順 1 で、従来の方法に接続されている既存のサブスクリプションの一覧を確認し、下の [ すべて切断 ] ボタンをクリックして、それらをすべて一度に切断します。
3. このセクションの指示に従って、新しいコネクタの設定に進みます。Azure DDoS Protection - Azure DDoS Standard 保護プランを構成しました。
- Azure DDoS Standard が有効になっている仮想ネットワーク
- その他の料金が適用される場合あり
- Azure DDoS Protection データ コネクタの Status は、保護されたリソースが DDoS 攻撃を受けている場合にのみ、Connected に変更されます。Azure Storage アカウント ストレージ アカウント (親) リソースには、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。
ストレージ アカウントの診断を構成する場合は、次を選択して構成する必要があります。
- トランザクション メトリックをエクスポートする親アカウント リソース。
- すべてのログとメトリックをエクスポートする、子ストレージの種類の各リソース。
実際にリソースを定義したストレージの種類だけが表示されます。
スタンドアロンの診断設定ベースのコネクタ経由で接続する
この手順では、診断設定に基づいてスタンドアロン接続を使用するデータ コネクタを使用してMicrosoft Sentinelに接続する方法について説明します。
Microsoft Sentinelナビゲーション メニューから、データ コネクタ を選択します。
データ コネクタ ギャラリーからリソースの種類を選択し、プレビュー ウィンドウで [ コネクタ ページを開く ] を選択します。
コネクタ ページの [構成 ] セクションで、リンクを選択してリソース構成ページを開きます。
目的の種類のリソースの一覧が表示されたら、ログを取り込むリソースのリンクを選択します。
リソース ナビゲーション メニューから、[ 診断設定] を選択します。
一覧の下部にある [ + 診断設定の追加] を選択します。
[ 診断設定 ] 画面で、[ 診断設定 名] フィールドに名前を入力します。
[Send to Log Analytics チェック ボックスをオンにします。 その下に 2 つの新しいフィールドが表示されます。 関連する Subscription と Log Analytics Workspace (Microsoft Sentinelが存在する場所) を選択します。
収集するログとメトリックの種類のチェック ボックスをオンにします。 データ コネクタのリファレンス ページのリソースのコネクタのセクションで、各リソースの種類に対して推奨される選択肢を参照してください。
画面の上部で保存を選択します。
詳細については、Azure Monitor のドキュメントにある「Azure Monitor プラットフォームのログとメトリックをさまざまな宛先に送信するための診断設定を作成する」を参照することもできます。
Azure Policyによって管理される診断設定ベースのコネクタ経由で接続する
この手順では、診断設定に基づいてAzure Policyによって管理される接続を使用するデータ コネクタを使用してMicrosoft Sentinelに接続する方法について説明します。
この種類のコネクタでは、Azure Policyを使用して、スコープとして定義された単一の種類のリソースのコレクションに単一の診断設定構成を適用します。 特定のリソースの種類から取り込まれたログの種類は、そのリソースのコネクタ ページの左側の [データ型] で確認できます。
Microsoft Sentinelナビゲーション メニューから、データ コネクタ を選択します。
データ コネクタ ギャラリーからリソースの種類を選択し、プレビュー ウィンドウで [ コネクタ ページを開く ] を選択します。
コネクタ ページの Configuration セクションで、そこに表示されるエクスパンダーを展開し、Azure Policy 割り当てウィザード起動 ボタンを選択します。
ポリシーの割り当てウィザードが開き、事前に設定されたポリシー名で新しいポリシーを作成できるようになります。
[ 基本 ] タブで、[ スコープ ] の下にある 3 つのドットを含むボタンを選択して、サブスクリプション (および必要に応じてリソース グループ) を選択します。 説明を追加することもできます。
<パラメーター>タブで:
- [ 入力が必要なパラメーターのみを表示する ] チェック ボックスをオフにします。
- [効果] フィールドと [名前の設定] フィールドが表示される場合は、そのままにします。
- Log Analytics ワークスペース ドロップダウン リストからMicrosoft Sentinel ワークスペースを選択します。
- 残りのドロップダウン フィールドは、使用可能な診断ログの種類を表します。 取り込むすべてのログの種類を True に設定したままにします。
ポリシーは、今後追加されるリソースに適用されます。 既存のリソースにもポリシーを適用するには、[ 修復 ] タブを選択し、[ 修復タスクの作成 ] チェック ボックスをオンにします。
[ 確認と作成 ] タブで、[ 作成] をクリックします。 これで、選択したスコープにポリシーが割り当てられました。
この種類のデータ コネクタでは、接続状態インジケーター (データ コネクタ ギャラリーのカラー ストライプとデータ型名の横の接続アイコン) は、過去 14 日間のある時点でデータが取り込まれた場合にのみ 、接続 (緑) として表示されます。 データ インジェストがないまま 14 日が経過すると、コネクタは切断済みと表示されます。 データが増える瞬間に、 接続 状態が返されます。
[データ コネクタ] リファレンス ページのリソースのコネクタのセクションに表示されるテーブル名を使用して、各リソースの種類のデータを検索してクエリを実行できます。 詳細については、Azure Monitorドキュメントの「Azure Monitor プラットフォームのログとメトリックをさまざまな宛先に送信する診断設定を参照してください。
関連するコンテンツ
詳細については、以下を参照してください: