Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続する
Azure Functions を、PowerShell や Python などのさまざまなコーディング言語と組み合わせて使用して、互換性のあるデータ ソースの REST API エンドポイントへのサーバーレス コネクタを作成することができます。 Azure 関数アプリにより、データ ソースの REST API に Microsoft Sentinel を接続してログをプルすることができます。
この記事では、Azure 関数アプリを使用するために Microsoft Sentinel を構成する方法について説明します。 さらに、ソース システムを構成する必要がある場合もありますが、ポータルの各データ コネクタのページ、または Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションで、ベンダー固有および製品固有の情報リンクを見つけることができます。
注意
データは、Microsoft Sentinel に取り込まれると、Microsoft Sentinel を実行しているワークスペースの地理的な場所に保存されます。
長期間の保有の場合、"補助ログ" または "基本ログ" などのログの種類にデータを保存したい場合もあります。 詳細については、「Microsoft Sentinel でのログ保持プラン」を参照してください。
Azure Functions を使用して Microsoft Sentinel にデータを取り込むと、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、Azure Functions の価格に関するページを参照してください。
前提条件
Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続し、そのログを Microsoft Sentinel にプルする前に、次のアクセス許可と資格情報があることを確認してください。
Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
ワークスペースの共有キーに対する読み取りアクセス許可が必要です。 ワークスペース キーの詳細については、こちらを参照してください。
関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細を確認してください。
また、製品の API にアクセスするための資格情報 (ユーザー名とパスワード、トークン、キー、またはその他の組み合わせ) も必要になります。 さらにエンドポイント URI などの他の API 情報が必要な場合もあります。
詳細については、接続先のサービスのドキュメントおよび、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションを参照してください。
Microsoft Sentinel のコンテンツ ハブから、Azure Functions ベースのコネクタを含むソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。
データ ソースを構成して接続する
注意
Azure Key Vault には、ワークスペースと API の認可キーまたはトークンを安全に格納できます。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
一部のデータ コネクタは、正常に動作するために、Kusto 関数に基づくパーサーに依存しています。 Kusto 関数とエイリアスを作成する手順のリンクについては、Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションを参照してください。
手順 1: ソース システムの API 資格情報を取得する
ソース システムの指示に従って、その API 資格情報/認可キー/トークンを取得します。 後のために、それらをコピーして、テキスト ファイルに貼り付けます。
必要となる正確な資格情報の詳細と、それらを見つけて作成するための製品の手順のリンクは、ポータルのデータ コネクタ ページと、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションで参照できます。
また、ソース システムでログまたはその他の設定を構成する必要がある場合もあります。 それらと関連する手順については、前の段落を参照してください。
手順 2: コネクタと関連付けられている Azure 関数アプリをデプロイする
配置オプションを選択する
この方法により、ARM テンプレートを使用して Azure 関数ベースのコネクタを自動的にデプロイできます。
Microsoft Sentinel ポータルで [Data connectors](データ コネクタ) を選択します。 一覧から Azure Functions ベースのコネクタを選択し、コネクタ ページを開きます。
[構成] で、Microsoft Sentinel の [ワークスペース ID] と [主キー] をコピーし、控えておきます。
[Azure に配置する] を選択します。 (ボタンを見つけるために、下へスクロールする必要がある場合があります。)
[カスタム デプロイ] 画面が表示されます。
関数アプリをデプロイするサブスクリプション、リソース グループ、リージョンを選択します。
上記の手順 1 で保存した API 資格情報/認可キー/トークンを入力します。
Microsoft Sentinel の [ワークスペース ID] と [ワークスペース キー] (主キー) に、先ほどコピーした値を入力します。
注意
上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vault のリファレンスのドキュメントを参照してください。[カスタム デプロイ] 画面で、フォームのその他のフィールドを入力します。 ポータルのデータ コネクタ ページ、または Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションを参照してください。
[Review + create](レビュー + 作成) を選択します。 検証が完了したら、 [作成] を選択します。
データの検索
接続が正常に確立されると、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションに記載されている表で、 [CustomLogs] の下の [ログ] にデータが表示されます。
データのクエリを実行するには、クエリ ウィンドウで、それらのいずれかのテーブル名 (または関連する Kusto 関数エイリアス) を入力します。
いくつかの便利なサンプル クエリについては、コネクタ ページの [Next steps](次の手順) タブを参照してください。
接続の検証
ログが Log Analytics に表示され始めるまで、最大 20 分かかることがあります。
次のステップ
このドキュメントでは、Azure Functions ベースのコネクタを使用して Microsoft Sentinel をデータ ソースに接続する方法について説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法についての説明。
- Microsoft Sentinel を使用した脅威の検出の概要。
- ブックを使用してデータを監視する。