データ収集のベスト プラクティス

このセクションでは、Microsoft Sentinel データ コネクタを使用してデータを収集するためのベスト プラクティスについて確認します。 詳細については、データ ソースの接続に関するページ、Microsoft Sentinel データ コネクタのリファレンスMicrosoft Sentinel ソリューション カタログを参照してください。

データ コネクタの優先順位を設定する

Microsoft Sentinel デプロイ プロセスの一環として、データ コネクタに優先順位を付ける方法について説明します。

インジェストの前にログをフィルター処理する

データが Microsoft Sentinel に取り込まれる前に、収集されたログや、場合によってはログ コンテンツをフィルター処理することもできます。 たとえば、セキュリティ操作に関係のないログや重要ではないログを除外したり、ログ メッセージから不要な情報を削除したりすることができます。 メッセージの内容のフィルター処理は、関係のない情報が多く含まれている Syslog、CEF、または Windows ベースのログを処理するときに、コストを削減するのに役立つこともあります。

次のいずれかの方法を使用して、ログをフィルター処理します。

  • Azure Monitor エージェントWindows セキュリティ イベントを取り込むために、Windows と Linux の両方でサポートされています。 指定されたイベントのみを収集するようにエージェントを構成することによって、収集されるログをフィルター処理します。

  • Logstash。 ログ メッセージへの変更を含む、メッセージ内容のフィルター処理をサポートします。 詳細については、「Logstash を使用して接続する」を参照してください。

重要

Logstash を使用してメッセージの内容をフィルター処理すると、ログがカスタム ログとして取り込まれ、Free レベルのログが有料レベルのログになります。

カスタム ログは自動的に追加されないため、分析ルール脅威ハンティング、およびブックに組み込む必要もあります。 また、カスタム ログは現在、機械学習機能に対してサポートされていません。

代替のデータ インジェストの要件

さまざまな課題により、データ収集の標準構成が組織に適さない場合もあります。 次の表には、一般的な課題や要件、および考えられる解決策と考慮事項が記載されています。

Note

次のセクションに示す多くのソリューションでは、カスタム データ コネクタが必要です。 詳細については、「Microsoft Sentinel カスタム コネクタを作成するためのリソース」を参照してください。

オンプレミスの Windows ログ収集

課題/要件 考えられる解決策 考慮事項
ログのフィルター処理が必要 Logstash を使用する

Azure Functions の使用

LogicApps を使用する

カスタム コード (.NET、Python) を使用する
フィルター処理はコスト削減につながる場合があり、必要なデータだけが取り込まれますが、UEBAエンティティ ページ機械学習Fusion などの一部の Microsoft Sentinel 機能はサポートされていません。

ログのフィルター処理を構成する場合は、脅威ハンティング クエリや分析ルールなどのリソースを更新する必要があります。
エージェントをインストールできない Azure Monitor エージェントでサポートされている Windows イベント転送を使用する Windows イベント転送を使用すると、Windows イベント コレクターからの 1 秒あたりの負荷分散イベントが 10,000 イベントから 500 ~ 1000 イベントに減少します。
サーバーをインターネットに接続できない Log Analytics ゲートウェイを使用する エージェントへのプロキシを構成するには、ゲートウェイを機能させるための追加のファイアウォール規則が必要です。
インジェスト時にタグ付けとエンリッチメントが必要 Logstash を使用して ResourceID を挿入する

ARM テンプレートを使用して、ResourceID をオンプレミスのマシンに挿入する

リソース ID を別のワークスペースに取り込む
Log Analytics はカスタム テーブルの RBAC をサポートしていません

Microsoft Sentinel では、行レベルの RBAC をサポートしていません

ヒント: Microsoft Sentinel 向けのクロス ワークスペースの設計や機能を導入することもできます。
操作とセキュリティのログの分割が必要 Microsoft Monitoring Agent または Azure Monitor エージェントのマルチホーム機能を使用する マルチホーム機能では、エージェントのデプロイのオーバーヘッドが増加します。
カスタム ログが必要 特定のフォルダー パスからファイルを収集する

API インジェストを使用する

PowerShell の使用

Logstash を使用する
ログのフィルター処理で問題が発生する可能性があります。

カスタム メソッドはサポートされていません。

カスタム コネクタでは、開発者のスキルが必要になる場合があります。

オンプレミスの Linux ログの収集

課題/要件 考えられる解決策 考慮事項
ログのフィルター処理が必要 Syslog-NG を使用する

Rsyslog を使用する

エージェントの FluentD 構成を使用する

Azure Monitor エージェントまたは Microsoft Monitoring Agent を使用する

Logstash を使用する
一部の Linux ディストリビューションは、エージェントでサポートされない可能性があります。

Syslog または FluentD を使用するには、開発者向けの知識が必要です。

詳細については、セキュリティ イベントを収集するための Windows サーバーへの接続に関するページおよび「Microsoft Sentinel カスタム コネクタを作成するためのリソース」を参照してください。
エージェントをインストールできない syslog-ng や rsyslog などの Syslog フォワーダーを使用する。
サーバーをインターネットに接続できない Log Analytics ゲートウェイを使用する エージェントへのプロキシを構成するには、ゲートウェイを機能させるための追加のファイアウォール規則が必要です。
インジェスト時にタグ付けとエンリッチメントが必要 エンリッチメント用の Logstash、または API や Event Hubs などのカスタム メソッドを使用します。 フィルター処理に追加の作業が必要になる場合があります。
操作とセキュリティのログの分割が必要 Azure Monitor エージェントをマルチホーム構成で使用する。
カスタム ログが必要 Microsoft Monitoring (Log Analytics) エージェントを使用して、カスタム コレクターを作成する。

エンドポイント ソリューション

EDR、その他のセキュリティ イベント、Sysmon などのエンドポイント ソリューションからログを収集することが必要な場合は、次のいずれかの方法を使用します。

  • Microsoft Defender for Endpoint からログを収集するための Microsoft Defender XDR コネクタ。 このオプションでは、データ インジェストに追加コストが発生します。
  • Windows イベント転送

Note

負荷分散により、ワークスペースに対して処理できる 1 秒あたりのイベント数が減少します。

Office データ

標準のコネクタ データ以外で Microsoft Office のデータを収集する必要がある場合は、次のいずれかの解決策を使用します。

課題/要件 考えられる解決策 考慮事項
Teams、メッセージ トレース、フィッシング データなどから生データを収集する 組み込みの Office 365 コネクタ機能を使用し、次に、その他の生データ用のカスタム コネクタを作成する。 イベントを対応する recordID にマッピングすることが困難な場合があります。
国/リージョンや部門などを分割するための RBAC が必要 データにタグを追加し、必要な分離ごとに専用のワークスペースを作成することによって、データ収集をカスタマイズする。 カスタム データ収集には余分なインジェスト コストがかかります。
1 つのワークスペースに複数のテナントが必要 Azure LightHouse と統合されたインシデント ビューを使用して、データ収集をカスタマイズする。 カスタム データ収集には余分なインジェスト コストがかかります。

詳細については、「ワークスペースおよびテナント全体での Microsoft Sentinel の拡張」を参照してください。

クラウド プラットフォーム データ

課題/要件 考えられる解決策 考慮事項
他のプラットフォームのログをフィルター処理する Logstash を使用する

Azure Monitor エージェントまたは Microsoft Monitoring (Log Analytics) エージェントを使用する
カスタム コレクションには余分なインジェスト コストがかかります。

すべての Windows イベントを収集するか、セキュリティ イベントのみを収集するかという課題が生じる可能性があります。
エージェントを使用できない Windows イベント転送を使用する リソース全体での負荷分散が必要になる場合があります。
サーバーがエアギャップ ネットワークにある Log Analytics ゲートウェイを使用する エージェントへのプロキシを構成するには、ゲートウェイを機能させるためのファイアウォール規則が必要です。
インジェスト時に RBAC、タグ付け、エンリッチメントが必要 Logstash または Log Analytics API を使用してカスタム コレクションを作成する。 RBAC はカスタム テーブルでサポートされません

行レベルの RBAC は、すべてのテーブルでサポートされません。

次のステップ

詳細については、次を参照してください。