Windows エージェントベースのデータ コネクタを使用して Microsoft Sentinel を他の Microsoft サービスに接続する

  • [アーティクル]

この記事では、Microsoft Sentinel を他の Microsoft サービスの Windows エージェント ベースの接続に接続する方法について説明します。 Microsoft Sentinel では Azure Monitor エージェントを使用して、多くの Azure および Microsoft 365 サービス、アマゾン ウェブ サービス、さまざまな Windows Server サービスからのデータ インジェストに対する組み込みのサービス間サポートを提供します。

Azure Monitor エージェントでは、データ収集ルール (DCR) を使用して、各エージェントから収集するデータを定義します。 データ収集ルールには、次の 2 つの明確な利点があります。

  • 大規模に収集設定を管理しながら、コンピューターのサブセットの一意の範囲指定された構成も可能になります。 それらはワークスペースから独立し、仮想マシンからも独立しているため、一度定義すると、コンピューターや環境間で再利用できます。 Azure Monitor エージェント用のデータ収集の構成に関するページを参照してください。

  • カスタム フィルターを作成して、取り込むイベントを正確に選択できます。 Azure Monitor エージェントは、これらのルールを使用してソースのデータをフィルター処理し、必要なイベントだけを取り込み、その他のすべてを残します。 これにより、データ インジェストのコストを削減できます。

Note

米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。

重要

Azure Monitor エージェント (AMA) に基づくコネクタの一部は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

  • Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

  • Azure 仮想マシン以外からイベントを収集するには、Azure Monitor エージェントベースのコネクタを有効にする前に、システムに Azure Arc をインストールし、有効にしておく必要があります。

    これには次のものが含まれます

    • 物理マシンにインストールされている Windows サーバー
    • オンプレミスの仮想マシンにインストールされている Windows サーバー
    • Azure 以外のクラウドの仮想マシンにインストールされている Windows サーバー

  • Windows 転送済みイベント データ コネクタの場合:

    • Windows イベント コレクション (WEC) が有効になっていて実行されており、Azure Monitor エージェントが WEC マシンにインストールされている必要があります。
    • データ正規化の完全なサポートを保証するために、Advanced Security Information Model (ASIM) パーサーをインストールすることをお勧めします。 これらのパーサーは、Azure-SentinelGitHub リポジトリから、[Deploy to Azure]\(Azure にデプロイする\) ボタンを使用してデプロイできます。

  • Microsoft Sentinel のコンテンツ ハブから関連する Microsoft Sentinel ソリューションをインストールします。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」を参照してください。

GUI を使用してデータ収集ルールを作成する

  1. Microsoft Sentinel で、[構成]>[データ コネクタ] の順に選択します。 一覧からコネクタを選び、詳細ペインの [コネクタ ページを開く] を選びます。 その後、 [Instructions](手順) タブで画面の指示に従い、このセクションの残りの作業を行います。

  2. コネクタ ページの [前提条件] セクションに記載された適切なアクセス許可があることを確認します。

  3. [構成] の下の [+ データ収集ルールの追加] を選択します。 右に [データ収集ルールの作成] ウィザードが表示されます。

  4. [基本] の下の [規則名] を入力し、データ収集ルール (DCR) を作成する [サブスクリプション] および [リソース グループ] を指定します。 監視対象のマシンとその関連付けが同じテナント内にある限り、同じリソース グループまたはサブスクリプションである必要はありません

  5. [リソース] タブで [+ リソースの追加] を選択し、データ収集ルールが適用されるマシンを追加します。 [スコープの選択] ダイアログが開き、使用可能なサブスクリプションの一覧が表示されます。 サブスクリプションを展開してそのリソース グループを表示し、リソース グループを展開して使用可能なマシンを表示します。 一覧に、Azure 仮想マシンと Azure Arc 対応サーバーが表示されます。 サブスクリプションまたはリソース グループのチェック ボックスをオンにして、含まれるすべてのマシンを選択するか、個々のマシンを選択できます。 すべてのマシンを選択したら、 [適用] を選択します。 このプロセスの最後で、選択した未インストールのマシンに Azure Monitor エージェントがインストールされます。

  6. [収集] タブで、収集するイベントを選びます。[すべてのイベント] または [カスタム] を選択して他のログを指定するか、XPath クエリを使用してイベントをフィルター処理します。 収集するイベントの特定の XML 条件を評価する式をボックスに入力し、 [追加] を選択します。 1 つのボックスには最大 20 個の式を、ルールには最大 100 個のボックスを入力できます。

    詳細については、Azure Monitor のドキュメントを参照してください。

    Note

    XPath クエリの有効性をテストするには、-FilterXPath パラメーターを指定した PowerShell コマンドレット Get-WinEvent を使用します。 次に例を示します。

    $XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    • イベントが返されたら、クエリは有効です。
    • [No events were found that match the specified selection criteria](指定した選択条件に一致するイベントは見つかりませんでした) というメッセージが表示された場合は、クエリはおそらく有効ですが、一致するイベントがローカル コンピューターにありません。
    • [The specified query is invalid](指定したクエリは無効です) というメッセージが表示された場合は、クエリ構文が無効です。

  7. 必要なすべてのフィルター式を追加した後、 [次へ: 確認および作成] を選択します。

  8. "証に成功しました" というメッセージが表示されたら、 [作成] を選択します。

コネクタ ページの [構成] の下に、すべてのデータ収集ルール (API を使用して作成されたルールを含む) が表示されます。 そこから既存のルールを編集または削除することができます。

API を使用してデータ収集ルールを作成する

また、API を使用してデータ収集ルールを作成することもできます。これにより、多くのルールを作成する場合 (たとえば、MSSP の場合) の作業が容易になる可能性があります。 ルールを作成するためのテンプレートとして使用できる (AMA コネクタ経由の Windows セキュリティ イベント用) の例を次に示します。

要求 URL とヘッダー

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

要求本文

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

詳細については、以下を参照してください:

次のステップ

詳細については、次を参照してください。