Event Hubs を構成する

  • [アーティクル]

適用対象:

注:

MS Graph セキュリティ API を使用して、新しい API をお試しください。 詳細情報: Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

Microsoft Defender XDR からイベントを取り込みることができるように Event Hubs を構成する方法について説明します。

Event Hubs サブスクリプションで必要なリソース プロバイダーを設定する

  1. Azure portal にサインインし
  2. [ サブスクリプション>{ イベント ハブが }>Resource プロバイダーにデプロイされるサブスクリプションを選択します。
  3. Microsoft.Insights プロバイダーが登録されているかどうかを確認します。 それ以外の場合は、登録します。

Microsoft Azure portal のサービス プロバイダーの一覧ページ

Microsoft Entra アプリの登録を設定する

注:

管理者以外のユーザーがアプリを登録できるようにするには、管理者ロールまたは Microsoft Entra ID を設定する必要があります。 また、サービス プリンシパルにロールを割り当てるには、所有者またはユーザー アクセス管理者ロールも必要です。 詳細については、「 ポータルで Microsoft Entra アプリ & サービス プリンシパルを作成する - Microsoft ID プラットフォーム |Microsoft Docs

  1. Microsoft Entra ID>App registrations>New registration で新しい登録 (本質的にサービス プリンシパルを作成します) を作成します。

  2. [名前] だけでフォームに入力します (リダイレクト URI は必要ありません)。

    Microsoft Azure portal の [アプリケーション名の表示] セクション

    Microsoft Azure portal の [概要情報] セクション

  3. [証明書] & シークレット>[新しいクライアント シークレット] をクリックしてシークレットを作成します。

    Microsoft Azure portal の [クライアント シークレット] セクション

このクライアント シークレット値は、登録されているこのアプリケーションを認証するために Microsoft Graph API によって使用されます。

警告

クライアント シークレットに再度アクセスすることはできませんので、必ず保存してください

Event Hubs 名前空間を設定する

  1. Event Hubs 名前空間を作成します。

    Event Hub > [追加] に移動し、予想される負荷に適した価格レベル、スループット ユニット、自動インフレ (標準価格と機能が必要) を選択します。 詳細については、「 価格 - Event Hubs |Microsoft Azure

    注:

    既存のイベント ハブを使用できますが、スループットとスケーリングは名前空間レベルで設定されるため、イベント ハブを独自の名前空間に配置することをお勧めします。

    Microsoft Azure portal の [イベント ハブ] セクション

  2. この Event Hubs 名前空間のリソース ID も必要です。 [プロパティ] の [Azure Event Hubs 名前空間] ページ > 移動します。 [リソース ID] のテキストをコピーし、以下の Microsoft 365 構成セクションで使用するために記録します。

    Microsoft Azure portal の [イベント ハブのプロパティ] セクション

アクセス許可を追加する

Event Hubs データ管理に関連するエンティティに、次のロールへのアクセス許可を追加する必要があります。

  • 共同作成者: このロールに関連するアクセス許可は、Microsoft Defender ポータルにログインするエンティティに追加されます。
  • 閲覧者Azure Event Hub データ レシーバー: これらのロールに関連するアクセス許可は、 サービス プリンシパル のロールが既に割り当てられているエンティティに割り当てられ、Microsoft Entra アプリケーションにログインします。

これらのロールが確実に追加されるようにするには、次の手順を実行します。

[Event Hub Namespace>Access Control (IAM)>[ロールの割り当て] で追加して確認します。

Microsoft Azure portal のアプリケーション登録サービス プリンシパル セクション

Event Hubs を設定する

オプション 1:

名前空間内に Event Hubs を作成でき、エクスポートするために選択 したすべての イベントの種類 (テーブル) がこの 1 つの Event Hub に書き込まれます。

オプション 2:

すべてのイベントの種類 (テーブル) を 1 つのイベント ハブにエクスポートする代わりに、各テーブルを Event Hubs 名前空間内の異なる Event Hubs (イベントの種類ごとに 1 つのイベント ハブ) にエクスポートできます。

このオプションでは、Microsoft Defender XDR によって Event Hubs が作成されます。

注:

Event Hub クラスターに含 まれていない Event Hub 名前空間を使用している場合は、定義した各エクスポート設定でエクスポートするイベントの種類 (テーブル) を最大 10 個まで選択できます。これは、Event Hub 名前空間ごとに 10 イベント ハブという Azure の制限があるためです。

例:

Microsoft Azure portal のイベント ハブ セクション

このオプションを選択した場合は、「 電子メール テーブルを送信するように Microsoft Defender XDR を構成する 」セクションに進むことができます。

[Event Hub>+ Event Hub] を選択して、名前空間内に Event Hubs を作成します。

パーティション数を使用すると、並列処理によってスループットが向上するため、予想される負荷に基づいてこの数を増やすことをお勧めします。 既定のメッセージ保持期間とキャプチャの値は 1 とオフにすることをお勧めします。

Microsoft Azure portal のイベント ハブ作成セクション

これらの Event Hubs (名前空間ではなく) では、共有アクセス ポリシーを送信、リッスン要求で構成する必要があります。 Event Hub>Shared アクセス ポリシー>+ [追加] をクリックし、ポリシー名 (他の場所では使用されません) を指定して、[送信リッスン] をオンにします。

Microsoft Azure portal の [共有アクセス ポリシー] ページ

電子メール テーブルを送信するように Microsoft Defender XDR を構成する

Event Hubs を使用して Microsoft Defender XDR send Email テーブルを Splunk に設定する

  1. 次のすべてのロール要件を満たすアカウントで Microsoft Defender XDR にサインインします。

    • エクスポートする Event Hubs の Event Hubs 名前空間 リソース レベル以上の共同作成者ロール。 このアクセス許可がないと、設定を保存しようとするとエクスポート エラーが発生します。

    • Microsoft Defender XDR と Azure に関連付けられているテナントのセキュリティ管理者ロール。

      Microsoft Defender ポータルの [設定] ページ

  2. [ 生データ エクスポート] > [+追加] をクリックします。

    ここで、上記で記録したデータを使用します。

    名前: この値はローカルであり、環境内で動作するものでなければなりません。

    イベントをイベント ハブに転送する: このチェック ボックスをオンにします。

    Event-Hub リソース ID: この値は、Event Hubs を設定したときに記録した Event Hubs 名前空間リソース ID です。

    Event-Hub 名: Event Hubs 名前空間内に Event Hubs を作成した場合は、上記で記録した Event Hubs 名を貼り付けます。

    Microsoft Defender XDR がイベントの種類 (テーブル) ごとに Event Hubs を作成できるようにする場合は、このフィールドを空のままにします。

    イベントの種類: Event Hubs に転送してからカスタム アプリに転送する高度なハンティング テーブルを選択します。 アラート テーブルは Microsoft Defender XDR から、デバイス テーブルは Microsoft Defender for Endpoint (EDR) から、電子メール テーブルは Microsoft Defender for Office 365 からのテーブルです。 電子メール イベントは、すべての電子メール トランザクションを記録します。 URL (安全なリンク)、添付ファイル (安全な添付ファイル)、配信後イベント (ZAP) も記録され、[NetworkMessageId] フィールドの [電子メール イベント] に参加できます。

    Microsoft Azure portal の [ストリーミング API の設定] ページ

  3. [ 送信] をクリックしてください。

イベントが Event Hubs にエクスポートされていることを確認する

基本的な高度なハンティング クエリを実行することで、イベントが Event Hubs に送信されていることを確認できます。 [ ハンティング>Advanced Hunting>Query を選択し、次のクエリを入力します。

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

このクエリでは、他のすべてのテーブルで結合された過去 1 時間に受信したメールの数が表示されます。 また、イベント ハブにエクスポートできるイベントが表示される場合も表示されます。 この数に 0 が表示される場合、Event Hubs に送信されるデータは表示されません。

Microsoft Azure portal の高度なハンティング ページ

エクスポートするデータがあることを確認したら、[Event Hubs] ページを表示して、メッセージが受信されていることを確認できます。 このプロセスには最大 1 時間かかることがあります。

  1. Azure で、Event Hub に移動し>名前空間>Event Hub をクリック>イベント ハブをクリックします。
  2. [ 概要] で下にスクロールし、[メッセージ] グラフに [受信メッセージ] が表示されます。 結果が表示されない場合、カスタム アプリが取り込むメッセージはありません。

Microsoft 365 Azure portal の [概要] ページ

Microsoft Graph セキュリティ API を使用する - Microsoft Graph |Microsoft Learn

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。