診断設定ベースの接続を使用して Microsoft Sentinel を他の Microsoft サービスに接続する
この記事では、診断設定接続を使用して Microsoft Sentinel に接続する方法について説明します。 Microsoft Sentinel では Azure 基盤を使用して、多くの Azure と Microsoft 365 サービス、アマゾン ウェブ サービス、およびさまざまな Windows Server サービスからのデータ インジェスト用の組み込みのサービス間サポートを提供します。 これらの接続を行うにはいくつかの方法があります。
この記事では、診断設定ベースの接続を使用するデータ コネクタのグループに共通する情報を示します。 これらの種類のコネクタの一部は、Azure Policy を使用して管理されます。 この種類の他のコネクタについては、スタンドアロンの手順を使用してください。
注意
米国政府機関クラウドにおける機能使用可否の詳細については、「米国政府機関のお客様向けのクラウド機能の利用可能性」に記載されている Microsoft Sentinel テーブルを参照してください。
前提条件
スタンドアロンの診断設定ベースのコネクタを使用して Microsoft Sentinel にデータを取り込むには、Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。
Azure Policy によって管理される診断設定ベースのコネクタを使用して Microsoft Sentinel にデータを取り込むには、次の前提条件も満たす必要があります。
Azure Policy を使用してリソースにログ ストリーミング ポリシーを適用するには、ポリシー割り当てスコープの所有者ロールが必要です。
使用するコネクタに応じて、次の前提条件があります。
データ コネクタ ライセンス、コスト、その他の情報 Azure アクティビティ このコネクタは、診断設定パイプラインを使用するようになりました。 従来方式を使用している場合は、新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来方式から切断する必要があります。
1. Microsoft Sentinel のナビゲーション メニューから、[データ コネクタ] を選択します。 コネクタの一覧で [Azure Activity](Azure アクティビティ) を選択し、右下にある [Open connector page](コネクタ ページを開く) ボタンを選択します。
2. [手順] タブの [構成] セクションの手順 1 で、従来方式に接続している既存のサブスクリプションの一覧を確認し、下にある [すべて切断] ボタンをクリックしてすべてを一度に切断します。
3. このセクションの指示に従って、新しいコネクタの設定に進みます。Azure DDoS Protection - 構成済みの Azure DDoS Protection Standard プラン
- 構成済みの Azure DDoS Standard が有効になっている仮想ネットワーク
- その他の料金が適用される場合あり
- Azure DDoS Protection データ コネクタの状態が [接続完了] に変わるのは、保護対象のリソースが DDoS 攻撃を受けているときのみです。Azure ストレージ アカウント ストレージ アカウント (親) リソースには、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。
ストレージ アカウントの診断を構成する場合は、次の項目を選択して構成する必要があります。
- トランザクション メトリックをエクスポートする親アカウント リソース。
- すべてのログとメトリックをエクスポートする、子ストレージの種類の各リソース。
実際にリソースを定義したストレージの種類だけが表示されます。
スタンドアロンの診断設定ベースのコネクタ経由で接続する
この手順では、診断設定に基づいたスタンドアロン接続を使用するデータ コネクタを使用して Microsoft Sentinel に接続する方法について説明します。
Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。
データ コネクタ ギャラリーからリソースの種類を選び、プレビュー ペインで [コネクタ ページを開く] を選択します。
コネクタ ページの [構成] セクションで、リンクを選択してリソース構成ページを開きます。
目的の種類のリソースの一覧が表示されたら、ログを取り込むリソースのリンクを選択します。
リソースのナビゲーション メニューから [診断設定] を選択します。
一覧の下部にある [+ 診断設定を追加する] を選択します。
[診断設定] 画面で、 [診断設定の名前] フィールドに名前を入力します。
[Log Analytics への送信] チェック ボックスにマークを付けます。 その下に 2 つの新しいフィールドが表示されます。 関連するサブスクリプションと Log Analytics ワークスペース (Microsoft Sentinel が存在する場所) を選択します。
収集するログとメトリックの種類のチェック ボックスをオンにします。 データ コネクタのリファレンス ページで、リソースのコネクタのセクションにある各リソースの種類に推奨される選択肢を確認してください。
ページの最上部で [保存] を選択します。
詳細については、Azure Monitor ドキュメントの「Azure Monitor プラットフォームのログとメトリックをさまざまな宛先に送信する診断設定を作成する」も参照してください。
Azure Policy によって管理される診断設定ベースのコネクタ経由で接続する
この手順では、診断設定に基づいた、Azure Policy によって管理される接続を使用するデータ コネクタを使用して Microsoft Sentinel に接続する方法について説明します。
この種類のコネクタでは Azure Policy を使用して、スコープとして定義された単一の種類のリソースのコレクションに、単一の診断設定構成を適用します。 特定のリソースの種類から取り込まれたログの種類は、そのリソースのコネクタ ページの左側にある [データ型] で確認できます。
Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。
データ コネクタ ギャラリーからリソースの種類を選び、プレビュー ペインで [コネクタ ページを開く] を選択します。
コネクタ ページの [構成] セクションで、表示されている任意の展開コントロールを展開し、 [Azure Policy の割り当てウィザードの起動] ボタンを選択します。
ポリシーの割り当てウィザードが開き、事前に設定されたポリシー名で新しいポリシーを作成できるようになります。
[基本] タブで、 [スコープ] の下にある 3 つのドットがあるボタンを選択し、ご利用のサブスクリプション (および必要に応じてリソース グループ) を選びます。 説明を追加することもできます。
[パラメーター] タブで、次の操作を行います。
- [Only show parameters that require input](入力が必要なパラメーターのみを表示する) チェック ボックスをオフにします。
- [効果] と [設定名] のフィールドが表示されている場合は、そのままにしておきます。
- [Log Analytics ワークスペース] ドロップダウン リストからお使いの Microsoft Sentinel ワークスペースを選択します。
- 残りのドロップダウン フィールドは、使用可能な診断ログの種類を表します。 取り込み対象のすべてのログの種類を "True" とマークされたままにします。
ポリシーは、今後追加されるリソースに適用されます。 ポリシーを既存のリソースにも適用するには、 [修復] タブを選択し、 [修復タスクを作成する] チェック ボックスにチェックを付けます。
[確認と作成] タブで、 [作成] をクリックします。 これで、選択したスコープにポリシーが割り当てられました。
この種類のデータ コネクタを使用すると、過去 14 日間のある時点でデータが取り込まれた場合にのみ、接続状態インジケーター (データ コネクタ ギャラリーのカラー ストライプとデータ型の名前の横にある接続アイコン) が "接続済み" (緑色) と表示されます。 データ インジェストがないまま 14 日が経過すると、コネクタは切断済みと表示されます。 さらに多くのデータが入ってくると、"接続済み" 状態が返されます。
データ コネクタのリファレンス ページで、リソースのコネクタのセクションに表示されるテーブル名を使用することで、各リソースの種類のデータを検索してクエリを実行できます。 詳細については、Azure Monitor ドキュメントの「Azure Monitor プラットフォームのログとメトリックをさまざまな宛先に送信する診断設定を作成する」を参照してください。
関連するコンテンツ
詳細については、以下を参照してください: