Microsoft Sentinel 用の Microsoft Active Directory ドメイン コントローラー セキュリティ イベント ログ コネクタ
[オプション 3 とオプション 4] - Azure Monitor エージェントを使用する - Windows エージェントを使って、Microsoft Sentinel ワークスペースに接続されている Windows マシンから、ドメイン コントローラー セキュリティ イベント ログの一部または全部をストリーミングできます。 このように接続すると、カスタム アラートの作成や調査の改善を行うことができます。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | SecurityEvent |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | コミュニティ |
クエリのサンプル
すべての監査ログ
SecurityEvent
| sort by TimeGenerated
前提条件
Microsoft Active Directory ドメイン コントローラー セキュリティ イベント ログと統合するには、次を用意してください。
- ****: Azure Log Analytics は非推奨となり、Azure 以外の VM からデータを収集するには、Azure Arc をおすすめします。 詳細情報
- 詳細なドキュメント: >注: インストール手順と使用方法に関する詳細なドキュメントについては、こちらを参照してください
ベンダーのインストール手順
Note
このソリューションはオプションに基づいています。 一部のオプションでは非常に大量のデータが生成される可能性があるため、これにより、どのデータを取り込むかを選択できます。 収集する内容に応じて、ブック、分析ルール、ハンティング機能を追跡し、デプロイするオプションを選択します。 各オプションは互いに独立しています。 各オプションの詳細については、「Microsoft Exchange セキュリティ」の WiKi を参照してください
このデータ コネクタは、Wiki のオプション 3 とオプション 4 です。
- Microsoft Sentinel のログを収集するために必要なエージェントをダウンロードしてインストールします
サーバーの種類 (Exchange サーバー、Exchange サーバーにリンクされたドメイン コントローラー、またはすべてのドメイン コントローラー) は、デプロイするオプションによって異なります。
ドメイン コントローラーのセキュリティ ログ
ドメイン コントローラーのセキュリティ ログのストリーミング方法を選択します。 オプション 3 を実装する場合は、Exchange Server と同じサイトの DC を選択する必要があるのみです。 オプション 4 を実装する場合は、フォレストのすべての DC を選択するのがよいでしょう。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。