Azure ログ統合の概要
重要
Azure ログ統合機能は、2019 年 6 月 15 日までに非推奨となる予定です。 AzLog のダウンロードは、2018 年 6 月 27 日に無効になりました。 今後の対処方法に関するガイダンスについては、「Azure monitor を使用して SIEM ツールと統合する」投稿を確認してください
Azure ログ統合は、Azure ログをオンプレミスのセキュリティ情報およびイベント管理 (SIEM) システムと統合するタスクを簡略化するために使用できます。
Azure ログを統合するための推奨される方法は、SIEM ベンダーのコネクタを使用することです。 Azure Monitor には、イベント ハブにログをストリーミングする機能が用意されており、SIEM ベンダーは、イベント ハブから SIEM にログをさらに統合するためのコネクタを記述できます。 このしくみについての説明は、「ストリームモニタリング データ イベント ハブの監視」の手順に従ってください。 また、この記事では、直接 Azure コネクタが既に使用できる SIEM の一覧も示します。
重要
主な関心事が仮想マシン ログの収集である場合、ほとんどの SIEM ベンダーはソリューションにこのオプションを含めます。 SIEM ベンダーのコネクタの使用は、常に推奨される代替手段です。
Azure ログ統合機能に関するドキュメントは、この機能が非推奨になるまで維持されています。
Azure ログ統合機能の詳細については、以下を参照してください。
Azure Log Integration は、Azure リソースから、Windows イベント ビューアー ログの Windows イベント、Azure アクティビティ ログ、Azure Security Center アラート、Azure Diagnostics ログ を収集します。 統合により、SIEM ソリューションは、オンプレミスでもクラウドでも、すべての資産に統合されたダッシュボードを提供できます。 ダッシュボードを使用して、セキュリティ イベントのアラートの受信、集計、関連付け、分析を行うことができます。
注
現在、Azure Log Integration では、Azure 商用クラウドと Azure Government クラウドのみがサポートされています。 その他のクラウドはサポートされていません。
統合できるログは何ですか?
Azure では、各 Azure サービスに対して広範なログ記録が生成されます。 ログは、次の 3 種類のログを表します。
- 制御/管理ログ: Azure Resource Manager の CREATE、UPDATE、DELETE 操作を可視化します。 Azure アクティビティ ログは、この種類のログの例です。
- データ プレーン ログ: Azure リソースを使用するときに発生するイベントを可視化します。 この種類のログの例として、Windows イベント ビューアーの System、Security、および Windows 仮想マシンのアプリケーション チャネル があります。 もう 1 つの例は、Azure Monitor を使用して構成する Azure Diagnostics ログです。
- 処理されたイベント: あなたのために処理された分析イベントとアラート情報を提供します。 この種類のイベントの例として、Azure Security Center のアラートがあります。 Azure Security Center は、サブスクリプションを処理して分析し、現在のセキュリティ体制に関連するアラートを提供します。
Azure Log Integration では、ArcSight、QRadar、Splunk がサポートされています。 SIEM ベンダーに問い合わせて、ベンダーにネイティブ コネクタがあるかどうかを評価してください。 ネイティブ コネクタが使用可能な場合は、Azure Log Integration を使用しないでください。
他のオプションが使用できない場合は、Azure ログ統合の使用を検討してください。 次の表に、推奨事項を示します。
| SIEM | お客様は既に Azure ログ インテグレーターを使用しています | お客様が SIEM 統合オプションを調査中 |
|---|---|---|
| Splunk | Splunk Azure Monitor アドオンへの移行を開始します。 | Splunk コネクタを使用します。 |
| QRadar | 外部ツール で使用するために、Azure 監視データをイベント ハブにストリーミングするの最後のセクションに記載されている QRadar コネクタに移行するか、使用を開始します。 | の最後のセクションに記載されている QRadar コネクタを使用して、Azure 監視データを外部ツールが利用できるようにイベント ハブへストリーミングします。 |
| ArcSight | コネクタが使用可能になるまで Azure ログ インテグレーターを引き続き使用し、コネクタベースのソリューションに移行します。 | 代わりに Azure Monitor ログを使用することを検討してください。 コネクタが使用可能になったときに移行プロセスを進める場合を除き、Azure Log Integration にオンボードしないでください。 |
注
Azure Log Integration は無料のソリューションですが、ログ ファイル情報ストレージに関連する Azure ストレージ コストがあります。
サポートが必要な場合は、サポート リクエストを作成できます。 サービスでは、ログ統合を選択します。
次のステップ
この記事では、Azure Log Integration について説明しました。 Azure ログ統合とサポートされているログの種類の詳細については、次の記事を参照してください。
- Azure Log Integrationの使用を開始します。 このチュートリアルでは、Azure Log Integration のインストールについて説明します。 また、Windows Azure Diagnostics (WAD) ストレージ、Azure アクティビティ ログ、Azure Security Center アラート、Azure Active Directory 監査ログからのログを統合する方法についても説明します。
- Azure Log Integration に関してよく寄せられる質問 (FAQ)。 この FAQ では、Azure ログ統合に関する一般的な質問に回答します。
- 外部ツール で使用するために、Azure 監視データをイベント ハブにストリーミングする方法について説明します。