Azure Monitor を使用して SIEM ツールと統合
執筆者: John Kemnetz (Program Manager II, Azure Monitor)
このポストは、2018 年 6 月 4 日に投稿された Use Azure Monitor to integrate with SIEM tools の翻訳です。
Azure Monitor のリリースから 2 年が経過し、Azure の全サービスのログを統合し一本化するという点で大きな進展がありました。それは、Azure Monitor に Azure Resource Manager や Azure Security Center といった主要な Azure サービスを統合し、関連したセキュリティ ログが生成されるようにしたことです。
また、1 つの Event Hubs にデータをルーティング (英語) したり、1 つのリソースに複数の診断設定を適用 (英語) したりできるセキュリティ情報/イベント管理 (SIEM) ツールとの統合を簡素化する機能の提供を開始しました。他にも、大規模な Azure 環境にわたってログのルーティングのセットアップや管理を簡素化するための取り組みを進めています。
また、マイクロソフトは SIEM メーカー数社とパートナーシップを結び、Azure Monitor から SIEM ツールにデータを渡すコネクタを構築しました。これらのコネクタでは、Azure Monitor で Azure Event Hubs にルーティングされたデータを使用します。この方法は、ログ データを外部アプリケーションに配信するアプローチとしてはシンプルでスケーラブルかつ管理しやすいため、マイクロソフトでは Azure と SIEM ツールを統合する手法として推奨しています。SIEM ツールへのデータの送信を Azure 環境でセットアップする方法については、こちらのドキュメントをご覧ください。
マイクロソフトは、Azure Log Integration ツール (AzLog) を利用してこれらのSIEM ツールを統合しているお客様も引き続きサポートします。AzLog はもともと、各 Azure サービスからログを統合し、変換し、SIEM ツールに転送する複雑なプロセスを支援するためにリリースされたものでした。そのころ Azure Monitor はまだ存在せず、Azure サービスのログ データをどのようにお客様に提供するかという方法が標準化されていませんでした (ダンプ データをストレージ アカウントに出力する、API で出力するなど)。
それから時間がかかりましたが、本日、AzLog ツールには今後新機能を追加することはないこと、そして、2019 年 6 月 1 日にサポートを終了することを発表しました。ここからは、Azure と主な SIEM ツールの統合についてマイクロソフトが推奨する方法をご紹介します。
統合に関する推奨方法
以下の表は、皆様がお使いの SIEM ツールを統合する方法と現在の統合状況をまとめたものです。AzLog で公式にサポートしている SIEM ツールのみを対象にしています。
| SIEM ツール | 現在 Log Integration ツールを使用中 | 現在 SIEM 統合オプションの使用を検討中 |
| Splunk | Splunk 用の Azure Monitor アドオン (英語) に移行する。 | Splunk 用の Azure Monitor アドオン (英語) を使用する。 |
| IBM QRadar | Microsoft Azure DSM と Microsoft Azure Event Hubs Protocol (IBM のサポート サイト (英語) で入手可能) に移行する。Azure との統合の詳細については、こちら (英語) をご確認ください。 | Microsoft Azure DSM と Microsoft Azure Event Hubs Protocol (IBM のサポート サイト (英語) で入手可能) を使用する。Azure との統合の詳細については、こちら (英語) をご確認ください。 |
| ArcSight | Azure Log Integration ツールでは、ArcSight が提供する既存の JSON コネクタで ArcSight と統合することを目的として、Azure のログを JSON ファイルに変換するコレクションが提供されていました。JSON から CEF へのマッピングは Azure アクティビティ ログ用のみが提供され、他の Azure サービスのログには対応していませんでした。現在 ArcSight チームは新しい包括的なソリューションを開発しており、2018 年 10 月に一部のユーザー限定で初回リリースが行われる予定です。詳しくは ArcSight にお問い合わせください。現在 Azure Log Integration ツールを使用している場合は、Azure 用 ArcSight コネクタがリリースされ次第、移行をご検討ください。 |
AzLog ツールではサポートされていないものの、ELK スタックや SumoLogic といった、Azure Monitor Event Hubs の統合に対応している他のパートナー製品についてもご検討ください。
統合に向けたロードマップ
現在、Azure Monitor の SIEM 統合機能は、Azure Log Integration ツールで提供されていた一部の機能に対応していません。Azure Log Integration ツールでは対応していて Azure Monitor では対応していない機能については、以下のロードマップに従って対応を進める予定です。
- Azure Active Directory のログ – Azure Active Directory のログだけは、AzLog では直接統合できますが、Azure Monitor ではまだできません。Azure Monitor の Azure Active Directory ログに対応したパブリック プレビューは、2018 年 7 月に開始される予定です。
- Azure VM のログの統合 – AzLog では、Azure VM のゲスト OS のログ (Windows のセキュリティ イベントなど) を一部の SIEM ツールに統合するオプションを使用できます。Azure Monitor には OS のログを Event Hubs にルーティングできる Linux 用および Windows 用のエージェントがありますが、エンドツーエンドで SIEM ツールを統合するのは容易ではありません。このため、2018 年末までは暫定的に、OS のログを Event Hubs にルーティングする機能のサポートを強化する予定で、また、パートナーと協力して、これらのログを使用できるようにするコネクタを開発しています。現時点では、VM ログ エージェントか、SIEM メーカーが提供しているログ転送機能を使用することをお勧めします。
- エンドツーエンドのセットアップ – AzLog では、ログのソースをエンドツーエンドでセットアップする作業の自動化スクリプトが提供されます。Azure Monitor には診断設定の作成をスクリプト化する機能がありますが、私たちは Azure Policy チームと共同で、Resource Manager ポリシーを使用してログ データをあらゆるソースにシームレスにルーティングできるようにする機能の開発も進めています。今後 2 か月のうちには、それらのシナリオをサポートするポリシーがリリースされる予定です。また、2018 年末にはカスタム ポリシーもサポートされる予定です。
- 他の SIEM ツールとの統合 – AzLog では、標準化された JSON 形式の Azure のログをディスクにプッシュする汎用機能が提供されます。その他の SIEM ツールは、公式には AzLog でサポートされませんが、LogRhythm などのツールを使用すると、ログ データを簡単に取得することができます。これらのツールで AzLog を使用しているお客様には、ツールの提供元と協力して Azure Monitor Event Hubs と統合されることをお勧めします。
Azure 環境のセキュリティは、Azure プラットフォームのエンジニアリングという観点とプラットフォーム上の資産をお客様自身が保護できる機能を提供するという観点の両方から、常に Azure チームの最重要課題となっています。SIEM の統合を Azure Monitor に移行することで、お客様のアプリケーションを大規模な Azure 環境でより簡単に保護できるようになります。ご不明な点などがありましたら、お気軽に AZSIEMTeam@microsoft.com までお問い合わせください。