パートナー SIEM への Defender for IoT クラウド アラートのStream

OT システムをデジタル IT インフラストラクチャに変換する企業が増えるにつれて、セキュリティ オペレーション センター (SOC) チームと最高情報セキュリティ責任者 (CISO) が OT ネットワークからの脅威を処理する責任がますます高まっています。

IoT のすぐに使用できるデータ コネクタソリューションにMicrosoft Defenderを使用して、Microsoft Sentinelと統合し、IT と OT のセキュリティ課題のギャップを埋めるのが推奨されます。

ただし、他のセキュリティ情報とイベント管理 (SIEM) システムがある場合は、Microsoft Sentinelを使用して、Microsoft SentinelとAzure Event Hubsを介して、そのパートナー SIEM に Defender for IoT クラウド アラートを転送することもできます。

この記事では Splunk を例として使用しますが、以下で説明するプロセスは、IBM QRadar などの Event Hub インジェストをサポートする SIEM で使用できます。

重要

Event Hubs と Log Analytics エクスポート ルールを使用すると、追加料金が発生する可能性があります。 詳細については、「 Event Hubs の価格 」と 「Log Data Export の価格」を参照してください。

前提条件

開始する前に、Microsoft Sentinel インスタンスにインストールされている IoT データ コネクタのMicrosoft Defenderが必要です。 詳細については、「チュートリアル: Microsoft Sentinelを使用して IoT 用のMicrosoft Defenderを接続する」を参照してください。

また、以下の手順でリンクされている各手順の前提条件もチェックします。

Microsoft Entra IDでアプリケーションを登録する

Microsoft Entra ID、Microsoft Cloud Services 用 Splunk アドオンのサービス プリンシパルとして定義されている必要があります。 これを行うには、特定のアクセス許可を持つMicrosoft Entra アプリケーションを作成する必要があります。

Microsoft Entra アプリケーションを登録し、アクセス許可を定義するには:

  1. Microsoft Entra IDで、新しいアプリケーションを登録します。 [ 証明書 & シークレット ] ページで、サービス プリンシパルの新しいクライアント シークレットを追加します。

    詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

  2. アプリの [API アクセス許可] ページで、アプリからデータを読み取る API アクセス許可を付与します。

    • を選択してアクセス許可を追加し、[Microsoft Graph>Application のアクセス許可>SecurityEvents.ReadWrite.All>[アクセス許可の追加] を選択します

    • アクセス許可に管理者の同意が必要であることを確認します。

    詳細については、「Web API にアクセスするようにクライアント アプリケーションを構成する」を参照してください。

  3. アプリの [概要] ページで、アプリの次の値をメモします。

    • 表示名
    • アプリケーション (クライアント) ID
    • ディレクトリ (テナント) ID

  4. [証明書 & シークレット] ページで、クライアント シークレットの値シークレット ID をメモします

Azure イベント ハブを作成する

Microsoft Sentinelとパートナー SIEM の間のブリッジとして使用するAzure イベント ハブを作成します。 この手順を開始するには、Azure イベント ハブ名前空間を作成し、Azure イベント ハブを追加します。

イベント ハブの名前空間とイベント ハブを作成するには:

  1. Azure Event Hubsで、新しいイベント ハブ名前空間を作成します。 新しい名前空間で、新しいAzure イベント ハブを作成します。

    イベント ハブで、 パーティション数メッセージ保持の 設定を定義してください。

    詳細については、「Azure portalを使用してイベント ハブを作成する」を参照してください。

  2. イベント ハブの名前空間で、[ アクセス制御 (IAM)] ページを選択し、新しいロールの割り当てを追加します。

    Azure Event Hubs Data Receiver ロールを使用し、にメンバーとして作成したMicrosoft Entra サービス プリンシパル アプリを追加します。

    詳細については、「Azure portalを使用してAzureロールを割り当てる」を参照してください。

  3. イベント ハブ名前空間の [概要] ページで、名前空間の ホスト名 の値を書き留めます。

  4. イベント ハブ名前空間の [Event Hubs] ページで、イベント ハブの名前をメモします。

Microsoft Sentinel インシデントをイベント ハブに転送する

Microsoft Sentinelインシデントまたはアラートをイベント ハブに転送するには、Azure Log Analytics からデータ エクスポート ルールを作成します。

ルールで、次の設定を定義してください。

  1. ソースSecurityIncident として構成する

  2. 先ほど記録したイベント ハブの名前空間とイベント ハブ名を使用して、宛先をイベントの種類として構成します。

    詳細については、「Azure Monitor での Log Analytics ワークスペース のデータ エクスポート」を参照してください。

Microsoft Sentinel インシデントを使用するように Splunk を構成する

イベント ハブとエクスポート ルールを構成したら、イベント ハブからMicrosoft Sentinelインシデントを使用するように Splunk を構成します。

  1. Microsoft Cloud Services アプリ用 Splunk アドオンをインストールします。

  2. Microsoft Cloud Services 用 Splunk アドオン アプリで、Azure アプリ アカウントを追加します。

    1. アカウントのわかりやすい名前を入力します。
    2. 前に記録したクライアント ID、クライアント シークレット、テナント ID の詳細を入力します。
    3. アカウント クラスの種類をパブリック クラウドAzure定義します

  3. Microsoft Cloud Services 入力用 Splunk アドオンに移動し、Azure イベント ハブの新しい入力を作成します。

    1. 入力にわかりやすい名前を入力します。
    2. Splunk アドオン for Microsoft Services アプリで作成したAzure アプリ アカウントを選択します。
    3. イベント ハブの名前空間 FQDN とイベント ハブ名を入力します。

    その他の設定は既定のままにします。

    データがイベント ハブから Splunk に取り込まれるのを開始したら、検索フィールドで次の値を使用してデータのクエリを実行します。 sourcetype="mscs:azure:eventhub"

関連するコンテンツ

  • Last updated on