AWS ログを収集してMicrosoft Sentinelするように Amazon Web Services (AWS) 環境を設定する

Amazon Web Services (AWS) コネクタは、Amazon S3 (Simple Storage Service) からログを収集し、それらをMicrosoft Sentinelに取り込むプロセスを簡略化します。コネクタには、Microsoft Sentinelログ収集用に AWS 環境を構成するのに役立つツールが用意されています。

この記事では、Microsoft Sentinelにログを送信するために必要な AWS 環境のセットアップの概要と、サポートされている各コネクタを使用して環境を設定し、AWS ログを収集するための手順へのリンクを示します。

AWS 環境のセットアップの概要

次の図は、aws 環境を設定してAzureにログを送信する方法を示しています。

W S S 3 コネクタアーキテクチャのスクリーンショット。

S3 (Simple Storage Service) ストレージバケットと、S3 バケットが新しいログを受信したときに通知を発行する簡易キューサービス (SQS) キューを作成します。

Microsoft Sentinel コネクタ:
- 新しいログファイルへのパスを含むメッセージについて、SQS キューを頻繁にポーリングします。
- SQS 通知で指定されたパスに基づいて、S3 バケットからファイルをフェッチします。
Open ID Connect (OIDC) Web ID プロバイダーを作成し、登録されたアプリケーションとしてMicrosoft Sentinelを追加します (対象ユーザーとして追加します)。

Microsoft Sentinelコネクタは、Microsoft Entra IDを使用して OpenID Connect (OIDC) を介して AWS で認証し、AWS IAM ロールを引き受けます。

重要

Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを既に設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとしてMicrosoft Sentinelを追加します。 Microsoft Sentinel用の新しい OIDC プロバイダーを作成しないでください。
AWS S3 バケットと SQS リソースにアクセスするためのアクセス許可をMicrosoft Sentinelコネクタに付与する AWS 想定ロールを作成します。
1. 適切な IAM アクセス許可ポリシーを 割り当てて、想定されたロールにリソースへのアクセス権を付与します。
2. S3 バケットにアクセスしてログを取得するために作成した想定ロールと SQS キューを使用するようにコネクタを構成します。
S3 バケットにログを送信するように AWS サービスを構成します。

手動セットアップ

AWS 環境は手動で設定できますが、このセクションで説明するように、代わりに AWS コネクタをデプロイするときに提供される自動ツールを使用することを強くお勧めします。

1. S3 バケットと SQS キューを作成する

AWS サービス (VPC、GuardDuty、CloudTrail、CloudWatch) からログを送信できる S3 バケット を作成します。

AWS ドキュメントの S3 ストレージバケットを作成する手順を参照してください。
S3 バケットが通知を発行できる標準の 簡易キューサービス (SQS) メッセージキュー を作成します。

AWS ドキュメントの標準 Simple Queue Service (SQS) キューを作成する手順を参照してください。
SQS キューに通知メッセージを送信するように S3 バケットを構成します。

AWS ドキュメントの SQS キューに通知を発行する手順を参照してください。

2. Open ID Connect (OIDC) Web ID プロバイダーを作成する

重要

Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを既に設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとしてMicrosoft Sentinelを追加します。 Microsoft Sentinel用の新しい OIDC プロバイダーを作成しないでください。

AWS ドキュメントの次の手順に従います。
OpenID Connect (OIDC) ID プロバイダーの作成。

パラメーター	Selection/Value	注釈
クライアント ID	-	これは無視してください。既にあります。「対象ユーザー」を参照してください。
プロバイダーの種類	OpenID Connect	既定の SAML ではなく。
プロバイダー URL	商業： `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` 政府： `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
拇印	`626d44e704d1ceabe3bf0d53397464ac8080142c`	IAM コンソールで作成した場合、[ 拇印の取得 ] を選択すると、この結果が得られます。
Audience	商業： `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` 政府： `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. AWS の想定ロールを作成する

重要

名前には正確なプレフィックス OIDC_を含める必要があります。それ以外の場合は、コネクタが正しく機能しません。

AWS ドキュメントの次の手順に従います。
Web ID または OpenID Connect フェデレーションのロールの作成。

パラメーター	Selection/Value	注釈
信頼されたエンティティの種類	Web ID	既定の AWS サービスの代わりに。
ID プロバイダー	商業： `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` 政府： `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	前の手順で作成したプロバイダー。
Audience	商業： `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` 政府： `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	前の手順で ID プロバイダーに対して定義した対象ユーザー。
割り当てるアクセス許可	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` さまざまな種類の AWS サービスログを取り込むためのその他のポリシー	これらのポリシーの詳細については、Microsoft Sentinel GitHub リポジトリの関連する AWS S3 コネクタのアクセス許可ポリシーに関するページを参照してください。 AWS Commercial S3 コネクタのアクセス許可ポリシーページ AWS Government S3 コネクタのアクセス許可ポリシーページ
Name	"OIDC_MicrosoftSentinelRole"	Microsoft Sentinelへの参照を含むわかりやすい名前を選択します。名前には正確なプレフィックス `OIDC_`を含める必要があります。それ以外の場合は、コネクタが正しく機能しません。

新しいロールの信頼ポリシーを編集し、別の条件を追加します。
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

重要

sts:RoleSessionName パラメーターの値には、正確なプレフィックスMicrosoftSentinel_が必要です。それ以外の場合、コネクタは正しく機能しません。

完成した信頼ポリシーは次のようになります。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX は AWS アカウント ID です。
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXは、Microsoft Sentinel ワークスペース ID です。
編集が完了したら、ポリシーを更新 (保存) します。

S3 バケットにログをエクスポートするように AWS サービスを構成する

各種類のログを S3 バケットに送信する手順については、リンクされた Amazon Web Services のドキュメントを参照してください。

VPC フローログを S3 バケットに発行します。

注:

ログの形式をカスタマイズする場合は、Log Analytics ワークスペースの TimeGenerated フィールドにマップされるため、start 属性を含める必要があります。それ以外の場合、 TimeGenerated フィールドにイベントの 取り込まれた時刻が設定されます。これは、ログイベントを正確に記述しません。
GuardDuty の結果を S3 バケットにエクスポートします。
注:
- AWS では、結果は既定で 6 時間ごとにエクスポートされます。環境要件に基づいて、更新されたアクティブな結果のエクスポート頻度を調整します。プロセスを迅速化するために、15 分ごとに結果をエクスポートするように既定の設定を変更できます。更新されたアクティブな結果をエクスポートする頻度の設定に関するページを参照してください。
- TimeGenerated フィールドには、結果の値の Update が設定されます。
AWS CloudTrail 証跡は、既定で S3 バケットに格納されます。
- 1 つのアカウントの証跡を作成します。
- organization全体で複数のアカウントにまたがる証跡を作成します。
CloudWatch ログデータを S3 バケットにエクスポートします。

4. AWS コネクタをデプロイする

Microsoft Sentinelでは、次の AWS コネクタが提供されます。

Amazon Web Services Web Application Firewall (WAF) コネクタ: AWS S3 バケットで収集された AWS WAF ログを取り込んでMicrosoft Sentinelします。
Amazon Web Services サービスログコネクタ: AWS S3 バケットで収集された AWS サービスログをMicrosoft Sentinelに取り込みます。
Amazon Web Services Elastic Kubernetes Service (EKS) ログコネクタ: AWS S3 バケットで収集された AWS EKS 監査ログをMicrosoft Sentinelに取り込みます。

次の手順

Microsoft Sentinelの詳細については、次の記事を参照してください。

データと潜在的な脅威を可視化する方法について説明します。
Microsoft Sentinelで脅威の検出を開始します。
ブックを使用してデータを監視します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-23