Amazon Web Services (AWS) S3 ベースのWeb Application Firewall (WAF) コネクタを使用して、AWS S3 バケットで収集された AWS WAF ログを取り込んでMicrosoft Sentinelします。 AWS WAF ログは、AWS WAF によって Web アクセス制御リスト (ACL) に対して分析された Web トラフィックの詳細なレコードです。 これらのレコードには、AWS WAF が要求を受信した時刻、要求の詳細、要求が一致したルールによって実行されたアクションなどの情報が含まれます。 これらのログとこの分析は、Web アプリケーションのセキュリティとパフォーマンスを維持するために不可欠です。
このコネクタは、 AWS CloudFormation ベースのオンボード スクリプトを備え、コネクタで使用される AWS リソースの作成を合理化します。
重要
Amazon Web Services S3 WAF データ コネクタは現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
-
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
概要
Amazon Web Services S3 WAF データ コネクタは、次のユース ケースを提供します。
セキュリティの監視と脅威の検出: AWS WAF ログを分析して、SQL インジェクションやクロスサイト スクリプティング (XSS) 攻撃などのセキュリティ上の脅威を特定して対応します。 これらのログをMicrosoft Sentinelに取り込むことで、高度な分析と脅威インテリジェンスを使用して、悪意のあるアクティビティを検出して調査できます。
コンプライアンスと監査: AWS WAF ログでは、Web ACL トラフィックの詳細なレコードが提供されます。これは、コンプライアンスレポートと監査の目的で重要な場合があります。 コネクタにより、これらのログがSentinel内で使用できるようになり、簡単にアクセスおよび分析できます。
この記事では、Amazon Web Services S3 WAF コネクタを構成する方法について説明します。 設定のプロセスには、AWS 側とMicrosoft Sentinel側の 2 つの部分があります。 各側のプロセスは、反対側で使用される情報を生成します。 この双方向認証により、セキュリティで保護された通信が作成されます。
前提条件
Microsoft Sentinel ワークスペースに対する書き込みアクセス許可が必要です。
Microsoft Sentinelの Content Hub から Amazon Web Services ソリューションをインストールします。 ソリューションのバージョン 3.0.2 (またはそれ以前) が既にインストールされている場合は、コンテンツ ハブ内のソリューションを更新して、このコネクタを含む最新バージョンがあることを確認します。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。
Amazon Web Services S3 WAF コネクタを有効にして構成する
コネクタを有効にして構成するプロセスは、次のタスクで構成されます。
AWS 環境では、次の手順を実行します。
Microsoft Sentinelの Amazon Web Services S3 WAF コネクタ ページには、次の AWS タスクを自動化するダウンロード可能な AWS CloudFormation スタック テンプレートが含まれています。
S3 バケットにログを送信するように AWS サービスを構成します。
通知を提供する 簡易キュー サービス (SQS) キュー を作成します。
OpenID Connect (OIDC) を使用して AWS に対してユーザーを認証する Web ID プロバイダー を作成します。
OIDC Web ID プロバイダーによって認証されたユーザーに AWS リソースにアクセスするためのアクセス許可を付与する 、想定ロール を作成します。
適切な IAM アクセス許可ポリシーを アタッチして、想定されたロールに適切なリソース (S3 バケット、SQS) へのアクセス権を付与します。
Microsoft Sentinel:
- キューをポーリングし、S3 バケットからログ データを取得するログ コレクターを追加して、Microsoft Sentinel ポータルで Amazon Web Services S3 WAF コネクタを構成します。 以下の手順を参照してください。
AWS 環境を設定する
オンボード プロセスを簡略化するために、Microsoft Sentinelの Amazon Web Services S3 WAF コネクタ ページには、AWS CloudFormation サービスで使用するためのダウンロード可能なテンプレートが含まれています。 CloudFormation サービスでは、これらのテンプレートを使用して AWS でリソース スタックを自動的に作成します。 これらのスタックには、この記事で説明されているようにリソース自体と、資格情報、アクセス許可、ポリシーが含まれます。
注:
自動セットアップ プロセスを使用することを強くお勧めします。 特別なケースについては、 手動のセットアップ手順に関するページを参照してください。
テンプレート ファイルを準備する
AWS 環境を設定するスクリプトを実行するには、次の手順を使用します。
Azure portalで、[Microsoft Sentinel] ナビゲーション メニューから [構成] を展開し、[データ コネクタ] を選択します。
Defender ポータルのサイド リンク バー メニューから [Microsoft Sentinel >構成] を展開し、[データ コネクタ] を選択します。
データ コネクタの一覧から [ Amazon Web Services S3 WAF ] を選択します。
コネクタが表示されない場合は、Microsoft Sentinelの [コンテンツ管理] の下にある Content ハブから Amazon Web Services ソリューションをインストールするか、ソリューションを最新バージョンに更新します。
コネクタの詳細ウィンドウで、[コネクタ ページを 開く] を選択します。
[ 構成 ] セクションの [1] の下 。AWS CloudFormation Deployment で、 AWS CloudFormation Stacks リンクを 選択します。 これにより、新しいブラウザー タブで AWS コンソールが開きます。
ポータルのタブに戻り、開Microsoft Sentinel。 [テンプレート 1: OpenID Connect 認証デプロイ] で [ダウンロード] を選択して、OIDC Web ID プロバイダーを作成するテンプレートをダウンロードします。 テンプレートは、指定されたダウンロード フォルダーに JSON ファイルとしてダウンロードされます。
注:
OIDC Web ID プロバイダーが既にある場合は、この手順をスキップします。
[テンプレート 2: AWS WAF リソースのデプロイ] で [ダウンロード] を選択して、他の AWS リソースを作成するテンプレートをダウンロードします。 テンプレートは、指定されたダウンロード フォルダーに JSON ファイルとしてダウンロードされます。
AWS CloudFormation スタックを作成する
[AWS Console ブラウザー] タブに戻り、スタックを作成するための AWS CloudFormation ページが開きます。
AWS にまだログインしていない場合は、今すぐログインすると、AWS CloudFormation ページにリダイレクトされます。
OIDC Web ID プロバイダーを作成する
重要
以前のバージョンの AWS S3 コネクタの OIDC Web ID プロバイダーが既にある場合は、この手順をスキップし、 残りの AWS リソースの作成に進みます。
Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを既に設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとしてMicrosoft Sentinelを追加します。 Microsoft Sentinel用の新しい OIDC プロバイダーを作成しないでください。
新しいスタックを作成するには、AWS Console ページの手順に従います。
テンプレートを指定し、テンプレート ファイルをアップロードします。
[ ファイルの選択] を選択 し、ダウンロードした "Template 1_ OpenID connect authentication deployment.json" ファイルを探します。
スタックの名前を選択します。
プロセスの残りの部分を進め、スタックを作成します。
残りの AWS リソースを作成する
AWS CloudFormation スタック ページに戻り、新しいスタックを作成します。
[ ファイルの選択] を選択 し、ダウンロードした "テンプレート 2_ AWS WAF リソース deployment.json" ファイルを探します。
スタックの名前を選択します。
メッセージが表示されたら、Microsoft Sentinelワークスペース ID を入力します。 ワークスペース ID を見つけるには:
Azure portalの [Microsoft Sentinel] ナビゲーション メニューで、[構成] を展開し、[設定] を選択します。 [ ワークスペースの設定 ] タブを選択し、[Log Analytics ワークスペース] ページで [ワークスペース ID] を見つけます。
Defender ポータルのサイド リンク バー メニューで、[ システム ] を展開し、[ 設定] を選択します。 [Microsoft Sentinel] を選択し、[
[WORKSPACE_NAME]の設定] で [Log Analytics の設定] を選択します。 [Log Analytics ワークスペース] ページでワークスペース ID を見つけ、新しいブラウザー タブで開きます。
プロセスの残りの部分を進め、スタックを作成します。
ログ コレクターを追加する
リソース スタックがすべて作成されたら、Microsoft Sentinelのデータ コネクタ ページに開いているブラウザー タブに戻り、構成プロセスの 2 番目の部分を開始します。
[ 構成 ] セクションの [2] の下にあります。新しいコレクターを接続し、[ 新しいコレクターの追加] を選択します。
作成された IAM ロールのロール ARN を入力します。 ロールの既定の名前は OIDC_MicrosoftSentinelRoleされるため、ロール ARN は
arn:aws:iam::{AWS_ACCOUNT_ID}:role/OIDC_MicrosoftSentinelRole.作成された SQS キューの名前を入力します。 このキューの既定の名前は SentinelSQSQueue であるため、URL は
https://sqs.{AWS_REGION}.amazonaws.com/{AWS_ACCOUNT_ID}/SentinelSQSQueue.[ 接続 ] を選択してコレクターを追加します。 これにより、Azure Monitor エージェントのデータ収集ルールが作成され、ログが取得され、Log Analytics ワークスペース内の専用 AWSWAF テーブルに取り込まれます。
コネクタをテストして監視する
コネクタを設定したら、[ ログ ] ページ (または Defender ポータルの [高度なハンティング ] ページ) に移動し、次のクエリを実行します。 結果が得られると、コネクタは正常に動作しています。
AWSWAF | take 10まだ行っていない場合は、コネクタがデータを受信していない場合やコネクタに関するその他の問題を知ることができるように、 データ コネクタの正常性監視 を実装することをお勧めします。 詳細については、「 データ コネクタの正常性の監視」を参照してください。