Azure Functionsを PowerShell や Python などのさまざまなコーディング言語と組み合わせて使用して、互換性のあるデータ ソースの REST API エンドポイントへのサーバーレス コネクタを作成できます。 関数アプリをAzureすると、Microsoft Sentinelをデータ ソースの REST API に接続してログを取得できます。
この記事では、Azure Function Apps を使用するためのMicrosoft Sentinelを構成する方法について説明します。 また、ソース システムを構成する必要があり、ポータルの各データ コネクタのページ、またはサービスのセクションにあるベンダー固有および製品固有の情報リンクをMicrosoft Sentinel データ コネクタのリファレンス ページで見つけることができます。
注:
Microsoft Sentinelに取り込まれたデータは、Microsoft Sentinelを実行しているワークスペースの地理的な場所に格納されます。
長期保有のために、 補助ログなどのログの種類にデータを格納することもできます。 詳細については、「Microsoft Sentinelのログ保持プラン」を参照してください。
Azure Functionsを使用してデータをMicrosoft Sentinelに取り込む場合、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。
前提条件
Azure Functionsを使用してデータ ソースにMicrosoft Sentinel接続し、そのログをMicrosoft Sentinelにプルする前に、次のアクセス許可と資格情報があることを確認します。
Microsoft Sentinel ワークスペースに対する読み取りと書き込みのアクセス許可が必要です。
ワークスペースの共有キーに対する読み取りアクセス許可が必要です。 ワークスペース キーの詳細については、こちらをご覧ください。
関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 Azure Functionsの詳細については、こちらをご覧ください。
また、製品の API にアクセスするための資格情報 (ユーザー名とパスワード、トークン、キー、またはその他の組み合わせ) も必要です。 エンドポイント URI などの他の API 情報も必要になる場合があります。
詳細については、接続するサービスのドキュメントと、Microsoft Sentinel データ コネクタのリファレンス ページのサービスのセクションを参照してください。
Microsoft Sentinelの Content Hub から、Azure Functions ベースのコネクタを含むソリューションをインストールします。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。
データ ソースを構成して接続する
注:
ワークスペースと API 承認キーまたはトークンは、Azure Key Vaultに安全に格納できます。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。
一部のデータ コネクタは、 Kusto 関数 に基づいてパーサーに依存し、期待どおりに動作します。 Kusto 関数とエイリアスを作成する手順へのリンクについては、「Microsoft Sentinel データ コネクタのリファレンス ページ」のサービスのセクションを参照してください。
Azure Functions ランタイム構成
注:
Azure Functionsを使用するMicrosoft Sentinel コネクタには、プリコンパイル済みの Python 依存関係が含まれます。 Python バージョンを含むAzure関数アプリ ランタイムは、ソリューション ARM テンプレートで事前構成されているため、変更しないでください。
手順 1: ソース システムの API 資格情報を取得する
ソース システムの指示に従って 、API 資格情報/承認キー/トークンを取得します。 後で使用できるように、テキスト ファイルにコピーして貼り付けます。
必要な正確な資格情報の詳細と、それらを検索または作成するための製品の手順へのリンクは、ポータルのデータ コネクタ ページと、Microsoft Sentinel データ コネクタリファレンス ページのサービスのセクションにあります。
また、ソース システムでログやその他の設定を構成する必要がある場合もあります。 関連する手順は、前の段落の手順と一緒に確認できます。
手順 2: コネクタと関連付けられているAzure関数アプリをデプロイする
デプロイ オプションを選択する
この方法では、ARM テンプレートを使用して、Azure関数ベースのコネクタの自動デプロイを提供します。
Microsoft Sentinel ポータルで、[データ コネクタ] を選択します。 一覧から Azure Functions ベースのコネクタを選択し、[コネクタ ページを開く] を選択します。
[構成] で、Microsoft Sentinelワークスペース ID と主キーをコピーし、別に貼り付けます。
[Deploy to Azure] を選択します。 (下にスクロールしてボタンを見つける必要がある場合があります)。
[ カスタム デプロイ] 画面が表示されます。
Function App をデプロイする サブスクリプション、 リソース グループ、 リージョン を選択します。
上記の 手順 1 で保存した API 資格情報/承認キー/トークンを入力します。
コピーして脇に置いたMicrosoft Sentinelワークスペース ID とワークスペース キー (主キー) を入力します。
注:
上記のいずれかの値Azure Key Vaultシークレットを使用する場合は、文字列値の代わりに
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使用します。 詳細については、Key Vaultリファレンスのドキュメントを参照してください。[カスタムデプロイ] 画面でフォーム内の他のフィールドに入力します。 Microsoft Sentinel データ コネクタのリファレンス ページで、ポータルのデータ コネクタ ページまたはサービスのセクションを参照してください。
[確認 + 作成] を選びます。 検証が完了したら、[作成] を選択 します。
データを検索する
接続が正常に確立されると、[CustomLogs] の下の [ログ] にデータが表示され、[Microsoft Sentinel データ コネクタ] リファレンス ページのサービスのセクションに一覧表示されているテーブルに表示されます。
データのクエリを実行するには、クエリ ウィンドウに、これらのテーブル名 (または関連する Kusto 関数エイリアス) のいずれかを入力します。
便利なサンプル クエリについては、コネクタ ページの [ 次の手順 ] タブを参照してください。
接続を検証する
Log Analytics にログが表示されるまで、最大で 20 分かかる場合があります。
次の手順
このドキュメントでは、Azure Functions ベースのコネクタを使用してMicrosoft Sentinelをデータ ソースに接続する方法について説明しました。 Microsoft Sentinelの詳細については、次の記事を参照してください。
- データと潜在的な脅威を可視化する方法について説明します。
- Microsoft Sentinelで脅威の検出を開始します。
- ブックを使用して データを監視します。