サポート対象:1Password

1Password CCF コネクタを使用すると、ユーザーは 1Password Audit、Signin & ItemUsage イベントをMicrosoft Sentinelに取り込みます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• 1Password API トークン: 1Password API トークンが必要です。 API トークンを作成する方法については、 1Password のドキュメントを参照してください 。

セットアップ手順:

手順 1 - 1Password API トークンを作成します。

この手順のガイダンスについては、 1Password ドキュメント に従ってください。

手順 2 - 正しいベース URL を選択します。

イベントをホストする可能性のある複数の 1Password サーバーがあります。 正しいサーバーは、ライセンスとリージョンによって異なります。 1Password のドキュメントに従って、正しいサーバーを選択します。 ドキュメントに表示されるベース URL を入力します ('https://' を含み、末尾の '/' を含まない)。

手順 3 - 1Password の詳細を入力します。

次の API トークン & 1Password ベース URL を入力します。

• ベース URL: (ベース URL を入力)
• API トークン: (API トークンを入力)
• 接続の有効化/無効化

サポート対象:1Password

Microsoft Sentinel用の 1Password ソリューションを使用すると、1Password Events Reporting API を使用して、1Password Business アカウントからサインイン試行、アイテムの使用状況、監査イベントを取り込みます。 これにより、organizationが使用する他のアプリケーションやサービスと共に、Microsoft Sentinelの 1Password のイベントを監視および調査できます。

使用される基になる Microsoft Technologies:

このソリューションは次のテクノロジによって異なります。その一部は プレビュー 状態であるか、追加のインジェストまたは運用コストが発生する可能性があります。

• Azure Functions

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• 1Password Events API Token: 1Password Events API Token が必要です。 詳細については、 1Password API に関するページを参照してください。

メモ： 1Password Business アカウントが必要です

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して 1Password に接続し、ログをMicrosoft Sentinelにプルします。 これにより、Azureから追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

手順 1 - 1Password Events Reporting API の構成手順

1Password で提供されている手順に従って、イベント レポート API トークンを取得します。 メモ： 1Password Business アカウントが必要です

手順 2 - DeployToAzure ボタンを使用して functionApp をデプロイし、テーブル、dcr、および関連する Azure 関数を作成する

大事な： 1Password コネクタをデプロイする前に、カスタム テーブルを作成する必要があります。

オプション 1 - Azure Resource Manager (ARM) テンプレート

この方法では、ARM Tempate を使用した 1Password コネクタの自動デプロイが提供されます。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

3. ワークスペース名、ワークスペース名、1Password Events API キー、URI を入力します。

• 既定の [時間間隔] は 5 分に設定されます。 間隔を変更する場合は、(function.json ファイル内のデプロイ後) に応じて関数アプリ タイマー トリガーを調整して、データ インジェストの重複を防ぐことができます。
• 注: 上記のいずれかの値にAzure Key Vaultシークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier})schema を使用します。 詳細については、Key Vaultリファレンスのドキュメントを参照してください。

4. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。
5. [ 購入 ] をクリックしてデプロイします。

サポート対象:異常なセキュリティ

異常なセキュリティ データ コネクタは、異常なセキュリティ Rest API を使用して脅威とケース ログをMicrosoft Sentinelに取り込む機能を提供します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• 異常なSecurity API トークン: 異常なSecurity API トークンが必要です。 詳細については、「異常なSecurity API」を参照してください。 メモ： 異常なセキュリティ アカウントが必要です

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して、異常なセキュリティの REST API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

手順 1 - 異常なSecurity APIの構成手順

異常なセキュリティで提供されている手順に従って、REST API 統合を構成します。 メモ： 異常なセキュリティ アカウントが必要です

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な：異常なセキュリティ データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (次からコピーできます) と、すぐに使用できる異常なSecurity API承認トークンを用意してください。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

この方法では、ARM テンプレートを使用した異常なセキュリティ コネクタの自動デプロイが提供されます。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

3. [Microsoft Sentinel ワークスペース ID]、[共有キー]、[異常なセキュリティ REST API キー] のMicrosoft Sentinelを入力します。

• 既定の [時間間隔] は、過去 5 分のデータをプルするように設定されています。 時間間隔を変更する必要がある場合は、データ インジェストの重複を防ぐために、関数アプリ タイマー トリガーをそれに応じて (function.json ファイル内のデプロイ後に) 変更することをお勧めします。

4. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。
5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

Azure Functionsを使用して異常なセキュリティ データ コネクタを手動でデプロイするには、次の手順に従います (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: AbnormalSecurityXX)。

   e. ランタイムを選択します。 [Python 3.8] を選択します。

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[+ 新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加し、それぞれの文字列値 (大文字と小文字を区別します): logAnalyticsUri (省略可能) をSENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN (Function App で必要な他の設定を追加する) uri 値を に設定します。 <add uri value>

注: 上記のいずれかの値にAzure Key Vaultシークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier})schema を使用します。 詳細については、Azure Key Vaultリファレンスのドキュメントを参照してください。

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します。https://<CustomerId>.ods.opinsights.azure.us.

4. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート元:Microsoft Corporation

Agent 365 データ コネクタは、Microsoft Sentinel データ レイクの Agent 365、AI Foundry、Copilot から AI エージェント テレメトリを取得して、ハンティング、グラフ、MCP ワークフローを使用してエージェントの動作、ツールの使用状況、実行を調査することで、AI エージェントのアクティビティに関する豊富な分析情報を提供します。 このコネクタからのデータは、Microsoft Sentinelでの AI エージェントの動作、ツールの使用状況、実行を調査するために使用されます。 これらのワークフローを有効にした場合、このコネクタを非アクティブにすると、これらの調査が実行されなくなります。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

セットアップ手順:

サポート対象:AIShield

AIShield コネクタを使用すると、ユーザーはMicrosoft Sentinelを使用して AIShield カスタム防御メカニズム ログに接続できるため、動的なダッシュボード、ブック、ノートブック、およびカスタマイズされたアラートを作成して、AI システムに対する調査と阻止攻撃を改善できます。 ユーザーは、organizationの AI 資産のセキュリティのポスチャリングに関するより多くの洞察を得て、AI システムのセキュリティ運用機能を向上させます。AIShield.GuArdIan は、LLM によって生成されたコンテンツを分析して、有害なコンテンツを特定して軽減し、法的、ポリシー、ロールベース、および使用ベースの違反から保護します

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• 注: ユーザーは AIShield SaaS オファリングを利用して脆弱性分析を実施し、AI 資産と共に生成されたカスタム防御メカニズムをデプロイする必要があります。 詳細を確認したり、連絡を取ったりするには、ここをクリックしてください。

セットアップ手順:

メモ：このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、Microsoft Sentinel ソリューションと共にデプロイされる想定される AIShield として動作します。

大事な： AIShield コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを使用します (次からコピーできます)。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

サポート元:Microsoft Corporation

Alibaba Cloud ActionTrail データ コネクタは、Alibaba Cloud Simple Log Service に格納されている actiontrail イベントを取得し、SLS REST API を介してMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• SLS REST API の資格情報/アクセス許可: API 呼び出しを行う場合は 、AliCloudAccessKeyId と AliCloudAccessKeySecret が必要です。 RAM ユーザーにこの操作を呼び出すアクセス許可を付与するには、リソース acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}に対して少なくともlog:GetLogStoreLogsのアクションを持つ RAM ポリシー ステートメントが必要です。

セットアップ手順:

AliCloud SLS API へのアクセスを構成する

API を使用する前に、ID アカウントとアクセス キー ペアを準備して、API に効果的にアクセスする必要があります。

1. API 操作を呼び出すには、Resource Access Management (RAM) ユーザーを使用することをお勧めします。 詳細については、「 RAM ユーザーを作成し、RAM ユーザーが Simple Log Service にアクセスすることを承認する」を参照してください。
2. RAM ユーザーのアクセス キー ペアを取得します。 詳細については、「 アクセス キー のペアを取得する」を参照してください。

次の手順のアクセス キー ペアの詳細に注意してください。

ActionTrail Logstore の追加

Microsoft Sentinelの Alibaba Cloud ActionTrail コネクタを有効にするには、ActionTrail Logstore の追加をクリックし、フォームに Alibaba Cloud 環境の構成を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

Alibaba Cloud Networking データ コネクタは、Simple Log Service (SLS) REST API を使用して、Alibaba Cloud ネットワーク データをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタは、Alibaba Cloud から VPC フロー ログ、WAF ログ、API ゲートウェイ ログを取得する機能を提供します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Alibaba Cloud SLS API アクセス: SLS API には 、Alibaba Cloud Simple Log Service アクセスが必要です。

セットアップ手順:

AliCloud SLS API へのアクセスを構成する

API を使用する前に、ID アカウントとアクセス キー ペアを準備して、API に効果的にアクセスする必要があります。

1. API 操作を呼び出すには、Resource Access Management (RAM) ユーザーを使用することをお勧めします。 詳細については、「 RAM ユーザーを作成し、RAM ユーザーが Simple Log Service にアクセスすることを承認する」を参照してください。
2. RAM ユーザーのアクセス キー ペアを取得します。 詳細については、「 アクセス キー のペアを取得する」を参照してください。

次の手順のアクセス キー ペアの詳細に注意してください。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

AliCloud データ コネクタは、クラウド API を使用してクラウド アプリケーションからログを取得し、REST API を介してイベントをMicrosoft Sentinelに格納する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、 AliCloudAccessKeyId と AliCloudAccessKey が必要です。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用してAzure Blob Storage API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、データ インジェストとAzure Blob Storage コストにデータを格納するための追加コストが発生する可能性があります。 詳細については、Azure Functions価格ページとAzure Blob Storage価格ページを確認してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

メモ：このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、Microsoft Sentinel ソリューションと共にデプロイされた期待される AliCloud として動作します。

手順 1 - AliCloud API の構成手順

手順に従って資格情報を取得します。

1. AliCloudAccessKeyId と AliCloudAccessKey: アカウントにログインし、[AccessKey Management] をクリックし、[シークレットの表示] をクリックします。
2. データ コネクタで使用するための資格情報を保存します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： AliCloud データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (次からコピーできます)。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して AliCloud データ コネクタを自動デプロイするには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

メモ：同じリソース グループ内では、同じリージョン内の Windows アプリとLinux アプリを混在させる必要があります。 Windows アプリを含まない既存のリソース グループを選択するか、新しいリソース グループを作成します。 3. WorkspaceID、WorkspaceKey、AliCloudAccessKeyId、AliCloudAccessKey、AliCloudProjects、AppInsightsWorkspaceResourceID を入力してデプロイします。 4. 上記の使用条件に同意するというラベルが付いたチェックボックスをオンにします。 5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

Azure Functionsを使用して AliCloud データ コネクタを手動でデプロイするには、次の手順に従います (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: AliCloudXXXXX)。

   e. ランタイムを選択します。 [Python 3.11] を選択します。

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加します。それぞれの文字列値 (大文字と小文字が区別されます): WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

4. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート元:Microsoft Corporation

AWS に接続して CloudTrail ログをMicrosoft Sentinelにストリーミングする手順は、インストール プロセス中に表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

サポート元:Microsoft Corporation

このデータ コネクタを使用すると、AWS CloudFront ログとMicrosoft Sentinelを統合して、高度な脅威検出、調査、セキュリティの監視をサポートできます。 ログ ストレージに Amazon S3 を使用し、メッセージ キューに Amazon SQS を使用することで、コネクタは CloudFront アクセス ログを確実にMicrosoft Sentinelに取り込みます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

Microsoft Sentinelでの AWS CloudFront ログの取り込み

必要なリソースの一覧:

• Open ID Connect (OIDC) Web ID プロバイダー
• IAM ロール
• Amazon S3 バケット
• Amazon SQS
• AWS CloudFront の構成

1. AWS CloudFormation Deployment AWS でのアクセスを構成するために、S3 バケットから Log Analytics ワークスペースにログを送信するように AWS 環境を設定する 2 つのテンプレートが生成されました。

テンプレートごとに、AWS で Stack を作成します。

1. AWS CloudFormation Stacks に移動します。
2. [テンプレートの指定] オプションを選択し、[ファイルの選択] をクリックし、以下に示す適切な CloudFormation テンプレート ファイルを選択して、[テンプレート ファイルのアップロード] を選択します。 [ファイルの選択] をクリックし、ダウンロードしたテンプレートを選択します。
3. [次へ] と [スタックの作成] をクリックします。

• テンプレート 1: OpenID connect 認証のデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWSCloudFront リソースのデプロイ: インストール時に指定 <可変値>

2. 新しいコレクターを接続する AWS S3 for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

Microsoft Sentinel用 AWS Elastic Load Balancing (ELB) コネクタを使用すると、AWS Application Load Balancers (ALB)、Network Load Balancers (NLB)、Gateway Load Balancers (GLB) からのアクセス ログとフロー ログをMicrosoft Sentinelに取り込むことができます。 これらのログは、ロード バランサーと VPC トラフィック フローによって処理される要求に関する詳細情報を提供し、セキュリティ監視、脅威検出、トラフィック分析を可能にします。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• AWS IAM ロール ARN と SQS キュー: クロスアカウント アクセスを持つ AWS IAM ロール ARN と、S3 イベント通知用に構成された SQS キュー URL が必要です。 セットアップ手順については、 AWS ELB コネクタのドキュメントを参照してください 。

セットアップ手順:

1. AWS CloudFormation Deployment AWS でのアクセスを構成するには、CloudFormation テンプレートを使用して、ALB、NLB、GLB から Log Analytics ワークスペースにログを送信するように環境を設定します。

デプロイ手順:

1. [Cloud Formation Templates]\(クラウドフォーメーション テンプレート\) に移動し、JSON テンプレート ファイルをダウンロードします。
2. AWS CloudFormation Stacks に移動します。
3. まず、OIDCWebIdProvider.json テンプレートをデプロイします (Microsoft Sentinel用の OIDC プロバイダーが既にある場合はスキップします)。
4. 次に、 パラメーターを使用してAWSS3ELB.json テンプレートをデプロイします。
5. スタック出力から次の値をメモします。
   • IAMRoleArn
   • ALBSQSQueueURL
   • NLBSQSQueueURL
   • NLBFlowLogsSQSQueueURL
   • GLBFlowLogsSQSQueueURL

デプロイ後の構成:

CloudFormation スタックが正常にデプロイされたら、

• スタックの [ リソース ] タブに移動します。
• 作成した S3 バケット名を見つけます。
• S3 バケットで、次のフォルダーを手動で作成します。
  • ALBLogs
  • NLBAccessLogs
  • NLBFlowLogs
  • GLBFlowLogs

ログの送信:

フォルダーの作成後、適切なフォルダーにログを送信するように AWS サービスを構成します。

• ALB アクセス ログ ->ALBLogs/
• NLB アクセス ログ ->NLBAccessLogs/
• NLB フロー ログ ->NLBFlowLogs/
• GLB フロー ログ ->GLBFlowLogs/

これらのログは、Log Analytics ワークスペース内の対応するテーブルに取り込まれます。

テーブル マッピング:

• ALB アクセス ログ ->AWSALBAccessLogsData
• NLB アクセス ログ ->AWSNLBAccessLogsData
• NLB および GLB フロー ログ ->AWSELBFlowLogsData

メモ：AWSELBFlowLogsData テーブルでは、LogType という名前の列は、行が NLB フロー ログまたは GLB フロー ログの行であるかどうかを示します。

2. 新しいコレクターを接続する コネクタを有効にするには、[ 新しいコレクターの追加] をクリックし、必要な詳細を入力して、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

このデータ コネクタを使用すると、高度な脅威検出とセキュリティ監視のために AWS Network Firewall ログをMicrosoft Sentinelに取り込むことができます。 Amazon S3 と Amazon SQS を利用することで、コネクタはネットワーク トラフィック ログ、侵入検出アラート、ファイアウォール イベントをMicrosoft Sentinelに転送し、他のセキュリティ データとのリアルタイム分析と相関関係を実現します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

Microsoft Sentinelでの AWS NetworkFirewall ログの取り込み

必要なリソースの一覧:

• Open ID Connect (OIDC) Web ID プロバイダー
• IAM ロール
• Amazon S3 バケット
• Amazon SQS
• AWSNetworkFirewall の構成
• AWS NetworkFirewall Data コネクタの構成については、こちらの手順に従ってください

1. AWS CloudFormation Deployment AWS でのアクセスを構成するために、S3 バケットから Log Analytics ワークスペースにログを送信するように AWS 環境を設定する 2 つのテンプレートが生成されました。

テンプレートごとに、AWS で Stack を作成します。

1. AWS CloudFormation Stacks に移動します。
2. [テンプレートの指定] オプションを選択し、[ファイルの選択] をクリックし、以下に示す適切な CloudFormation テンプレート ファイルを選択して、[テンプレート ファイルのアップロード] を選択します。 [ファイルの選択] をクリックし、ダウンロードしたテンプレートを選択します。
3. [次へ] と [スタックの作成] をクリックします。

• テンプレート 1: OpenID connect 認証のデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWSNetworkFirewall リソースのデプロイ: インストール時に指定 <可変値>

2. 新しいコレクターを接続する AWS S3 for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

このコネクタを使用すると、AWS S3 バケットで収集された AWS サービスログをMicrosoft Sentinelに取り込むことができます。 現在サポートされているデータ型は次のとおりです。

• AWS CloudTrail
• VPC フロー ログ
• AWS GuardDuty
• AWSCloudWatch

詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• 環境: S3、Simple Queue Service (SQS)、IAM ロールとアクセス許可ポリシー、ログを収集する AWS サービスの AWS リソースを定義して構成する必要があります。

セットアップ手順:

1. AWS 環境を設定する

S3 バケットから Log Analytics ワークスペースにログを送信するように AWS 環境を設定するには、次の 2 つのオプションがあります。

PowerShell スクリプトを使用したセットアップ (推奨)

• スクリプトを実行して環境を設定する: インストール時に指定 <可変値>
• 外部 ID (ワークスペース ID): インストール時に指定<可変値>

手動セットアップ

次のリンクの指示に従って、環境を設定します。AWS S3 を Microsoft Sentinelに接続する

2. 接続を追加する

サポート元:Microsoft Corporation

このコネクタを使用すると、AWS Route 53 DNS ログをMicrosoft Sentinelに取り込み、可視性と脅威検出を強化できます。 AWS S3 バケットから直接取り込まれた DNS リゾルバー クエリ ログがサポートされていますが、パブリック DNS クエリ ログと Route 53 監査ログは、Microsoft Sentinelの AWS CloudWatch コネクタと CloudTrail コネクタを使用して取り込むことができます。 各ログの種類のセットアップをガイドする包括的な手順が用意されています。 このコネクタを利用して、DNS アクティビティを監視し、潜在的な脅威を検出し、クラウド環境のセキュリティ体制を改善します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

AWS Route53

このコネクタを使用すると、AWS Route 53 DNS ログをMicrosoft Sentinelに取り込むことができます。これにより、DNS アクティビティの可視性が強化され、脅威検出機能が強化されます。 AWS S3 バケットからの DNS リゾルバー クエリ ログの直接インジェストがサポートされていますが、パブリック DNS クエリ ログと Route 53 監査ログは、Microsoft Sentinelの AWS CloudWatch コネクタと CloudTrail コネクタを介して取り込むことができます。 ログの種類ごとに詳細なセットアップ手順が提供されます。 このコネクタを使用して、DNS トラフィックを監視し、潜在的な脅威を特定し、クラウドのセキュリティ体制を強化します。

AWS Route 53 から次の種類のログを取り込んでMicrosoft Sentinelできます。

1. Route 53 Resolver クエリ ログ
2. Route 53 Public Hosted zones クエリ ログ (cloudWatch コネクタMicrosoft Sentinel経由)
3. Route 53 監査ログ (Microsoft Sentinel CloudTrail コネクタ経由)

Microsoft Sentinelでの Route53 リゾルバー クエリ ログの取り込み

必要なリソースの一覧:

• Open ID Connect (OIDC) Web ID プロバイダー
• IAM ロール
• Amazon S3 バケット
• Amazon SQS
• Route 53 Resolver クエリ ログの構成
• Route53 リゾルバークエリログ構成に関連付ける VPC

1. AWS CloudFormation Deployment AWS でのアクセスを構成するために、S3 バケットから Log Analytics ワークスペースにログを送信するように AWS 環境を設定する 2 つのテンプレートが生成されました。

テンプレートごとに、AWS で Stack を作成します。

1. AWS CloudFormation Stacks に移動します。
2. [テンプレートの指定] オプションを選択し、[ファイルの選択] をクリックし、以下に示す適切な CloudFormation テンプレート ファイルを選択して、[テンプレート ファイルのアップロード] を選択します。 [ファイルの選択] をクリックし、ダウンロードしたテンプレートを選択します。
3. [次へ] と [スタックの作成] をクリックします。

• テンプレート 1: OpenID connect 認証のデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWS Route53 リソースのデプロイ: <インストール時に提供される可変値>

2. 新しいコレクターを接続する Microsoft Sentinelに対して Amazon Web Services S3 DNS Route53 を有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

Route 53 パブリック ホステッド ゾーン クエリ ログの取り込み (cloudWatch コネクタ経由Microsoft Sentinel)

パブリックホストゾーンクエリログは、AWS の CloudWatch サービスにエクスポートされます。 'Amazon Web Services S3' コネクタを使用して、AWS から Microsoft Sentinel に CloudWatch ログを取り込むことができます。

手順 1: パブリック DNS クエリのログ記録を構成する

1. AWS Management Console にサインインし、AWS Route 53 で Route 53 コンソールを開きます。
2. Route 53 > Hosted zones に移動します。
3. クエリ ログを構成するパブリック ホストゾーンを選択します。
4. [ホストゾーンの詳細] ウィンドウで、[クエリ ログの構成] をクリックします。
5. 既存のログ グループを選択するか、新しいログ グループを作成します。
6. [作成] を選択します。

手順 2: AWS CloudWatch 用に Amazon Web Services S3 データ コネクタを構成する

AWS CloudWatch ログは、ラムダ関数を使用して S3 バケットにエクスポートできます。 パブリック DNS クエリをAWS CloudWatchからバケットS3取り込み、Microsoft Sentinelするには、Amazon Web Services S3 コネクタに記載されている手順に従います。

Route 53 監査ログの取り込み (cloudTrail コネクタMicrosoft Sentinel経由)

Route 53 監査ログ(つまり、Route 53 のユーザー、ロール、または AWS サービスによって実行されたアクションに関連するログ)は、AWS CloudTrail サービスを介して S3 バケットにエクスポートできます。 'Amazon Web Services S3' コネクタを使用して、AWS から Microsoft Sentinel に CloudTrail ログを取り込むことができます。

手順 1: AWS Route 53 監査ログのログ記録を構成する

1. AWS Management Console にサインインし、AWS CloudTrail で CloudTrail コンソールを開きます
2. 既存の証跡がない場合は、[証跡の作成] をクリックします
3. [証跡名] フィールドに証跡の名前を入力します。
4. [新しい S3 バケットの作成] を選択します (既存の S3 バケットを使用することもできます)。
5. 他の設定は既定値のままにして、[次へ] をクリックします。
6. [イベントの種類] を選択し、[管理イベント] が選択されていることを確認します。
7. [API アクティビティ]、[読み取り] 、および [書き込み] を選択します
8. [次へ] をクリックします。
9. 設定を確認し、[証跡の作成] をクリックします。

手順 2: AWS CloudTrail 用に Amazon Web Services S3 データ コネクタを構成する

AWS CloudTrailからMicrosoft Sentinelに監査ログと管理ログを取り込むには、Amazon Web Services S3 コネクタに記載されている手順に従います

サポート元:Microsoft Corporation

このコネクタを使用すると、AWS S3 バケットで収集された AWS WAF ログをMicrosoft Sentinelに取り込むことができます。 AWS WAF ログは、Web アクセス制御リスト (ACL) が分析するトラフィックの詳細なレコードであり、Web アプリケーションのセキュリティとパフォーマンスを維持するために不可欠です。 これらのログには、AWS WAF が要求を受信した時刻、要求の詳細、要求が一致したルールによって実行されたアクションなどの情報が含まれます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

1. AWS CloudFormation Deployment AWS でのアクセスを構成するために、S3 バケットから Log Analytics ワークスペースにログを送信するように AWS 環境を設定する 2 つのテンプレートが生成されました。

テンプレートごとに、AWS で Stack を作成します。

1. AWS CloudFormation Stacks に移動します。
2. [テンプレートの指定] オプションを選択し、[ファイルの選択] をクリックし、以下に示す適切な CloudFormation テンプレート ファイルを選択して、[テンプレート ファイルのアップロード] を選択します。 [ファイルの選択] をクリックし、ダウンロードしたテンプレートを選択します。
3. [次へ] と [スタックの作成] をクリックします。

• テンプレート 1: OpenID connect 認証のデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWS WAF リソースのデプロイ: <インストール時に提供される可変値>

2. 新しいコレクターを接続する AWS S3 for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート対象:Anvilogic

Anvilogic データ コネクタを使用すると、Anvilogic ADX クラスターで生成された関心のあるイベントをMicrosoft Sentinelにプルできます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Anvilogic アプリケーション登録クライアント ID とクライアント シークレット: Anvilogic ADX にアクセスするには、Anvilogic アプリの登録からクライアント ID とクライアント シークレットが必要です

セットアップ手順:

Anvilogic に接続して、関心のあるイベントの収集を開始Microsoft Sentinel

フォームに入力して、Anvilogic Alerts をMicrosoft Sentinelに取り込む

• トークン エンドポイント: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
• Anvilogic ADX スコープ: (<avl_adx_uri>/.default)
• Anvilogic ADX 要求 URI: (<avl_adx_uri>/v2/rest/query)

サポート対象:ARGOS クラウド セキュリティ

Microsoft Sentinel用の ARGOS Cloud Security 統合を使用すると、すべての重要なクラウド セキュリティ イベントを 1 か所で行うことができます。 これにより、ダッシュボード、アラートを簡単に作成し、複数のシステム間でイベントを関連付けることができます。 全体的に、これにより、organizationのセキュリティ体制とセキュリティ インシデント対応が向上します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

セットアップ手順:

1. ARGOS をサブスクライブする

ARGOS サブスクリプションを既に所有していることを確認します。 そうでない場合は、 ARGOS Cloud Security に移動し、ARGOS にサインアップします。

または、Azure Marketplace 経由で ARGOS を購入することもできます。

2. ARGOS からSentinel統合を構成する

ARGOS にワークスペース ID と主キーを指定して、新しい検出を Sentinel ワークスペースに転送するように ARGOS を構成します。

カスタム インフラストラクチャをデプロイする必要はありません。

ARGOS Sentinel構成ページに情報を入力します。

新しい検出が自動的に転送されます。

統合の詳細

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

サポート対象:Armis Corporation

Armis Alerts Activities コネクタは、Armis REST API を介して Armis アラートとアクティビティをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント「 https://<YourArmisInstance>.armis.com/api/v1/docs 」を参照してください。 コネクタは、Armis プラットフォームからアラートとアクティビティの情報を取得し、環境内の脅威を特定して優先順位を付ける機能を提供します。 Armis は、既存のインフラストラクチャを使用して、エージェントをデプロイすることなくデバイスを検出して識別します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。 https://<YourArmisInstance>.armis.com/api/v1/doc

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して Armis API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

メモ： このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、ソリューションの一部としてデプロイされる想定どおりに動作します。 Log Analytics で関数コードを表示するには、[Log Analytics/Microsoft Sentinel ログ] ブレードを開き、[関数] をクリックし、エイリアス ArmisActivities/ArmisAlerts を検索し、関数コードを読み込みます。 この関数は、通常、ソリューションのインストール/更新後にアクティブ化されるまでに 10 分から 15 分かかります。

手順 1 - Armis API の構成手順

Armis API シークレット キーを作成するには、次の手順に従います。

1. Armis インスタンスにログインする
2. [設定] -> API Management に移動します
3. シークレット キーがまだ作成されていない場合は、[作成] ボタンを押して秘密キーを作成します
4. シークレット キーにアクセスするには、[表示] ボタンを押します
5. Armis Alerts Activities コネクタの構成中にシークレット キーをコピーして使用できるようになりました

手順 2 - Microsoft Entra IDのアプリケーションのアプリ登録手順

この統合には、Azure portalでのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra IDで新しいアプリケーションを作成します。

1. Azure portal にサインインし
2. Microsoft Entra IDを検索して選択します。
3. [管理] で、[アプリの登録 >新しい登録] を選択します。
4. アプリケーションの表示 名 を入力します。
5. [ 登録 ] を選択して、最初のアプリの登録を完了します。
6. 登録が完了すると、Azure portalにアプリ登録の [概要] ウィンドウが表示されます。 アプリケーション (クライアント) ID とテナント ID が表示されます。 Armis Alerts Activities Data Connector を実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。

リファレンス リンク:/azure/active-directory/develop/quickstart-register-app

手順 3 - アプリケーションのクライアント シークレットをMicrosoft Entra IDに追加する

アプリケーション パスワードと呼ばれることもあります。クライアント シークレットは、Armis Alerts Activities Data Connector の実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。

1. Azure portalの [アプリの登録] で、アプリケーションを選択します。
2. [ 証明書] & [シークレット] > [クライアント シークレット] > [新しいクライアント シークレット] を選択します。
3. クライアント シークレットの説明を追加します。
4. シークレットの有効期限を選択するか、カスタム有効期間を指定します。 制限は 24 か月です。
5. [追加] を選択します。
6. クライアント アプリケーション コードで使用するシークレットの値を記録します。 このシークレット値は、このページを離れた後に再び表示されることはありません。 シークレット値は、Armis Alerts Activities Data Connector の実行の構成パラメーターとして必要です。

リファレンス リンク:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

手順 4 - Microsoft Entra IDのアプリケーションに共同作成者のロールを割り当てる

このセクションの手順に従って、ロールを割り当てます。

1. Azure portalで、[リソース グループ] に移動し、リソース グループを選択します。
2. 左側のパネルから [アクセス制御 (IAM)] に移動します。
3. [追加] をクリック し、[ロールの割り当ての追加] を選択します。
4. [ 共同作成者] をロールとして選択し、[次へ] をクリックします。
5. [ アクセスの割り当て先] で、[ User, group, or service principal] を選択します。
6. [メンバーの追加] をクリック し、作成したアプリ名を入力 して選択します。
7. [ 確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。

リファレンス リンク:/azure/role-based-access-control/role-assignments-portal

手順 5 - Keyvault を作成する

新しい Keyvault を作成するには、次の手順に従います。

1. Azure portalで、[キー コンテナー] に移動します。 [作成] をクリックします。
2. [サブシプション]、[リソース グループ] の順に選択し、keyvault の一意の名前を指定します。

注: 1 つのワークスペース内に API キーごとに個別のキー コンテナーを作成します。

手順 6 - Keyvault でアクセス ポリシーを作成する

Keyvault でアクセス ポリシーを作成するには、次の手順に従います。

1. [keyvaults] に移動し、keyvault を選択し、左側のパネルの [アクセス ポリシー] に移動します。 [作成] をクリックします。
2. シークレットのアクセス許可 & すべてのキーを選択します。 [次へ] をクリックします。
3. [プリンシパル] セクションで、STEP - 2 で生成されたアプリケーション名で検索します。 [次へ] をクリックします。

注: Key Vaultのアクセス構成のアクセス許可モデルが 'Vault アクセス ポリシー' に設定されていることを確認します

手順 7 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： Armis Alerts Activities データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピーできます) をすぐに入手できます。..、Armis API 承認キーも用意してください。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

Armis コネクタの自動デプロイには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.msaka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

3. 次の情報を入力します: 関数名 ワークスペース ID ワークスペース キー Armis シークレット キー Armis URL (https://<armis-instance>.armis.com/api/v1/) Armis Alert Table Name
   Armis アクティビティ テーブル名の重大度 (既定値: 低) Armis Schedule KeyVault Name Azureクライアント ID Azureクライアント シークレット テナント ID

4. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。

5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

次の手順に従って、Azure Functionsを使用して Armis Alerts Activities データ コネクタを手動でデプロイします (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: ARMISXXXXX)。

   e. ランタイムを選択します。 Python 3.11 を選択する

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[+ 新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加します。それぞれの値 (大文字と小文字を区別): ワークスペース ID ワークスペース キー Armis Secret Key Armis URL (https://<armis-instance>.armis.com/api/v1/) Armis Alert Table Name Armis Activity Table Name Severity (Default: Low) Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id logAnalyticsUri (省略可能)

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

4. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート対象:Armis Corporation

Armis Device コネクタは、Armis REST API を介して Armis デバイスをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、API のドキュメント「 https://<YourArmisInstance>.armis.com/api/v1/docs 」を参照してください。 コネクタは、Armis プラットフォームからデバイス情報を取得する機能を提供します。 Armis は、既存のインフラストラクチャを使用して、エージェントをデプロイすることなくデバイスを検出して識別します。 Armis は、既存の IT & セキュリティ管理ツールと統合して、環境内で管理または管理されていない各デバイスを識別して分類することもできます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• REST API の資格情報/アクセス許可: Armis シークレット キー が必要です。 API の詳細については、ドキュメントを参照してください。 https://<YourArmisInstance>.armis.com/api/v1/doc

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して Armis API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

注: このデータ コネクタは、想定どおりに動作する Kusto 関数に基づくパーサーに依存します。 次の手順に従って 、Kusto 関数エイリアス ArmisDevice を作成します。

手順 1 - Armis API の構成手順

Armis API シークレット キーを作成するには、次の手順に従います。

1. Armis インスタンスにログインする
2. [設定] -> API Management に移動します
3. シークレット キーがまだ作成されていない場合は、[作成] ボタンを押して秘密キーを作成します
4. シークレット キーにアクセスするには、[表示] ボタンを押します
5. Armis Device コネクタの構成中にシークレット キーをコピーして使用できるようになりました

手順 2 - Microsoft Entra IDのアプリケーションのアプリ登録手順

この統合には、Azure portalでのアプリの登録が必要です。 このセクションの手順に従って、Microsoft Entra IDで新しいアプリケーションを作成します。

1. Azure portal にサインインし
2. Microsoft Entra IDを検索して選択します。
3. [管理] で、[アプリの登録 >新しい登録] を選択します。
4. アプリケーションの表示 名 を入力します。
5. [ 登録 ] を選択して、最初のアプリの登録を完了します。
6. 登録が完了すると、Azure portalにアプリ登録の [概要] ウィンドウが表示されます。 アプリケーション (クライアント) ID とテナント ID が表示されます。 Armis Device Data Connector を実行するための構成パラメーターとして、クライアント ID とテナント ID が必要です。

リファレンス リンク:/azure/active-directory/develop/quickstart-register-app

手順 3 - アプリケーションのクライアント シークレットをMicrosoft Entra IDに追加する

アプリケーション パスワードと呼ばれることもあります。クライアント シークレットは、Armis Device Data Connector の実行に必要な文字列値です。 このセクションの手順に従って、新しいクライアント シークレットを作成します。

1. Azure portalの [アプリの登録] で、アプリケーションを選択します。
2. [ 証明書] & [シークレット] > [クライアント シークレット] > [新しいクライアント シークレット] を選択します。
3. クライアント シークレットの説明を追加します。
4. シークレットの有効期限を選択するか、カスタム有効期間を指定します。 制限は 24 か月です。
5. [追加] を選択します。
6. クライアント アプリケーション コードで使用するシークレットの値を記録します。 このシークレット値は、このページを離れた後に再び表示されることはありません。 Armis Device Data Connector の実行には、構成パラメーターとしてシークレット値が必要です。

リファレンス リンク:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

手順 4 - Microsoft Entra IDのアプリケーションに共同作成者のロールを割り当てる

このセクションの手順に従って、ロールを割り当てます。

1. Azure portalで、[リソース グループ] に移動し、リソース グループを選択します。
2. 左側のパネルから [アクセス制御 (IAM)] に移動します。
3. [追加] をクリック し、[ロールの割り当ての追加] を選択します。
4. [ 共同作成者] をロールとして選択し、[次へ] をクリックします。
5. [ アクセスの割り当て先] で、[ User, group, or service principal] を選択します。
6. [メンバーの追加] をクリック し、作成したアプリ名を入力 して選択します。
7. [ 確認と割り当て] をクリックし、もう一度 [確認と割り当て] をクリックします。

リファレンス リンク:/azure/role-based-access-control/role-assignments-portal

手順 5 - Keyvault を作成する

新しい Keyvault を作成するには、次の手順に従います。

1. Azure portalで、[キー コンテナー] に移動します。 [作成] をクリックします。
2. [サブシプション]、[リソース グループ] の順に選択し、keyvault の一意の名前を指定します。

注: 1 つのワークスペース内に API キーごとに個別のキー コンテナーを作成します。

手順 6 - Keyvault でアクセス ポリシーを作成する

Keyvault でアクセス ポリシーを作成するには、次の手順に従います。

1. [keyvaults] に移動し、keyvault を選択し、左側のパネルの [アクセス ポリシー] に移動します。 [作成] をクリックします。
2. シークレットのアクセス許可 & すべてのキーを選択します。 [次へ] をクリックします。
3. [プリンシパル] セクションで、STEP - 2 で生成されたアプリケーション名で検索します。 [次へ] をクリックします。

注: Key Vaultのアクセス構成のアクセス許可モデルが 'Vault アクセス ポリシー' に設定されていることを確認します

手順 7 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： Armis Device データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (次からコピーできます) をすぐに入手できます。..、Armis API 承認キーも用意してください。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

Armis コネクタの自動デプロイには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.msaka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

3. 次の情報を入力します: Function Name Workspace ID Workspace Key Armis Secret Key Armis URL (https://<armis-instance>.armis.com/api/v1/) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id

4. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。

5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

次の手順に従って、Azure Functionsを使用して Armis Device データ コネクタを手動でデプロイします (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: ARMISXXXXX)。

   e. ランタイムを選択します。 Python 3.11 を選択する

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[+ 新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加します(大文字と小文字が区別されます): ワークスペース ID ワークスペース キー Armis Secret Key Armis URL (https://<armis-instance>.armis.com/api/v1/) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id logAnalyticsUri (省略可能)

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

4. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート対象: :DEFEND Ltd.

Atlassian Beacon は、Atlassian プラットフォーム (Jira、Confluence、Atlassian 管理) 全体でインテリジェントな脅威検出用に構築されたクラウド製品です。 これにより、ユーザーは Atlassian 製品スイートの危険なユーザー アクティビティを検出、調査、対応できます。 このソリューションは、ロジック アプリを介してMicrosoft Sentinelするために Atlassian Beacon から取り込まれたアラートを視覚化するために使用される、DEFEND Ltd. のカスタム データ コネクタです。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

セットアップ手順:

1. Microsoft Sentinel

1. 新しくインストールされたロジック アプリ 'Atlassian Beacon Integration' に移動します

2. [ロジック アプリ デザイナー] に移動します

3. [HTTP 要求が受信されたとき] を展開します

4. 'HTTP POST URL' をコピーする

2. Atlassian Beacon

1. 管理者アカウントを使用して Atlassian Beacon にログインする

2. [設定] の [SIEM 転送] に移動します

3. テキスト ボックスに Logic App からコピーした URL を貼り付けます

4. [保存] ボタンをクリックします

3. テストと検証

1. 管理者アカウントを使用して Atlassian Beacon にログインする

2. [設定] の [SIEM 転送] に移動します

3. 新しく構成された Webhook の横にある [テスト] ボタンをクリックします

4. [Microsoft Sentinel] に移動します

5. 新しくインストールされたロジック アプリに移動します

6. [実行履歴] でロジック アプリの実行を確認します

7. 'Logs' のテーブル名 'atlassian_beacon_alerts_CL' の下のログを確認します

8. 分析ルールが有効になっている場合は、上記のテスト アラートによって、Microsoft Sentinelにインシデントが作成されているはずです

サポート元:Microsoft Corporation

Atlassian Confluence Audit データ コネクタは、Confluence Audit Records イベントを REST API を介してMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Atlassian Confluence API アクセス: Confluence 監査ログ API にアクセスするには、 Confluence の管理 のアクセス許可が必要です。 監査 API の詳細については、 Confluence API のドキュメント を参照してください。

セットアップ手順:

Atlassian Confluence API に接続して、Microsoft Sentinelで監査ログの収集を開始します

Microsoft Sentinelの Atlassian Confluence コネクタを有効にするには、クリックしてorganizationを追加し、Confluence 環境の資格情報でフォームに入力し、[接続] をクリックします。 API トークンを作成するには、 次の手順 に従います。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• REST API の資格情報/アクセス許可: JiraAccessToken、 JiraUsername は REST API に必要です。 詳細については、「 API」を参照してください。 すべての 要件を確認し、資格情報を取得する手順に従います 。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して Jira REST API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

注: このデータ コネクタは、想定どおりに動作する Kusto 関数に基づくパーサーに依存します。 Kusto 関数エイリアス JiraAudit を作成するには、次の手順に従います。

手順 1 - Jira API の構成手順

手順に従って 資格情報を取得します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： ワークスペース データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを使用します (次からコピーできます)。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM Tempate を使用した Jira Audit データ コネクタの自動デプロイには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.msaka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

メモ：同じリソース グループ内では、同じリージョン内の Windows アプリとLinux アプリを混在させる必要があります。 Windows アプリを含まない既存のリソース グループを選択するか、新しいリソース グループを作成します。 3. JiraAccessToken、JiraUsername、JiraHomeSiteName (短いサイト名の部分、例: https://community.atlassian.comの HOMESITENAME) を入力して展開します。 4. 上記の使用条件に同意するというラベルが付いたチェックボックスをオンにします。 5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

次の手順に従って、Azure Functionsを使用して Jira Audit データ コネクタを手動でデプロイします (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: JiraAuditXXXXX)。

   e. ランタイムを選択します。 [Python 3.11] を選択します。

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加します。それぞれの文字列値 (大文字と小文字が区別されます): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (省略可能)

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

3. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート元:Microsoft Corporation

Atlassian Jira Audit データ コネクタは、REST API を介して Jira Audit Records イベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 API ドキュメント を参照してください。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Atlassian Jira API アクセス: Jira 監査ログ API にアクセスするには、 Jira の管理 のアクセス許可が必要です。 監査 API の詳細については、 Jira API のドキュメント を参照してください。

セットアップ手順:

Microsoft Sentinelの Atlassian Jira コネクタを有効にするには、クリックしてorganizationを追加し、フォームに Jira 環境の資格情報を入力し、[接続] をクリックします。 API トークンを作成するには、 次の手順 に従います。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

Auth0 データ コネクタを使用すると、Auth0 API からMicrosoft Sentinelにログを取り込むことができます。 データ コネクタは、Microsoft Sentinel Codeless Connector Framework 上に構築されています。 Auth0 API を使用してログをフェッチし、受信したセキュリティ データをカスタム テーブルに解析する DCR ベースの インジェスト時間変換 をサポートしているため、クエリで再解析する必要がないため、パフォーマンスが向上します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

手順 1 - Auth0 Management API の構成手順

手順に従って資格情報を取得します。

1. Auth0 ダッシュボードで、[アプリケーション > アプリケーション] に移動します。
2. アプリケーションを選択します。 これは、少なくとも [read:logs] と [read:logs_users] アクセス許可で構成された [Machine-to-Machine] アプリケーションである必要があります。
3. [ドメイン、ClientID、クライアント シークレット] のコピー

• 基本 API URL: (https://example.auth0.com)
• クライアント ID: (クライアント ID)
• クライアント シークレット: (API トークン)
• 接続の有効化/無効化

サポート元:Microsoft Corporation

Microsoft Sentinelに接続されている Windows マシンでホストされている WebCTRL SQL サーバーから監査ログをストリーミングできます。 この接続を使用すると、ダッシュボードの表示、カスタム アラートの作成、調査の改善を行うことができます。 これにより、WebCTRL BAS アプリケーションによって監視または制御される産業用制御システムに関する分析情報が得ることができます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

1. Microsoft エージェント for Windows をインストールしてオンボードします。

エージェントのセットアップと Windows イベントのオンボードについて説明します。

Microsoft エージェント for Windows を既にインストールしている場合は、この手順をスキップできます

2. 監査データを読み取り、Windows イベントに書き込むよう Windows タスクを構成する

SQL で監査ログを読み取り、Windows イベントとして書き込む Windows スケジュール タスクをインストールして構成します。 これらの Windows イベントはエージェントによって収集され、Microsoft Sentinelに転送されます。

すべてのマシンのデータが選択したワークスペースに格納されることに注意してください

2.1 セットアップ ファイル をサーバー上の場所にコピーします。

2.2 ターゲット データベース名や Windows イベント ID などの ALC-WebCTRL-AuditPull.ps1 (上記の手順でコピー) スクリプト パラメーターを更新します。 詳細については、スクリプトのコメントを参照してください。

2.3 上記の手順でコピーした ALC-WebCTRL-AuditPullTaskConfig.xml ファイルの Windows タスク設定を要件に従って更新します。 詳細については、ファイル内のコメントを参照してください。

2.4 上記の手順でコピーした更新された構成を使用して Windows タスクをインストールする

• 手順 2.1 でセットアップ ファイルがコピーされるディレクトリから powershell で次のコマンド<実行します。インストール時に提供される変更可能な値>

3. 接続を検証する

手順に従って接続を検証します。

Log Analytics を開き、イベント スキーマを使用してログを受信した場合にチェックします。

接続によってデータがワークスペースにストリーミングされるまで、約 20 分かかる場合があります。

ログが受信されない場合は、実行時の問題について以下の手順を検証します。

1. スケジュールされたタスクが作成され、Windows タスク スケジューラで実行中の状態になっていることを確認します。

2. 手順 2.4 で新しく作成されたタスクの [Windows タスク スケジューラ] の [履歴] タブでタスクの実行エラーを確認する

3. スケジュールされた Windows タスクの実行中に、SQL 監査テーブルが新しいレコードで構成されていることを確認します。

サポート元:Microsoft Corporation

AWS EKS データ コネクタは、Amazon Elastic Kubernetes Service から監査ログをMicrosoft Sentinelに取り込む機能を提供します。 このコネクタでは、API サーバーの要求、認証の決定、クラスター アクティビティに関する詳細情報を含む EKS 監査ログ (JSON 形式) に焦点を当てます。 コネクタは AWS SQS を使用して、新しい監査ログ ファイルが S3 にエクスポートされたときに通知を受け取り、Kubernetes クラスターのリアルタイムのセキュリティ監視とコンプライアンス追跡を保証します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

セットアップ手順:

1. AWS CloudFormation のデプロイ

提供されている CloudFormation テンプレートを使用して、AWS EKS から Log Analytics ワークスペースにログを送信するための AWS 環境を構成します。

AWS で CloudFormation テンプレートをデプロイする:

1. AWS CloudFormation Stacks に移動します。
2. [ スタックの作成] をクリックし、[新しいリソースを使用する] を選択します。
3. [ テンプレート ファイルのアップロード] を選択し、[ファイルの選択] をクリックして 、適切な CloudFormation テンプレート (以下のテンプレート 1 と 2) をアップロードします。
4. プロンプトに従い、[ 次へ ] をクリックしてスタックの作成を完了します。
5. スタックが作成されたら、[ 出力 ] セクションに移動します。 出力セクションから手順 1 と 2 のスクリプトを実行し、ログを eks から sqs にストリーミングします。
6. 同じ出力セクションで、接続コネクタで使用される ロール ARN と SQS キュー URL を メモします。

• テンプレート 1: OpenID Connect 認証プロバイダーのデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWS EKS リソースのデプロイ: <インストール時に提供される可変値>

2. 新しいコレクターを接続する

AWS Security Hub Connector for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• SentinelRoleArn: (クロスアカウント アクセス用の AWS IAM ロール ARN (例: arn:aws:iam::123456789012:role/SentinelRole))
• SentinelSQSQueueURL: (完全な AWS EKS キュー URL (例: https://sqs.region.amazonaws.com/account-id/queue-name))

3. 接続

AWS EKS コネクタを有効にします。

• 接続の有効化/無効化

サポート元:Microsoft Corporation

このコネクタを使用すると、AWS S3 サーバーアクセスログをMicrosoft Sentinelに取り込むことができます。 これらのログには、要求の種類、アクセスされたリソース、要求者情報、応答の詳細など、S3 バケットに対して行われた要求の詳細レコードが含まれます。 これらのログは、アクセス パターンの分析、問題のデバッグ、セキュリティ コンプライアンスの確保に役立ちます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• 環境: S3 Bucket、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシーという AWS リソースを定義して構成する必要があります。

セットアップ手順:

1. AWS CloudFormation Deployment AWS でのアクセスを構成するために、AWS S3 Server Access ログから Log Analytics ワークスペースにログを送信するように AWS 環境を設定する 2 つのテンプレートが生成されました。

AWS で CloudFormation テンプレートをデプロイする:

1. AWS CloudFormation Stacks に移動します。
2. [ スタックの作成] をクリックし、[新しいリソースを使用する] を選択します。
3. [ テンプレート ファイルのアップロード] を選択し、[ファイルの選択] をクリックして、 指定された適切な CloudFormation テンプレートをアップロードします。
4. プロンプトに従い、[ 次へ ] をクリックしてスタックの作成を完了します。
5. スタックが作成されたら、 ロール ARN と SQS キュー URL をメモします。

• テンプレート 1: OpenID Connect 認証プロバイダーのデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWS Server Access リソースのデプロイ: インストール時に指定 <可変値>

2. 新しいコレクターを接続する aws S3 Server Access Logs Connector for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

このコネクタを使用すると、AWS S3 バケットで収集された AWS Security Hub の結果をMicrosoft Sentinelに取り込むことができます。 AWS Security Hub の結果とMicrosoft Sentinelの高度な脅威検出と対応機能を統合することで、セキュリティ アラートの監視と管理のプロセスを効率化できます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• 環境: AWS Security Hub、Amazon Data Firehose、Amazon EventBridge、S3 Bucket、Simple Queue Service (SQS)、IAM ロール、アクセス許可ポリシーを定義して構成する必要があります。

セットアップ手順:

1. AWS CloudFormation Deployment 提供されている CloudFormation テンプレートを使用して、AWS Security Hub から Log Analytics ワークスペースにログを送信するように AWS 環境を構成します。

AWS で CloudFormation テンプレートをデプロイする:

1. AWS CloudFormation Stacks に移動します。
2. [ スタックの作成] をクリックし、[新しいリソースを使用する] を選択します。
3. [ テンプレート ファイルのアップロード] を選択し、[ファイルの選択] をクリックして、 指定された適切な CloudFormation テンプレートをアップロードします。
4. プロンプトに従い、[ 次へ ] をクリックしてスタックの作成を完了します。
5. スタックが作成されたら、 ロール ARN と SQS キュー URL をメモします。

• テンプレート 1: OpenID Connect 認証プロバイダーのデプロイ: インストール時に提供される <可変値>
• テンプレート 2: AWS Security Hub リソースのデプロイ: インストール時に提供される <可変値>

2. 新しいコレクターを接続する AWS Security Hub Connector for Microsoft Sentinelを有効にするには、[新しいコレクターの追加] ボタンをクリックし、コンテキスト ウィンドウで必要な情報を入力し、[接続] をクリックします。

• Data Connectors Grid (ポータルで構成)

サポート元:Microsoft Corporation

Azureアクティビティ ログは、Azure Resource Managerの運用データからのイベント、サービス正常性イベント、サブスクリプション内のリソースに対して実行された書き込み操作、Azureで実行されたアクティビティの状態など、Azureで発生するサブスクリプション レベルのイベントに関する分析情報を提供するサブスクリプション ログです。 詳細については、Microsoft Sentinelドキュメント を参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート元:Microsoft Corporation

Azure Batch アカウントは、Batch サービス内で一意に識別されるエンティティです。 ほとんどの Batch ソリューションでは、リソース ファイルと出力ファイルを格納するために Azure Storage が使用されるため、通常、各 Batch アカウントは対応するストレージ アカウントに関連付けられます。 このコネクタを使用すると、Azure Batch アカウント診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure Batch アカウント診断ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、スコープとして定義されたインスタンスのコレクションに単一のAzure Batch アカウント ログ ストリーミング構成を適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Batch アカウントから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート対象:Palo Alto Networks

Azure ネイティブ ISV サービスである Palo Alto Networks によるクラウド次世代ファイアウォールは、Azureでクラウド ネイティブ サービスとして提供される Palo Alto Networks 次世代ファイアウォール (NGFW) です。 Azure Marketplace でクラウド NGFW を検出し、Azure Virtual Networks (VNet) で使用できます。 Cloud NGFW を使用すると、アプリ ID、URL フィルタリング ベースのテクノロジなどのコア NGFW 機能にアクセスできます。 クラウドで提供されるセキュリティ サービスと脅威防止署名を通じて、脅威の防止と検出を提供します。 コネクタを使用すると、クラウド NGFW ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。 詳細については、Azureのドキュメントについては、Cloud NGFW に関するページを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

セットアップ手順:

Palo Alto Networks によってクラウド NGFW をMicrosoft Sentinelに接続する

Palo Alto Networks によってすべてのクラウド NGFW でログ設定を有効にします。

クラウド NGFW リソース内:

1. ホームページから [ログ設定] に移動します。
2. [ログ設定を有効にする] チェック ボックスがオンになっていることを確認します。
3. [ ログ設定] ドロップダウンから、目的の Log Analytics ワークスペースを選択します。
4. 選択内容と構成を確認します。
5. [ 保存] を クリックして設定を適用します。

サポート元:Microsoft Corporation

Azure Cognitive Searchは、Web、モバイル、エンタープライズ アプリケーションのプライベートな異種コンテンツに対して豊富な検索エクスペリエンスを構築するためのインフラストラクチャ、API、ツールを開発者に提供するクラウド検索サービスです。 このコネクタを使用すると、Azure Cognitive Search 診断 ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure Cognitive Search 診断 ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、スコープとして定義されたインスタンスのコレクションに 1 つのAzure Cognitive Searchログ ストリーミング構成を適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Cognitive Searchから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

パブリック IP アドレス診断ログを使用して、Azure DDoS Protection Standard ログに接続します。 プラットフォームの主要な DDoS 保護に加えて、Azure DDoS Protection Standardは、ネットワーク攻撃に対する高度な DDoS 軽減機能を提供します。 特定のAzure リソースを保護するように自動的に調整されます。 保護は、新しい仮想ネットワークの作成時に簡単に有効になります。 また、作成後に行うこともでき、アプリケーションやリソースの変更は必要ありません。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート元:Microsoft Corporation

Azure DevOps 監査ログ データ コネクタを使用すると、Azure DevOps から監査イベントをMicrosoft Sentinelに取り込むことができます。 このデータ コネクタは、Microsoft Sentinel Codeless Connector Framework を使用して構築されているため、シームレスな統合が保証されます。 DevOps 監査ログ API Azureを利用して詳細な監査イベントをフェッチし、DCR ベースのインジェスト時間変換をサポートします。 これらの変換を使用すると、インジェスト中に受信した監査データをカスタム テーブルに解析できるため、追加の解析が不要なため、クエリのパフォーマンスが向上します。 このコネクタを使用すると、Azure DevOps 環境の可視性を強化し、セキュリティ運用を効率化できます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• DevOps の前提条件をAzureする: 次のことを確認してください。
  1. Microsoft Entra 管理 センターの [アプリの登録] でEntra アプリを登録します。
  2. [API のアクセス許可] - [Azure DevOps - vso.auditlog] にアクセス許可を追加します。
  3. [証明書 & シークレット] で 、'クライアント シークレット' を生成します。
  4. [認証] で、対応するフィールドに以下のリダイレクト URI を追加します。
  5. [Azure DevOps 設定] で、監査ログを有効にし、ユーザーの監査ログの表示を設定します。 DevOps 監査をAzureします。
  6. データ コネクタに接続するために割り当てられたユーザーに、[監査ログの表示] アクセス許可が常に [許可] に明示的に設定されていることを確認します。 このアクセス許可は、ログ インジェストを成功させるために不可欠です。 アクセス許可が取り消された場合、または許可されていない場合、データ インジェストは失敗するか、中断されます。

セットアップ手順:

**Azure DevOps に接続して、Microsoft Sentinelで監査ログの収集を開始します。 **

1. 登録したアプリを入力します。
2. [概要] セクションで、アプリケーション (クライアント) ID をコピーします。
3. [エンドポイント] ボタンを選択し、'OAuth 2.0 承認エンドポイント (v2)' の値と 'OAuth 2.0 トークン エンドポイント (v2)' の値をコピーします。
4. [証明書 & シークレット] セクションで、[クライアント シークレット] の値をコピーし、安全に保存します。
5. 以下に必要な情報を入力し、[接続] をクリックします。

• トークン エンドポイント: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/token')])
• 承認エンドポイント: ([concat(variables('_loginUrl'), '/{TenantId}/oauth2/v2.0/authorize')])
• API エンドポイント: (https://auditservice.dev.azure.com/{organizationName}/_apis/audit/auditlog?api-version=7.2-preview)

サポート元:Microsoft Corporation

Azure Event Hubsは、ビッグ データ ストリーミング プラットフォームとイベント インジェスト サービスです。 1 秒あたり何百万ものイベントを受信して処理できます。 このコネクタを使用すると、Azure Event Hub 診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure Event Hub 診断 ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、スコープとして定義されたインスタンスのコレクションに単一のAzure Event Hub ログ ストリーミング構成を適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Event Hub から大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

Azure Firewallに接続します。 Azure Firewallは、Azure Virtual Network リソースを保護する、管理されたクラウドベースのネットワーク セキュリティ サービスです。 これは、組み込みの高可用性と無制限のクラウド スケーラビリティを備えたサービスとしての完全なステートフル ファイアウォールです。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

サポート元:Microsoft Corporation

Azure Key Vaultは、シークレットを安全に格納してアクセスするためのクラウド サービスです。 シークレットは、API キー、パスワード、証明書、暗号化キーなど、アクセスを厳密に制御する必要があるあらゆるものです。 このコネクタを使用すると、Azure Key Vault 診断 ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート元:Microsoft Corporation

Azure Kubernetes Service (AKS) は、クラスター環境で Docker コンテナーとコンテナー ベースのアプリケーションをデプロイ、スケーリング、管理できる、オープンソースのフル マネージド コンテナー オーケストレーション サービスです。 このコネクタを使用すると、Azure Kubernetes Service (AKS) 診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート元:Microsoft Corporation

Azure Logic Apps は、アプリ、データ、サービス、システムを統合する自動化されたワークフローを作成して実行するためのクラウドベースのプラットフォームです。 このコネクタを使用すると、Azure Logic Apps 診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Logic Apps 診断ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、1 つのAzure Logic Apps ログ ストリーミング構成を、スコープとして定義されたインスタンスのコレクションに適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Logic Apps から大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

Azure Resource Graph コネクタは、Azure サブスクリプションとAzure リソースに関する詳細を補足することで、Azure イベントに関する豊富な分析情報を提供します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: Azure サブスクリプションに対する所有者ロールのアクセス許可

セットアップ手順:

Azure Resource GraphをMicrosoft Sentinelに接続する

サポート元:Microsoft Corporation

Azure Service Busは、メッセージ キューと発行/サブスクライブ トピック (名前空間内) を持つフル マネージドのエンタープライズ メッセージ ブローカーです。 このコネクタを使用すると、Azure Service Bus 診断 ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure Service Bus 診断 ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、スコープとして定義されたインスタンスのコレクションに 1 つのAzure Service Busログ ストリーミング構成を適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Service Busから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

Azure SQLは、ユーザーの関与を必要とせずに、アップグレード、修正プログラムの適用、バックアップ、監視などのほとんどのデータベース管理機能を処理する、フル マネージドのサービスとしてのプラットフォーム (PaaS) データベース エンジンです。 このコネクタを使用すると、Azure SQL データベースの監査ログと診断ログをMicrosoft Sentinelにストリーミングして、すべてのインスタンスのアクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート元:Microsoft Corporation

Azureストレージ アカウントは、最新のデータ ストレージ シナリオ向けのクラウド ソリューションです。 これには、BLOB、ファイル、キュー、テーブル、ディスクなど、すべてのデータ オブジェクトが含まれています。 このコネクタを使用すると、Azureストレージ アカウント診断ログをMicrosoft Sentinel ワークスペースにストリーミングできます。これにより、すべてのインスタンスのアクティビティを継続的に監視し、organization内の悪意のあるアクティビティを検出できます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure ストレージ アカウント診断ログをSentinelに接続します。

このコネクタでは、一連のAzure ポリシーを使用して、スコープとして定義されたインスタンスのコレクションにログ ストリーミング構成を適用します。 現在および将来のすべてのインスタンスにポリシーを作成して適用するには、次の手順に従います。 Azure ストレージ アカウントからストレージ アカウント診断ログを最大限に活用するには、Azure ストレージ アカウント内のすべてのサービス (BLOB、キュー、テーブル、ファイル) から診断ログを有効にすることをお勧めします。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure ストレージ アカウントから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

Azure Storage BLOB サービスから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

Azure Storage Queue サービスから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

Azure Storage Table Service から大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

Azure Storage File サービスから大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

Azure Stream Analytics は、複数のソースからの大量の高速ストリーミング データを同時に分析して処理するように設計された、リアルタイム分析と複雑なイベント処理を行うエンジンです。 このコネクタを使用すると、Azure Stream Analytics ハブ診断ログをMicrosoft Sentinelにストリーミングして、アクティビティを継続的に監視できます。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• ポリシー: ポリシー割り当てスコープごとに割り当てられた所有者ロール

セットアップ手順:

Azure Stream Analytics 診断 ログをSentinelに接続します。

このコネクタでは、Azure Policyを使用して、スコープとして定義されたインスタンスのコレクションに 1 つのAzure Stream Analytics ログ ストリーミング構成を適用します。 次の手順に従って、現在および将来のすべてのインスタンスにポリシーを作成して適用します。 このリソースの種類に対してアクティブなポリシーが既にある可能性があることに注意してください。

Azure Stream Analytics から大規模にログをStream 診断する

**Azure Policy割り当てウィザードを起動し、手順に従います。 **

1. [ 基本] タブで、[スコープ] の下にある 3 つのドットを含むボタンをクリック して、サブスクリプションを選択します。
2. [パラメーター] タブで、[Log Analytics ワークスペース] ドロップダウン リストから Microsoft Sentinel ワークスペースを選択し、取り込むすべてのログ カテゴリを "True" としてマークしたままにします。
3. 既存のリソースにポリシーを適用するには、[修復] タブの [修復タスクの作成] チェック ボックスにマークを付けます。

サポート元:Microsoft Corporation

Application Gateway、Front Door、または CDN のAzure Web Application Firewall (WAF) に接続します。 この WAF は、SQL インジェクションやクロスサイト スクリプティングなどの一般的な Web 脆弱性からアプリケーションを保護し、誤検知を減らすためのルールをカスタマイズできます。 インストール プロセス中に、Microsoft Web アプリケーションファイアウォールのログをMicrosoft Sentinelにストリーミングする手順が表示されます。 詳細については、Microsoft Sentinelドキュメントを参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

サポート対象:Better Mobile Security Inc.

BETTER MTD コネクタを使用すると、企業は Better MTD インスタンスをMicrosoft Sentinelに接続し、ダッシュボードでデータを表示したり、カスタム アラートを作成したり、プレイブックをトリガーしたり、脅威ハンティング機能を拡張したりできます。 これにより、ユーザーはorganizationのモバイル デバイスに関するより多くの分析情報を得られ、現在のモバイル セキュリティ体制をすばやく分析でき、SecOps の全体的な機能が向上します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

セットアップ手順:

1. Better MTD Console で、サイド バーの [統合] をクリックします。
2. [ その他 ] タブを選択します。
3. [アカウントの追加] ボタンをクリックし、使用可能な統合からMicrosoft Sentinelを選択します。
4. 統合を作成します。

• ACCOUNT NAME統合を識別するわかりやすい名前に設定し、[次へ] をクリックします
• 下のフィールドからWORKSPACE IDとPRIMARY KEYを入力し、[保存] をクリックします。
• [完了] をクリックします

5. 脅威ポリシーの設定 ( Microsoft Sentinelに報告する必要があるインシデント):

• BETTER MTD コンソールで、サイド バーの [ポリシー] をクリックします
• 使用しているポリシーの [編集] ボタンをクリックします。
• ログに記録するインシデントの種類ごとに、[Send to Integrations]\(統合に送信\) フィールドに移動し、[Sentinel

6. 詳細については、 ドキュメントを参照してください。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

サポート対象:BeyondTrust

BeyondTrust Privilege Management Cloud データ コネクタは、BeyondTrust PM Cloud からアクティビティ監査ログとクライアント イベント ログをMicrosoft Sentinelに取り込む機能を提供します。

このコネクタでは、Azure Functionsを使用して BeyondTrust PM Cloud API からデータをプルし、カスタム Log Analytics テーブルに取り込みます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• BeyondTrust PM Cloud API 資格情報: BeyondTrust PM Cloud OAuth クライアント ID とクライアント シークレットが必要です。 API アカウントには、監査 - 読み取り専用とレポート - 読み取り専用のアクセス許可が必要です。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して BeyondTrust PM Cloud API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

メモ： このコネクタでは、OAuth 2.0 クライアント資格情報フローを使用して BeyondTrust PM Cloud API で認証します。

手順 1 - BeyondTrust PM Cloud API 資格情報を取得する

OAuth API 資格情報 (クライアント ID とクライアント シークレット) を使用して、BeyondTrust PM Cloud インスタンスに API アカウントを作成します。 API アカウントには、次のアクセス許可が必要です。

• 監査 - 読み取り専用
• レポート - 読み取り専用

手順 2 - コネクタと関連付けられているAzure関数をデプロイする

ARM テンプレートを使用して BeyondTrust PM Cloud データ コネクタを自動デプロイするには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   portal.azure.com

2. 優先サブスクリプション 、リソース グループ (Log Analytics ワークスペースを含める必要があります)、および [場所] を選択します。

3. 必要なパラメーターを入力します。

   • ワークスペース名: Log Analytics ワークスペースの名前 (例: beyondtrust-pmcloud)
   • BeyondTrust PM Cloud Base URL: テナント URL (例: https://yourcompany.beyondtrustcloud.com)
   • BeyondTrust クライアント ID: 手順 1 の OAuth クライアント ID
   • BeyondTrust クライアント シークレット: 手順 1 の OAuth クライアント シークレット
   • アクティビティ監査のポーリング間隔: アクティビティ監査を収集する頻度 (既定値: 15 分)
   • クライアント イベントポーリング間隔: クライアント イベントを収集する頻度 (既定値: 5 分)
   • ログ レベル: トラブルシューティング用のログ レベル (既定値: 情報)
   • 履歴データ時間枠: 最初の実行時にデータを収集する距離 (既定値: 1 日)

4. 詳細設定 (ホスティング プラン SKU、ストレージ アカウントの種類) を確認し、必要に応じて調整します。

5. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。

6. [ 購入 ] をクリックしてデプロイします。

7. このデプロイでは、関数アプリ、ストレージ アカウント、データ収集エンドポイント、データ収集ルール、カスタム Log Analytics テーブルなど、必要なすべてのリソースが作成されます。

8. データのフローは、デプロイから 15 から 30 分以内に開始する必要があります。

サポート対象:BigID

BigID DSPM データ コネクタは、影響を受けるオブジェクトとデータソース情報を含む BigID DSPM ケースをMicrosoft Sentinelに取り込む機能を提供します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• BigID DSPM API アクセス: BigID トークンを使用して BigID DSPM API にアクセスする必要があります。

セットアップ手順:

BigID DSPM API に接続して、BigID DSPM ケースと影響を受けるオブジェクトの収集を開始Microsoft Sentinel

'customer.bigid.cloud' や BigID トークンなどの BigID ドメイン名を指定します。 [設定] -> [アクセス管理] -> [ユーザー] -> [ユーザーの選択] を使用して、BigID コンソールでトークンを生成し、トークンを生成します。

• BigID FQDN: (BigID FQDN)
• BigID トークン: (BigID トークン)
• 接続の有効化/無効化

サポート元:Microsoft Corporation

Bitglass データ コネクタは、Bitglass サービスのセキュリティ イベント ログやその他のイベントを REST API を介してMicrosoft Sentinelに取得する機能を提供します。 コネクタを使用すると、潜在的なセキュリティ リスクを評価し、コラボレーションを監視し、構成の問題を診断してトラブルシューティングするためのイベント取得が可能になります。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• REST API の資格情報/アクセス許可: API 呼び出しを行う場合は、BitglassToken と BitglassServiceURL が必要です。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用してAzure Blob Storage API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、データ インジェストとAzure Blob Storage コストにデータを格納するための追加コストが発生する可能性があります。 詳細については、Azure Functions価格ページとAzure Blob Storage価格ページを確認してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

メモ：このデータ コネクタは、Kusto 関数に基づくパーサーに依存し、Microsoft Sentinel ソリューションと共にデプロイされる予想される Bitglass として動作します。

手順 1 - Bitglass ログ取得 API の構成手順

手順に従って資格情報を取得します。

1. Bitglass サポート に問い合わせて、 BitglassToken と BitglassServiceURL ntation] を入手してください。
2. データ コネクタで使用するための資格情報を保存します。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： Bitglass データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを使用します (次からコピーできます)。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM テンプレートを使用して Bitglass データ コネクタを自動デプロイするには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

メモ：同じリソース グループ内では、同じリージョン内の Windows アプリとLinux アプリを混在させる必要があります。 Windows アプリを含まない既存のリソース グループを選択するか、新しいリソース グループを作成します。 3. BitglassToken、BitglassServiceURL を入力し、デプロイします。 4. 上記の使用条件に同意するというラベルが付いたチェックボックスをオンにします。 5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

Azure Functionsを使用して Bitglass データ コネクタを手動でデプロイするには、次の手順に従います (Visual Studio Code を使用したデプロイ)。

1. 関数アプリをデプロイする

メモ：Azure関数開発のために VS コードを準備する必要があります。

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。

2. VS Code を起動します。 メイン メニューで [ファイル] を選択し、[フォルダーを開く] を選択します。

3. 抽出されたファイルから最上位のフォルダーを選択します。

4. [アクティビティ] バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [関数アプリにデプロイ] ボタンを選択します。 まだサインインしていない場合は、アクティビティ バーの [Azure] アイコンを選択し、[Azure: Functions] 領域で [サインイン] を選択してAzure既にサインインしている場合は、次の手順に進みます。

5. プロンプトで次の情報を入力します。

   a. フォルダーの選択: ワークスペースからフォルダーを選択するか、関数アプリを含むフォルダーを参照します。

   b. [サブスクリプション] を選択します。 使用するサブスクリプションを選択します。

   c. Azureで [新しい関数アプリの作成] を選択します ([詳細設定] オプションを選択しないでください)

   d. 関数アプリのグローバルに一意の名前を入力します。 URL パスで有効な名前を入力します。 入力した名前は、Azure Functionsで一意であることを確認するために検証されます。 (例: BitglassXXXXX)。

   e. ランタイムを選択します。 [Python 3.11] を選択します。

   f. 新しいリソースの場所を選択します。 パフォーマンスを向上させ、コストを削減するために、Microsoft Sentinelがあるのと同じリージョンを選択します。

6. デプロイが開始されます。 関数アプリが作成され、デプロイ パッケージが適用されると、通知が表示されます。

7. 関数アプリ構成Azureポータルに移動します。

8. 関数アプリを構成する

9. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。

10. [ アプリケーション設定] タブで、[新しいアプリケーション設定] を選択します。

11. 次の各アプリケーション設定を個別に追加します。それぞれの文字列値 (大文字と小文字が区別されます): BitglassToken BitglassServiceURL WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (省略可能)

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

4. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート対象:Bitwarden Inc

このコネクタは、ユーザーのアクティビティ (ログイン、パスワードの変更、2fa など)、暗号アクティビティ (作成、更新、削除、共有など)、収集アクティビティ、organization アクティビティなど、Bitwarden organizationのアクティビティに関する分析情報を提供します。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Bitwarden クライアント ID とクライアント シークレット: API キーは、Bitwarden organization管理コンソールにあります。 詳細については 、Bitwarden のドキュメント を参照してください。

セットアップ手順:

Bitwarden イベント ログをMicrosoft Sentinelに接続する

API キーは、Bitwarden organization管理コンソールにあります。 詳細については 、Bitwarden のドキュメント を参照してください。 セルフホステッド Bitwarden サーバーは、インストールの URL を再構成する必要がある場合があります。

• Bitwarden ID URL: (https://identity.bitwarden.com)
• Bitwarden Api Url: (https://api.bitwarden.com)

サポート対象:blacklens.io サポート

blacklens.io データ コネクタを使用すると、webhook ベースのロジック アプリと Azure Monitor Logs Ingest API を使用して、blacklens.io からMicrosoft Sentinelに Attack Surface Management アラートを取り込むことができます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Azure サブスクリプション: データ インジェスト インフラストラクチャ (データ収集エンドポイント、データ収集ルール、カスタム テーブル、ロジック アプリ) をデプロイするには、リソース グループに対する共同作成者または所有者のアクセス許可が必要です。
• blacklens.io アカウント: webhook 統合機能を備えた blacklens.io アカウントが必要です。

セットアップ手順:

手順 1 - データ インジェスト インフラストラクチャをデプロイする

この手順では、必要なAzure リソース (データ収集エンドポイント、データ収集ルール、カスタム Log Analytics テーブル (blacklens_CL)、Webhook によってトリガーされるロジック アプリをデプロイします。

1. 下の [Deploy to Azure] ボタンをクリックします。

   portal.azure.com

2. Microsoft Sentinel ワークスペースが存在するサブスクリプション、リソース グループ、場所を選択します。

3. Log Analytics ワークスペースの [ワークスペース名] を 入力します。

4. [ 確認と作成] をクリックし、[作成] をクリックします。

手順 2 - Webhook URL をコピーする

1. デプロイが成功したら、デプロイ ページの [ 出力 ] タブをクリックします。
2. webhookUrl 値をコピーします。

または、[ Logic Apps >la-blacklens-alert-log-ingestion> 概要] に移動し、[ワークフロー URL] をコピーします。

手順 3 - blacklens.io を構成する

1. blacklens.io ポータルにログインします。
2. Webhook 統合設定に移動します。
3. 手順 2 でコピーした Webhook URL を貼り付けます。
4. 構成を保存します。
5. Webhook 統合を少なくとも 1 つの 通知ポリシー にリンクして、アラートが Webhook に送信されるようにします。

数分後に、テスト インシデントがMicrosoft Sentinelに表示されます。

サポート元:Microsoft Corporation

Box データ コネクタは、Box REST API を使用して Box エンタープライズのイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。

Log Analytics テーブル:

データ収集ルールのサポート: 現在サポートされていません

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• Box API 資格情報: Box REST API JWT 認証には Box config JSON ファイルが必要です。 詳細については、「 JWT 認証」を参照してください。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して Box REST API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure関数アプリでAzure Key Vaultを使用するには、次の手順に従います。

メモ：このコネクタは、Kusto 関数に基づくパーサーに依存し、Microsoft Sentinel ソリューションと共にデプロイされる予期される BoxEvents として動作します。

手順 1 - Box イベント コレクションの構成

JWT 認証をセットアップし、資格情報を使用して JSON ファイルを取得する方法については、ドキュメントを参照してください。

手順 2 - 次の 2 つのデプロイ オプションから 1 つを選択して、コネクタと関連付けられているAzure関数をデプロイします

大事な： Box データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (次からコピーできます) と Box JSON 構成ファイルをすぐに使用できます。

• ワークスペース ID: <インストール時に提供される可変値>
• 主キー: <インストール時に提供される可変値>

オプション 1 - Azure Resource Manager (ARM) テンプレート

ARM Tempate を使用して Box データ コネクタを自動デプロイするには、この方法を使用します。

1. 下の [Deploy to Azure] ボタンをクリックします。

   aka.ms

2. 優先する サブスクリプション、リソース グループ、場所を選択します。

3. 「AzureSentinelWorkspaceId、AzureSentinelSharedKey、BoxConfigJSON」と入力します。

4. [上記の使用条件に同意します] というラベルが付いたチェックボックスをオンにします。

5. [ 購入 ] をクリックしてデプロイします。

オプション 2 - Azure Functionsの手動デプロイ

Azure Functionsを使用して Box データ コネクタを手動でデプロイするには、次の手順に従います (Visual Studio Code を使用したデプロイ)。

手順 1 - 関数アプリをデプロイする

1. Azure関数アプリ ファイルをダウンロードします。 アーカイブをローカル開発コンピューターに抽出します。
2. 関数アプリの手動デプロイ手順に従って、VSCode を使用してAzure Functions アプリをデプロイします。
3. 関数アプリのデプロイが正常に完了したら、次の手順に従って構成します。

手順 2 - 関数アプリを構成する

1. 関数アプリ構成Azureポータルに移動します。
2. 関数アプリで、[関数アプリ名] を選択し、[ 構成] を選択します。
3. [ アプリケーション設定] タブで、[+ 新しいアプリケーション設定] を選択します。
4. 次の各アプリケーション設定を個別に追加します。それぞれの文字列値 (大文字と小文字が区別されます): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (省略可能)

• logAnalyticsUri を使用して、専用クラウドの log analytics API エンドポイントをオーバーライドします。 たとえば、パブリック クラウドの場合、値は空のままにします。GovUS クラウド環境Azure場合は、次の形式で値を指定します:https://<CustomerId>.ods.opinsights.azure.us。

5. すべてのアプリケーション設定を入力したら、[保存] をクリック します。

サポート元:Microsoft Corporation

Box データ コネクタは、Box REST API を使用して Box エンタープライズのイベントをMicrosoft Sentinelに取り込む機能を提供します。 詳細については、 Box のドキュメント を参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Box API 資格情報: Box API を認証するには、Box App クライアント ID とクライアント シークレットが必要です。 詳細については、「クライアント資格情報の付与」を参照してください。
• Box Enterprise ID: 接続を行うには Box Enterprise ID が必要です。 エンタープライズ ID を見つけるには、ドキュメントを参照してください

セットアップ手順:

メモ：このコネクタでは、Codeless Connecor Platform (CCF) を使用して Box REST API に接続し、ログをMicrosoft Sentinelにプルします。

メモ：このコネクタは、Kusto 関数に基づくパーサーに依存し、Microsoft Sentinel ソリューションと共にデプロイされる予期される BoxEvents として動作します。

手順 1 - Box カスタム アプリケーションを作成する

クライアント資格情報認証をセットアップするドキュメントを参照してください

手順 2 - クライアント ID とクライアント シークレットの値を取得する

シークレットをフェッチするには、2FA を設定する必要がある場合があります。

手順 3 - Box 管理 コンソールから Box Enterprise ID を取得する

エンタープライズ ID を見つけるには、ドキュメントを参照してください

Box に接続して、Microsoft Sentinelへのイベント ログの収集を開始する

以下に必要な値を指定します。

• Box Enterprise ID: (123456)

サポート対象: Check Point

CloudGuard データ コネクタを使用すると、Microsoft Sentinelの Codeless Connector Framework を使用して、CloudGuard API からMicrosoft Sentinel ™にセキュリティ イベントを取り込むことができます。 コネクタでは、受信セキュリティ イベント データをカスタム列に解析する DCR ベースの インジェスト時間変換 がサポートされています。 この事前解析プロセスにより、クエリ時間の解析が不要になり、データ クエリのパフォーマンスが向上します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• CloudGuard API キー: API キーを生成するには、 ここに 記載されている手順を参照してください。

セットアップ手順:

CloudGuard セキュリティ イベントをMicrosoft Sentinelに接続する

Microsoft Sentinelの CloudGuard コネクタを有効にするには、以下に必要な情報を入力し、[接続] を選択します。

• API キー ID: (api_key)
• API キー シークレット: (api_secret)
• CloudGuard エンドポイント URL: (例: https://api.dome9.com)
• フィルター: (CloudGuard からフィルターを貼り付ける)
• 接続の有効化/無効化

サポート対象:Cyberint

Check Point企業である Cyberint は、重要なアラートを合理化し、無限外部リスク管理ソリューションから強化された脅威インテリジェンスをMicrosoft Sentinelに導入するためのMicrosoft Sentinel統合を提供します。 これにより、システム間の自動更新を使用してチケットの状態を追跡するプロセスが簡略化されます。 この新しい統合をMicrosoft Sentinelに使用すると、既存の Cyberint とMicrosoft Sentinelのお客様は、Cyberint の調査結果に基づいて簡単にMicrosoft Sentinelプラットフォームにログをプルできます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Check Point Cyberint API キー、Argos URL、顧客名: コネクタ API キー、Argos URL、顧客名が必要です

セットアップ手順:

Checkpoint Cyberint アラートをMicrosoft Sentinelに接続する

コネクタを有効にするには、以下で必要な情報を入力し、[接続] をクリックします。

Argos URL — テナントの Cyberint API URL (例: https://your_tenant.cyberint.io) API Token — Cyberint API アクセス トークン 顧客名 — Cyberint インスタンス環境に関連付けられている会社 (クライアント) 名 — フェッチする環境のコンマ区切りの一覧。 空の場合、すべての環境がフェッチされます。\n\n重大度 — フェッチする重大度のコンマ区切りの一覧 (低、中、高、very_high)。 空の場合、すべての重大度がフェッチされます。\n\nポーリング間隔 — 新しいアラートをポーリングする頻度 (分単位) (既定値: 5) \n\nCSV 添付ファイルを JSON として含める - アラートに CSV 添付ファイルを JSON コンテンツとして含めるかどうか (既定値: false)

• Argos URL: (https://your_tenant.cyberint.io)
• API トークン: (Cyberint API アクセス トークン)
• 顧客名: (Cyberint インスタンスに関連付けられている会社 (クライアント) 名)
• 環境: (コンマ区切りリスト (運用環境、ステージングなど))
• 重大度: (コンマ区切りリスト (低、中、高、very_highなど)
• ポーリング間隔 (分): (分単位のポーリング頻度)
• CSV 添付ファイルを JSON として含める: (true または false)
• 接続の有効化/無効化

サポート対象:Cyberint

Check Point企業である Cyberint は、Infinity External Risk Management ソリューションから Microsoft Sentinel に侵害のインジケーター (IOC) を取り込むためのMicrosoft Sentinel統合を提供します。 このコネクタは、悪意のある IP、ドメイン、URL、ファイル ハッシュなど、毎日の IOC フィードを自動的にプルし、重大度、信頼度、検出されたアクティビティなどの脅威コンテキストでエンリッチされます。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Check Point Cyberint API キー、Argos URL、顧客名: コネクタ API キー、Argos URL、顧客名が必要です

セットアップ手順:

Cyberint IOC フィードCheck Point Microsoft Sentinelに接続する

コネクタを有効にするには、以下で必要な情報を入力し、[接続] をクリックします。

Argos URL — テナントの Cyberint API URL (例: https://your_tenant.cyberint.io) API トークン — Cyberint API アクセス トークン 顧客名 — Cyberint インスタンスに関連付けられている会社名 (クライアント) 名

• Argos URL: (https://your-company.cyberint.io)
• API トークン: (API トークン)
• 顧客名: (Cyberint インスタンスに関連付けられている会社 (クライアント) 名)
• 接続の有効化/無効化

サポート元:Microsoft Corporation

Cisco ASA ファイアウォール コネクタを使用すると、cisco ASA ログをMicrosoft Sentinelに簡単に接続し、ダッシュボードを表示したり、カスタム アラートを作成したり、調査を改善したりできます。 これにより、organizationのネットワークに関するより多くの洞察が得られ、セキュリティ操作機能が向上します。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Azure以外の VM からデータを収集するには、Azure Arc がインストールされ、有効になっている必要があります。 詳細情報

セットアップ手順:

データ収集ルールを有効にする

Cisco ASA/FTD イベント ログは、Linux エージェントからのみ収集されます。

• インストール エージェント: <インストール時に提供される不変の値>

次のコマンドを実行して、Cisco ASA/FTD コレクターをインストールして適用します。

• 値: <インストール時に提供される可変値>

サポート元:Microsoft Corporation

Microsoft Sentinel用の Cisco Cloud Security ソリューションを使用すると、Amazon S3 に保存されている Cisco Secure Access ログと Cisco Umbrellaログを、Amazon S3 REST API を使用してMicrosoft Sentinelに取り込むことができます。 詳細については、 Cisco Cloud Security ログ管理に関するドキュメント を参照してください。

Log Analytics テーブル:

データ収集ルールのサポート:ワークスペース変換 DCR

前提条件:

• Microsoft.Web/sites のアクセス許可: 関数アプリを作成するには、Azure Functionsに対する読み取りと書き込みのアクセス許可が必要です。 詳細については、「Azure Functions」を参照してください。
• Amazon S3 REST API の資格情報/アクセス許可: Amazon S3 REST API には、 AWS アクセスキー ID、 AWS シークレットアクセスキー、 AWS S3 バケット名 が必要です。

セットアップ手順:

メモ：このコネクタでは、Azure Functionsを使用して Amazon S3 REST API に接続し、ログをMicrosoft Sentinelにプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions価格」ページを参照してください。

メモ：このコネクタは、Cisco Cloud Security ログ スキーマ バージョン 14 をサポートするように更新されました。

(省略可能な手順)ワークスペースと API 承認キーまたはトークンをAzure Key Vaultに安全に格納します。 Azure Key Vaultは、キー値を格納および取得するための安全なメカニズムを提供します。 Azure Functions アプリでAzure Key Vaultを使用するには、次の手順に従います。

注: このコネクタでは、Kusto 関数に基づくパーサーを使用してフィールドを正規化します。 Kusto 関数エイリアス Cisco_Umbrellaを作成するには、次の手順に従います。