Microsoft Sentinel Data Lake でフェデレーション データ コネクタを設定する

この記事では、フェデレーション データ コネクタを構成して、Microsoft Sentinel データ レイクからの外部データ ソースのクエリを有効にする方法について説明します。 Azure Databricks、Azure Data Lake Storage (ADLS) Gen 2、および Microsoft Fabric とフェデレーションできます。

前提条件

データフェデレーションを設定する前に、次の要件を満たしていることを確認してください。

  • Sentinel データ レイクのオンボード: テナントをSentinel データ レイクにオンボードする必要があります。 詳細については、「Microsoft Sentinel Data Lake へのオンボード」を参照してください。

  • パブリック アクセシビリティ: 外部ソースにはパブリックにアクセスできる必要があります。 プライベート エンドポイントは現在サポートされていません。

  • サービス プリンシパル: Databricks と Azure Data Lake Storage Gen2 ソースをAzureするには、接続するデータ ソースに適切なアクセス許可を持つサービス プリンシパルが必要です。 詳細については、「Microsoft Entra ID アプリの登録」を参照してください。

  • Azure Key Vault: サービス プリンシパル クライアント シークレットを使用して構成されたAzure Key Vaultが必要です。 Microsoft Sentinel アプリケーション ID には、キー コンテナーに割り当てられたアクセス許可が必要です。 Azure Key Vault の構成の詳細については、「Azure Key Vaults」を参照してください。

  • Microsoft Sentinelアクセス許可: データフェデレーション コネクタを構成するためのシステム テーブルに対するデータ (管理) アクセス許可。 詳細については、「Microsoft Sentinel プラットフォームでのロールとアクセス許可」を参照してください。

サービス プリンシパルを作成する

Databricks および ADLS Gen 2 フェデレーションAzureには、Azure Key Vaultに格納されているアクセス資格情報を持つサービス プリンシパルが必要です。 既存のサービス プリンシパルを使用するか、次の手順を使用して新しいサービス プリンシパルを作成できます。

  1. Microsoft Entra ID アプリケーションの登録を作成します。

    1. Azure portalで、[Microsoft Entra ID>アプリの登録] に移動します。
    2. [新規登録] を選択します。
    3. アプリケーションの名前を入力します。
    4. リダイレクト URI は空のままにします (このシナリオでは必要ありません)。
    5. [登録] を選択します。

  2. クライアント シークレットを作成します

    1. アプリの登録で、[ 証明書 & シークレット] に移動します。
    2. [新しいクライアント シークレット] を選択します。
    3. 説明を入力し、有効期限を選択します。
    4. [追加] を選択します。
    5. 次のセクションで使用するために、クライアント シークレットの値をすぐにコピーします。 ページを離れた後は、この値を取得できません。

  3. アプリケーションの詳細に注意してください

    • アプリケーション (クライアント) ID
    • オブジェクト ID
    • ディレクトリ (テナント) ID

サービス プリンシパルの作成の詳細については、「Microsoft Entra ID アプリの登録」を参照してください。

Azure Key Vaultを作成し、資格情報を格納する

既存のAzure Key Vaultを使用し、以下の手順に従ってKey Vaultアクセスを構成するか、次の手順を使用して新しいKey Vaultを作成できます。

  1. Azure Key Vaultを作成します

    1. Azure portalで、新しいAzure Key Vaultを作成します。
    2. Azureロールベースのアクセス制御 (推奨) アクセス許可モデルを使用します。
    3. キー コンテナーの論理的な削除と消去の保護設定を有効にします。
    4. 作成後にKey Vault URI をメモします。

  2. Key Vault アクセスを構成します

    1. Key Vault シークレット ユーザー ロールをMicrosoft Sentinel プラットフォームのマネージド ID に割り当てます。 ID のプレフィックスには、 msg-resources-が付いています。
    2. ロールベースのアクセス制御ではなく Key Vault のアクセス ポリシー Azure使用している場合は、シークレット管理操作の Get と List のアクセス許可を指定します。

  3. クライアント シークレットをKey Vaultに格納します。

    1. Key Vaultで、[シークレット>Generate/Import] に移動します。
    2. サービス プリンシパルのクライアント シークレットを含む新しいシークレットを作成します。
    3. シークレット名をメモします。 これは、データフェデレーション コネクタ インスタンスを構成するときに使用されます。

Azure Key Vault の構成の詳細については、「Azure Key Vaults」を参照してください。

フェデレーション データ コネクタ

フェデレーション コネクタは、Defender ポータルのMicrosoft Sentinelの [データ コネクタ] ページで管理されます。

  1. [Microsoft Sentinel>Configuration>Data コネクタ] に移動します。

  2. [ データフェデレーション] で、[ カタログ ] を選択して、使用可能なフェデレーション コネクタを表示します。

    カタログ ページには、次の情報が表示されます。

    • 使用可能なフェデレーション コネクタの種類
    • コネクタごとに構成されたインスタンスの数
    • 発行元とサポート情報

    使用可能なコネクタを含むデータフェデレーション カタログを示すスクリーンショット。

  3. [ 個人用コネクタ] ページを 選択して、構成されているすべてのコネクタ インスタンスを表示します。 このページには、テナントのデータフェデレーション コネクタ インスタンスと、表示名、バージョン、状態、およびサポート プロバイダーが一覧表示されます。

  4. 各インスタンスを選択して、詳細の表示、構成の編集、またはインスタンスの削除を行います。

フェデレーション インスタンスが構成された [My connectors] ページを示すスクリーンショット。

コネクタ インスタンスを作成する

コネクタ インスタンスを作成するプロセスは、接続先の外部データ ソースによって異なります。 特定のデータ ソースの種類の手順に従います。

Microsoft Fabric コネクタ インスタンスを作成する

Fabric コネクタ インスタンスを構成する前に、Microsoft Fabric 環境内でアクセス許可を設定して、Microsoft Sentinelがデータにアクセスできるようにする必要があります。

  1. [ データフェデレーション>Catalog ] ページで、 Microsoft Fabric 行を選択します。

  2. サイド パネルで、[ コネクタの接続] を選択します。

  3. 次の情報を入力します。

    フィールド 説明
    インスタンス名 このコネクタ インスタンスのフレンドリ名。 このインスタンス名は、このインスタンスからレイクで表されるテーブルに追加されます。
    ファブリック ワークスペース ID フェデレーションする Fabric ワークスペースの ID。 Fabric ワークスペースまたは Lakehouse に移動すると、 の後の URL にワークスペース ID が表示されます。 /groups/
    Lakehouse テーブル ID フェデレーションする Fabric Lakehouse テーブルの ID。 Fabric Lakehouse に移動すると、 /lakehouses/後の URL にレイクハウス ID が表示されます。

  4. [次へ] を選択します。

    Microsoft Fabric 接続の詳細フォームのスクリーンショット。

  5. フェデレーションするテーブルを選択します。

  6. [次へ] を選択します。

  7. フェデレーション ターゲットの構成を確認します。

  8. [ 接続 ] を選択して、接続インスタンスを作成します。

注:

ターゲット データ ソース内のファイルは、Sentinel データ レイクから読み取られるデルタ Parquet 形式である必要があります。

コネクタ インスタンスからテーブルを確認する

コネクタ インスタンスを作成した後チェック、フェデレーションしたテーブルをMicrosoft Sentinelで使用できるようになります。

  1. [構成>テーブルMicrosoft Sentinel >に移動します。

  2. [ フェデレーション の種類] でフィルター処理して、すべてのフェデレーション テーブルを表示します。

  3. コネクタ インスタンス名で検索します。

  4. コネクタ インスタンスのテーブルとその名前の後に _instance nameが表示されます。 たとえば、データ コネクタインスタンス名が GlobalHRData され、テーブルが hrlogs呼び出された場合、テーブル名は hrlogs_GlobalHRDataとして表示されます。

  5. 一覧からテーブルを選択して詳細パネルを開きます。

  6. [ 概要 ] タブを選択して、テーブルの種類とフェデレーション プロバイダーを表示します。

  7. [ データ ソース ] タブを選択して、テーブルのコネクタ インスタンス データ プロバイダーとソース製品を表示します。 コネクタ インスタンス名を選択すると、Data Connectors 内の [My Connectors] でそのインスタンスに移動します。

  8. [ スキーマ ] タブを選択して、テーブル スキーマを表示します。

  9. [ スキーマ ] タブで、[ 更新 ] を選択して、フェデレーション テーブルに関連付けられているテーブル スキーマを更新します。

フェデレーション テーブル スキーマを示すスクリーンショット。

コネクタ インスタンスを管理する

コネクタ インスタンスを変更または削除するには:

  1. [データフェデレーション>My コネクタ] ページに移動します
  2. 管理するコネクタ インスタンスを選択します。
  3. 詳細パネルで、使用可能なオプションを使用して、次の操作を行います。
    • 接続設定を編集する
    • フェデレーション テーブルを追加または削除する
    • コネクタ インスタンスを削除する

注:

Microsoft Fabric 接続インスタンスでは、編集はサポートされていません。 新しいフェデレーション接続を作成してテーブルを追加するか、ファブリック接続インスタンスを削除して、同じインスタンス名と別のテーブル セットを選択して再作成できます。

[マイ コネクタ] ページを示すスクリーンショット。

トラブルシューティング

接続が失敗する

  • msg-resources-によってプレフィックスが付いたSentinel プラットフォームマネージド ID に、Azure Key Vaultに対する適切なアクセス許可があることを確認します。

  • 接続ソースが Databricks またはAzure Data Lake Storage Gen2 Azure場合は、Key Vault シークレットにサービス プリンシパルの正しいクライアント シークレットが含まれていることを確認します。

  • Key Vault ネットワークは、コネクタ構成中にすべてのネットワークからのパブリック アクセスを許可するように設定する必要があります。これは、Key Vaultの既定の構成です。 コネクタの作成または編集後に変更できます。

  • 外部データ ソースにパブリックにアクセスできることを確認します。

  • Databricks と ADLS のターゲット データ ソースに対する適切なアクセス許可Azureサービス プリンシパルに付与されていることを確認します。

  • ターゲット データ ソースが Fabric の場合は、Microsoft Sentinelのmsg-resources-プレフィックス付き ID にワークスペース メンバーとしてのアクセス許可が付与されたことをチェックします。

  • 100 個を超える接続インスタンスがないことを確認します。

注:

ADLS と Azure Databricks では、フェデレーション接続ごとに 1 つの接続インスタンスが使用されます。 ファブリックでは、フェデレーション接続ごとにより多くのインスタンスが使用される場合があります。 Fabric の場合、フェデレーション接続内の各 lakehouse スキーマは、100 インスタンスの制限に対してカウントされます。

テーブルが表示されない

  • サービス プリンシパルが ADLS と Databricks Azureターゲット テーブルへの読み取りアクセス権を持ち、サービス プリンシパルがこれらのデータ ソースと同じテナント内にあるかどうかを確認します。

  • Databricks の場合は、組み込みのデータ 閲覧者特権プリセットと、サービス プリンシパルへの外部使用スキーマアクセス許可の両方が付与されていることを確認します。

  • ADLS Gen 2 の場合は、ストレージ BLOB データ閲覧者ロールがサービス プリンシパルに割り当てられているかどうかを確認します。

クエリ パフォーマンスの問題

  • 外部ソースからクエリを実行するデータのサイズを検討します。

  • クエリを最適化してデータを早期にフィルター処理します。

  • Sentinelと外部ソース間のネットワーク接続を確認します。

次の手順

  • Last updated on