前の記事では、履歴データ のターゲット プラットフォームを選択しました 。 また 、データを転送するツールを 選択し、履歴データをステージングの場所に格納しました。 これで、ターゲット プラットフォームへのデータの取り込みを開始できます。
この記事では、選択したターゲット プラットフォームに履歴データを取り込む方法について説明します。
従来の SIEM からデータをエクスポートする
一般に、SIEM はローカル ファイル システム内のファイルにデータをエクスポートまたはダンプできるため、このメソッドを使用して履歴データを抽出できます。 また、エクスポートしたファイルのステージング場所を設定することも重要です。 データ インジェストを転送するために使用するツールは、ステージングの場所からターゲット プラットフォームにファイルをコピーできます。
この図は、エクスポートとインジェストのプロセスの概要を示しています。
現在の SIEM からデータをエクスポートするには、次のいずれかのセクションを参照してください。
Azure Data Explorerへの取り込み
履歴データを Azure Data Explorer (ADX) に取り込むには (上の図のオプション 1)。
- ログがエクスポートされるシステムに LightIngest をインストールして構成するか、エクスポートされたログにアクセスできる別のシステムに LightIngest をインストールします。 LightIngest では Windows のみがサポートされています。
- 既存の ADX クラスターがない場合は、新しいクラスターを作成し、接続文字列をコピーします。 ADX を設定する方法について説明します。
- ADX でテーブルを作成し、CSV または JSON 形式のスキーマを定義します (QRadar の場合)。 テーブルを作成し、サンプル データまたはサンプル データを含まないスキーマを定義する方法について説明します。
- エクスポートされたログをパスとして含むフォルダー パスを使用して LightIngest を実行し、ADX を出力として接続文字列します。 LightIngest を実行するときは、ターゲット ADX テーブル名を指定し、引数パターンが
*.csvに設定されていること、および形式が.csv(または QRadar の場合はjson) に設定されていることを確認します。
補助ログまたは基本ログMicrosoft Sentinelにデータを取り込む
履歴データをMicrosoft Sentinel補助ログまたは基本ログに取り込むには (上の図のオプション 2)。
既存の Log Analytics ワークスペースがない場合は、新しいワークスペースを作成し、Microsoft Sentinelをインストールします。
データを格納するカスタム ログ テーブルを作成 し、データ サンプルを提供します。 この手順では、データを取り込む前に変換を定義することもできます。
データ収集ルールから情報を収集 し、ルールにアクセス許可を割り当てます。
カスタム ログ インジェスト スクリプトを実行します。 スクリプトは、次の詳細を求めます。
- 取り込むログ ファイルへのパス
- テナント ID のMicrosoft Entra
- アプリケーション ID
- アプリケーション シークレット
- DCE エンドポイント (DCR のログ インジェスト エンドポイント URI を使用する)
- DCR 不変 ID
- DCR からのデータ ストリーム名
スクリプトは、ワークスペースに送信されたイベントの数を返します。
Azure Blob Storageへの取り込み
履歴データをAzure Blob Storageに取り込むには (上の図のオプション 3)。
- ログをエクスポートしたシステムに AzCopy をインストールして構成します。 または、エクスポートされたログにアクセスできる別のシステムに AzCopy をインストールします。
- Azure Blob Storage アカウントを作成し、承認されたMicrosoft Entra ID資格情報または Shared Access Signature トークンをコピーします。
- エクスポートされたログをソースとして含むフォルダー パスと、出力としてAzure Blob Storage 接続文字列を指定して AzCopy を実行します。
次の手順
この記事では、ターゲット プラットフォームにデータを取り込む方法について説明しました。