コンテンツにスキップ

Azure Event Hub 転送方法の概要🔗

概要🔗

Azure Event Hubs は、クラウドベースのデータストリーミングサービスであり、毎秒数百万件のイベントを取り込み・処理することができます。これは、スケーラブルでセキュア、かつシンプルなフルマネージドのリアルタイムサービスです。Microsoftは、Event HubsをAzure Monitorのターゲット送信先として位置付けており、Microsoft Azure内のさまざまなセキュリティテレメトリーの収集を可能にしています。さらに、多くのサードパーティ製品がEvent Hubsへのデータストリーミングをサポートしています。

XDR は、Event Hubからソースを問わずデータを取り込みできる機能をサポートしています。

Azure Event Hubsと連携することで、XDRはデータ取り込み機能を大幅に強化し、多様なセキュリティテレメトリーに対する包括的なカバレッジを実現します。このインテグレーションにより、Microsoft Azureのさまざまなソースからのデータをシームレスに取得できるだけでなく、複数のサードパーティサービスからの情報もプラットフォームに取り込むことが可能となります。

その結果、XDRはより包括的なセキュリティ状況の可視化を実現し、堅牢な分析と迅速な脅威対応を可能にします。この広範なカバレッジにより、お客様は利用可能なすべてのセキュリティデータを活用した統合的かつ高度なセキュリティ体制の恩恵を受けることができます。

参照アーキテクチャ🔗

Azure Event Hub 参照アーキテクチャ

シナリオ例🔗

Microsoftが新しいデータソースをリリースしましたが、XDRはまだ最適化されたインテグレーションとしてサポートしていません。しかし、Azure Monitorは診断ログのストリーミングをサポートしており、すでにお客様の環境でログをLog Analyticsワークスペースにストリーミングするために利用されています。そのため、Azure Monitorの診断設定を更新してログをEvent Hubに転送でき、XDRがEvent Hubからデータを取り込みできるため、この新しいデータソースからのデータ収集もサポートできるようになります。

このデータソースと完全に連携するには、以下のアクションを実施してください。

  1. セットアップ手順に従い、データソースの取り込みを有効化します。
  2. カスタムパーサーを設定し、取り込んだデータの正規化を有効にします。
  3. カスタム検出ルールを設定し、正規化されたデータからセキュリティ発見事項に対する検知を生成します。

セットアップ🔗

Azure Event Hubsは、セットアップドキュメントに従って設定できます。