コンテンツにスキップ

Azure Event Hub転送方法の概要🔗

概要🔗

Azure Event Hubs は、クラウドベースのデータストリーミングサービスであり、毎秒数百万件のイベントを取り込み・処理することができます。これは、フルマネージド型のリアルタイムサービスであり、スケーラブルでセキュア、かつシンプルです。Microsoftは、Event HubsをAzure Monitorのターゲット先として位置付けており、Microsoft Azure内で多様なセキュリティテレメトリーの収集を可能にしています。さらに、多くのサードパーティ製品がEvent Hubsへのデータストリーミングをサポートしています。

XDRは、Event Hubからソースを問わずデータを取り込みできる機能をサポートしています。

Azure Event Hubsとの連携により、XDRはデータ取り込み機能を大幅に強化し、多様なセキュリティテレメトリーに対して包括的なカバレッジを実現します。この連携は、Microsoft Azureのさまざまなソースからのデータ取得をシームレスにするだけでなく、複数のサードパーティサービスからの情報もプラットフォームに取り込むことを可能にします。

その結果、XDRはセキュリティの全体像をより包括的に把握できるようになり、強力な分析と迅速な脅威対応を実現します。この広範なカバレッジにより、お客様は利用可能なすべてのセキュリティデータを活用した統合的かつ高度なセキュリティ体制の恩恵を受けることができます。

参照アーキテクチャ🔗

Azure Event Hubリファレンスアーキテクチャ

シナリオ例🔗

Microsoftが新しいデータソースをリリースしましたが、XDRはまだ最適化されたインテグレーションとしてサポートしていません。しかし、Azure Monitorは診断ログのストリーミングをサポートしており、すでにお客様の環境でログをLog Analyticsワークスペースにストリーミングするために利用されています。そのため、Azure Monitorの診断設定を更新してログをEvent Hubに転送でき、XDRがEvent Hubからデータを取り込みできるため、この新しいデータソースからのデータ収集もサポートできるようになります。

このデータソースと完全に連携するために、以下のアクションを実施してください。

  1. セットアップ手順に従い、データソースの取り込みを有効化します。
  2. カスタムパーサーを設定し、取り込んだデータの正規化を有効化します。
  3. カスタム検出ルールを設定し、正規化されたデータからセキュリティ発見事項に対する検知を生成します。

セットアップ🔗

Azure Event Hubsは、セットアップドキュメントに従って設定できます。