Microsoft Entra アクティビティレポート インテグレーションガイド

以下の手順は、Microsoft Entra ログを Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。

重要

このインテグレーションには、Microsoft Entra の プレミアム ライセンスが必要です。

XDR は、Entra ログのインテグレーション方法として2つのパスをサポートしています：

• （推奨） Azure Event Hubs 経由で連携 — このオプションは、最速かつ最大スループットのデータ連携が可能なため推奨されますが、有効化には追加の コスト が発生する場合があります。
• Microsoft Graph API（REST）経由で連携 — このオプションは Event Hubs と同等のデータを提供しますが、RESTベースAPIのポーリング特性およびMicrosoftのレート制限により、データ収集速度に制限が生じる場合があります。ポーリング運用の詳細は Office 365 および Azure データ可用性 をご参照ください。

Event Hubs インテグレーションの開始

Azure Monitor 診断設定の構成

Microsoft の手順に従い、Azure Monitor の診断設定を有効化してください：

• Microsoft Entra 診断設定

XDR は、データ正規化のために以下の診断カテゴリをサポートしています：

最適化された構造化ログカテゴリ

• AuditLogs
• SignInLogs
• NonInteractiveUserSignInLogs
• ServicePrincipalSignInLogs
• ManagedIdentitySignInLogs
• UserRiskEvents

注意

その他のログはすべて Generic スキーマに正規化されます。Generic スキーマ以外のデータソースを正規化するには カスタムパーサー が必要になる場合があります。メトリックデータを XDR に転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

Event Hub への転送と XDR とのインテグレーション有効化

1. 必要なログカテゴリを選択したら、イベントハブへのストリーミング を選択し、希望するイベントハブの宛先を入力します。
2. イベントハブのインテグレーション手順 に従い、XDR とのインテグレーションを完了し、データ取り込みを開始します。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Active Directory アクティビティレポート		Auth	CloudAudit
MS Azure Active Directory Identity Protection			CloudAudit, Thirdparty

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Microsoft Graph インテグレーションの開始

重要

必要な権限は、Microsoft Graph ドキュメントの以下のページに記載されています：

• List signIns
• Get directoryAudit

注意

• Azure インテグレーションは US および EU リージョンでサポートされていますが、他のリージョンでは Microsoft によるサポートがない場合があります。他リージョンでのサービスサポートについては Microsoft へ直接ご確認ください。
• Microsoft Graph API 経由の Azure Active Directory インテグレーションはグローバル Azure クラウドで利用可能です。Azure Government、Azure China 21Vianet、Azure Germany などのナショナルクラウドは現在サポートされていません。

データ可用性と収集タイミング

アラートは Microsoft REST API を用いてポーリング方式で取り込まれます。データ可用性の詳細は Office 365 および Azure データ可用性 をご参照ください。

注意

フェデレーテッド Azure AD 環境を利用している場合、AD 監査データの一部フィールド値が不完全（null）となり、XDR で一部の検知が正しく生成されない場合があります。AD 接続の正常性監視には AD Connect Health の利用を推奨します。

Azure でアプリケーションを登録

1. アプリケーションを登録 します（Azure ポータル）。

• 名前 — 任意の説明的な文字列
• サポートされるアカウントの種類 — この組織ディレクトリ内のアカウントのみ

以下の値は XDR でインテグレーション作成時に使用するため控えておいてください：

• ディレクトリ（テナント）ID
• アプリケーション（クライアント）ID

2. アプリケーションの権限を構成 します。以下の権限が必要です：

• AuditLog.Read.All（アプリケーション権限）
• Directory.Read.All（アプリケーション権限）
• User.Read（MS Graph へ自動的に委任される権限）

3. <Azure テナント名> の管理者の同意を付与 をクリックします。

4. 証明書のアップロード により、アプリケーションの 認証情報 を提供します。

重要

証明書は有効期限があり、Microsoft Entra ID および XDR の両方で有効期限前に更新が必要です。継続的な機能維持のため、期限切れ前に更新してください。

重要

XDR は Privacy-Enhanced Mail（PEM）形式のみをサポートします。PEM 形式の詳細は RFC 7468 をご参照ください。

暗号化キーおよびクライアントシークレットはサポートされていません。

注意

自己署名証明書もサポートされています。

PowerShell または OpenSSL を使用して自己署名 PEM（.pem 拡張子）証明書を生成するには、以下のいずれかのコマンドを使用してください。

# Prompt user for input

$certname = Read-Host -Prompt "Enter certificate name"
$keyname = Read-Host -Prompt "Enter key name"
$mypwd = Read-Host -Prompt "Enter password" -AsSecureString
$location = Read-Host -Prompt "Enter location"
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-PfxCertificate -Cert $cert -FilePath "$location\$certname.pfx" -Password $mypwd
Install-Module -Name PSPKI -Scope CurrentUser
Import-Module -Name PSPKI
Convert-PfxToPem -InputFile "$location\$certname.pfx" -Outputfile "$location\$certname.pem"
# Read the PEM file content

$pemContent = Get-Content "$location\$certname.pem" -Raw
# Extract private key and certificate

$privateKey = $pemContent -replace "(?ms).*?(-----BEGIN PRIVATE KEY-----.+?-----END PRIVATE KEY-----).*", '$1'
$certificate = $pemContent -replace "(?ms).*?(-----BEGIN CERTIFICATE-----.+?-----END CERTIFICATE-----).*", '$1'
# Save private key and certificate to separate files

$privateKey | Set-Content "$location\$keyname.pem"
$certificate | Set-Content "$location\$certname.pem"
Write-Host "Files located at: $location"
pause

注意

上記のコードをテキストファイルにコピー＆ペーストし、.ps1 拡張子（例：CertGen.ps1）で保存して、Powershell でスクリプトを実行してください。

注意

使用している PowerShell のバージョンによっては、-Subject でエラーが発生する場合、-Subject を -SubjectName に置き換えてください。

または：

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

XDR でインテグレーションを追加

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. 最適化タブから Office 365/Azure を選択します。

   

   インテグレーションの作成

4. Azure Active Directory Activity Reports の下にある セットアップ を選択します。

5. インテグレーション名を入力します（任意の文字列）。
6. アプリケーションの登録 の手順1で取得したテナントIDとアプリケーションクライアントIDを入力します。
7. 証明書と関連する秘密鍵をアップロードします。

8. 収集対象に含めるオプションのログカテゴリを選択します。デフォルトで インタラクティブユーザーサインインログ および Entra ディレクトリアuditログ は常に収集されます。

   • ノンインタラクティブユーザーサインインログ（ノンインタラクティブユーザーサインインログは非常に大量（平均してインタラクティブサインインの10倍）となる傾向があります。Microsoft Graph API のレート制限のため、ほとんどの場合 Event Hubs を利用してノンインタラクティブサインインログを収集することを推奨します。このオプションを長期間有効にすると、本インテグレーションで Microsoft Graph API 経由で取り込む他のログの収集に遅延が生じる場合があります。）
   • サービスプリンシパルサインインログ
   • マネージドIDサインインログ

9. 完了 を選択してインテグレーションを完了します。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Active Directory アクティビティレポート		Auth	CloudAudit

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

SecureworksをMicrosoftパートナーとしてリンクする

Secureworksをセキュリティのソリューションプロバイダーとしてリンクすることは任意のプロセスですが、これによりMicrosoftはSecureworksがどのお客様のセキュリティ目標達成やMicrosoftエコシステムの価値実現を支援しているかをより深く理解できるようになります。これにより、SecureworksはパートナーとしてMicrosoftへのアクセスが向上し、お客様により良い製品やサービスを提供できるようになります。お客様のAzure環境へのアクセスを追加し、Secureworksがセキュリティ向上を通じてお客様のビジネスを支援できるようにしていただいた場合、さらにパートナーリンクとして当社を追加していただけますと幸いです。

Secureworksをパートナーとしてリンクするには、以下の手順に従ってください。

1. AzureポータルでパートナーIDへのリンクにアクセスします。
2. 対象となるロールまたは権限を持つユーザーを使用します。詳細はクレジットを受け取るために必要なロールと権限をご参照ください。
3. MicrosoftパートナーID欄に、次の値を入力します：4834104
4. パートナーIDをリンク ボタンをクリックしてプロセスを完了します。