Microsoft Azure Activity Log インテグレーションガイド

以下の手順は、Azure Activity Logsのインテグレーションを設定し、Secureworks® Taegis™ XDRへの取り込みを容易にするためのものです。

XDRは、Azure Activity Logsのインテグレーション方法として2つのパスをサポートしています。

• （推奨） Azure Event Hubs経由で連携 — このオプションは、最速かつ最大スループットのデータ提供が可能なため推奨されますが、有効化には追加のコストが発生する場合があります。
• Azure Monitor API（REST）経由で連携 — このオプションはEvent Hubsと同等のデータを提供しますが、RESTベースAPIのポーリング特性およびMicrosoftのレート制限により、データ収集の速度に制限がある場合があります。ポーリング運用の詳細はOffice 365およびAzureデータ可用性をご参照ください。

Event Hubインテグレーションの開始

Azure Monitor診断設定の構成

Microsoftの手順に従い、Azure Monitor診断設定を有効化してください。

• アクティビティログの診断設定

Azure Activity Log Diagnostic Settings

XDRは、データ正規化のために以下の診断カテゴリをサポートしています。

最適化された構造化ログカテゴリ

• Administrative
• Security
• ServiceHealth
• Alert
• Recommendation
• Policy
• Autoscale
• ResourceHealth

注意

その他のログはGenericスキーマに正規化されます。他のデータソースをGenericスキーマ以外で正規化するにはカスタムパーサーが必要になる場合があります。メトリックデータをXDRへ転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

Event Hubへの転送とXDRとのインテグレーション有効化

1. 必要なログカテゴリを選択したら、イベントハブへのストリームを選択し、希望するイベントハブの宛先を入力します。
2. イベントハブのインテグレーション手順に従い、XDRとのインテグレーションを完了し、データ取り込みを開始してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure アクティビティログ			CloudAudit

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

Azure Monitor APIの開始

注意

AzureインテグレーションはUSおよびEUリージョンでサポートされていますが、他のリージョンではMicrosoftによるサポートがない場合があります。他リージョンでのサービスサポートについてはMicrosoftに直接ご確認ください。

注意

このインテグレーションはAzureからサブスクリプションレベルのアクティビティログを収集します。詳細はベンダードキュメントをご参照ください。

Azureでアプリケーションを登録

1. アプリケーションを登録します（Azureポータル）。

   • 名前 — 任意の説明的な文字列
   • サポートされるアカウントの種類 — この組織ディレクトリ内のアカウントのみ

   注意

   以下の値はXDRでインテグレーションを作成する際に使用するため、必ず記録してください：ディレクトリ（テナント）IDおよびアプリケーション（クライアント）ID。

2. 証明書のアップロードにより、アプリケーションに認証情報を提供します。

重要

証明書は有効期限があり、Microsoft Entra IDおよびXDRの両方で有効期限前に更新が必要です。継続的な機能維持のため、必ず更新してください。

重要

XDRはPrivacy-Enhanced Mail（PEM）形式のみをサポートします。PEM形式の詳細はRFC 7468をご参照ください。

暗号化キーおよびクライアントシークレットはサポートされていません。

注意

自己署名証明書もサポートされています。

PowerShellまたはOpenSSLを使用して自己署名PEM（.pem拡張子）証明書を生成するには、以下のいずれかのコマンドを使用してください。

PowershellOpenSSL

# Prompt user for input

$certname = Read-Host -Prompt "Enter certificate name"
$keyname = Read-Host -Prompt "Enter key name"
$mypwd = Read-Host -Prompt "Enter password" -AsSecureString
$location = Read-Host -Prompt "Enter location"
$cert = New-SelfSignedCertificate -Subject "CN=$certname" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256
Export-PfxCertificate -Cert $cert -FilePath "$location\$certname.pfx" -Password $mypwd
Install-Module -Name PSPKI -Scope CurrentUser
Import-Module -Name PSPKI
Convert-PfxToPem -InputFile "$location\$certname.pfx" -Outputfile "$location\$certname.pem"
# Read the PEM file content

$pemContent = Get-Content "$location\$certname.pem" -Raw
# Extract private key and certificate

$privateKey = $pemContent -replace "(?ms).*?(-----BEGIN PRIVATE KEY-----.+?-----END PRIVATE KEY-----).*", '$1'
$certificate = $pemContent -replace "(?ms).*?(-----BEGIN CERTIFICATE-----.+?-----END CERTIFICATE-----).*", '$1'
# Save private key and certificate to separate files

$privateKey | Set-Content "$location\$keyname.pem"
$certificate | Set-Content "$location\$certname.pem"
Write-Host "Files located at: $location"
pause

注意

上記のコードをテキストファイルにコピー＆ペーストし、ファイルを.ps1拡張子（例：CertGen.ps1）で保存し、PowerShellでスクリプトを実行してください。

注意

使用しているPowerShellのバージョンによっては、-Subjectでエラーが発生する場合、-Subjectを-SubjectNameに置き換える必要があります。

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

監視対象サブスクリプションへのAzureアプリケーションの追加

1. Microsoft Azureポータルのサブスクリプションリソースにアクセスします。
2. 左側のペインでアクセス制御（IAM）をクリックします。
3. 追加をクリックし、ロールの割り当ての追加を選択します。
4. Monitoring Readerロールを選択し、次へをクリックします。
5. アクセスの割り当て先では、ユーザー、グループ、またはサービスプリンシパルの選択を維持します。
6. メンバーセクションで追加するメンバーを選択します。
7. 右側のペインで、作成したアプリケーションのサービスプリンシパルを検索します。
8. 確認および割り当てをクリックし、ユーザーをサブスクリプションに割り当てます。

XDRでのインテグレーション追加

1. Taegis Menuからインテグレーション → クラウドAPIへ移動します。

2. ページ上部のインテグレーションの追加をクリックします。

   

   Add an Integration

3. 最適化済みタブからOffice 365/Azureをクリックします。

   

   Create the Integration

4. Azure Activity Logsの下でセットアップを選択します。

5. インテグレーションの名前を入力します。任意の文字列で構いません。
6. 以下をすべてGUID形式で入力します。
   • テナントID
   • アプリケーションクライアントID（手順1「Azureでアプリケーションを登録」セクション参照）
   • AzureサブスクリプションID（手順1「監視対象サブスクリプションへのAzureアプリケーションの追加」セクション参照）
7. 証明書と関連する秘密鍵をアップロードします。
8. 完了を選択し、XDRとのインテグレーションを完了します。

ヒント

追加のサブスクリプションを追加する場合は、監視対象サブスクリプションへのAzureアプリケーションの追加およびXDRでのインテグレーション追加の手順をサブスクリプションごとに繰り返してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure アクティビティログ			CloudAudit

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。

SecureworksをMicrosoftパートナーとしてリンクする

Secureworksをセキュリティのソリューションプロバイダーとしてリンクすることは任意のプロセスですが、これによりMicrosoftはSecureworksがどのお客様のセキュリティ目標達成やMicrosoftエコシステムの価値実現を支援しているかをより深く理解できるようになります。これにより、SecureworksはパートナーとしてMicrosoftへのアクセスが向上し、お客様により良い製品やサービスを提供できるようになります。お客様のAzure環境へのアクセスを追加し、Secureworksがセキュリティ強化を通じてお客様のビジネスを支援できるようにしていただいた場合、あわせてパートナーリンクとして弊社を追加していただけますと幸いです。

Secureworksをパートナーとしてリンクするには、以下の手順に従ってください。

1. AzureポータルでパートナーIDへのリンクにアクセスします。
2. 対象となるロールまたは権限を持つユーザーを使用してください。詳細はクレジットを受け取るために必要なロールと権限をご参照ください。
3. MicrosoftパートナーID欄に、次の値を入力します：4834104
4. パートナーIDをリンク ボタンをクリックしてプロセスを完了します。