Microsoft Azure Activity Log インテグレーションガイド

以下の手順は、Azure Activity Logs を Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。

XDR では、Azure Activity Logs のインテグレーション方法として2つのパスをサポートしています。

• （推奨） Azure Event Hubs 経由で連携 — このオプションは、最も高速かつ高スループットでデータを提供できるため推奨されますが、有効化には追加のコストが発生する場合があります。
• Azure Monitor API（REST）経由で連携 — このオプションは Event Hubs と同等のデータを提供しますが、RESTベースAPIのポーリング特性およびMicrosoftのレート制限により、データ収集の速度に制限がある場合があります。ポーリング方法の詳細は Office 365 および Azure データ可用性 をご参照ください。

Event Hub インテグレーションの開始

Azure Monitor 診断設定の構成

Microsoft の手順に従い、Azure Monitor の診断設定を有効にしてください。

• アクティビティログの診断設定

Azure Activity Log Diagnostic Settings

XDR では、データ正規化のために以下の診断カテゴリをサポートしています。

最適化された構造化ログカテゴリ

• Administrative
• Security
• ServiceHealth
• Alert
• Recommendation
• Policy
• Autoscale
• ResourceHealth

注意

上記以外のログは Generic スキーマに正規化されます。他のデータソースを Generic スキーマ以外で正規化するにはカスタムパーサーが必要になる場合があります。メトリックデータを XDR に転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

Event Hub への転送と XDR とのインテグレーション有効化

1. 必要なログカテゴリを選択したら、イベントハブへのストリーム を選択し、希望するイベントハブの宛先を入力します。
2. イベントハブのインテグレーション手順に従い、XDR とのインテグレーションを完了し、データの取り込みを開始してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure アクティビティログ			CloudAudit

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

Azure Monitor API の開始

注意

Azure Activity logs の収集には Azure Monitor REST API を使用します。このAPIは authorization scope の user_impersonation を利用してログデータを収集します。さらに、この権限は委任されており、アプリケーションではなく同意したユーザーの代理でアクションが実行されます。本ドキュメントでは、収集対象データへの最小権限アクセスを持つユーザーの作成、アプリケーションへの同意、XDR でのログ収集有効化までの手順を案内します。すでにAzure Activity Logsへの必要なアクセス権を持つユーザーが設定されている場合、Azureでのユーザー設定手順は省略可能です。

注意

Azure インテグレーションは US および EU リージョンでサポートされていますが、他のリージョンでは Microsoft によるサポートがない場合があります。他リージョンでのサービスサポートについては Microsoft へ直接ご確認ください。

注意

本インテグレーションは Azure のサブスクリプションレベルのアクティビティログを収集します。詳細は ベンダードキュメント をご参照ください。

Azure ユーザーの構成

Microsoft Azure でユーザーを作成するには、User Administrator ロールまたは同等の権限が必要です。

注意

新しい Azure Active Directory ユーザーを作成すると、Azure リソースへのアクセス権を持つ ID が作成されます。この ID のセキュリティ確保はユーザーの責任です。本ガイドでは XDR とのインテグレーションに必要なユーザー設定のみを案内しますが、推奨されるベストプラクティス や組織のセキュリティ管理基準に従い、追加のセキュリティ対策を講じてください。

ユーザーの作成

1. Microsoft Azure ポータル にアクセスします。
2. Azure Active Directory リソースに進み、左側のペインから ユーザー オプションを選択します。
3. ユーザー から 新しいユーザー を選択します。
4. デフォルトの 新しいユーザーの作成 オプションをそのまま選択します。

5. ID の項目で以下のフィールドを入力します。

   • ユーザー名 — 例: TaegisActivityIntegrationUser。このユーザー名は後の手順で必要になるため控えておいてください。
   • 名前 — 例: Secureworks Taegis。

6. パスワード では パスワードを自分で作成する オプションを選択し、安全なパスワードを入力します。後の同意手続き時にこのパスワードの入力が求められます。

7. グループとロール からユーザーロールをクリックし、組み込みロールの一覧から Directory readers ロールを右側のペインで選択し、選択 をクリックします。
8. 作成 ボタンをクリックしてユーザー作成を完了します。

連携対象のサブスクリプションID一覧の収集

9. Microsoft Azure ポータルの サブスクリプションリソース に移動します。

10. XDR で監視する各サブスクリプションの サブスクリプションID をコピーします。次の手順でこのIDの入力が求められます。

    注意

    フィルターやユーザーのIAMロールにより、一部のサブスクリプションが表示されない場合があります。すべてのサブスクリプションが表示されるようにユーザー権限を確認し、監視対象のサブスクリプションがフィルターで非表示になっていないことを確認してください。

アプリケーションへの同意

注意

現在、サブスクリプションは XDR に1つずつ追加する必要がありますが、任意の数のサブスクリプションを追加できます。追加する各サブスクリプションごとに同意手続きを繰り返す必要があります。前の手順で作成した同じユーザーを使用できます。

11. Taegis Menu から インテグレーション → クラウドAPI を選択します。

12. ページ上部の インテグレーションの追加 を選択します。

    

    Add an Integration

13. 最適化タブから Office 365/Azure を選択します。

14. Azure Activity Logs ボックスで有効な サブスクリプションID を入力し、認可 を選択します。

    注意

    このIDは前のセクションでコピーしたものです。

    

    Add Azure Subscription

15. サブスクリプションを入力すると、Microsoft のIDプロバイダーにリダイレクトされ、アクセス同意を求められます。ユーザーの作成 で作成したユーザーでログインし、表示される権限を承認して XDR へのアクセスを許可してください。

16. 同意手続きが成功すると、XDR にリダイレクトされます。ここではまだインテグレーション名を入力せず、次の手順に進んでください。

    注意

    アプリケーション同意に関するエラーメッセージが表示された場合、AzureアカウントでAdmin Consentが有効になっていることが原因です。XDR は非同期のアプリケーション同意を処理できず、正しい権限が割り当てられていてもインテグレーションを完了できません。この問題を解決するには以下の2つの方法があります。

    • TaegisActivityIntegrationUser に Application Administrator ロールを追加し、そのユーザーで同意を実施します。同意後はロールを削除できます。
    • AzureアカウントでAdmin Consentオプションを無効化し、TaegisActivityIntegrationUser で同意を実施します。インテグレーション完了後、Admin Consentオプションを再度有効化できます。

監視対象サブスクリプションへのサービスプリンシパル追加

注意

この手順は アプリケーションへの同意 セクションが正常に完了してから実施できます。この手順では、同意プロセスで作成されたサービスプリンシパルを監視対象サブスクリプションに追加します。ここで追加するのはアプリケーションのサービスプリンシパルであり、前に作成したユーザーではありません。

17. Microsoft Azure ポータルの サブスクリプションリソース に移動します。
18. 左側のペインから アクセス制御（IAM） オプションを選択します。
19. 追加 オプションから ロールの割り当ての追加 を選択します。
20. Reader ロールを選択し、次へ をクリックします。
21. アクセスの割り当て先 では ユーザー、グループ、またはサービスプリンシパル のままにします。
22. メンバー セクションでメンバーの追加を選択し、右側のペインで同意済みアプリケーションのサービスプリンシパル Secureworks Taegis - Azure Activity Logs Integration を検索します。

23. 確認および割り当て ボタンをクリックして、ユーザーをサブスクリプションに割り当てます。

    注意

    上記の手順は監視対象の各サブスクリプションごとに実施する必要があります。

インテグレーション名の追加

24. XDR でインテグレーションの一意な名前を入力し、完了 をクリックします。

    

    Name the O365 Management API Integration

25. 追加のサブスクリプションを登録する場合は、これらの手順を繰り返してください。

インテグレーションから提供されるデータ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure アクティビティログ			CloudAudit

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。

SecureworksをMicrosoftパートナーとしてリンクする

Secureworksをセキュリティのソリューションプロバイダーとしてリンクすることは任意のプロセスですが、これによりMicrosoftはSecureworksがどのお客様のセキュリティ目標達成やMicrosoftエコシステムの価値実現を支援しているかをより深く理解できるようになります。これにより、SecureworksはパートナーとしてMicrosoftへのアクセスが向上し、お客様により良い製品やサービスを提供できるようになります。お客様のAzure環境へのアクセスを追加し、Secureworksがセキュリティ向上を通じてお客様のビジネスを支援できるようにしていただいた場合、さらにパートナーリンクとして当社を追加していただけますと幸いです。

Secureworksをパートナーとしてリンクするには、以下の手順に従ってください。

1. AzureポータルでパートナーIDへのリンクにアクセスします。
2. 対象となるロールまたは権限を持つユーザーを使用します。詳細はクレジットを受け取るために必要なロールと権限をご参照ください。
3. MicrosoftパートナーID欄に、次の値を入力します：4834104
4. パートナーIDをリンク ボタンをクリックしてプロセスを完了します。