Microsoft Azure Event Hubs インテグレーションガイド

以下の手順は、Azure Event Hubs を Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。

接続要件

重要

Secureworks® Taegis™ XDR と連携する Event Hub は、インターネット（すべての IPv4 アドレス）からアクセス可能である必要があります。

設定の前提条件

重要

Secureworks® Taegis™ XDR は、Standard、Premium、Dedicated の Event Hubs ティア をサポートしています。Basic ティアはサポートされていません。

注意

Secureworks® Taegis™ XDR は、Azure 商用クラウド、Azure Government、および Azure Government と US Government (GCC) および US Government High (GCC-High) の Department of Defense (DoD) からの Azure Event Hubs のインテグレーションをサポートしています。

注意

Event Hub インテグレーションプロセスを開始する前に、以下の前提条件が必要です：

• 少なくとも 1 つの Event Hub を持つ有効な Azure サブスクリプション。詳細は クイックスタート: Azure ポータルを使用して Event Hub を作成する を参照してください。
• インテグレーション対象の Event Hub にデータを送信するように設定された 1 つ以上のデータソース。
  • 例として、Azure Monitor を Event Hub へデータをストリーミングするように設定できます。詳細は Azure 監視データを Event Hub または外部パートナーにストリーミングする を参照してください。

必要な情報の収集

Event Hub を XDR と連携するには、以下の情報が必要です：

1. インテグレーション名 — インテグレーション名は任意の値を指定でき、XDR 内で一意に識別するために使用します。

2. Event Hub 名前空間のホスト名 — Event Hub 名前空間のホスト名は、Event Hub への接続に使用する完全修飾ドメイン名です。Azure ポータル で、Event Hubs -> インテグレーション対象の Event Hub 名前空間を選択 -> 概要で Host name の値を表示 から確認できます。

   

   Event Hub 名前空間のホスト名を表示

3. Event Hub 名 — Event Hub 名前空間から Entities -> Event Hubs を選択します。Event Hub 名の一覧が表示されるので、インテグレーション対象の Event Hub 名を選択します。

4. 接続文字列 — Event Hub 内で Settings -> Shared access policies に移動します。Add ボタンを選択して、XDR 用の新しい共有アクセス ポリシーを作成します。ポリシー名は任意ですが、Listen アクセスを含める必要があります。キーが作成されたら、該当リストからキーをクリックし、Primary Connection String の値をコピーします。例：Endpoint=sb://<NamespaceName>.servicebus.windows.net/;SharedAccessKeyName=<KeyName>;SharedAccessKey=<KeyValue>;EntityPath=<EventHubName>

   

   SAS ポリシーの追加

パフォーマンスの考慮事項とスコーピング

XDR のコンシューマは、最大 200 パーティションまで、利用可能なすべてのパーティションを動的にスケールします。必要なスループット性能を確保するためのサーバー側設定は、Event Hubs の所有者が維持する責任があります。

サーバー側でスループットが制限されている場合、Cloud APIs ページのインテグレーション詳細画面で API クエリログに ServerBusyException が表示されることがあります。このログを利用して、パフォーマンス設定の調整が必要かどうかを判断できます。追加のパーティションが必要または設定されている場合は、サポートまでご連絡いただき、並列コンシューマ数の増加をご依頼ください。

Event Hubs のパフォーマンス設定に関する以下のドキュメントもご参照ください：

• スケーラビリティ
• Event Hubs のパーティショニング

注意

Event Hub のサイズの事前スコーピングは本ドキュメントの範囲外です。さまざまなソースからデータが送信されるため、Event Hub 送信前に各データソースのサイズをドキュメントで特定することはできません。Azure Monitor で生成されたログについては、Azure Log Analytics を利用して使用状況を確認できますが、追加コストが発生する場合があります。スコーピング作業には Microsoft のコストおよびデータ分析ツールをご参照ください。

XDR で必要な情報を入力

XDR で以下の手順を実施してください：

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. カスタムタブを選択し、Azure Event Hubs カードの セットアップ を選択します。

4. 必要な情報の収集 で説明した必須項目を入力します。

   

   Azure Event Hubs インテグレーションの追加