Microsoft Azure Event Hubs インテグレーションガイド

以下の手順は、Azure Event Hubs を Secureworks® Taegis™ XDR に連携し、取り込みを実現するための設定方法です。

接続要件

重要

Secureworks® Taegis™ XDR と連携する Event Hub は、インターネット（すべての IPv4 アドレス）からアクセス可能である必要があります。

設定の前提条件

重要

Secureworks® Taegis™ XDR は、Standard、Premium、Dedicated の Event Hubs ティア をサポートしています。Basic ティアはサポートされていません。

注意

Secureworks® Taegis™ XDR は、Azure 商用クラウド、Azure Government、および Azure Government の Department of Defense (DoD)、US Government (GCC)、US Government High (GCC-High) の Azure Event Hubs 連携をサポートしています。

注意

Event Hub 連携プロセスを開始する前に、以下の前提条件が必要です。

• 少なくとも 1 つの Event Hub を持つ有効な Azure サブスクリプション。詳細は クイックスタート: Azure ポータルを使用して Event Hub を作成する を参照してください。
• 連携対象の Event Hub にデータを送信するように設定された 1 つ以上のデータソース。
  • 例として、Azure Monitor を Event Hub にデータをストリーミングするように設定できます。詳細は Azure 監視データを Event Hub または外部パートナーにストリーミングする を参照してください。

必要な情報の収集

Event Hub を XDR と連携するには、以下の情報が必要です。

1. インテグレーション名 — インテグレーション名は任意の値を指定でき、XDR 内で一意に識別するために使用します。

2. Event Hub 名前空間のホスト名 — Event Hub 名前空間のホスト名は、Event Hub への接続に使用する完全修飾ドメイン名です。Azure Portal で、Event Hubs → 連携する Event Hub 名前空間を選択 → 概要でホスト名の値を表示 の順に確認できます。

   

   Event Hub 名前空間のホスト名を表示

3. Event Hub 名 — Event Hub 名前空間から、エンティティ → Event Hubs を選択します。Event Hub 名の一覧が表示されるので、連携する Event Hub 名を選択します。

4. 接続文字列 — Event Hub 内で、設定 → 共有アクセス ポリシー に移動します。追加 ボタンを選択し、XDR 用の新しい共有アクセス ポリシーを作成します。ポリシー名は任意ですが、Listen アクセスを含める必要があります。キーが作成されたら、該当リストからキーをクリックし、プライマリ接続文字列 の値をコピーします。例: Endpoint=sb://<NamespaceName>.servicebus.windows.net/;SharedAccessKeyName=<KeyName>;SharedAccessKey=<KeyValue>;EntityPath=<EventHubName>

   

   SAS ポリシーの追加

パフォーマンスの考慮事項とスコーピング

XDR のコンシューマは、最大 200 パーティションまで、利用可能なすべてのパーティションを動的に利用するようスケールします。必要なスループット性能を確保するためのサーバー側設定の維持は、Event Hubs の所有者の責任となります。

サーバー側でスループットが制限されている場合、Cloud APIs ページでインテグレーション詳細を表示した際に API クエリログに ServerBusyException が表示されることがあります。このログを利用して、パフォーマンス設定の調整が必要かどうかを判断できます。追加のパーティションが必要または設定されている場合は、サポートまでご連絡いただき、並列コンシューマ数の増加をご依頼ください。

Event Hubs のパフォーマンス設定に関する以下のドキュメントもご参照ください。

• スケーラビリティ
• Event Hubs のパーティショニング

注意

Event Hub のサイズの事前スコーピングは本ドキュメントの範囲外です。さまざまなソースからデータが送信されるため、Event Hub に送信される前のデータソースのサイズを本ドキュメントで特定することはできません。Azure Monitor で生成されたログについては、Azure Log Analytics を利用して使用量を確認できますが、追加コストが発生する場合があります。スコーピング作業には Microsoft のコストおよびデータ分析ツールをご活用ください。

XDR で必要な情報を入力

XDR で、以下の手順を実施してください。

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. カスタムタブを選択し、Azure Event Hubs カードの セットアップ を選択します。

4. 必要な情報の収集 で説明した必須項目を入力します。

   

   Azure Event Hubs インテグレーションの追加