Microsoft Azure Firewall インテグレーションガイド

以下の手順は、Azure Event HubsからSecureworks® Taegis™ XDRへの取り込みを容易にするためのAzure Firewallのインテグレーション設定方法です。

Azure Monitor 診断設定の構成

以下のいずれかのMicrosoftの手順に従い、Azure Monitorの診断設定を有効にしてください。

• （推奨） 構造化ログ
• （レガシー） 診断ログ

XDRは、データの正規化のために以下の診断カテゴリをサポートしています。

最適化された構造化ログカテゴリ

• Azure Firewall Application Rule
• Azure Firewall Threat Intelligence
• Azure Firewall IDPS Signature
• Azure Firewall DNS query
• Azure Firewall Network Rule
• Azure Firewall Nat Rule
• Azure Firewall Flow Trace Log

最適化された診断ログ（レガシー）カテゴリ

• Azure Firewall Network Rule
• Azure Firewall DNS Proxy
• Azure Firewall Application Rule

注意

その他のログはすべて Generic スキーマに正規化されます。他のデータソースを Generic スキーマ以外で正規化するにはカスタムパーサーが必要になる場合があります。メトリックデータをXDRに転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

注意

レガシーと構造化ログの両方を有効にすることは推奨されません。これにより一部のアクティビティが論理的に重複して記録されるためです。

Event Hubへの転送とXDRとのインテグレーション有効化

1. 希望するログカテゴリを選択したら、イベントハブへのストリーミングを選択し、希望するイベントハブの宛先を入力します。
2. イベントハブのインテグレーション手順に従い、XDRとのインテグレーションを完了し、データの取り込みを開始してください。

インテグレーションから提供されるデータ

Azure Firewallから正規化されたデータは、以下のスキーマで利用可能です。

Azure Firewall

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Firewall		DNS, HTTP, Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。