Microsoft Azure Firewall インテグレーションガイド

以下の手順は、Azure Event Hubs から Secureworks® Taegis™ XDR への取り込みを容易にするための Azure Firewall のインテグレーション設定方法です。

Azure Monitor 診断設定の構成

以下のいずれかの Microsoft の手順に従い、Azure Monitor の診断設定を有効にしてください。

• （推奨） 構造化ログ
• （レガシー） 診断ログ

XDR は、データの正規化のために以下の診断カテゴリをサポートしています。

最適化された構造化ログカテゴリ

• Azure Firewall Application Rule
• Azure Firewall Threat Intelligence
• Azure Firewall IDPS Signature
• Azure Firewall DNS query
• Azure Firewall Network Rule
• Azure Firewall Nat Rule
• Azure Firewall Flow Trace Log

最適化された診断ログ（レガシー）カテゴリ

• Azure Firewall Network Rule
• Azure Firewall DNS Proxy
• Azure Firewall Application Rule

注意

その他のログはすべて Generic スキーマに正規化されます。他のデータソースを Generic スキーマ以外で正規化するには、カスタムパーサーが必要になる場合があります。メトリックデータを XDR に転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

注意

レガシーと構造化ログの両方を有効にすることは推奨されません。これにより一部のアクティビティが論理的に重複して記録されるためです。

Event Hub への転送と XDR とのインテグレーション有効化

1. 希望するログカテゴリを選択したら、イベントハブへのストリーム を選択し、希望するイベントハブの宛先を入力します。
2. イベントハブのインテグレーション手順に従い、XDR とのインテグレーションを完了し、データの取り込みを開始してください。

インテグレーションから提供されるデータ

Azure Firewall から正規化されたデータは、以下のスキーマで利用可能です。

Azure Firewall

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Firewall		DNS、HTTP、Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。