Microsoft Azure Network Watcherからのフローログ インテグレーションガイド

以下の手順は、Azure Network Security Group (NSG) および Virtual Network (VNet) のフローログを Azure Network Watcher から Secureworks® Taegis™ XDR へ、Azure Storage Accountを介して取り込むためのインテグレーション設定手順です。

Azure Network Watcherの設定

Microsoftの手順に従い、Azure Network Watcherからフローログを有効化してください。

• NSGフローログ
• VNetフローログ

注意

その他のログはすべて Generic スキーマに正規化されます。Generic スキーマ以外のデータソースを正規化するにはカスタムパーサーが必要です。メトリックデータを XDR へ転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

XDR とのインテグレーションを有効化

重要

VNetおよびNSGフローログは、Azureが各フローログタイプごとに異なるBlob Container名を使用するため、別々にXDRインテグレーションが必要です。

1. Azure Portal でNSGまたはVNetフローログを作成したら、Storage Accountのインテグレーション手順に従い、XDRとのインテグレーションを完了し、データの取り込みを開始してください。

• NSGフローログのデータソースキーは insights-logs-networksecuritygroupflowevent である必要があります。
• VNetフローログのデータソースキーは insights-logs-flowlogflowevent である必要があります。

インテグレーションから提供されるデータ

Azure NSGおよびVNetフローログから正規化されたデータは、以下のスキーマで利用可能です。

Azure NSGおよびVNetフローログ

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Flow Logs		Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。