Microsoft Azure Network Watcherからのフローログインテグレーションガイド🔗

以下の手順は、Azure Network Security Group (NSG) および Virtual Network (VNet) のフローログを Azure Network Watcher から Azure Storage Account を介して Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定手順です。

Azure Network Watcher の設定🔗

Microsoft の手順に従い、Azure Network Watcher からフローログを有効化してください。

注意

その他のログはすべて Generic スキーマに正規化されます。Generic スキーマ以外のデータソースを正規化するにはカスタムパーサーが必要です。メトリックデータを XDR へ転送することは推奨されません。すべて他のログデータとして扱われ、メトリックとしては扱われません。

重要

VNet および NSG フローログは、Azure が各フローログタイプごとに異なる Blob Container 名を使用するため、別々に XDR インテグレーションが必要です。

Azure Portal で NSG または VNet フローログを作成したら、Storage Account のインテグレーション手順に従い、XDR とのインテグレーションを完了し、データの取り込みを開始してください。

NSG フローログの Data Source Key は insights-logs-networksecuritygroupflowevent である必要があります。
VNet フローログの Data Source Key は insights-logs-flowlogflowevent である必要があります。

Azure NSG および VNet フローログから正規化されたデータは、以下のスキーマで利用可能です。

	正規化されたデータ	汎用的な検知	ベンダー固有の検知
MS Azure Flow Logs		Netflow

注意

XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。