Microsoft Azure Storage Account インテグレーションガイド

以下の手順は、Azure Storage Account を Secureworks® Taegis™ XDR に取り込むためのインテグレーション設定方法です。

設定の前提条件

注意

XDR は、Azure商用クラウド、Azure Government、Azure GovernmentのDepartment of Defense (DoD)、US Government (GCC)、およびUS Government High (GCC-High) の Azure Storage Account のインテグレーションをサポートしています。

注意

Storage Account のインテグレーションプロセスを開始する前に、以下の前提条件が必要です。

• 少なくとも1つの Storage Account を持つ有効な Azure サブスクリプション。詳細は クイックスタート: Azure ポータルを使用して Storage Account を作成する を参照してください。
• データソースのログの保存先となる Storage Account 内の Blob コンテナー
• ログデータを Storage Account の Blob コンテナーに送信するように設定された1つ以上のデータソース

必要な情報の収集

Storage Account を XDR と連携するには、以下の情報が必要です。

1. Storage Account — XDR とのインテグレーションに使用する Storage Account 名。

2. Blob コンテナー — Storage Account 内に存在する Blob コンテナー名。これはデータソースのログの保存先です。

   

   Storage Account Blob コンテナー

3. Azure Function サービスプランタイプ — 詳細は ベンダーのドキュメント を参照してください。

重要

"Isolated" サービスプランタイプ はサポートされていません。

4. Azure Function サービスプランコード — 詳細は ベンダーのドキュメント を参照してください。

サービスプランタイプ	有効なサービスプランコード
Basic	B1, B2, B3
Dynamic	Y1
Premium	P0V3,P1MV3,P1V2,P1V3,P2MV3,P2V2,P2V3,P3MV3,P3V2,P3V3,P4MV3,P5MV3

XDR で必要な情報を入力

XDR で、以下の手順に従ってください。

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   インテグレーションの追加

3. カスタムタブを選択し、Azure Storage Account カードから セットアップ を選択します。

4. 必要な情報の収集 で説明した必須項目を入力します。

   • Taegis インテグレーション名 — 任意の一意な文字列。
   • Storage Account 名 — ログデータを送信する既存の Storage Account の名前。
   • Function App 名 — Azure Function の目的を示す説明的な文字列。
     • 例: NSG Flow ログを Storage Account に送信する場合は NSGFlowLogsForwarder など。
   • データソースキー — ログが作成されるコンテナフォルダー。
     • 例: データソースが MicrosoftInsights/2024-02-03/02hr/part=01/00004.json のようなパターンで書き込まれている場合、MicrosoftInsights がデータソースキーとして適切です。
   • Azure Function サービスプランタイプ — (任意) Basic、Dynamic、Premium。デフォルトは Dynamic です。
   • Azure Function サービスプランコード — (任意) 必要な情報の収集 の表を参照してください。
   • Azure Function サービスプランワーカー数 — (任意) デフォルトは 1 です。

   

   Azure Storage Account インテグレーションの追加

5. 完了 を選択します。ARM テンプレート (AzureFunction.json) が自動的にダウンロードされます。ファイルの保存場所を確認してください。

6. ベンダーのドキュメント の手順に従い、ARM テンプレートをデプロイします。

   • エディターで独自のテンプレートを作成: オプションを選択します。

7. エディターに AzureFunction.json ファイルを読み込みます。

8. 保存 を選択します。
9. 既存のリソースグループを選択するか、新規作成します。

注意

XDR は、Azure Function をデプロイするサブスクリプションIDやリソースグループとは異なるサブスクリプションIDやリソースグループ配下の Storage Account もサポートしています。

• Storage Account サブスクリプションID — 現在のサブスクリプションIDと異なる場合のみ修正してください。
• Storage Account リソースグループ — 現在のリソースグループと異なる場合のみ修正してください。

リソースグループの修正

10. レビュー + 作成 を選択します。
11. 作成 を選択します。Azure Function のデプロイが開始されます。
12. デプロイが完了したら、XDR に戻ります。Azure Storage Account のインテグレーションが クラウドAPIインテグレーション テーブルに表示されます。

既知の問題

• "Basic" Azure Function サービスプランタイプ かつ B2 または B3 Azure Function サービスプランコード の場合、Azure Function サービスプランワーカー数 の最大値は 3 です。