Microsoft Azure Storage Account インテグレーションガイド

以下の手順は、Azure Storage Account を Secureworks® Taegis™ XDR に連携し、取り込みを実現するための設定方法です。

設定の前提条件

注意

XDR は、Azure商用クラウド、Azure Government、Azure Government内のDepartment of Defense (DoD)、US Government (GCC)、およびUS Government High (GCC-High) の Azure Storage Account のインテグレーションをサポートしています。

注意

Storage Account のインテグレーションプロセスを開始する前に、以下の前提条件が必要です。

• 少なくとも1つの Storage Account を持つ有効な Azure サブスクリプション。詳細は クイックスタート: Azure ポータルを使用して Storage Account を作成する
• データソースのログの保存先となる Storage Account 内の Blob コンテナー
• ログデータを Storage Account の Blob コンテナーに送信するように設定された1つ以上のデータソース

必要情報の収集

Storage Account を XDR と連携するには、以下の情報が必要です。

1. Storage Account — XDR との連携に使用する Storage Account 名。

2. Blob Container — Storage Account 内に存在する Blob Container 名。これはデータソースログの保存先です。

   

   Storage Account Blob Container

3. Azure Function サービスプランタイプ — 詳細は ベンダーのドキュメント をご参照ください。

重要

"Isolated" サービスプランタイプ は サポートされていません。

4. Azure Function サービスプランコード — 詳細は ベンダーのドキュメント をご参照ください。

サービスプランタイプ	有効なサービスプランコード
Basic	B1, B2, B3
Dynamic	Y1
Premium	P0V3,P1MV3,P1V2,P1V3,P2MV3,P2V2,P2V3,P3MV3,P3V2,P3V3,P4MV3,P5MV3

XDR で必要情報を入力

XDR で、以下の手順に従ってください。

1. Taegis Menu から インテグレーション → クラウドAPI を選択します。

2. ページ上部の インテグレーションの追加 を選択します。

   

   Add an Integration

3. カスタムタブを選択し、Azure Storage Account カードから セットアップ を選択します。

4. 必要情報の収集 で説明した必須項目を入力します。

   • Taegis インテグレーション名 — 任意の一意な文字列。
   • Storage Account 名 — ログデータを送信する既存の Storage Account 名。
   • Function App 名 — Azure Function の目的を示す説明的な文字列。
     • 例: NSG Flow ログを Storage Account に送信する場合は NSGFlowLogsForwarder など。
   • データソースキー — ログが作成されているコンテナフォルダー。
     • 例: データソースが MicrosoftInsights/2024-02-03/02hr/part=01/00004.json のようなパターンで書き込まれている場合、MicrosoftInsights がデータソースキーとして適切です。
   • Azure Function サービスプランタイプ — (任意) Basic、Dynamic、Premium。デフォルトは Dynamic。
   • Azure Function サービスプランコード — (任意) 必要情報の収集 の表を参照してください。
   • Azure Function サービスプランワーカー数 — (任意) デフォルトは1。

   

   Add Azure Storage Account Integration

5. 完了 を選択します。ARM テンプレート (AzureFunction.json) が自動的にダウンロードされます。ファイルの保存場所を確認してください。

6. ベンダーのドキュメント の手順に従い、ARM テンプレートをデプロイします。

   • エディターで独自のテンプレートを作成: オプションを選択します。

7. エディターに AzureFunction.json ファイルを読み込みます。

8. 保存 を選択します。
9. 既存のリソースグループを選択するか、新規作成します。

注意

XDR は、Azure Function をデプロイするサブスクリプションIDやリソースグループとは異なるサブスクリプションIDやリソースグループ配下の Storage Account もサポートしています。

• Storage Account サブスクリプションID — 現在のサブスクリプションIDと異なる場合のみ修正してください。
• Storage Account リソースグループ — 現在のリソースグループと異なる場合のみ修正してください。

Modify Resource Group

10. レビュー + 作成 を選択します。
11. 作成 を選択します。Azure Function のデプロイが開始されます。
12. デプロイが完了したら、XDR に戻ります。Azure Storage Account のインテグレーションが クラウドAPIインテグレーション テーブルに表示されます。

既知の問題

• "Basic" Azure Function サービスプランタイプ かつ B2 または B3 Azure Function サービスプランコード の場合、Azure Function サービスプランワーカー数 の最大値は3です。