Azure Event Hub フィードを作成する

以下でサポートされています。

このドキュメントでは、セキュリティデータを Google Security Operations に送信するように Azure Event Hub を設定する方法について説明します。アクティブなフィードと非アクティブなフィードを含め、最大 10 個の Azure Event Hub フィードを作成できます。

Azure フィードを設定するには、次の手順を完了します。

  1. Azure でイベントハブを作成する: セキュリティ データ ストリームを受信して保存するために必要なインフラストラクチャを Azure 環境に設定します。

  2. Google SecOps でフィードを構成する: Google SecOps でフィードを構成して Azure Event Hub に接続し、データの取り込みを開始します。

Azure Event Hub を作成する

Azure でイベントハブを作成する手順は次のとおりです。

  1. イベントハブの名前空間とイベントハブを作成します。

    • データの取り込みを最適化するには、Google SecOps インスタンスと同じリージョンに Event Hub 名前空間をデプロイします。別のリージョンにイベントハブをデプロイすると、Google SecOps に取り込まれるスループットが低下する可能性があります。

    • 最適なスケーリングを行うには、パーティション数を 40 に設定します。32 個を超えるパーティションを設定するには、Azure Event Hubs の Premium 階層が必要です。

    • Google SecOps の割り当て上限によるデータ損失を防ぐため、イベントハブの保持期間を長く設定します。これにより、割り当てスロットリング後に取り込みが再開されるまでログが削除されることはありません。イベントの保持と保持期間の制限について詳しくは、イベントの保持をご覧ください。

    • Standard 階層のイベントハブの場合は、[Auto inflate] を有効にして、必要に応じてスループットを自動的にスケーリングします。詳しくは、Azure Event Hubs のスループット ユニットを自動的にスケールアップするをご覧ください。

    • Basic 階層と Standard 階層の場合、Azure Event Hub の 1 つのスループット ユニット(TU)で、1 秒あたり最大 1 MB のデータの取り込みがサポートされます。受信イベントの量が構成された TU の容量を超えると、データ損失が発生する可能性があります。たとえば、5 つの TU を構成した場合、サポートされる最大取り込みレートは 1 秒あたり 5 MB です。イベントが 1 秒あたり 20 MB で送信されると、Event Hub がクラッシュする可能性があります。その結果、ログが Google SecOps に到達する前に Event Hub レベルで失われる可能性があります。

  2. Google SecOps が Azure Event Hub からデータを取り込むために必要な イベントハブ接続文字列を取得します。この接続文字列により、Google SecOps はイベントハブからセキュリティ データにアクセスして収集できます。接続文字列を指定するには、次の 2 つの方法があります。

    • イベントハブの名前空間レベル: 名前空間内のすべてのイベント ハブで機能します。複数のイベントハブを使用しており、フィードの設定ですべてのイベントハブに同じ接続文字列を使用する場合は、より簡単な方法です。

    • イベントハブ レベル: 単一のイベントハブに適用されます。 1 つのイベントハブにのみアクセス権を付与する必要がある場合は、安全な方法です。 接続文字列の末尾から EntityPath を削除してください。

    たとえば、Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>に変更します。

  3. Web Application FirewallMicrosoft Defender などのアプリケーションを構成して、 ログをイベントハブに送信します。

    Microsoft Defender ユーザー: Microsoft Defender のストリーミングを構成する際は、既存のイベントハブ名を入力してください。このフィールドを空白のままにすると、不要なイベントハブが作成され、フィードの割り当て上限が消費される可能性があります。 整理しやすくするため、ログタイプに一致するイベントハブ名を使用してください。

ネットワーク セキュリティを構成する(省略可)

Azure Event Hub 名前空間へのネットワーク アクセスを制限している場合(ファイアウォールやプライベート エンドポイントを使用するなど)、Google SecOps が接続してデータを取り込めるように、Google SecOps の IP アドレスを許可リストに追加する必要があります。

次の 2 つのオプションがあります。

  • すべての Google IP アドレスを許可リストに登録する(推奨): 接続を中断しないように、すべての Google IP アドレスを許可リストに登録します。Google IP アドレスのリストは、公開 JSON ファイル https://gstatic.com/ipranges/goog.json から取得できます。
  • リージョン固有の IP アドレスを許可リストに登録する: セキュリティ ポリシーで IP アドレスのリストをより厳しく制限する必要がある場合は、Google SecOps サポートに連絡して、Google SecOps インスタンスがデプロイされているリージョンの特定の IP アドレスをリクエストしてください。Google SecOps インフラストラクチャが更新されると、これらの IP アドレスが変更される可能性があります。

Azure フィードを構成する

Google SecOps で Azure フィードを構成する手順は次のとおりです。

  1. Google SecOps メニューで [SIEM Settings] を選択し、 [Feeds] をクリックします。

  2. [新しく追加] をクリックします。

  3. [Feed name] フィールドに、フィードの名前を入力します。

  4. [Source type] リストで、[Microsoft Azure Event Hub] を選択します。

  5. [Log type] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[Log type] として [Open Cybersecurity Schema Framework (OCSF)] を選択します。

  6. [次へ] をクリックします。[ADD FEED] ウィンドウが表示されます。

  7. Azure ポータルで作成したイベントハブから情報を取得して、次のフィールドに入力します。

    • Event hub name: イベントハブ名
    • Event hub consumer group: イベントハブに関連付けられたコンシューマー グループ

    • Event hub connection string: イベントハブの接続文字列

    • Azure storage connection string: 省略可。Blob Storage の接続文字列

    • Azure storage container name: 省略可。Blob Storage のコンテナ名

    • Azure SAS token: 省略可。SAS トークン

    • アセットの名前空間: 省略可。アセットの名前空間

    • Ingestion labels: 省略可。このフィードのイベントに適用するラベル

  8. [次へ] をクリックします。[Finalize] 画面が表示されます。

  9. フィードの設定を確認し、[送信] をクリックします。

データフローを確認する

データが Google SecOps に流れ込み、イベントハブが正しく機能していることを確認するには、次のチェックを行います。

  • Google SecOps で、ダッシュボードを確認し、未加工ログのスキャンまたは統合データモデル(UDM)検索を使用して、取り込まれたデータが正しい形式で存在することを確認します。

  • Azure ポータルで、イベントハブのページに移動し、送受信バイト数を表示するグラフを確認します。送受信レートがほぼ同じであることを確認します。これは、メッセージが処理され、バックログがないことを示しています。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。