Microsoft Azure アクティビティ ログと Entra ID ログを収集する
このドキュメントでは、Microsoft Azure Blob Storage を使用して Google Security Operations フィードを設定し、Microsoft Azure アクティビティ ログと Entra ID ログを収集する方法について説明します。
Azure アクティビティ ログは、ストレージ アカウントの作成、イベント ハブの削除、仮想マシンの変更など、Azure リソースに対して実行されたサブスクリプション レベルのオペレーションに関する分析情報を提供します。Microsoft Entra ID(旧 Azure Active Directory)ログは、ユーザーのログイン、監査ログ、プロビジョニング アクティビティ、セキュリティ リスクの検出など、ID とアクセス管理のイベントをキャプチャします。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- 次の権限を持つ Microsoft Azure ポータルへの特権アクセス権:
- ストレージ アカウントを作成する
- Azure Monitor と Entra ID の診断設定を構成する
- アクセスキーを管理する
- Entra ID のセキュリティ管理者ロール以上(Entra ID 診断設定の場合)
Azure Storage アカウントを構成する
ストレージ アカウントを作成する
- Azure ポータルで、[ストレージ アカウント] を検索します。
- [+ 作成] をクリックします。
次の構成情報を提供してください。
設定 値 サブスクリプション Azure サブスクリプションを選択する リソース グループ 既存のものを選択するか、新しいものを作成する ストレージ アカウント名 一意の名前を入力します(例: secops-azure-logs)。リージョン リージョンを選択します(例: East US)。パフォーマンス 標準(推奨) 冗長性 GRS(地理冗長ストレージ)または LRS(ローカル冗長ストレージ) [Review + create] をクリックします。
アカウントの概要を確認して、[作成] をクリックします。
デプロイが完了するまで待ちます。
ストレージ アカウントの認証情報を取得する
- 作成した Storage Account に移動します。
- 左側のナビゲーションで、[セキュリティとネットワーキング] の [アクセスキー] を選択します。
- [キーを表示] をクリックします。
- 後で使用できるように、次の値をコピーして保存します。
- ストレージ アカウント名: ストレージ アカウント名(例:
secops-azure-logs) - キー 1 またはキー 2: 共有アクセスキー(base64 でエンコードされた 512 ビットのランダムな文字列)
- ストレージ アカウント名: ストレージ アカウント名(例:
Blob Service エンドポイントを取得する
- 同じストレージ アカウントで、左側のナビゲーションから [エンドポイント] を選択します。
- Blob サービスのエンドポイント URL をコピーして保存します。
- 例:
https://secops-azure-logs.blob.core.windows.net/
- 例:
Azure アクティビティ ログの診断設定を構成する
Azure アクティビティ ログをストレージ アカウントにエクスポートするには:
- Azure ポータルで、[モニター] を検索します。
- 左側のナビゲーションで [アクティビティ ログ] をクリックします。
- ウィンドウの上部にある [アクティビティ ログをエクスポート] をクリックします。
- [診断設定を追加] をクリックします。
- 次の構成の詳細を指定します。
- 診断設定名: わかりやすい名前を入力します(例:
activity-logs-to-secops)。 - [ログ] セクションで、次のカテゴリを選択します。
- 管理
- セキュリティ
- Service Health
- アラート
- 推奨事項
- ポリシー
- 自動スケーリング
- リソースの正常性
- [宛先の詳細] セクションで、[ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
- サブスクリプション: ストレージ アカウントを含むサブスクリプションを選択します。
- ストレージ アカウント: 先ほど作成したストレージ アカウント(
secops-azure-logsなど)を選択します。
- 診断設定名: わかりやすい名前を入力します(例:
- [保存] をクリックします。
Entra ID の診断設定を構成する
Entra ID ログをストレージ アカウントにエクスポートするには:
- Azure ポータルで、Microsoft Entra ID または Azure Active Directory を検索します。
- 左側のナビゲーションで、[モニタリングとヘルス > 診断設定] に移動します。
- [診断設定を追加] をクリックします。
- 次の構成の詳細を指定します。
- 診断設定名: わかりやすい名前を入力します(例:
entraid-logs-to-secops)。 - [ログ] セクションで、エクスポートするログカテゴリを選択します。
- SignInLogs: ユーザーのインタラクティブ ログイン
- NonInteractiveUserSignInLogs: 非インタラクティブ ユーザーのサインイン(サービス プリンシパル、ユーザーに代わって動作するマネージド ID)
- ServicePrincipalSignInLogs: サービス プリンシパルとアプリケーションのサインイン
- ManagedIdentitySignInLogs: マネージド ID のログイン
- AuditLogs: Entra ID のすべての変更(ユーザーの作成、ロールの割り当てなど)の監査証跡
- ProvisioningLogs: ユーザーとグループのプロビジョニング イベント
- RiskyUsers: Identity Protection によってフラグが設定されたユーザー
- UserRiskEvents: ユーザー アカウントのリスク検出
- MicrosoftGraphActivityLogs: Microsoft Graph API アクティビティ ログ
- [宛先の詳細] セクションで、[ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
- サブスクリプション: ストレージ アカウントを含むサブスクリプションを選択します。
- ストレージ アカウント: 先ほど作成したストレージ アカウント(
secops-azure-logsなど)を選択します。
- 診断設定名: わかりやすい名前を入力します(例:
[保存] をクリックします。
Google SecOps サービス アカウントを取得する
Google SecOps は、一意のサービス アカウントを使用して Azure Blob Storage からデータを読み取ります。このサービス アカウントにストレージ アカウントへのアクセス権を付与する必要があります。
サービス アカウントのメールアドレスを取得する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに仮の名前を入力します。
- [ソースタイプ] で [Microsoft Azure Blob Storage V2] を選択します。
- 任意のログタイプを選択します(この設定は後で変更できます)。
[サービス アカウントを取得する] をクリックします。一意のサービス アカウント メールアドレスが表示されます(例:)。
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comこのメールアドレスをコピーして、次のステップで使用します。
[キャンセル] をクリックしてフィードの作成を終了します(実際のフィードは後で作成します)。
Google SecOps サービス アカウントに IAM 権限を付与する
Google SecOps サービス アカウントには、ストレージ アカウントに対する Storage Blob データ閲覧者のロールが必要です。
- Azure ポータルで、[ストレージ アカウント] に移動します。
- ストレージ アカウント名(
secops-azure-logsなど)をクリックします。 - [アクセス制御(IAM)] タブに移動します。
- [+ 追加 > ロールの割り当てを追加] をクリックします。
- [ロール] タブで、[Storage Blob Data Reader] を検索して選択します。
- [次へ] をクリックします。
- [メンバー] タブで、[+ メンバーを選択] をクリックします。
- 検索ボックスに、Google SecOps サービス アカウントのメールアドレスを貼り付けます。
- 結果からサービス アカウントを選択します。
- [選択] をクリックします。
- [レビュー + 割り当て] をクリックします。
- 割り当てを確認し、[レビュー + 割り当て] をもう一度クリックします。
Google SecOps でフィードを構成する
ログタイプとコンテナごとに個別のフィードを作成する必要があります。次の表に、Azure コンテナと Google SecOps ログタイプのマッピングを示します。
| コンテナ名 | Chronicle のログタイプ | データソース |
|---|---|---|
insights-activity-logs |
Azure アクティビティ | Azure アクティビティ ログ |
insights-logs-signinlogs |
Azure AD | Entra ID のインタラクティブ ログイン |
insights-logs-noninteractiveusersigninlogs |
Azure AD | Entra ID の非対話型ログイン |
insights-logs-serviceprincipalsigninlogs |
Azure AD | Entra ID サービス プリンシパルのサインイン |
insights-logs-managedidentitysigninlogs |
Azure AD | Entra ID マネージド ID のログイン |
insights-logs-auditlogs |
Azure AD 監査 | Entra ID 監査ログ |
insights-logs-provisioninglogs |
Azure AD | Entra ID プロビジョニング ログ |
insights-logs-riskyusers |
Azure AD | Entra ID の危険なユーザー |
insights-logs-userriskevents |
Azure AD | Entra ID ユーザー リスク イベント |
insights-logs-microsoftgraphactivitylogs |
Microsoft Graph アクティビティ ログ | Microsoft Graph アクティビティ |
Azure アクティビティ ログのフィードを作成する
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [フィード名] フィールドに「
Azure Activity Logs」と入力します。 - [ソースタイプ] で [Microsoft Azure Blob Storage V2] を選択します。
- [ログタイプ] として [Azure アクティビティ] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
Azure URI: コンテナパスを含む Blob Service エンドポイント URL を入力します。
https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/secops-azure-logsは、Azure ストレージ アカウントの名前に置き換えます。
Source deletion option: 必要に応じて削除オプションを選択します。
- なし: 転送後にファイルを削除しません。
- 転送されたファイルを削除する: 転送が完了した後にファイルを削除します。
転送されたファイルと空のディレクトリを削除する: 転送が完了した後にファイルと空のディレクトリを削除します。
ファイルの最大経過日数: 指定した日数以内に変更されたファイルを含めます。デフォルトは 180 日です。
共有キー: 以前にストレージ アカウントからキャプチャした共有キーの値(アクセスキー)を入力します。
アセットの名前空間: アセットの名前空間。
Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
Entra ID ログのフィードを作成する
診断設定で構成した Entra ID ログタイプごとに、次の手順を繰り返します。
インタラクティブ ログインログの場合:
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- [単一フィードを設定] をクリックします。
- [フィード名] フィールドに「
Azure AD Interactive Sign-in Logs」と入力します。 - [ソースタイプ] で [Microsoft Azure Blob Storage V2] を選択します。
- [ログタイプ] として [Azure AD] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
- Source deletion option: 必要に応じて選択します。
- 最大ファイル存続期間: 180 日(デフォルト)。
- 共有キー: 共有キーの値を入力します。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: 適用されるラベル。
[次へ]、[送信] の順にクリックします。
非インタラクティブなログインログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Non-interactive Sign-in Logs - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/
サービス プリンシパルのログインログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Service Principal Sign-in Logs - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/
マネージド ID のサインイン ログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Managed Identity Sign-in Logs - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/
監査ログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Audit Logs - ログタイプ:
Azure AD Audit - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/
プロビジョニング ログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Provisioning Logs - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/
リスクの高いユーザーの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD Risky Users - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/
ユーザー リスク イベントの場合:
次の設定で別のフィードを作成します。
- フィード名:
Azure AD User Risk Events - ログタイプ:
Azure AD - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/
Microsoft Graph アクティビティ ログの場合:
次の設定で別のフィードを作成します。
- フィード名:
Microsoft Graph Activity Logs - ログタイプ:
Microsoft Graph Activity Logs - Azure URI:
https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。