Azure Monitor を Google SecOps と統合する
統合バージョン: 1.0
このドキュメントでは、Azure Monitor を Google Security Operations(Google SecOps)と統合する方法について説明します。
ユースケース
Azure Monitor の統合は、次のユースケースに対応できます。
ログの拡充とコンテキスト: インシデント発生時に Google SecOps の機能を使用して Azure Monitor ログ(Azure アクティビティやセキュリティ イベントなど)を検索し、追加のコンテキストを取得して、不審なアクティビティを確認したり、Azure リソースを含む侵害の範囲を特定したりします。
Azure 認証イベントの調査: Google SecOps の機能を使用して、不審な IP アドレスまたはユーザー エンティティが特定されたときにログインログをクエリし、Azure から関連するすべての認証試行とアクセス履歴をすばやく取得して、アカウントの不正使用の調査に役立てます。
クラウドの構成ミスを検証する: Google SecOps の機能を使用して、Azure アクティビティ ログに対して特定の Kusto Query Language(KQL)クエリを実行し、アラートをトリガーした可能性のあるネットワーク セキュリティ グループ、ファイアウォール ルール、または主要な Azure サービス構成の最近の変更を確認します。
始める前に
Google SecOps プラットフォームで統合を構成する前に、次のものが揃っていることを確認してください。
Azure AD アプリケーション登録: ログデータにアクセスするために必要な権限(Log Analytics 閲覧者など)を持つ Azure Active Directory(Azure AD)アプリケーション。ここからクライアント ID とクライアント シークレットを取得する必要があります。API アクセス用にこのアプリケーションを設定する手順の詳細については、Azure Monitor Logs API にアクセスするをご覧ください。
テナント ID: Azure Active Directory インスタンスの固有識別子。OAuth 2.0 認証フローを完了するために必要です。
Log Analytics ワークスペース ID: 統合がログをクエリする特定の Azure Monitor Log Analytics ワークスペースの一意の識別子。ワークスペース ID を確認する方法については、ワークスペースをご覧ください。
統合のパラメータ
Azure Monitor 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Login API Root |
必須。 Azure Monitor サービスのログイン API ルート。 デフォルト値は |
API Root |
必須。 Azure Monitor サービスの API ルート。 デフォルト値は |
Tenant ID |
必須。 Azure Monitor アカウントのテナント ID。 |
Client ID |
必須。 Azure Monitor アカウントのクライアント ID。 |
Client Secret |
必須。 Azure Monitor アカウントのクライアント シークレット。 |
Workspace ID |
必須。 Azure Monitor アカウントのワークスペース ID。 |
Verify SSL |
必須。 選択すると、統合によって Azure Monitor サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
Ping アクションを使用して、Azure Monitor への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the Azure Monitor server!
Error is ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
検索ログ
[Search Logs] アクションを使用して、Azure Monitor ワークスペースに対して KQL コマンドを実行し、指定されたクエリ文字列に基づいて特定のログデータを取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[検索ログ] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Workspace ID |
省略可。 検索するワークスペースの ID。 値が指定されていない場合、アクションは統合構成の Workspace ID を使用します。 |
Query |
必須。 アクションがログデータに対して実行するクエリ(KQL コマンド)。 |
Time Frame |
省略可。 クエリの時間枠。
値は次のいずれかになります。
デフォルト値は |
Start Time |
省略可。 クエリの開始時間(ISO 8601 形式)。
|
End Time |
省略可。 クエリの終了時刻(ISO 8601 形式)。
|
Max Results To Return |
必須。 検索で返される結果の最大数。 最大値は デフォルト値は |
アクションの出力
[ログを検索] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
JSON の結果
次の例は、[ログを検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
[
{
"TimeGenerated": "2025-10-07T06:44:40.4570918Z",
"OperationName": "Update datascanners"
},
{
"TimeGenerated": "2025-10-07T06:44:41.1760472Z",
"OperationName": "Update datascanners"
},
]
出力メッセージ
[ログを検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Logs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ログを検索アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。