ログデータの収集のために Microsoft Azure に接続する

Microsoft Azure の Security Command Center のキュレーテッド検出、脅威調査、Cloud Infrastructure Entitlement Management(CIEM)機能を使用するには、セキュリティ運用コンソールの取り込みパイプラインを使用して Microsoft Azure ログを取り込む必要があります。取り込みに必要な Microsoft Azure ログタイプは、構成する内容によって異なります。

  • CIEM には、Azure Cloud Services(AZURE_ACTIVITY)ログタイプのデータが必要です。
  • キュレーションされた検出には、複数のログタイプのデータが必要です。Microsoft Azure ログタイプの詳細については、サポートされているデバイスと必要なログタイプをご覧ください。

キュレーテッド検出

Security Command Center の Enterprise ティアのキュレーテッド検出では、イベントデータとコンテキスト データの両方を使用して、Microsoft Azure 環境での脅威を特定できます。

これらのルールセットを設計どおりに機能させるには、次のデータが必要です。ルールカバレッジを最大限にするには、これらの各データソースから Azure データを取り込む必要があります。

詳細については、Google SecOps ドキュメントの次の項目をご覧ください。

Security Command Center Enterprise をご利用のお客様が Google SecOps テナントに直接取り込むことができるログデータの種類については、Google SecOps ログデータの収集をご覧ください。

CIEM の Microsoft Azure ログの取り込みを構成する

Microsoft Azure 環境の CIEM 検出結果を生成するには、分析が必要な各 Azure サブスクリプションまたは管理グループの Azure アクティビティ ログのデータが CIEM 機能で必要になります。

始める前に

Azure サブスクリプションまたは管理グループのアクティビティ ログをエクスポートするには、Microsoft Azure ストレージ アカウントを構成します。

管理グループの Microsoft Azure ログの取り込みを構成する

  1. 管理グループの Azure アクティビティ ログを構成するには、管理グループ API を使用します。

  2. ストレージ アカウントからエクスポートされたアクティビティ ログを取り込むには、Security Operations コンソールでフィードを構成します。

  3. [ラベル] を CIEM に、[] を TRUE に設定して、フィードの取り込みラベルを設定します。

サブスクリプションの Microsoft Azure ログの取り込みを構成する

  1. サブスクリプションの Azure アクティビティ ログを構成する手順は次のとおりです。

    1. Azure コンソールで、[モニタリング] を検索します。
    2. 左側のナビゲーション パネルで、[アクティビティ ログ] リンクをクリックします。
    3. [アクティビティ ログをエクスポート] をクリックします。
    4. ログをエクスポートする必要があるサブスクリプションまたは管理グループごとに、次の操作を行います。
      1. [サブスクリプション] メニューで、アクティビティ ログをエクスポートする Microsoft Azure サブスクリプションを選択します。
      2. [診断設定を追加] をクリックします。
      3. 診断設定の名前を入力します。
      4. [ログカテゴリ] で、[管理] を選択します。
      5. [宛先の詳細] で、[ストレージ アカウントにアーカイブする] を選択します。
      6. 作成したサブスクリプションとストレージ アカウントを選択し、[保存] をクリックします。

  2. ストレージ アカウントからエクスポートされたアクティビティ ログを取り込むには、Security Operations コンソールでフィードを構成します。

  3. [ラベル] を CIEM に、[] を TRUE に設定して、フィードの取り込みラベルを設定します。

次のステップ