Eset push notification service ファイアウォール上のサーバーへのアクセスを許可

メイン コンテンツにスキップ

このブラウザーはサポートされなくなりました。

Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。

Microsoft Edge をダウンロードする Internet Explorer と Microsoft Edge の詳細情報

英語で読む

英語で読む

Microsoft Azure Sentinel データ コネクタを見つける

• [アーティクル]
• 11/23/2022

この記事の内容

この記事では、Microsoft Sentinel にデータ コネクタをデプロイする方法について説明します。サポート対象ですぐに使えるデータ コネクタをすべて列挙し、一般的なデプロイ手順へのリンクと、特定のコネクタに必要な追加手順を示します。

一部のデータ コネクタは、ソリューションによってのみデプロイされます。 詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを検出してデプロイする」を参照してください。 また、Microsoft Sentinel の GitHub リポジトリで、コミュニティで作成された他のデータ コネクタを見つけることもできます。

このガイドを使用する方法

1. まず、右側の見出しメニューで、製品、サービス、またはデバイスのコネクタを見つけて選択します。

   各コネクタに関して表示される 1 つ目の情報は、そのデータ インジェスト方法です。 そこに表示される方法は、次の一般的なデプロイ手順の 1 つへのリンクになっており、データ ソースを Microsoft Sentinel に接続するために必要な情報のほとんどを確認できます。

   データ インジェスト方法	手順を含むリンクされた記事
   Azure サービス間の統合	Azure、Windows、Microsoft、Amazon サービスへの接続
   Syslog を介した Common Event Format (CEF)	デバイスまたはアプライアンスの CEF 形式のログを Microsoft Sentinel に取得する
   Microsoft Sentinel データ コレクター API	データ ソースを Microsoft Sentinel のデータ コレクター API に接続してデータを取り込む
   Azure Functions と REST API	Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続する
   Syslog	Syslog を使用して Linux ベースのソースからデータを収集する
   カスタム ログ	Log Analytics エージェントを使用してカスタム ログ形式のデータを Microsoft Sentinel に収集する

   Note

   Azure サービス間の統合データ インジェスト方法は、コネクタの種類に応じて、その記事の 3 つの異なるセクションにリンクしています。 以下の各コネクタのセクションでは、その記事内のリンク先のセクションを示しています。

2. 特定のコネクタをデプロイする場合は、そのデータ インジェスト方法にリンクされている適切な記事を選択し、以下の関連セクションの情報と追加のガイダンスを使用して、その記事の情報を補足します。

ヒント

• 多くのデータ コネクタは、Microsoft Sentinel ソリューションの一部として、関連する分析ルール、ブック、プレイブックと共にデプロイすることもできます。 詳細については、Microsoft Sentinel ソリューション カタログに関するページを参照してください。

• その他のデータ コネクタは、Microsoft Sentinel コミュニティから提供され、Azure Marketplace で見つけることができます。 コミュニティ データ コネクタに関するドキュメントは、コネクタを作成した組織によって作成されます。

• 一覧に表示されていない、または現在サポートされていないデータ ソースがある場合は、独自のカスタム コネクタを作成することもできます。 詳細については、「Microsoft Sentinel カスタム コネクタを作成するためのリソース」を参照してください。

重要

Microsoft Sentinel データ コネクタは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

データ コネクタの前提条件

Azure ワークスペース、サブスクリプション、ポリシーなどに対する必要なアクセス許可や、接続先となるパートナー データ ソースの要件など、各データ コネクタには固有の前提条件があります。

各データ コネクタの前提条件は、Microsoft Sentinel の関連データ コネクタ ページの [Instructions](手順) タブに掲載されています。

Agari のフィッシング対策とブランド保護 (プレビュー)

Security Graph API を有効にする (省略可能)

重要

この手順を実行する場合は、データ コネクタをデプロイする前に実行してください。

Agari 関数アプリを使用すると、セキュリティ Graph API を介して Microsoft Sentinel と脅威インテリジェンスを共有できます。 この機能を使用するには、Sentinel 脅威インテリジェンス プラットフォーム コネクタを有効にし、Azure Active Directory でアプリケーションを登録する必要があります。

このプロセスでは、関数アプリをデプロイするときに使用する 3 つの情報 (Graph テナント ID、Graph クライアント ID、Graph クライアント シークレット) が提供されます (上の表の「アプリケーション設定」を参照してください)。

関数アプリに必要なアクセス許可を割り当てる

Agari コネクタでは、環境変数を使用してログ アクセスのタイムスタンプを格納します。 アプリケーションでこの変数に書き込むには、システムに割り当てられている ID にアクセス許可を割り当てる必要があります。

1. Azure portal で [関数アプリ] に移動します。
2. [関数アプリ] ページで、一覧から関数アプリを選択し、関数アプリのナビゲーション メニューの [設定] で [ID] を選択します。
3. [システム割り当て済み] タブで、 [状態] を [オン] に設定します。
4. [保存] を選択すると、 [Azure でのロールの割り当て] ボタンが表示されます。 それを選択します。
5. [Azure でのロールの割り当て] 画面で、 [ロールの割り当ての追加] を選択します。 [スコープ] を [サブスクリプション] に設定し、 [サブスクリプション] ドロップダウンからサブスクリプションを選択し、 [ロール] を [App Configuration データ所有者] に設定します。
6. [保存] を選択します。

Darktrace による AI Analyst (AIA) (プレビュー)

AI Analyst 用に CEF ログ転送を構成する

Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Azure ワークスペースに転送するように Darktrace を構成します。

1. Darktrace Threat Visualizer 内で、メイン メニューの [管理] の下にある [システム構成] ページに移動します。
2. 左側のメニューから [モジュール] を選択し、使用可能な [ワークフロー統合] から Microsoft Sentinel を選択します。
3. 構成ウィンドウが開きます。 Microsoft Sentinel Syslog CEF を見つけて [新規] を選択し、構成設定を表示します (まだ表示されていない場合)。
4. [サーバー構成] フィールドにログ フォワーダーの場所を入力し、必要に応じて通信ポートを変更します。 選択したポートが 514 に設定され、中間ファイアウォールによって許可されていることを確認します。
5. 必要に応じて、アラートのしきい値、時間オフセット、または追加の設定を構成します。
6. 有効にする必要があり、Syslog 構文が変更されるその他の構成オプションを確認します。
7. [アラートの送信] を有効にして、変更を保存します。

Al Vectra 検出 (プレビュー)

AI Vectra 検出用に CEF ログ転送を構成する

Log Analytics エージェントを使用して CEF 形式の Syslog メッセージを Microsoft Sentinel ワークスペースに転送するように Vectra (X シリーズ) エージェントを構成します。

Vectra インターフェイスから、[設定] > [通知] の順に移動して、[Edit Syslog configuration](Syslog 構成の編集) を選択します。 以下の手順に従って、接続を設定します。

• 新しい宛先 (ログ フォワーダーのホスト名) を追加します
• ポートを 514 として設定します
• [プロトコル] を [UDP] に設定します
• 形式を [CEF] に設定します
• ログの種類を設定します (使用可能なすべてのログの種類を選択します)
• [保存] を選びます。

[テスト] ボタンを選択して、いくつかのテスト イベントをログ フォワーダーに強制的に送信できます。

詳細については、Detect UI のリソース ページからダウンロードできる Cognito Detect Syslog ガイドをご覧ください。

Akamai セキュリティ イベント (プレビュー)

Alcide kAudit

Active Directory 用の Alsid

Alsid の追加構成

1. Syslog サーバーを構成する

   まず、Alsid for AD のログの送信先となる Linux Syslog サーバーが必要です。 通常は、Ubuntu で rsyslog を実行できます。

   その後、このサーバーを必要に応じて構成できますが、AFAD ログを別のファイルに出力することをお勧めします。 または、クイックスタート テンプレートを使用して、Syslog サーバーと Microsoft エージェントを自動的にデプロイすることもできます。 テンプレートを使用する場合は、エージェントのインストール手順をスキップできます。

2. Syslog サーバーにログを送信するように Alsid を構成する

   Alsid for AD ポータルで、 [システム] 、 [構成] 、 [Syslog] の順に選択します。 そこから、Syslog サーバーに対して新しい Syslog アラートを作成できます。

   新しい Syslog アラートを作成したら、ログがサーバー上の別のファイルに正しく収集されていることを確認します。 たとえば、ログを確認するには、AFAD の Syslog アラート構成の [構成のテスト] ボタンを使用できます。 クイックスタート テンプレートを使用した場合、Syslog サーバーでは、既定で TLS を使用せずにポート 514 (UDP) および 1514 (TCP) でリッスンします。

アマゾン ウェブ サービス

アマゾン ウェブ サービス S3 (プレビュー)

Apache HTTP Server

Apache Tomcat

Aruba ClearPass (プレビュー)

Atlassian Confluence 監査 (プレビュー)

Atlassian Jira 監査 (プレビュー)

Azure Active Directory

Azure Active Directory Identity Protection

Azure アクティビティ

新しい Azure アクティビティ コネクタにアップグレードする

データ構造の変更

このコネクタでは、最近、アクティビティ ログ イベントを収集するためのバックエンド メカニズムが変更されました。 現在は、診断設定パイプラインが使用されています。 このコネクタでまだ従来の方式を使用している場合は、新しいバージョンへのアップグレードを強くお勧めします。これにより、機能が強化され、リソース ログとの整合性が向上します。 以下の手順を参照してください。

診断設定方式では、従来の方式でアクティビティ ログ サービスから送信していたものと同じデータを送信しますが、AzureActivity テーブルの構造の変更がいくつかあります。

診断設定パイプラインへの移行によって向上する点の中で重要なものは次のとおりです。

• インジェストの待機時間の短縮 (イベントのインジェストに発生から 15 ～ 20 分かかっていたのが 2 ～ 3 分以内に)。
• 信頼性が向上します。
• パフォーマンスが向上します。
• アクティビティ ログ サービスによってログに記録されるイベントのすべてのカテゴリをサポートします (従来のメカニズムではサブセットのみをサポートしています。たとえば、サービス正常性イベントはサポートされていません)。
• Azure Policy を使用して大規模に管理します。

Azure アクティビティ ログと診断設定パイプラインの詳細については、Azure Monitor のドキュメントを参照してください。

古いパイプラインからの切断

新しい Azure アクティビティ ログ コネクタを設定する前に、既存のサブスクリプションを従来方式から切断する必要があります。

1. Microsoft Sentinel のナビゲーション メニューから、 [データ コネクタ] を選択します。 コネクタの一覧で [Azure Activity](Azure アクティビティ) を選択し、右下にある [Open connector page](コネクタ ページを開く) ボタンを選択します。

2. [Instructions](手順) タブの [構成] セクションの手順 1 で、従来方式に接続している既存のサブスクリプションの一覧を確認して、新しい方式に追加するものを特定し、下にある [Disconnect All](すべて切断) ボタンをクリックしてすべてを一度に切断します。

3. 上の表にリンクされている指示に従って、新しいコネクタの設定を続けます。

Azure DDoS Protection

注意

Azure DDoS Protection データ コネクタの状態が [接続完了] に変わるのは、保護対象のリソースが DDoS 攻撃を受けている場合のみです。

Azure Defender

「Microsoft Defender for Cloud」を参照してください。

Azure Firewall

Azure Information Protection (プレビュー)

注意

Azure Information Protection (AIP) データ コネクタは、AIP 監査ログ (パブリック プレビュー) 機能を使用します。 2022 年 3 月 18 日の時点で、AIP の分析と監査ログのパブリック プレビューを終了します。今後は、Microsoft 365 監査ソリューションを使用します。 完全な提供終了は、2022 年 9 月30 日に予定されています。

詳細については、「削除されたサービスと廃止されたサービス」を参照してください。

Azure Key Vault

Azure Kubernetes Service (AKS)

Microsoft Purview

Azure SQL Databases

Azure Storage アカウント

ストレージ アカウントの診断設定の構成に関する注意事項

ストレージ アカウント (親) リソースの内部には、ファイル、テーブル、キュー、BLOB など、ストレージの種類ごとに他の (子) リソースがあります。

ストレージ アカウントの診断を構成する場合は、次の項目を順番に選択して構成する必要があります。

• Transaction メトリックをエクスポートする親アカウント リソース。
• すべてのログとメトリックをエクスポートする、子ストレージの種類の各リソース (上の表を参照)。

実際にリソースを定義したストレージの種類だけが表示されます。

Azure Web アプリケーション ファイアウォール (WAF)

Barracuda CloudGen Firewall

Barracuda WAF

Barracuda の手順を参照してください。各種ログに割り当てられているファシリティをメモし、それらを既定の Syslog 構成に追加するようにします。

BETTER Mobile Threat Defense (MTD) (プレビュー)

Beyond Security beSECURE

BlackBerry CylancePROTECT (プレビュー)

Broadcom Symantec データ損失防止 (DLP) (プレビュー)

AMA 経由の Common Event Format (CEF)

Check Point

Cisco ASA

Cisco Firepower eStreamer (プレビュー)

Cisco Firepower eStreamer の追加構成

1. Firepower eNcore クライアントをインストールする
   Firepower eNcore eStreamer クライアントをインストールして構成します。 詳細については、Cisco の完全なインストール ガイドをご覧ください。

2. Firepower Connector を GitHub からダウンロードする
   Cisco GitHub リポジトリから、Microsoft Sentinel 用の Firepower eNcore コネクタの最新バージョンをダウンロードします。 python3 を使用する予定の場合は、python3 eStreamer コネクタを使用します。

3. Azure/VM IP アドレスを使用して pkcs12 ファイルを作成する
   Firepower の [システム] [統合] > [eStreamer] で、VM インスタンスのパブリック IP を使用して pkcs12 証明書を作成します。 詳細については、インストール ガイドをご覧ください。

4. Azure/VM クライアントと FMC の間の接続をテストする
   pkcs12 ファイルを FMC から Azure/VM インスタンスにコピーし、テスト ユーティリティ (./encore.sh test) を実行して、接続を確立できることを確認します。 詳細については、設定ガイドをご覧ください。

5. エージェントにデータをストリーミングするように eNcore を構成する
   TCP 経由で Log Analytics エージェントにデータをストリーミングするように eNcore を構成します。 この設定は既定で有効にする必要がありますが、ネットワークのセキュリティ体制に応じて、追加のポートとストリーミング プロトコルを構成できます。 データをファイル システムに保存することもできます。 詳細については、eNcore の構成に関するページをご覧ください。

Cisco Meraki (プレビュー)

Cisco Umbrella (プレビュー)

Cisco Unified Computing System (UCS) (プレビュー)

Citrix Analytics (セキュリティ)

Citrix Web App Firewall (WAF) (プレビュー)

Cognni (プレビュー)

Continuous Threat Monitoring for SAP (プレビュー)

CyberArk Enterprise Password Vault (EPV) Events (プレビュー)

Cyberpion セキュリティ ログ (プレビュー)

DNS (プレビュー)

「AMA 経由の Windows DNS イベント (プレビュー)」または「Windows DNS Server (プレビュー)」を参照してください。

Dynamics 365

ESET Enterprise Inspector (プレビュー)

API ユーザーを作成する

1. 管理者アカウントを使用して ESET Security Management Center/ESET PROTECT コンソールにログインし、 [その他] タブと [ユーザー] サブタブを選択します。
2. [新規追加] ボタンを選択して、ネイティブ ユーザーを追加します。
3. API アカウントの新しいユーザーを作成します。 省略可能:[すべて] 以外のホーム グループを選択して、取り込む検出を制限します。
4. [アクセス許可セット] タブで、Enterprise Inspector レビュー担当者のアクセス許可セットを割り当てます。
5. 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからサインアウトします。

ESET Security Management Center (SMC) (プレビュー)

収集する ESET SMC ログを構成する

ESET SMC の IP アドレスからのログを受け入れるように rsyslog を構成します。

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

ESET SMC データを API 形式で渡すように OMS エージェントを構成する

ESET データを簡単に認識するため、データを別のテーブルにプッシュし、エージェントで解析して、Microsoft Sentinel クエリを簡略化および高速化します。

/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ファイルで、 セクションの型を out_oms_api に変更して、データを API オブジェクトとして送信するようにします。

完全な match oms.** セクションの例を次のコードに示します。

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

oms.api.eset タグをキャッチし、構造化されたデータを解析するように OMS エージェントの構成を変更する

/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf ファイルを変更します。

次に例を示します。

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

自動構成を無効にして、エージェントを再起動する

次に例を示します。

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

ログをコネクタに送信するように ESET SMC を構成する

BSD スタイルと JSON 形式を使用して ESET ログを構成します。

• Syslog サーバー構成に移動し、[ホスト] (お使いのコネクタ)、[形式] (BSD)、[トランスポート] (TCP) を構成します
• [ロギング] セクションに移動し、JSON を有効にします

詳細については、ESET のドキュメントをご覧ください。

Exabeam Advanced Analytics (プレビュー)

ExtraHop Reveal(x)

F5 BIG-IP

F5 Networks (ASM)

Forcepoint クラウド アクセス セキュリティ ブローカー (CASB) (プレビュー)

Forcepoint Cloud Security Gateway (CSG) (プレビュー)

Forcepoint Data Loss Prevention (DLP) (プレビュー)

Forcepoint Next Generation Firewall (NGFW) (プレビュー)

ForgeRock Common Audit (CAUD) for CEF (プレビュー)

Fortinet

Fortinet ログをログ フォワーダーに送信する

お使いの Fortinet アプライアンスで CLI を開き、次のコマンドを実行します。

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• サーバーの IP アドレスをログ フォワーダーの IP アドレスに置き換えます。
• Syslog のポートを 514 に設定するか、フォワーダーの Syslog デーモンに設定されているポートに設定します。
• 初期の FortiOS のバージョンで CEF 形式を有効にするため、コマンド セット csv disable を実行する必要が生じる場合があります。

GitHub (プレビュー)

GitHub コネクタの追加構成

前提条件: Microsoft Sentinel から GitHub に接続するには、GitHub エンタープライズ アカウントおよびアクセス可能な組織が必要です。

1. Microsoft Sentinel ワークスペースに Continuous Threat Monitoring for GitHub ソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに使えるコンテンツとソリューションを一元的に検出してデプロイする (パブリック プレビュー)」を参照してください。

2. Microsoft Sentinel コネクタで使用する GitHub 個人用アクセス トークンを作成します。 詳細については、関連する GitHub のドキュメントを参照してください。

3. Microsoft Sentinel の [データ コネクタ] 領域で、GitHub コネクタを検索します。 右側の [コネクタ ページを開く] を選択します。

4. [手順] タブの [構成] 領域で、次の情報を入力します。

   • [組織名]: 接続したいログがある組織の名前を入力します。
   • API キー: 先ほどこの手順で作成した GitHub 個人用アクセス トークンを入力します。

5. [接続] を選択すると、Microsoft Sentinel への GitHub ログの取り込みが開始されます。

Google Workspace (G-Suite) (プレビュー)

Google Reports API の追加構成

Web アプリケーションの資格情報の作成時に、http://localhost:8081/ に http://localhost:8081/ を追加します。

1. 手順に従って credentials.json を取得します。
2. Google pickle 文字列を取得するには、(credentials.json と同じパスで) この Python スクリプトを実行します。
3. 単一引用符で囲まれた pickle 文字列の出力をコピーして保存します。 これは、関数アプリをデプロイするために必要になります。

Illusive 攻撃管理システム (AMS) (プレビュー)

Imperva WAF Gateway (プレビュー)

Infoblox Network Identity Operating System (NIOS) (プレビュー)

Juniper SRX (プレビュー)

Lookout Mobile Threat Defense (プレビュー)

Microsoft 365 Defender

Microsoft Purview Insider Risk Management (IRM) (プレビュー)

Microsoft Defender for Cloud

Microsoft Defender for Cloud Apps

Microsoft Defender for Endpoint

Microsoft Defender for Identity

Microsoft Defender for IoT

Microsoft Defender for Office 365

Microsoft Office 365

Microsoft Power BI (プレビュー)

Microsoft Project (プレビュー)

Microsoft Sysmon for Linux (プレビュー)

Morphisec UTPP (プレビュー)

Netskope (プレビュー)

NGINX HTTP Server (プレビュー)

NXLog Basic Security Module (BSM) macOS (プレビュー)

NXLog DNS ログ (プレビュー)

NXLog LinuxAudit (プレビュー)

Okta シングル サインオン (プレビュー)

Onapsis Platform (プレビュー)

CEF ログをログ フォワーダーに送信するように Onapsis を構成する

Log Analytics エージェントへのログ転送を設定するには、Onapsis 製品に組み込まれているヘルプをご覧ください。

1. [Setup](セットアップ) [Third-party integrations](サードパーティ統合) > [Defend Alarms](防御アラーム) に移動し、Microsoft Sentinel 用の手順に従います。
2. Onapsis コンソールからエージェントがインストールされているログ フォワーダー マシンに到達できることを確認します。 ログは、TCP を使用してポート 514 に送信する必要があります。

One Identity Safeguard (プレビュー)

Oracle WebLogic Server (プレビュー)

Orca Security (プレビュー)

OSSEC (プレビュー)

Palo Alto Networks

Perimeter 81 のアクティビティ ログ (プレビュー)

Proofpoint On Demand (POD) の電子メール セキュリティ (プレビュー)

Proofpoint Targeted Attack Protection (TAP) (プレビュー)

Pulse Connect Secure (プレビュー)

Qualys VM のナレッジベース (KB) (プレビュー)

Qualys VM KB の追加構成

1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
2. [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
3. API アカウントのユーザー名とパスワードを作成します。
4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUI と API へのアクセスが許可されていることを確認します
5. 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにサインインした後、API アカウントからサインアウトします。
6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
7. すべての変更を保存します。

Qualys Vulnerability Management (VM) (プレビュー)

Qualys VM の追加構成

1. 管理者アカウントを使用して Qualys Vulnerability Management コンソールにログインし、 [ユーザー] タブと [ユーザー] サブタブを選択します。
2. [新規] ドロップダウン メニューを選択し、 [ユーザー] を選択します。
3. API アカウントのユーザー名とパスワードを作成します。
4. [ユーザー ロール] タブで、アカウント ロールが [マネージャー] に設定され、GUI と API へのアクセスが許可されていることを確認します
5. 管理者アカウントからサインアウトし、検証のために新しい API 資格情報を使用してコンソールにログインした後、API アカウントからサインアウトします。
6. 管理者アカウントを使用してコンソールにログインし直し、API アカウントのユーザー ロールを変更して、GUI へのアクセスを削除します。
7. すべての変更を保存します。

手動デプロイ - 関数アプリの構成後

host.json ファイルを構成する

大量の Qualys ホスト検出データが取り込まれる可能性があるため、実行時間が関数アプリの既定のタイムアウトである 5 分を超える可能性があります。 従量課金プランで、既定のタイムアウト時間を最大の 10 分に増やして、関数アプリを実行できる時間を増やします。

1. 関数アプリで、関数アプリ名を選択し、 [App Service Editor] ページを選択します。
2. [移動] を選択してエディターを開いた後、wwwroot ディレクトリの host.json ファイルを選択します。
3. 行 managedDependancy の前に行 "functionTimeout": "00:10:00", を追加します。
4. [保存済み] がエディターの右上隅に表示されたことを確認してから、エディターを終了します。

より長いタイムアウト時間が必要な場合は、App Service プランへのアップグレードを検討してください。

Salesforce Service Cloud (プレビュー)

レガシ エージェントを使用したセキュリティ イベント (Windows)

詳細については、次を参照してください。

• Microsoft Sentinel に送信できる Windows セキュリティ イベント セット
• 安全でないプロトコル ブックのセットアップ
• Azure Monitor エージェント (AMA) に基づく AMA コネクタを使用した Windows セキュリティ イベント
• 異常な RDP ログイン検出用にセキュリティ イベント/Windows セキュリティ イベント コネクタを構成する。

SentinelOne (プレビュー)

SentinelOne の追加構成

手順に従って資格情報を取得します。

1. 管理者ユーザーの資格情報を使用して SentinelOne 管理コンソールにサインインします。
2. 管理コンソールで、 [設定] を選択します。
3. [設定] ビューで、 [ユーザー] を選択します
4. [新しいユーザー] を選択します。
5. 新しいコンソール ユーザーの情報を入力します。
6. [ロール] で、 [管理者] を選択します。
7. [保存] を選択します
8. 新しいユーザーの資格情報を、データ コネクタで使用するために保存します。

SonicWall ファイアウォール (プレビュー)

Sophos Cloud Optix (プレビュー)

Sophos XG Firewall (プレビュー)

Squadra Technologies secRMM

Squid Proxy (プレビュー)

Symantec Integrated Cyber Defense Exchange (ICDx)

Symantec ProxySG (プレビュー)

Symantec VIP (プレビュー)

Thycotic Secret Server (プレビュー)

Trend Micro Deep Security

Trend Micro TippingPoint (プレビュー)

Trend Micro Vision One (XDR) (プレビュー)

VMware Carbon Black Endpoint Standard (プレビュー)

VMware ESXi (プレビュー)

WatchGuard Firebox (プレビュー)

WireX Network Forensics Platform (プレビュー)

AMA 経由の Windows DNS イベント (プレビュー)

Windows DNS Server (プレビュー)

このコネクタでは、レガシ エージェントが使用されます。 上記の AMA コネクタ経由で DNS を使用することをお勧めします。

Windows DNS Server データ コネクタのトラブルシューティング

DNS イベントが Microsoft Sentinel に表示されない場合:

1. サーバー上の DNS 分析ログが有効になっていることを確認します。
2. Azure DNS Analytics に移動します。
3. [構成] 領域で設定を変更し、その内容を保存します。 必要であれば、設定を元に戻したうえで再度変更を保存してください。
4. Azure DNS Analytics をチェックして、イベントとクエリが適切に表示されることを確認します。

詳細については、「DNS Analytics プレビュー ソリューションを使用した DNS インフラストラクチャに関する分析情報の収集」を参照してください。

Windows の転送済みイベント (プレビュー)

Windows の転送済みイベント コネクタをデプロイするための追加手順

データ正規化の完全なサポートを保証するために、Advanced Security Information Model (ASIM) パーサーをインストールすることをお勧めします。 これらのパーサーは、GitHub リポジトリから、 [Deploy to Azure](Azure にデプロイする) ボタンを使用してデプロイできます。

Windows ファイアウォール

AMA を使用した Windows セキュリティ イベント

関連項目:

• AMA コネクタ経由の Windows DNS イベント (プレビュー): Azure Monitor エージェントを使用して、Windows ドメイン ネーム システム (DNS) サーバー ログからイベントをストリーミングおよびフィルター処理します。
• レガシ エージェント コネクタを使用したセキュリティ イベント。

異常な RDP ログイン検出用にセキュリティ イベント/Windows セキュリティ イベント コネクタを構成する

重要

異常な RDP ログイン検出は現在、パブリック プレビュー段階です。 この機能はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

Microsoft Sentinel では、セキュリティ イベント データに機械学習 (ML) を適用して、リモート デスクトップ プロトコル (RDP) ログインの異常なアクティビティを識別できます。 シナリオには以下が含まれます。

• 通常とは異なる IP - その IP アドレスが過去 30 日間にほとんどまたはまったく確認されていない

• 通常とは異なる地理的な場所 - IP アドレス、市区町村、国、および ASN が過去 30 日間にほとんどまたはまったく確認されていない

• 新しいユーザー - 新しいユーザーが、過去 30 日間のデータに基づいて予期されないか確認されていない (またはその両方の) IP アドレスおよび地理的な場所からログインしている。

構成の手順

1. セキュリティ イベントまたは Windows セキュリティ イベント データ コネクタを使用して、RDP ログイン データ (イベント ID 4624) を収集している必要があります。 イベント セットを Microsoft Sentinel にストリーミングするには、"なし" 以外のイベント セットを選択するか、このイベント ID を含めたデータ収集ルールを作成します。

2. Microsoft Sentinel ポータルで、 [分析] を選択した後、 [規則のテンプレート] タブを選択します。 (Preview) Anomalous RDP Login Detection((プレビュー) 異常な RDP ログイン検出) 規則を選択し、 [状態] スライダーを [有効] に移動します。

   Note

   機械学習アルゴリズムでは、ユーザー動作のベースライン プロファイルを作成するために 30 日間分のデータが必要であるため、インシデントを検出する前に、30 日間の Windows セキュリティ イベント データの収集を許可する必要があります。

Workplace from Facebook (プレビュー)

Webhook を構成する

1. 管理者ユーザーの資格情報を使用して Workplace にサインインします。
2. 管理者用パネルで、 [統合] を選択します。
3. [すべての統合] ビューで、 [カスタム統合を作成] を選択します。
4. 名前と説明を入力して、 [作成] を選択します。
5. [統合の詳細] パネルで、 [アプリ シークレット] を表示してコピーします。
6. [統合へのアクセス許可] パネルで、すべての読み取りアクセス許可を設定します。 詳細については、アクセス許可に関するページをご覧ください。

Webhook 構成にコールバック URL を追加する

1. 関数アプリのページを開き、 [関数] の一覧に移動し、 [関数の URL の取得] を選択してコピーします。
2. Workplace from Facebook に戻ります。 [Webhook を設定] パネルの各タブで、 [コールバック URL] を直前の手順でコピーした関数の URL として設定し、 [トークンを認証] を自動デプロイ中に受信した、または手動デプロイ中に入力した同じ値として設定します。
3. [保存] を選択します。

Zimperium Mobile Thread Defense (プレビュー)

Zimperium Mobile Threat Defense データ コネクタでは、Zimperium の脅威ログを Microsoft Sentinel に接続して、ダッシュボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 このコネクタにより、組織のモバイル脅威のランドスケープに関するより詳細な分析情報が提供され、セキュリティ運用機能が向上します。

詳細については、Zimperium の Azure Sentinel への接続に関する記事をご覧ください。

Zimperium MTD を構成して接続する

1. zConsole のナビゲーション バーで、 [管理] を選択します。
2. [統合] タブを選択します。
3. [脅威レポート] ボタン、 [統合を追加] ボタンの順に選択します。
4. 統合を作成します。
   1. 使用可能な統合から、Microsoft Sentinel を選択します。
   2. [ワークスペース ID] と [主キー] を入力して、 [次へ] を選択します。
   3. Microsoft Sentinel 統合の名前を入力します。
   4. Microsoft Sentinel にプッシュする脅威データの [Filter Level](フィルター レベル) を選択します。
   5. [完了] を選択します。

Zoom Reports (プレビュー)

Zscaler

Zscaler Private Access (ZPA) (プレビュー)

Zscaler Private Access の追加構成

次の構成手順に従って、Zscaler Private Access のログを Microsoft Sentinel に取り込みます。 詳細については、Azure Monitor のドキュメントを参照してください。 Zscaler Private Access のログは、ログ ストリーミング サービス (LSS) を介して配信されます。 詳細については、LSS のドキュメントをご覧ください。

1. ログ レシーバーを構成します。 ログ レシーバーの構成中に、 [ログ テンプレート] として [JSON] を選択します。

2. 構成ファイル (zpa.conf) をダウンロードします。

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Azure Log Analytics エージェントをインストールしたサーバーにサインインします。

4. zpa.conf を /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/ フォルダーにコピーします。

5. 次のように zpa.conf を編集します。

   1. Zscaler ログ レシーバーのログの転送先として設定したポートを指定します (4 行目)
   2. workspace_id を実際のワークスペース ID の値に置き換えます (14、15、16、19 行目)

6. 次のコマンドを使用して、Linux 用 Log Analytics エージェント サービスを再起動します。

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

ワークスペース ID の値は、Zscaler Private Access コネクタのページまたは Log Analytics ワークスペースのエージェント管理ページで確認できます。

次のステップ

詳細については、次を参照してください。

• Azure Marketplace での Microsoft Sentinel のソリューションカタログ
• Microsoft Sentinel ソリューション カタログ
• Microsoft Sentinel への脅威インテリジェンスの統合

この記事の内容

ESETの通知設定は？

ESETの通知表示は？

ESET Protectのポート番号は？