Azure Monitor を使用して Azure Active Directory のログを ArcSight と統合する

Micro Focus ArcSight は、プラットフォーム内のセキュリティ上の脅威を検出して対処するために役立つセキュリティ情報イベント管理 (SIEM) ソリューションです。 Azure Monitor で Azure AD 用の ArcSight コネクタを使用して、Azure Active Directory (Azure AD) ログを ArcSight にルーティングできるようになりました。 この機能により、ArcSight を使用してテナントのセキュリティ侵害を監視することができます。

この記事では、Azure Monitor を使用して Azure AD ログを ArcSight にルーティングする方法について説明します。

前提条件

この機能を使用するには、次が必要です。

  • Azure AD のアクティビティ ログを含む Azure Event Hub。 アクティビティ ログをイベント ハブにストリーミングする方法を確認してください。
  • ArcSight Syslog NG Daemon SmartConnector (SmartConnector) または ArcSight Load Balancer の構成済みインスタンス。 イベントが ArcSight Load Balancer に送信されると、その結果、Load Balancer によってイベントは SmartConnector に送信されます。

ArcSight SmartConnector for Azure Monitor Event Hub の構成ガイドをダウンロードして開いてください。 このガイドには、ArcSight SmartConnector for Azure Monitor のインストールと構成に必要な手順が記載されています。

Azure AD ログと ArcSight の統合

  1. まず構成ガイドの「Prerequisites」(前提条件) セクションの手順を完了します。 このセクションには、次の手順が記載されています。

    • Azure でユーザー アクセス許可を設定し、コネクタのデプロイと構成を行うことができる所有者ロールを持つユーザーを用意します。
    • Syslog NG Daemon SmartConnector がインストールされているサーバー上のポートを開き、Azure からアクセスできるようにします。
    • デプロイによって Windows PowerShell スクリプトが実行されるため、コネクタをデプロイするマシン上で PowerShell がスクリプトを実行できるようにする必要があります。
  2. 構成ガイドの「Deploying the Connector」(コネクタのデプロイ) セクションの手順に従ってコネクタをデプロイします。 このセクションでは、コネクタのダウンロードと抽出、アプリケーションのプロパティの構成、および抽出されたフォルダーからのデプロイ スクリプトの実行方法について手順を追って説明されています。

  3. Verifying the Deployment in Azure」(Azure でのデプロイの検証) の手順に従って、コネクタが設定され、正しく機能していることを確認します。 次の点を確認します。

    • Azure サブスクリプションで必要な Azure 関数が作成されている。
    • Azure AD ログが正しい送信先にストリーミングされている。
    • デプロイのアプリケーション設定が、Azure Function Apps の [アプリケーション設定] に保持されている。
    • ArcSight コネクタ用の Azure AD アプリケーションと、CEF 形式のマップ ファイルを含むストレージ アカウントを使用して、ArcSight 用の新しいリソース グループが Azure 内に作成されます。
  4. 最後に、構成ガイドの「Post-Deployment Configurations」(デプロイ後の構成) に記載されているデプロイ後の手順を完了します。 このセクションには、タイムアウト期間後に関数アプリがアイドルにならないように App Service プランを使用している場合に追加の構成を実行する方法、イベント ハブのリソース ログのストリーミングを構成する方法、および新しく作成したストレージ アカウントと関連付けられるように SysLog NG Daemon SmartConnector キーストア証明書を更新する方法が説明されています。

  5. この構成ガイドには、Azure 上でコネクタのプロパティをカスタマイズする方法、およびコネクタをアップグレードおよびアンインストールする方法についても説明されています。 Azure の従量課金プランへのアップグレードや ArcSight Load Balancer の構成 (イベントの負荷が Syslog NG Daemon SmartConnector で処理できる量を超えている場合) など、パフォーマンスの改善に関するセクションもあります。

次のステップ

ArcSight SmartConnector for Azure Monitor Event Hub の構成ガイド