編集

Defender for IoT クラウド アラートをパートナー SIEM にストリーミングする

  • 操作方法

OT システムをデジタル IT インフラストラクチャに変換する企業が増えるにつれて、セキュリティ オペレーション センター (SOC) チームと最高情報セキュリティ責任者 (CISO) は、OT ネットワークからの脅威の対処に対してますます責任を負います。

Microsoft Defender for IoT のすぐに使用できるデータ コネクタソリューションを使用して、Microsoft Sentinel と統合し、IT と OT のセキュリティ上の課題のギャップを埋めることをお勧めします。

ただし、他のセキュリティ情報イベント管理 (SIEM) システムがある場合は、Microsoft Sentinel を使用して、Microsoft SentinelAzure Event Hubs 経由で Defender for IoT クラウド アラートをそのパートナー SIEM に転送することもできます。

この記事では Splunk を例として使用しますが、以下で説明するプロセスは、IBM QRadar など、Event Hub インジェストをサポートする任意の SIEM で使用できます。

重要

Event Hubs と Log Analytics エクスポート ルールを使用すると、追加料金が発生する場合があります。 詳細については、「Event Hubs の価格」およびログ データのエクスポートの価格に関するページを参照してください。

前提条件

開始する前に、Microsoft Sentinel インスタンスにインストールされている Microsoft Defender for IoT データ コネクタが必要です。 詳細については、「チュートリアル: Microsoft Defender for IoT を Microsoft Sentinel に接続する」を参照してください。

また、以下の手順でリンクされている各手順の前提条件も確認してください。

アプリケーションを Microsoft Entra ID に登録する

Microsoft Cloud Services 用の Splunk アドオンのサービス プリンシパルとして定義された Microsoft Entra ID が必要です。 これを行うには、特定のアクセス許可を持つ Microsoft Entra アプリケーションを作成する必要があります。

Microsoft Entra ID アプリケーションを登録し、アクセス許可を定義するには、以下の手順を実行します。

  1. Microsoft Entra ID で、新しいアプリケーションを登録します。 [証明書とシークレット] ページで、サービス プリンシパルの新しいクライアント シークレットを追加します。

    詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

  2. アプリの [API のアクセス許可] ページで、アプリからデータを読み取る API のアクセス許可を付与します。

    • アクセス許可の追加を選択してから、[Microsoft Graph]>[アプリケーションのアクセス許可]>[SecurityEvents.ReadWrite.All]>[アクセス許可の追加] の順に選択します。

    • アクセス許可に管理者の同意が必要であることを確認します。

    詳細については、「Web API にアクセスするようにクライアント アプリケーションを構成する」を参照してください。

  3. アプリの [概要] ページで、アプリの以下の値をメモします。

    • 表示名
    • アプリケーション (クライアント) ID
    • ディレクトリ (テナント) ID

  4. [証明書とシークレット] ページで、クライアント シークレットの [値][シークレット ID] の値をメモします。

Azure イベント ハブを作成する

Microsoft Sentinel とパートナー SIEM の間のブリッジとして使用する Azure イベント ハブを作成します。 この手順を開始するには、Azure イベント ハブの名前空間を作成してから、Azure イベント ハブを追加します。

イベント ハブの名前空間とイベント ハブを作成するには、以下の手順を実行します。

  1. Azure Event Hubs で、新しいイベント ハブの名前空間を作成します。 新しい名前空間で、新しい Azure イベント ハブを作成します。

    イベント ハブで、 [パーティション数][メッセージの保持期間] の設定を必ず定義してください。

    詳細については、「Azure portal を使用したイベント ハブの作成」を参照してください。

  2. イベント ハブの名前空間で、「アクセス制御 (IAM)」ページを選択し、新しいロールの割り当てを追加します。

    Azure Event Hubs データ受信者ロールを使用することを選択し、にメンバーとして作成した Microsoft Entra サービス プリンシパル アプリを追加します。

    詳細については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

  3. イベント ハブ名前空間の [概要] ページで、名前空間の [ホスト名] の値をメモします。

  4. イベント ハブ名前空間の [Event Hubs] ページで、イベント ハブの名前をメモします。

Microsoft Sentinel インシデントをイベント ハブに転送する

Microsoft Sentinel インシデントまたはアラートをイベント ハブに転送するには、Azure Log Analytics からデータ エクスポート ルールを作成します。

ルールで、必ず次の設定を定義してください。

  1. [ソース]SecurityIncident として構成します

  2. 先ほど記録したイベント ハブの名前空間とイベント ハブ名を使用して、[宛先][イベントの種類] として構成します。

    詳細については、Azure Monitor での Log Analytics ワークスペースのデータ エクスポートに関するページを参照してください。

Microsoft Sentinel インシデントを使用するように Splunk を構成する

イベント ハブとエクスポート ルールを構成したら、イベント ハブから Microsoft Sentinel インシデントを使用するように Splunk を構成します。

  1. Microsoft Cloud Services 用の Splunk アドオン アプリをインストールします。

  2. Microsoft Cloud Services 用の Splunk アドオン アプリで、Azure アプリ アカウントを追加します。

    1. わかりやすいアカウント名を入力します。
    2. 前に記録したクライアント ID、クライアント シークレット、テナント ID の詳細を入力します。
    3. アカウント クラスの種類を [Azure パブリック クラウド] として定義します。

  3. Microsoft Cloud Services 用の Splunk アドオンの入力に進み、Azure イベント ハブの新しい入力を作成します。

    1. 入力のわかりやすい名前を入力します。
    2. Microsoft Services 用の Splunk アドオン アプリで作成したばかりの Azure アプリ アカウントを選択します。
    3. イベント ハブ名前空間の FQDN とイベント ハブ名を入力します。

    その他の設定は、既定値のままにしておきます。

    データがイベント ハブから Splunk に取り込まれ始めたら、検索フィールドで次の値を使用してデータのクエリを実行します。sourcetype="mscs:azure:eventhub"

関連するコンテンツ