Azure Security のデータを SIEM にエクスポートする - パイプラインの構成 (プレビュー)Azure Security data export to SIEM- Pipeline Configuration [Preview]

このドキュメントでは、Azure Security Center のセキュリティ データを SIEM にエクスポートする手順について詳しく説明します。This document details the procedure to export Azure Security Center security data to a SIEM.

Azure Security Center によって生成されて処理されたイベントは、Azure Monitor で利用可能なログの種類の 1 つである Azure アクティビティ ログに発行されます。Processed events produced by Azure Security Center are published to the Azure Activity log, one of the log types available through Azure Monitor. Azure Monitor では、任意の監視データを SIEM ツールにルーティングするための統合パイプラインが提供されています。Azure Monitor offers a consolidated pipeline for routing any of your monitoring data into a SIEM tool. これは Event Hub にデータをストリーミングすることによって行われ、そこからはパートナー ツールに取得できます。This is done by streaming that data to an Event Hub where it can then be pulled into a partner tool.

このパイプでは、Azure 環境から監視データにアクセスするために Azure Monitoring の 1 つのパイプラインが使われます。This pipe uses the Azure Monitoring single pipeline for getting access to the monitoring data from your Azure environment. これにより、データを使うように SIEM と監視ツールを簡単に設定できます。This enables you to easily set up SIEMs and monitoring tools to consume the data.

以降のセクションでは、イベント ハブにストリーミングされるようにデータを構成する方法について説明します。The next sections describe how you can configure data to be streamed to an event hub. 以下の手順では、Azure Security Center が Azure サブスクリプションで既に構成されているものとします。The steps assume that you already have Azure Security Center configured in your Azure subscription.

概要High-level overview


SIEM に公開される Azure セキュリティ データWhat is the Azure security data exposed to SIEM?

このプレビュー バージョンでは、セキュリティの警告を公開します。In this preview version we expose the security alerts. 今後のリリースでは、セキュリティに関する推奨事項でデータ セットを増やします。In upcoming releases, we will enrich the data set with security recommendations.

パイプラインのセットアップ方法How to setup the pipeline?

Event Hub を作成するCreate an Event Hub

始める前に、Event Hubs 名前空間を作成する必要があります。Before you begin, you need to create an Event Hubs namespace. この名前空間と Event Hub が、すべての監視データの送信先です。This namespace and Event Hub is the destination for all your monitoring data.

Event Hubs への Azure アクティビティ ログのストリーミングStream the Azure Activity Log to Event Hubs

アクティビティ ログの Event Hubs へのストリーム」をご覧くださいPlease refer to the following article stream activity log to Event Hubs

パートナー SIEM コネクタをインストールするInstall a partner SIEM connector

Azure Monitor で監視データを Event Hub にルーティングすると、パートナー SIEM や監視ツールに簡単に統合することができます。Routing your monitoring data to an Event Hub with Azure Monitor enables you to easily integrate with partner SIEM and monitoring tools.

一サポートされる SIEM の一覧は、こちらのリンクをご覧くださいRefer to the following link to see the list of supported SIEMs

データのクエリの例Example for Querying data

警告データの取得に使うことができる Splunk クエリを次に示します。Here is a couple of Splunk queries that you can use to pull alert data:

クエリの説明Description of Query クエリQuery
すべての警告All Alerts index=main Microsoft.Security/locations/alertsindex=main Microsoft.Security/locations/alerts
名前を指定した操作の数の集計Summarize count of operations by their name index=main sourcetype="amal:security" | table operationName | stats count by operationNameindex=main sourcetype="amal:security" | table operationName | stats count by operationName
警告情報の取得: 日時、名前、状態、ID、サブスクリプションGet Alerts info: Time, Name, State, ID, and Subscription index=main Microsoft.Security/locations/alerts | table _time, properties.eventName, State, properties.operationId, am_subscriptionIdindex=main Microsoft.Security/locations/alerts | table _time, properties.eventName, State, properties.operationId, am_subscriptionId

次の手順Next steps