AWS CloudTrail を Azure Sentinel に接続する

AWS コネクタを使用して、AWS CloudTrail 管理イベントを Azure Sentinel にストリーミングします。 この接続プロセスにより、Azure Sentinel へのアクセスが AWS リソース ログに委任され、AWS CloudTrail とAzure Sentinel の間の信頼関係が確立されます。 これを行うには、Azure Sentinel にアクセス許可を付与するロールを AWS で作成し、AWS ログにアクセスできるようにします。

注意

AWS CloudTrail には、LookupEvents API に組み込まれている制限があります。 アカウントごとに 2 つ以上のトランザクション (TPS) が許可され、各クエリでは最大 50 のレコードを返すことができます。 したがって、単一のテナントで、1 つのリージョン内で秒あたり 100 を超えるレコードが継続的に生成される場合、データ インジェストでバックログと遅延が発生します。 現在、Azure Sentinel に接続できるのは AWS Commercial CloudTrail のみであり、AWS GovCloud CloudTrail は接続できません。

前提条件

Azure Sentinel ワークスペースへの書き込みアクセス許可が必要です。

注意

Azure Sentinel によって、すべてのリージョンから CloudTrail 管理イベントが収集されます。 あるリージョンから別のリージョンにイベントをストリーミングしないことをお勧めします。

AWS の接続

  1. Azure Sentinel で、 [データ コネクタ] を選択し、テーブルで [アマゾン ウェブ サービス] 行を選択し、右側の [AWS] ウィンドウで [コネクタ ページを開く] を選択します。

  2. 次の手順を使用して、 [Configuration](構成) の下の指示に従います。

  3. アマゾン ウェブ サービス コンソールの [Security, Identity & Compliance](セキュリティ、ID、およびコンプライアンス)[IAM] を選択します。

    AWS1

  4. Roles(ロール) を選択し、Create role(ロールの作成) を選択します。

    AWS2

  5. [別の AWS アカウント] を選択します。 [アカウント ID] フィールドに、Microsoft アカウント ID (123412341234) を入力します。このID は、Azure Sentinel ポータルの AWS コネクタ ページで確認できます。

    AWS3

  6. 必ず [外部 ID が必要] を選択し、外部 ID (ワークスペース ID) を入力します。この ID は、Azure Sentinel ポータルの AWS コネクタ ページで確認できます。

    AWS4

  7. [Attach permissions policy](アクセス許可ポリシーのアタッチ)[AWSCloudTrailReadOnlyAccess] を選択します。

    AWS5

  8. (省略可能) タグを入力します。

    AWS6

  9. 次に、ロール名 を入力し、 [ロールの作成] を選択します。

    AWS7

  10. ロールの一覧で、作成したロールを選択します。

    AWS8

  11. Role ARN をコピーします。 Azure Sentinel ポータルのアマゾン ウェブ サービス コネクタ画面の [追加するロール] フィールドにこれを貼り付け、 [追加] を選択します。

    AWS9

  12. Log Analytics で AWS イベントに関連するスキーマを使用するには、AWSCloudTrail を検索します。

    重要

    2020 年 12 月 1 日以降では、AwsRequestId フィールドは AwsRequestId_ フィールドに置き換えられています (アンダースコアが追加されていることに注意してください)。 以前の AwsRequestId フィールドのデータは、お客様が指定したデータ保有期間が終了するまで保持されます。

次のステップ

このドキュメントでは、AWS CloudTrail を Azure Sentinel に接続する方法について学習しました。 Azure Sentinel の詳細については、次の記事をご覧ください。