Azure Sentinel を AWS CloudTrail に接続するConnect Azure Sentinel to AWS CloudTrail

AWS コネクタを使用して、AWS CloudTrail 管理イベントを Azure Sentinel にストリーミングします。Use the AWS connector to stream your AWS CloudTrail management events into Azure Sentinel. この接続プロセスにより、Azure Sentinel へのアクセスが AWS リソース ログに委任され、AWS CloudTrail とAzure Sentinel の間の信頼関係が確立されます。This connection process delegates access for Azure Sentinel to your AWS resource logs, creating a trust relationship between AWS CloudTrail and Azure Sentinel. これを行うには、Azure Sentinel にアクセス許可を付与するロールを AWS で作成し、AWS ログにアクセスできるようにします。This is accomplished on AWS by creating a role that gives permission to Azure Sentinel to access your AWS logs.


AWS CloudTrail には、LookupEvents API に組み込まれている制限があります。AWS CloudTrail has built-in limitations in its LookupEvents API. アカウントごとに 2 つ以上のトランザクション (TPS) が許可され、各クエリでは最大 50 のレコードを返すことができます。It allows no more than two transactions per second (TPS) per account, and each query can return a maximum of 50 records. したがって、単一のテナントで、1 つのリージョン内で秒あたり 100 を超えるレコードが継続的に生成される場合、データ インジェストでバックログと遅延が発生します。Consequently, if a single tenant constantly generates more than 100 records per second in one region, backlogs and delays in data ingestion will result.


Azure Sentinel ワークスペースへの書き込みアクセス許可が必要です。You must have write permission on the Azure Sentinel workspace.


Azure Sentinel によって、すべてのリージョンから CloudTrail 管理イベントが収集されます。Azure Sentinel collects CloudTrail management events from all regions. あるリージョンから別のリージョンにイベントをストリーミングしないことをお勧めします。It is recommended that you do not stream events from one region to another.

AWS の接続Connect AWS

  1. Azure Sentinel で、 [Data connectors](データ コネクタ) を選択し、テーブルで [Amazon Web Services] 行を選択し、右側の [AWS] ウィンドウで [Open connector page](コネクタ ページを開く) をクリックします。In Azure Sentinel, select Data connectors and then select the Amazon Web Services line in the table and in the AWS pane to the right, click Open connector page.

  2. 次の手順を使用して、 [Configuration](構成) の下の指示に従います。Follow the instructions under Configuration using the following steps.

  3. アマゾン ウェブ サービス コンソールの [Security, Identity & Compliance](セキュリティ、ID、およびコンプライアンス)[IAM] を選択します。In your Amazon Web Services console, under Security, Identity & Compliance, select IAM.


  4. Roles(ロール) を選択し、Create role(ロールの作成) を選択します。Choose Roles and select Create role.


  5. [別の AWS アカウント] を選択します。Choose Another AWS account. [アカウント ID] フィールドに、Microsoft アカウント ID (123412341234) を入力します。このID は、Azure Sentinel ポータルの AWS コネクタ ページで確認できます。In the Account ID field, enter the Microsoft Account ID (123412341234) that can be found in the AWS connector page in the Azure Sentinel portal.


  6. 必ず [外部 ID が必要] を選択し、外部 ID (ワークスペース ID) を入力します。この ID は、Azure Sentinel ポータルの AWS コネクタ ページで確認できます。Make sure Require External ID is selected and then and enter the External ID (Workspace ID) that can be found in the AWS connector page in the Azure Sentinel portal.


  7. [Attach permissions policy](アクセス許可ポリシーのアタッチ)[AWSCloudTrailReadOnlyAccess] を選択します。Under Attach permissions policy select AWSCloudTrailReadOnlyAccess.


  8. (省略可能) タグを入力します。Enter a Tag (Optional).


  9. 次に、ロール名を入力し、 [ロールの作成] を選択します。Then, enter a Role name and select the Create role button.


  10. ロールの一覧で、作成したロールを選択します。In the Roles list, choose the role you created.


  11. Role ARN をコピーします。Copy the Role ARN. Azure Sentinel ポータルのアマゾン ウェブ サービス コネクタ画面の [Role to add](追加するロール) フィールドにこれを貼り付け、 [Add](追加) をクリックします。In the Azure Sentinel portal, in the Amazon Web Services connector screen, paste it into the Role to add field and click Add.


  12. Log Analytics で AWS イベントに関連するスキーマを使用するには、AWSCloudTrail を検索します。To use the relevant schema in Log Analytics for AWS events, search for AWSCloudTrail.

次のステップNext steps

このドキュメントでは、AWS CloudTrail を Azure Sentinel に接続する方法について学習しました。In this document, you learned how to connect AWS CloudTrail to Azure Sentinel. Azure Sentinel の詳細については、次の記事をご覧ください。To learn more about Azure Sentinel, see the following articles: