Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続する

Azure Functions を、PowerShell や Python などのさまざまなコーディング言語と組み合わせて使用して、互換性のあるデータ ソースの REST API エンドポイントへのサーバーレス コネクタを作成することができます。 Azure 関数アプリにより、データ ソースの REST API に Microsoft Sentinel を接続してログをプルすることができます。

この記事では、Azure 関数アプリを使用するために Microsoft Sentinel を構成する方法について説明します。 さらに、ソース システムを構成する必要がある場合もありますが、ポータルの各データ コネクタのページ、または Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションで、ベンダー固有および製品固有の情報リンクを見つけることができます。

注意

• データは、Microsoft Sentinel に取り込まれると、Microsoft Sentinel を実行しているワークスペースの地理的な場所に保存されます。

  長期間の保有の場合、Azure Data Explorer にデータを保存したいと考える場合もあります。 詳細については、Azure Data Explorer の統合に関するページを参照してください。

• Azure Functions を使用して Microsoft Sentinel にデータを取り込むと、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、Azure Functions の価格に関するページを参照してください。

前提条件

Azure Functions を使用して Microsoft Sentinel をデータ ソースに接続し、そのログを Microsoft Sentinel にプルする前に、次のアクセス許可と資格情報があることを確認してください。

• Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

• ワークスペースの共有キーに対する読み取りアクセス許可が必要です。 ワークスペース キーの詳細については、こちらを参照してください。

• 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細を確認してください。

• また、製品の API にアクセスするための資格情報 (ユーザー名とパスワード、トークン、キー、またはその他の組み合わせ) も必要になります。 さらにエンドポイント URI などの他の API 情報が必要な場合もあります。

  詳細については、接続先のサービスのドキュメントおよび、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションを参照してください。

• Microsoft Sentinel のコンテンツ ハブから、Azure Functions ベースのコネクタを含むソリューションをインストールします。 詳細については、「Microsoft Sentinel のすぐに利用できるコンテンツを検出して管理する」を参照してください。

データ ソースを構成して接続する

注意

• Azure Key Vault には、ワークスペースと API の認可キーまたはトークンを安全に格納できます。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。

• 一部のデータ コネクタは、正常に動作するために、Kusto 関数に基づくパーサーに依存しています。 Kusto 関数とエイリアスを作成する手順のリンクについては、Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションを参照してください。

手順 1: ソース システムの API 資格情報を取得する

ソース システムの指示に従って、その API 資格情報/認可キー/トークンを取得します。 後のために、それらをコピーして、テキスト ファイルに貼り付けます。

必要となる正確な資格情報の詳細と、それらを見つけて作成するための製品の手順のリンクは、ポータルのデータ コネクタ ページと、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションで参照できます。

また、ソース システムでログまたはその他の設定を構成する必要がある場合もあります。 それらと関連する手順については、前の段落を参照してください。

手順 2: コネクタと関連付けられている Azure 関数アプリをデプロイする

配置オプションを選択する

Azure Resource Manager (ARM) テンプレート

この方法により、ARM テンプレートを使用して Azure 関数ベースのコネクタを自動的にデプロイできます。

1. Microsoft Sentinel ポータルで [Data connectors](データ コネクタ) を選択します。 一覧から Azure Functions ベースのコネクタを選択し、コネクタ ページを開きます。

2. [構成] で、Microsoft Sentinel の [ワークスペース ID] と [主キー] をコピーし、控えておきます。

3. [Azure に配置する] を選択します。 (ボタンを見つけるために、下へスクロールする必要がある場合があります。)

4. [カスタム デプロイ] 画面が表示されます。

   • 関数アプリをデプロイするサブスクリプション、リソース グループ、リージョンを選択します。

   • 上記の手順 1 で保存した API 資格情報/認可キー/トークンを入力します。

   • Microsoft Sentinel の [ワークスペース ID] と [ワークスペース キー] (主キー) に、先ほどコピーした値を入力します。

     注意

     上記のいずれかの値に対して Azure Key Vault シークレットを使用する場合は、文字列値の代わりに @Microsoft.KeyVault(SecretUri={Security Identifier}) スキーマを使用します。 詳細については、Key Vault のリファレンスのドキュメントを参照してください。

   • [カスタム デプロイ] 画面で、フォームのその他のフィールドを入力します。 ポータルのデータ コネクタ ページ、または Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションを参照してください。

   • [Review + create](レビュー + 作成) を選択します。 検証が完了したら、 [作成] を選択します。

PowerShell を使用した手動デプロイ

次の手順を使用して、PowerShell 関数を使用する Azure Functions ベースのコネクタを手動でデプロイします。

1. Microsoft Sentinel ポータルで [Data connectors](データ コネクタ) を選択します。 一覧から Azure Functions ベースのコネクタを選択し、コネクタ ページを開きます。

2. [構成] で、Microsoft Sentinel の [ワークスペース ID] と [主キー] をコピーし、控えておきます。

3. 関数アプリを作成する

   1. Azure portal から、関数アプリを検索して選択します。

   2. [関数アプリ] ページで、 [作成] を選択します。 関数アプリの作成ウィザードが開きます。

   3. [基本] タブを次のように設定します。

      • サブスクリプションとリソース グループを選択します。
      • 関数アプリに名前を付けます。
      • [ランタイム スタック] を [PowerShell Core] に設定します。
      • 適切なバージョン番号を選択します。
      • デプロイするリージョンを選択し、 [次へ: ホスティング] を選択します。

   4. [ホスティング] タブで:

      • 使用するストレージ アカウントを選択するか、新しいアカウントを作成します。
      • [プランの種類] として、 [重量課金プラン (サーバーレス)] を選択します。

   5. その他の必要な構成変更を行い、 [確認および作成] を選択します。

   6. "検証に成功しました" メッセージを待機してから、 [作成] を選択します。

   7. デプロイが完了したら、 [リソースに移動] を選択します。

4. 関数アプリ コードをインポートする

   1. 新しく作成した関数アプリで、ナビゲーションメニューから [関数] を選択します。

   2. [関数] ページで、 [+ 追加] を選択します。

   3. [関数の追加] パネルで、 [タイマー] を選択します。

   4. 関数の一意の名前を入力し、cron 式を入力してスケジュールを指定します。 既定の間隔は 5 分ごとです。

   5. 関数が作成されたら、左ウィンドウで [コードとテスト] を選択します。

   6. ソース システムのベンダーから提供されている関数アプリ コードをダウンロードし、コピーして、関数アプリrun.ps1 エディターに貼り付けて、既定でそこにある内容を置き換えます。 ダウンロード リンクは、コネクタ ページ、または Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションにあります。

   7. [保存] を選択します。

5. 関数アプリを構成する

   1. 関数アプリのページで、ナビゲーション メニューの [設定] の下の [構成] を選択します。

   2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。

   3. 製品について規定されているアプリケーション設定を、大文字と小文字を区別する各文字列値で個別に追加します。 データ コネクタ ページ、または Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスについてのセクションの製品のセクションを参照してください。

      ヒント

      必要に応じて、専用クラウドを使用している場合は、logAnalyticsUri アプリケーション設定を使用して、ログ分析 API エンドポイントを上書きします。 そのため、たとえば、パブリック クラウドを使用している場合は、値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。

Python を使用した手動デプロイ

次の手順を使用して、Python 関数を使用する Azure Functions ベースのコネクタを手動でデプロイします。 この種類のデプロイには Visual Studio Code が必要です。

1. Microsoft Sentinel ポータルで [Data connectors](データ コネクタ) を選択します。 一覧から Azure Functions ベースのコネクタを選択し、コネクタ ページを開きます。

2. [構成] で、Microsoft Sentinel の [ワークスペース ID] と [主キー] をコピーし、控えておきます。

3. 関数アプリをデプロイする

   注意

   Azure 関数の開発には Visual Studio Code (VS Code) を準備する必要があります。

   1. Azure 関数アプリ ファイルをダウンロードするには、データ コネクタ ページおよび Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスのセクションに提供されているリンクを使用します。 アーカイブをローカル開発用コンピューターに抽出します。

   2. VS Code を起動します。 メニュー バーから、[ファイル] > [フォルダーを開く...] を選択します。

   3. アーカイブから抽出されたファイルから、トップレベル フォルダーを選択します。

   4. VS Code [アクティビティ] バー (左側) の Azure アイコンを選択します。 [Azure: Functions] 領域で、 [関数アプリにデプロイ] ボタンを選択します。

      注意

      まだサインインしていない場合は、[アクティビティ] バーの Azure アイコンを選択します。 [Azure: Functions] 領域で、 [Azure にサインインする...] を選択します。
      既にサインインしている場合は、次の手順に進みます。

   5. プロンプトで、次の情報を入力します。

      • フォルダーを選択してください: ワークスペースのフォルダーを選択するか、関数アプリが格納されているフォルダーを参照します。
      • Select subscription (サブスクリプションを選択してください) : 使用するサブスクリプションを選択します。
      • [Azure で新しい関数アプリを作成する] を選択します。 ( [詳細] オプションを選択しないでください。)
      • 関数アプリのグローバルに一意の名前を入力します: 関数アプリに URL パスで有効な名前を付けます。 選択した名前が検証され、Azure Functions 全体でそれが一意であることが確認されます。
      • ランタイムを選択してください: [Python 3.8] を選択します。

   6. デプロイが開始されます。 関数アプリが作成され、展開パッケージが適用されると、通知が表示されます。

   7. 構成のために関数アプリのページに戻ります。

4. 関数アプリを構成する

   1. 関数アプリのページで、ナビゲーション メニューの [設定] の下の [構成] を選択します。

   2. [アプリケーションの設定] タブで、 [+ 新しいアプリケーション設定] を選択します。

   3. 製品について規定されているアプリケーション設定を、大文字と小文字を区別する各文字列値で個別に追加します。 追加するアプリケーション設定については、データ コネクタ ページ、または Microsoft Sentinel データ コネクタのリファレンス ページでお使いのサービスについてのセクションを参照してください。

      • 必要に応じて、専用クラウドを使用している場合は、logAnalyticsUri アプリケーション設定を使用して、ログ分析 API エンドポイントを上書きします。 そのため、たとえば、パブリック クラウドを使用している場合は、値を空のままにします。Azure GovUS クラウド環境では、https://<CustomerId>.ods.opinsights.azure.us の形式で値を指定します。

データの検索

接続が正常に確立されると、Microsoft Sentinel データ コネクタのリファレンス ページのお使いのサービスについてのセクションに記載されている表で、 [CustomLogs] の下の [ログ] にデータが表示されます。

データのクエリを実行するには、クエリ ウィンドウで、それらのいずれかのテーブル名 (または関連する Kusto 関数エイリアス) を入力します。

いくつかの便利なサンプル クエリについては、コネクタ ページの [Next steps](次の手順) タブを参照してください。

接続の検証

ログが Log Analytics に表示され始めるまで、最大 20 分かかることがあります。

次のステップ

このドキュメントでは、Azure Functions ベースのコネクタを使用して Microsoft Sentinel をデータ ソースに接続する方法について説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。

• データと潜在的な脅威を可視化する方法についての説明。
• Microsoft Sentinel を使用した脅威の検出の概要。
• ブックを使用してデータを監視する。