Azure Sentinel でログ収集・分析基盤を構築してみた① ~Windows セキュリティイベントの収集~

 

はじめに

日商エレクトロニクスのAzure セキュリティ担当エンジニアの髙橋です。

今回は、Microsoft Azure のセキュリティ機能の一つである Azure Sentinel について解説していきます。

 

昨今、多くの企業が、ハイブリッドクラウド、マルチクラウドへ変化する中、クラウドサービスやオンプレミスの社内システムのログ管理・運用まで手が回らない、またアラートを監視し、それに対応するだけのスキルを持った人材がいない等、様々な問題があります。

 

一方で、SIEMを導入したいという希望は根強くお伺いしております。

 

そんな課題を解決するソリューションが Azure Sentinel です!

 

 

Azure Sentinel とは?

Microsoft Azure Sentinel は、スケーラブルでクラウドネイティブ型の セキュリティ情報イベント管理 (SIEM) および セキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Azure Sentinel は、高度なセキュリティ分析と脅威インテリジェンスを企業全体で実現し、アラートの検出、脅威の可視性、予防的な捜索、および脅威への対応のための 1 つのソリューションを提供します。

(Microsoftドキュメントより)

 

ログを一元管理し、分析、検知、自動対応までこなす素晴らしいツールですね。

さらにAzure Sentinel では以下の強みがあります。

 

<Azure Sentinel の強み>

  • クラウドを利用したリミットレスなスピードとスケール
  • Microsoft 365 / Azure とのシームレスな連携
  • AI を利用した脅威の検出・アラートの削減
  • ログ利用料に合わせた従量課金

 

複数のログからAIによる自動相関分析で、通常気づきにくい脅威を自動で検出する機能もあります。

 

この機会にぜひAzure Sentinel に触れてみてください!

 

今回のゴール

Azure Sentinel はSIEMの機能として大きく分け、ログの収集分析調査対応の4つの機能があります。

今回は、その中で、ログの収集を実施していきます。

Azure Sentinel で利用するログはLog Analytics ワークスペースに保管されます。

今回は Azure Sentinel/Log Analytics ワークスペースを作成し、作成したワークスペースに Windowsサーバーのセキュリティイベントを取り込んでいきます。

Azure Sentinel によるログ収集の全体像

Azure Sentinel によるログ収集の全体像

 

1. Azure Sentinel の作成

それでは早速、Azure Sentinel を作成していきましょう。

 

Azure ポータルの[リソースの作成] から「Azure Sentinel」を検索し、[作成]をクリックします。

Azure Sentinel

 

[追加]をクリックし、Azure Sentinel が利用するLog Analytics ワークスペースを追加します。

Log Analytics ワークスペース

 

利用しているLog Analytics ワークスペースがない場合、このタイミングで新しくワークスペースを作成します。

[新しいワークスペースの作成]をクリックします。

新しいワークスペースを作成

 

[サブスクリプション]、[リソースグループ]を選択し、任意の[名前]と[地域]を設定します。

最後に[確認および作成] > [作成]をクリックします。

Log Analyticsワークスペースの作成

 

作成したワークスペースを選択し、[追加]をクリックします。

Azure Sentinelの追加

 

2. Windows セキュリティイベントの接続

ログを収集するために、先ほど作成したワークスペースとWindowsサーバーを接続します。

 

それでは設定していきます。

 

Azure Sentinel のメニュー画面から、[データコネクタ] > [セキュリティイベント] > [コネクタページを開く]をクリックします。

Windowsサーバーの接続

 

構成から、ログを収集するためのLog Analytics エージェントをダウンロードし、インストールします。

Azure の仮想マシンの場合、直接エージェントのインストールが可能です。

今回は仮想マシンに対して、エージェントをインストールしていきます。

 

[Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする]をクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

Azure上の仮想マシンが表示されるので、対象の仮想マシンをクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

[接続]をクリックします。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

正常にインストールが完了すると、ワークスペースと仮想マシンが接続されます。

Azure Windows 仮想マシンのエージェントをダウンロードしてインストールする

 

続いて、収集するセキュリティイベントの種類を選択していきます。

セキュリティイベントの構成ページに戻り、[2.ストリーミングするイベントを選択する]から対象とするイベントを選択します。

今回は、すべてのイベントを収集してみたいと思います。

「すべてのイベント」を選択し、[変更の適用]をクリックします。

セキュリティイベントの種類を選択

3. Windows セキュリティイベントの確認

Windows サーバーの接続が完了すると、セキュリティイベントがワークスペースに送られます。

送られてきたログをAzure Sentinel から確認してみましょう。

※Azure Sentinel にログが表示されるまで約20分かかる場合があります。

 

Azure Sentinel から[ログ]をクリックします。

Azure Sentinelのログを表示

 

 

クエリを入力する画面で「SecurityEvent」を入力し、[実行]をクリックします。

Azure Sentinelのログを表示

 

接続したWindows サーバーからセキュリティイベントが収集できていることが確認できます。

Azure Sentinelのログを表示

 

さいごに

今回は、Azure Sentinel ワークスペースの作成、Log Analytics エージェントのインストール、クエリによるログの確認手順を解説しました。

 

クエリは、KQL(Kusto Query Language)と呼ばれるSQLでいうところのCRUDのうちRead動作だけを行なえる言語を使います。

KQLは、ログの検索だけでなく、分析ルール、レポートなど幅広く利用できるためマスターしておくと便利です。KQLについては、別の記事で紹介します。

 

次回は、収集したログを解析する分析ルールの設定を行いたいと思います。

 

\日商エレが提供する「Azure Sentinel」を活用したSIEM運用サービスはこちら/

「MSS for Azure Sentinel」概要資料
無償ダウンロードはこちら