Azure Monitor ログは、Microsoft Sentinel のデータ プラットフォームとして機能します。 Microsoft Sentinel に取り込まれるすべてのログは Log Analytics ワークスペースに格納され、Kusto クエリ言語 (KQL) で記述されたログ クエリを使用して脅威を検出し、ネットワーク アクティビティを監視します。
Log Analytics を使用すると、カスタム データ インジェストとデータ 収集規則 (DCR) を使用してワークスペースに取り込まれるデータを高度に制御できます。 DCR を使用すると、ワークスペースに格納する前にデータを収集および操作できます。 DCR は、一意のログ形式を生成するデータ ソース用に、標準の Log Analytics テーブルとカスタマイズ可能なテーブルの両方にデータのフォーマットと送信の両方を行います。
Microsoft Sentinel でのカスタム データ インジェスト用の Azure Monitor ツール
Microsoft Sentinel では、次の Azure Monitor ツールを使用してカスタム データ インジェストを制御します。
変換 は DCR で定義され、KQL クエリは、ワークスペースに格納される前に受信データに適用されます。 その変換により、重要でないデータをフィルターで除外したり、分析や外部データで既存のデータをエンリッチしたり、機密または個人情報をマスクしたりすることができます。
Logs インジェスト API を使用すると、任意のデータ ソースから Log Analytics ワークスペースにカスタム形式のログを送信し、それらのログを特定の標準テーブルまたは作成したカスタム形式のテーブルに格納できます。 これらのカスタム テーブルの作成は、列名や型の指定に至るまですべて制御できます。 この API では、DCR を 使用して、これらのデータ フローの定義、構成、変換の適用を行います。
注
Microsoft Sentinel で有効になっている Log Analytics ワークスペースは、変換フィルターのデータ量に関係なく、Azure Monitor の フィルター インジェスト料金の対象になりません。 ただし、Microsoft Sentinel の変換には、Azure Monitor と同じ制限があります。 詳細については、「 制限事項と考慮事項」を参照してください。
Microsoft Sentinel での DCR のサポート
インジェスト時間変換は、Azure Monitor のデータ フローを制御する データ収集規則 (DCR) で定義されます。 DCR は、 ログ インジェスト API を使用して AMA ベースの Sentinel コネクタとワークフローによって使用されます。 各 DCR には特定のデータ収集シナリオの構成が含まれており、複数のコネクタまたはソースで 1 つの DCR を共有できます。
ワークスペース変換 DCR は、 それ以外の場合は DCR を使用しないワークフローをサポートします。 ワークスペース変換 DCR には 、サポートされているテーブル の変換が含まれており、そのテーブルに送信されるすべてのトラフィックに適用されます。
詳細については、以下を参照してください:
ユース ケースとサンプル シナリオ
Azure Monitor のサンプル変換に関する記事では、Azure Monitor でインジェスト時変換を使用する一般的なシナリオの説明とサンプル クエリについて説明します。 Microsoft Sentinel に特に役立つシナリオは次のとおりです。
データ コストを削減します。 データ収集を行または列でフィルター処理して、インジェストとストレージのコストを削減します。
データを正規化します。 高度なセキュリティ情報モデル (ASIM) を使用してログを正規化し、正規化されたクエリのパフォーマンスを向上させます。 詳細については、「取り込み時の正規化」を参照してください。
データをエンリッチする。 インジェスト時間変換を使用すると、構成された KQL 変換に追加された列を使用してデータをエンリッチすることで、分析を向上させることができます。 追加の列には、既存の列の解析されたデータや計算されたデータが含まれる場合があります。
機密データを削除します。 インジェスト時の変換を使用して、社会保障番号またはクレジット カード番号の最後の数字を除くすべてをマスクするなどの個人情報をマスクまたは削除できます。
Microsoft Sentinel のデータ インジェスト フロー
次の画像は、Microsoft Sentinel のデータ インジェスト フローに、インジェスト時のデータ変換が適用される部分を示したものです。 このデータは、標準テーブルまたは カスタム テーブルの特定のセットでサポートできます。
この画像は、Azure Monitor のデータ収集コンポーネントを表すクラウド パイプラインを示しています。 詳細については、Azure Monitor のデータ収集 規則 (DCR) の他のデータ収集シナリオと共に学習できます。
Microsoft Sentinel は、Log Analytics ワークスペース内のデータを複数のソースから収集します。
- ログ インジェスト API エンドポイントまたは Azure Monitor エージェント (AMA) から収集されたデータ は、インジェスト時間変換を含む特定の DCR によって処理されます。
- 組み込みのデータ コネクタからのデータ は、ハードコーディングされたワークフローとワークスペース DCR のインジェスト時間変換の組み合わせを使用して Log Analytics で処理されます。
次の表は、Microsoft Sentinel データ コネクタの種類ごとにサポートされる DCR を表したものです。
| データ コネクタの種類 | DCR のサポート |
|---|---|
|
次のような Azure Monitor エージェント (AMA) ログ。 |
1 つ以上の DCR がエージェントに関連付けられている |
| ログ インジェスト API を介した直接取り込み | API 呼び出しで指定された DCR |
|
組み込みの API ベース データ コネクタ (例): |
コネクタ用に作成された DCR |
| 診断設定ベースの接続 | サポートされている出力テーブルを使用したワークスペース変換 DCR |
|
組み込みの API ベース データ コネクタ (例): |
現在、サポートされていません |
|
組み込みのサービス間データ コネクタ (例): |
変換をサポートするテーブルのためのワークスペース変換 DCR |
関連するコンテンツ
詳細については、以下を参照してください: