Azure Event Hub フィードを作成する

以下でサポートされています。

このドキュメントでは、セキュリティ データを Google Security Operations に送信するように Azure Event Hub を設定する方法について説明します。アクティブなフィードと非アクティブなフィードを含め、最大 10 個の Azure Event Hub フィードを作成できます。

Azure フィードを設定するには、次のプロセスを完了します。

  1. Azure でイベントハブを作成する: セキュリティ データ ストリームを受信して保存するために、Azure 環境に必要なインフラストラクチャを設定します。

  2. Google SecOps でフィードを構成する: Google SecOps でフィードを構成して Azure イベントハブに接続し、データの取り込みを開始します。

Azure Event Hub を作成する

Azure でイベントハブを作成する手順は次のとおりです。

  1. イベント ハブ Namespace とイベント ハブを作成します。

    • 最適なデータ取り込みを確保するには、Google SecOps インスタンスと同じリージョンに Event Hub 名前空間をデプロイします。イベントハブを別のリージョンにデプロイすると、Google SecOps に取り込まれるスループットを削減できます。

    • 最適なスケーリングを行うには、パーティション数を 40 に設定します。

    • Google SecOps の割り当て上限によるデータ損失を防ぐため、イベントハブの保持期間を長く設定します。これにより、割り当ての調整後に取り込みが再開される前にログが削除されることがなくなります。イベントの保持と保持期間の制限の詳細については、イベントの保持をご覧ください。

    • Standard 階層のイベントハブの場合は、必要に応じてスループットを自動的にスケーリングするように、自動インフレートを有効にします。詳細については、Azure Event Hubs のスループット ユニットを自動的にスケールアップするをご覧ください。

    • Basic 階層と Standard 階層の場合、Azure Event Hub の 1 つのスループット ユニット(TU)は、最大 1 MB/秒のデータ取り込みをサポートします。受信イベントの量が構成された TU の容量を超えると、データ損失が発生する可能性があります。たとえば、5 個の TU を構成した場合、サポートされる最大取り込みレートは 1 秒あたり 5 MB です。イベントが 1 秒あたり 20 MB で送信されると、Event Hub がクラッシュする可能性があります。その結果、ログが Google SecOps に到達する前に Event Hub レベルで失われる可能性があります。

  2. Google SecOps が Azure イベントハブからデータを取り込むために必要なイベントハブ接続文字列を取得します。この接続文字列により、Google SecOps はイベントハブからセキュリティ データにアクセスして収集できるようになります。接続文字列を指定するには、次の 2 つの方法があります。

    • イベント ハブ名前空間レベル: 名前空間内のすべてのイベント ハブで機能します。複数のイベント ハブを使用しており、フィード設定ですべてのイベント ハブに同じ接続文字列を使用する場合は、このオプションがより簡単です。

    • イベントハブ レベル: 単一のイベントハブに適用されます。これは、1 つのイベント ハブにのみアクセス権を付与する必要がある場合に安全なオプションです。接続文字列の末尾から EntityPath を削除してください。

    たとえば、Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY> に変更します。

  3. Web アプリケーション ファイアウォールMicrosoft Defender などのアプリケーションを構成して、ログをイベントハブに送信します。

    Microsoft Defender ユーザー: Microsoft Defender ストリーミングを構成するときは、既存のイベント ハブ名を入力してください。このフィールドを空白のままにすると、システムが不要なイベントハブを作成し、限られたフィード割り当てを消費する可能性があります。整理された状態を保つため、ログタイプと一致するイベント ハブ名を使用します。

Azure フィードを構成する

Google SecOps で Azure フィードを構成する手順は次のとおりです。

  1. Google SecOps メニューで [SIEM 設定] を選択し、[フィード] をクリックします。

  2. [新しく追加] をクリックします。

  3. [フィード名] フィールドに、フィードの名前を入力します。

  4. [ソースタイプ] リストで、[Microsoft Azure Event Hub] を選択します。

  5. [ログタイプ] を選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework(OCSF)] を選択します。

  6. [次へ] をクリックします。[フィードを追加] ウィンドウが表示されます。

  7. Azure portal で以前に作成したイベントハブから情報を取得して、次のフィールドに入力します。

    • イベントハブ名: イベントハブ名

    • イベントハブ コンシューマー グループ: イベントハブに関連付けられているコンシューマー グループ

    • イベントハブ接続文字列: イベントハブ接続文字列

    • Azure ストレージ接続文字列: 省略可。Blob Storage の接続文字列

    • Azure ストレージ コンテナ名: 省略可。Blob Storage コンテナ名

    • Azure SAS トークン: 省略可。SAS トークン

    • アセットの名前空間: 省略可。アセットの名前空間

    • 取り込みラベル: 省略可。このフィードのイベントに適用されるラベル

  8. [次へ] をクリックします。[Finalize] 画面が表示されます。

  9. フィードの設定を確認し、[送信] をクリックします。

データフローを確認する

データが Google SecOps に流れ込み、イベントハブが正しく機能していることを確認するには、次のチェックを行います。

  • Google SecOps で、ダッシュボードを調べて、未加工ログのスキャンまたは統合データモデル(UDM)検索を使用して、取り込まれたデータが正しい形式で存在することを確認します。

  • Azure ポータルで、イベント ハブのページに移動し、送受信バイト数を表示するグラフを確認します。受信率と送信率がほぼ同じであることを確認します。これは、メッセージが処理されており、バックログがないことを示しています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。