Microsoft Azure アクティビティ ログを取り込む
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Microsoft Azure アクティビティ ログ(AZURE_ACTIVITY)を Google Security Operations に取り込むために必要な手順について説明します。
ストレージ アカウントを構成する
ストレージ アカウントを構成するには、次の手順を完了します。
- Azure コンソールで、[ストレージ アカウント] を検索します。
- [作成] をクリックします。
- アカウントに必要なサブスクリプション、リソース グループ、リージョン、パフォーマンス(標準を推奨)、冗長性(GRS または LRS を推奨)を選択し、新しいストレージ アカウントの名前を入力します。
- [確認 + 作成] をクリックし、アカウントの概要を確認して、[作成] をクリックします。
- [ストレージ アカウントの概要] ページで、ウィンドウの左側のナビゲーションから [アクセスキー] を選択します。
- [キーを表示] をクリックし、ストレージ アカウントの共有キーをメモします。
- ウィンドウの左側のナビゲーションから [エンドポイント] を選択します。
- Blob サービスのエンドポイントをメモしておきます(https://<storageaccountname>.blob.core.windows.net/)。
Azure アクティビティ ログを構成する
次の手順に沿って、Azure アクティビティ ログを構成します。
- Azure コンソールで、[モニタリング] を検索します。
- ページの左側のナビゲーションで [アクティビティ ログ] リンクをクリックします。
- ウィンドウの上部にある [アクティビティ ログをエクスポート] をクリックします。
- [診断設定を追加] をクリックします。
- Google SecOps にエクスポートするカテゴリをすべて選択します。
- [宛先の詳細] で、[ストレージ アカウントにアーカイブする] を選択します。
- 前のステップで作成したサブスクリプションとストレージ アカウントを選択します。
- [Save] をクリックします。
Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。
- [SIEM 設定] > [フィード]
- [Content Hub] > [Content Packs]
[SIEM 設定] > [フィード] でフィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM Settings] > [Feeds] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一のフィードを設定] をクリックします。
- [Field Name] に一意の名前を入力します。
- [ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
- [ログタイプ] として [Microsoft Azure Activity] を選択します。
- [次へ] をクリックします。
- 次の必須入力パラメータを構成します。
- Azure URI: 先ほど記録した Blob Service エンドポイントの値を入力し、末尾に insights-activity-logs を入力します(例: https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)。
- URI is a: [サブディレクトリを含むディレクトリ] を選択します。
- ソース削除オプション: 転送後にファイルとディレクトリを削除するかどうかを指定します。
- [共有キー] に、以前に記録した共有キーの値を入力します。
- [次へ] をクリックしてから、[送信] をクリックします。
コンテンツ ハブからフィードを設定する
次のフィールドに値を指定します。
- Azure URI: 先ほど記録した Blob Service エンドポイントの値を入力し、末尾に insights-activity-logs を入力します(例: https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs)。
- URI is a: [サブディレクトリを含むディレクトリ] を選択します。
- ソース削除オプション: 転送後にファイルとディレクトリを削除するかどうかを指定します。
- [共有キー] に、以前に記録した共有キーの値を入力します。
詳細オプション
- フィード名: フィードを識別する事前入力された値。
- ソースタイプ: Google SecOps にログを収集するために使用される方法。
- アセットの名前空間: フィードに関連付けられた名前空間。
- Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
フィールド マッピング リファレンス
このパーサー コードは、まず多数のフィールドを空の文字列に初期化してから、一連の文字列操作と JSON 解析オペレーションを実行して Azure アクティビティ ログ メッセージから関連情報を抽出します。最後に、抽出されたデータを統合データモデル(UDM)フィールドにマッピングし、イベントタイプを分類し、重大度、プリンシパル情報、ネットワーク データなどの詳細情報を追加します。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | 論理 |
|---|---|---|
| カテゴリ | read_only_udm.security_result.category_details |
未加工ログの「category」フィールドから直接マッピングされます。 |
| callerIpAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
未加工ログの「callerIpAddress」フィールドから直接マッピングされます。 |
| correlationId | read_only_udm.security_result.detection_fields.correlationId |
未加工ログの「correlationId」フィールドから直接マッピングされます。 |
| data.callerIpAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
未加工ログの「data」オブジェクト内の「callerIpAddress」フィールドから直接マッピングされます。 |
| data.correlationId | read_only_udm.security_result.detection_fields.correlationId |
未加工ログの「data」オブジェクト内の「correlationId」フィールドから直接マッピングされます。 |
| data.DeploymentUnit | read_only_udm.target.resource.name |
未加工ログの「data」オブジェクト内の「DeploymentUnit」フィールドから直接マッピングされます。 |
| data.details | read_only_udm.metadata.description |
未加工ログの「data」オブジェクト内の「details」フィールドから直接マッピングされます(「details」フィールドが「Unknown」でない場合のみ)。 |
| data.entity | read_only_udm.additional.fields.entity |
未加工ログの「data」オブジェクト内の「entity」フィールドから直接マッピングされます。 |
| data.EventName | read_only_udm.metadata.product_event_type |
未加工ログの「data」オブジェクト内の「EventName」フィールドから直接マッピングされます。 |
| data.hierarchy | read_only_udm.additional.fields.hierarchy |
未加工ログの「data」オブジェクト内の「hierarchy」フィールドから直接マッピングされます。 |
| data.identity.authorization.action | read_only_udm.security_result.detection_fields.action |
未加工ログの「identity」オブジェクトの「authorization」オブジェクト内の「action」フィールドから直接マッピングされます。 |
| data.identity.authorization.evidence.principalId | read_only_udm.principal.user.product_object_id、read_only_udm.principal.resource.product_object_id、read_only_udm.principal.group.product_object_id |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「principalId」フィールドから直接マッピングされます。どの UDM フィールドにマッピングされるかは、「principalType」フィールドの値によって異なります。「principalType」が「User」または「ServicePrincipal」の場合、principal.user.product_object_id にマッピングされます。「principalType」が「Group」の場合、principal.group.product_object_id にマッピングされます。「principalType」が「ServicePrincipal」の場合、principal.resource.product_object_id にマッピングされます。 |
| data.identity.authorization.evidence.principalType | read_only_udm.principal.resource.resource_subtype |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「principalType」フィールドから直接マッピングされます。 |
| data.identity.authorization.evidence.role | read_only_udm.principal.user.role_name |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「role」フィールドから直接マッピングされます。 |
| data.identity.authorization.evidence.roleAssignmentId | read_only_udm.principal.resource.attribute.labels.roleAssignmentId |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleAssignmentId」フィールドから直接マッピングされます。 |
| data.identity.authorization.evidence.roleAssignmentScope | read_only_udm.principal.resource.attribute.labels.roleAssignmentScope |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleAssignmentScope」フィールドから直接マッピングされます。 |
| data.identity.authorization.evidence.roleDefinitionId | read_only_udm.principal.resource.attribute.labels.roleDefinitionId |
未加工ログの「identity」オブジェクトの「authorization」オブジェクトの「evidence」オブジェクト内の「roleDefinitionId」フィールドから直接マッピングされます。 |
| data.identity.authorization.scope | read_only_udm.security_result.detection_fields.scope |
未加工ログの「identity」オブジェクトの「authorization」オブジェクト内の「scope」フィールドから直接マッピングされます。 |
| data.identity.claims.aio | read_only_udm.security_result.detection_fields.aio |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「aio」フィールドから直接マッピングされます。 |
| data.identity.claims.appid | read_only_udm.security_result.detection_fields.appid |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「appid」フィールドから直接マッピングされます。 |
| data.identity.claims.appidacr | read_only_udm.security_result.detection_fields.appidacr |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「appidacr」フィールドから直接マッピングされます。 |
| data.identity.claims.aud | read_only_udm.security_result.detection_fields.aud |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「aud」フィールドから直接マッピングされます。 |
| data.identity.claims.exp | read_only_udm.security_result.detection_fields.exp |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「exp」フィールドから直接マッピングされます。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/identityprovider |
read_only_udm.security_result.detection_fields.identityprovider |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/identityprovider」フィールドから直接マッピングされます。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/objectidentifier |
read_only_udm.security_result.detection_fields.objectidentifier |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/objectidentifier」フィールドから直接マッピングされます。 |
data.identity.claims.http://schemas.microsoft.com/identity/claims/tenantid |
read_only_udm.security_result.detection_fields.tenantid |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.microsoft.com/identity/claims/tenantid」フィールドから直接マッピングされます。 |
data.identity.claims.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
read_only_udm.security_result.detection_fields.nameidentifier |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier」フィールドから直接マッピングされます。 |
| data.identity.claims.iat | read_only_udm.security_result.detection_fields.iat |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「iat」フィールドから直接マッピングされます。 |
| data.identity.claims.iss | read_only_udm.security_result.detection_fields.iss |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「iss」フィールドから直接マッピングされます。 |
| data.identity.claims.nbf | read_only_udm.security_result.detection_fields.nbf |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「nbf」フィールドから直接マッピングされます。 |
| data.identity.claims.rh | read_only_udm.security_result.detection_fields.rh |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「rh」フィールドから直接マッピングされます。 |
| data.identity.claims.uti | read_only_udm.security_result.detection_fields.uti |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「uti」フィールドから直接マッピングされます。 |
| data.identity.claims.ver | read_only_udm.security_result.detection_fields.ver |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「ver」フィールドから直接マッピングされます。 |
| data.identity.claims.xms_tcdt | read_only_udm.security_result.detection_fields.xms_tcdt |
未加工ログの「identity」オブジェクトの「claims」オブジェクト内の「xms_tcdt」フィールドから直接マッピングされます。 |
| data.identity.UserName | read_only_udm.principal.user.user_display_name |
未加工ログの「identity」オブジェクト内の「UserName」フィールドから直接マッピングされます。 |
| data.level | read_only_udm.security_result.severity、read_only_udm.security_result.severity_details |
未加工ログの「data」オブジェクト内の「level」フィールドから直接マッピングされます。「level」フィールドは、severity フィールドの値を決定するためにも使用されます。「level」が「Information」または「Informational」の場合、severity は「INFORMATIONAL」に設定されます。「level」が「Warning」の場合、severity は「MEDIUM」に設定されます。「level」が「Error」の場合、severity は「ERROR」に設定されます。「level」が「Critical」の場合、severity は「CRITICAL」に設定されます。 |
| data.location | read_only_udm.target.location.name |
未加工ログの「data」オブジェクト内の「location」フィールドから直接マッピングされます。 |
| data.operationName | read_only_udm.metadata.product_event_type |
未加工ログの「data」オブジェクト内の「operationName」フィールドから直接マッピングされます。 |
| data.properties.EventChannel | read_only_udm.additional.fields.properties EventChannel |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventChannel」フィールドから直接マッピングされます。 |
| data.properties.EventSource | read_only_udm.additional.fields.properties EventSource |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventSource」フィールドから直接マッピングされます。 |
| data.properties.EventId | read_only_udm.metadata.product_log_id |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「EventId」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.cause | read_only_udm.security_result.detection_fields.cause |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「cause」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.clientIPAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「clientIPAddress」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.compromisedHost | read_only_udm.principal.asset.hostname、read_only_udm.principal.hostname |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「compromisedHost」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.currentHealthStatus | read_only_udm.security_result.detection_fields.currentHealthStatus |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「currentHealthStatus」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.previousHealthStatus | read_only_udm.security_result.detection_fields.previousHealthStatus |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「previousHealthStatus」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.type | read_only_udm.security_result.detection_fields.type |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「type」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.User | read_only_udm.principal.user.userid |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「User」フィールドから直接マッピングされます。 |
| data.properties.eventProperties.userName | read_only_udm.principal.user.user_display_name |
未加工ログの「data」オブジェクトの「properties」オブジェクトの「eventProperties」オブジェクト内の「userName」フィールドから直接マッピングされます(「SECURE\」接頭辞を削除した後)。 |
| data.properties.ipAddress | read_only_udm.principal.asset.ip、read_only_udm.principal.ip |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「ipAddress」フィールドから直接マッピングされます。 |
| data.properties.legacyChannels | read_only_udm.security_result.detection_fields.legacyChannels |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyChannels」フィールドから直接マッピングされます。 |
| data.properties.legacyEventDataId | read_only_udm.security_result.detection_fields.legacyEventDataId |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyEventDataId」フィールドから直接マッピングされます。 |
| data.properties.legacyResourceId | read_only_udm.security_result.detection_fields.legacyResourceId |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceId」フィールドから直接マッピングされます。 |
| data.properties.legacyResourceGroup | read_only_udm.security_result.detection_fields.legacyResourceGroup |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceGroup」フィールドから直接マッピングされます。 |
| data.properties.legacyResourceProviderName | read_only_udm.security_result.detection_fields.legacyResourceProviderName |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceProviderName」フィールドから直接マッピングされます。 |
| data.properties.legacyResourceType | read_only_udm.security_result.detection_fields.legacyResourceType |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacyResourceType」フィールドから直接マッピングされます。 |
| data.properties.legacySubscriptionId | read_only_udm.security_result.detection_fields.legacySubscriptionId |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「legacySubscriptionId」フィールドから直接マッピングされます。 |
| data.properties.operationId | read_only_udm.security_result.detection_fields.operationId |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「operationId」フィールドから直接マッピングされます。 |
| data.properties.result | read_only_udm.security_result.action_details |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「result」フィールドから直接マッピングされます。 |
| data.properties.statusCode | read_only_udm.network.http.response_code |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「statusCode」フィールドから直接マッピングされます。 |
| data.properties.suspiciousCommandLine | read_only_udm.target.process.command_line |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousCommandLine」フィールドから直接マッピングされます。 |
| data.properties.suspiciousProcess | read_only_udm.target.process.file.full_path |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousProcess」フィールドから直接マッピングされます。 |
| data.properties.suspiciousProcessId | read_only_udm.target.process.pid |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「suspiciousProcessId」フィールドから直接マッピングされます。 |
| data.properties.tlsVersion | read_only_udm.network.tls.version |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「tlsVersion」フィールドから直接マッピングされます。 |
| data.properties.userAgent | read_only_udm.network.http.user_agent、read_only_udm.network.http.parsed_user_agent |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userAgent」フィールドから直接マッピングされます。 |
| data.properties.userAgentHeader | read_only_udm.network.http.user_agent、read_only_udm.network.http.parsed_user_agent |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userAgentHeader」フィールドから直接マッピングされます。 |
| data.properties.userId | read_only_udm.target.user.product_object_id |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「userId」フィールドから直接マッピングされます。 |
| data.ReleaseVersion | read_only_udm.metadata.product_version |
未加工ログの「data」オブジェクト内の「ReleaseVersion」フィールドから直接マッピングされます。 |
| data.resourceId | read_only_udm.target.resource.name |
未加工ログの「data」オブジェクト内の「resourceId」フィールドから直接マッピングされます。 |
| data.resourceType | read_only_udm.additional.fields.resourceType |
未加工ログの「data」オブジェクト内の「resourceType」フィールドから直接マッピングされます。 |
| data.resultDescription | read_only_udm.metadata.description |
未加工ログの「data」オブジェクト内の「resultDescription」フィールドから直接マッピングされます。 |
| data.resultSignature | read_only_udm.additional.fields.resultSignature |
未加工ログの「data」オブジェクト内の「resultSignature」フィールドから直接マッピングされます。 |
| data.resultType | read_only_udm.security_result.action_details、read_only_udm.additional.fields.resultType |
未加工ログの「data」オブジェクト内の「resultType」フィールドから直接マッピングされます。 |
| data.RoleLocation | read_only_udm.target.location.name |
未加工ログの「data」オブジェクト内の「RoleLocation」フィールドから直接マッピングされます。 |
| data.time | read_only_udm.metadata.event_timestamp |
未加工ログの「data」オブジェクト内の「time」フィールドが解析されてタイムスタンプが抽出され、このタイムスタンプが event_timestamp にマッピングされます。 |
| data.uri | read_only_udm.network.http.referral_url |
未加工ログの「data」オブジェクト内の「uri」フィールドから直接マッピングされます。 |
read_only_udm.extensions.auth.mechanism |
INTERACTIVE |
未加工ログの「data」オブジェクトの「properties」オブジェクト内の「isInteractive」フィールドが「true」の場合は、「INTERACTIVE」に設定されます。それ以外の場合は、「MECHANISM_OTHER」に設定されます。 |
read_only_udm.extensions.auth.type |
MACHINE |
未加工ログの「category」フィールドが「NonInteractiveUserSignInLogs」、「ManagedIdentitySignInLogs」、または「ServicePrincipalSignInLogs」の場合は「MACHINE」に設定されます。 |
read_only_udm.metadata.log_type |
AZURE_ACTIVITY |
「AZURE_ACTIVITY」にハードコードされています。 |
read_only_udm.metadata.vendor_name |
Microsoft |
「Microsoft」にハードコードされています。 |
read_only_udm.principal.platform |
WINDOWS、MAC、LINUX、ANDROID |
「properties.test.deviceDetail.operatingSystem」フィールドの値に基づいて決定されます。「Win」が含まれている場合、platform は「WINDOWS」に設定されます。「Mac」が含まれている場合、platform は「MAC」に設定されます。「Lin」が含まれている場合、platform は「LINUX」に設定されます。「Android」が含まれている場合は、platform は「ANDROID」に設定されます。 |
read_only_udm.principal.resource.type |
SERVICE_ACCOUNT、UNSPECIFIED |
「identity.authorization.evidence.principalType」フィールドの値に基づいて決定されます。「ServicePrincipal」の場合、type は「SERVICE_ACCOUNT」に設定されます。それ以外の場合は、「UNSPECIFIED」に設定されます。 |
read_only_udm.security_result.action |
ALLOW、BLOCK、UNKNOWN_ACTION |
「resultType」、「status_errorcode」、「statusText」フィールドの値に基づいて決定されます。「resultType」が「Success」、「success」、「Succeeded」、「Started」、「Resolved」、「Active」、「Updated」、「Start」、「Accept」、「Accepted」、「0」のいずれかの場合、または「status_errorcode」が 0 の場合、または「statusText」が「Success」の場合、action は「ALLOW」に設定されます。「resultType」が「Failure」または「Failed」のいずれかである場合、または「status_errorcode」が空でない場合、または「resultType」が空でない場合、action は「BLOCK」に設定されます。それ以外の場合は、「UNKNOWN_ACTION」に設定されます。 |
read_only_udm.target.cloud.environment |
MICROSOFT_AZURE |
「MICROSOFT_AZURE」にハードコードされています。 |