Microsoft Azure Key Vault ロギングログを収集する

以下でサポートされています。

このドキュメントでは、Google Security Operations フィードを設定して Azure Key Vault のロギングログを収集する方法について説明します。

詳細については、Google SecOps へのデータの取り込みをご覧ください。

取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。このドキュメントの情報は、取り込みラベル AZURE_KEYVAULT_AUDI が付加されたパーサーに適用されます。

始める前に

次の前提条件を満たしていることを確認します。

  • ログインできる Azure サブスクリプション
  • Azure の Azure Key Vault 環境(テナント)
  • グローバル管理者または Azure Key Vault 管理者のロール
  • ログを保存する Azure ストレージ アカウント

ストレージ アカウントを構成する

  1. Azure ポータルにログインします。
  2. Azure コンソールで、[ストレージ アカウント] を検索します。

  3. ログの取得元となるストレージ アカウントを選択し、[アクセスキー] を選択します。新しいストレージ アカウントを作成する手順は次のとおりです。

    1. [作成] をクリックします。
    2. 新しいストレージ アカウントの名前を入力します。

    3. アカウントのサブスクリプション、リソース グループ、リージョン、パフォーマンス、冗長性を選択します。パフォーマンスを standard、冗長性を GRS または LRS に設定することをおすすめします。

    4. [Review + create] をクリックします。

    5. アカウントの概要を確認して、[作成] をクリックします。

  4. [キーを表示] をクリックし、ストレージ アカウントの共有キーをメモします。

  5. [エンドポイント] を選択し、Blob サービスのエンドポイントをメモしておきます。

    ストレージ アカウントの作成の詳細については、Microsoft ドキュメントAzure ストレージ アカウントを作成するをご覧ください。

Azure Key Vault のロギングを構成する

  1. Azure ポータルで、[Key vaults] に移動し、ロギング用に構成するキー コンテナーを選択します。
  2. [モニタリング] セクションで、[診断設定] を選択します。
  3. [診断設定を追加] を選択します。[診断設定] ウィンドウには、診断ログの設定が表示されます。
  4. [診断設定名] フィールドに、診断設定の名前を指定します。
  5. [カテゴリ グループ] セクションで、[監査] チェックボックスをオンにします。

  6. [保持期間(日数)] フィールドに、組織のポリシーに準拠するログ保持値を指定します。Google SecOps では、ログの保持期間を少なくとも 1 日にすることを推奨しています。

    Azure Key Vault のロギングログは、ストレージ アカウントに保存することも、Event Hubs にストリーミングすることもできます。Google SecOps は、ストレージ アカウントを使用したログ収集をサポートしています。

ストレージ アカウントにアーカイブする

  1. ログをストレージ アカウントに保存するには、[診断設定] ウィンドウで [ストレージ アカウントにアーカイブする] チェックボックスをオンにします。
  2. [サブスクリプション] リストで、既存のサブスクリプションを選択します。
  3. [ストレージ アカウント] リストで、既存のストレージ アカウントを選択します。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリ ポイントがあります。

  • [SIEM 設定] > [フィード]
  • [Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

  1. [SIEM Settings] > [Feeds] に移動します。
  2. [Add New Feed] をクリックします。
  3. 次のページで [単一のフィードを設定] をクリックします。
  4. [フィード名] フィールドに、フィードの名前を入力します(例: Azure Key Vault Logging Logs)。
  5. [ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
  6. [ログタイプ] として [Azure Key Vault Logging] を選択します。
  7. [次へ] をクリックします。
  8. 次の入力パラメータを構成します。
    • Azure URI: 先ほど取得した Blob Service エンドポイントと、そのストレージ アカウントのコンテナ名のいずれかを指定します。例: https://xyz.blob.core.windows.net/abc/
    • URI is a: URI オプションを指定します。
    • ソース削除オプション: ソース削除オプションを指定します。
    • キー: 前の手順で取得した共有キーを指定します。
  9. [次へ] をクリックしてから、[送信] をクリックします。

コンテンツ ハブからフィードを設定する

次のフィールドに値を指定します。

  • Azure URI: 先ほど取得した Blob サービス エンドポイントと、そのストレージ アカウントのコンテナ名のいずれかを指定します。例: https://xyz.blob.core.windows.net/abc/
  • URI is a: URI オプションを指定します。
  • ソース削除オプション: ソース削除オプションを指定します。
  • キー: 前の手順で取得した共有キーを指定します。

詳細オプション

  • フィード名: フィードを識別する事前入力された値。
  • ソースタイプ: Google SecOps にログを収集するために使用される方法。
  • アセットの名前空間: フィードに関連付けられた名前空間。
  • Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

Google SecOps フィードの詳細については、Google SecOps フィードのドキュメントをご覧ください。

各フィードタイプの要件については、タイプ別のフィード構成をご覧ください。

フィードの作成時に問題が発生した場合は、Google Security Operations サポートにお問い合わせください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。