このページは Cloud Translation API によって翻訳されました。

Microsoft Defender for Identity のログを収集する

以下でサポートされています。

Google SecOps SIEM

このドキュメントでは、Azure Storage を使用して Microsoft Defender for Identity のログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON ログを処理します。JSON 解析が失敗した場合は、CEF 形式のログを処理します。フィールドを抽出し、文字列変換、名前の変更、統合などのデータ変換を行い、統合データモデル（UDM）にマッピングします。さまざまなログ形式を処理し、ラベルや認証の詳細などの追加コンテキストでデータを拡充します。

始める前に

次の前提条件を満たしていることを確認してください。

Google SecOps インスタンス
アクティブな Azure テナント
Azure への特権アクセスと管理者セキュリティロール

Azure Storage アカウントを構成する

Azure コンソールで、[ストレージアカウント] を検索します。
[作成] をクリックします。
次の入力パラメータの値を指定します。
- Subscription: サブスクリプションを選択します。
- リソースグループ: リソースグループを選択します。
- リージョン: リージョンを選択します。
- パフォーマンス: パフォーマンスのタイプを選択します（標準が推奨されます）。
- 冗長性: 冗長性のタイプを選択します（GRS または LRS を推奨）。
- ストレージアカウント名: 新しいストレージアカウントの名前を入力します。
[Review + create] をクリックします。
アカウントの概要を確認して、[作成] をクリックします。
ストレージアカウントの [概要] ページで、[セキュリティ + ネットワーキング] のサブメニュー [アクセスキー] を選択します。
[key1] または [key2] の横にある [Show] をクリックします。
[クリップボードにコピー] をクリックして、キーをコピーします。
キーは、後で参照できるように安全な場所に保存してください。
ストレージアカウントの [概要] ページで、[設定] のサブメニュー [エンドポイント] を選択します。
[クリップボードにコピー] をクリックして、Blob サービス エンドポイント URL をコピーします。（例: https://<storageaccountname>.blob.core.windows.net）。
エンドポイント URL は、後で参照できるように安全な場所に保存します。
[概要] > [JSON ビュー] に移動します。
Storage のリソース ID をコピーして保存します。

Microsoft Defender for Identity のログエクスポートを構成する

特権アカウントを使用して Defender ポータルにサインインします。
[設定] に移動します。
[Microsoft Defender XDR] タブを選択します。
[全般] セクションで [Streaming API] を選択し、[追加] をクリックします。
[イベントを Azure Storage に転送する] を選択します。
次の構成の詳細を指定します。
- 名前: 一意でわかりやすい名前を入力します。
- [イベントを Azure Storage に転送する] を選択します。
- ストレージアカウントのリソース ID: 先ほどコピーした Azure Storage リソース ID を入力します。
- [イベントタイプ]: [アラートと動作] と [デバイス] の両方を選択します。
[送信] をクリックします。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM 設定] > [フィード] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: Defender Identity Logs）。
[ソースタイプ] で [Microsoft Azure Blob Storage] を選択します。
[Log type] として [Microsoft Defender for Identity] を選択します。
[次へ] をクリックします。
次の入力パラメータの値を指定します。
- Azure URI: BLOB エンドポイント URL。
  
  ENDPOINT_URL/BLOB_NAME
  
  次のように置き換えます。
  - ENDPOINT_URL: BLOB エンドポイントの URL。（https://<storageaccountname>.blob.core.windows.net）
  - BLOB_NAME: blob の名前。（insights-logs-<logname> など）
- URI is a: ログストリームの構成（[単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ]）に応じて選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: [転送されたファイルを削除する] オプションまたは [転送されたファイルと空のディレクトリを削除する] オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
- 共有キー: Azure Blob Storage へのアクセスキー。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Azure URI: BLOB エンドポイント URL。

ENDPOINT_URL/BLOB_NAME

次のように置き換えます。
- ENDPOINT_URL: BLOB エンドポイントの URL。（https://<storageaccountname>.blob.core.windows.net）
- BLOB_NAME: blob の名前。（insights-logs-<logname> など）
- URI is a: ログストリームの構成（[単一ファイル] | [ディレクトリ] | [サブディレクトリを含むディレクトリ]）に応じて選択します。
- Source deletion options: 必要に応じて削除オプションを選択します。
注: [転送されたファイルを削除する] オプションまたは [転送されたファイルと空のディレクトリを削除する] オプションを選択する場合は、サービスアカウントに適切な権限が付与されていることを確認してください。
共有キー: Azure Blob Storage へのアクセスキー。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。

UDM マッピングテーブル

ログフィールド	UDM マッピング	ロジック
`category`	`metadata.log_type`	未加工ログの `category` フィールドは `metadata.log_type` にマッピングされます。
`properties.AccountDisplayName`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AccountName`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AccountUpn`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.ActionType`	`metadata.product_event_type`	未加工ログの `properties.ActionType` フィールドは `metadata.product_event_type` にマッピングされます。
`properties.AdditionalFields.ACTOR.ACCOUNT`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.ACTOR.DEVICE`	`principal.asset.asset_id`	パーサーは `properties.AdditionalFields.ACTOR.DEVICE` の値を抽出し、`ASSET ID:` を先頭に追加します。
`properties.AdditionalFields.ACTOR.ENTITY_USER`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.Count`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.DestinationComputerDnsName`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.DestinationComputerObjectGuid`	`target.asset.product_object_id`	配列 `properties.AdditionalFields.DestinationComputerObjectGuid` の最初の要素は `target.asset.product_object_id` にマッピングされます。後続の要素は、`DestinationComputerObjectGuid_1`、`DestinationComputerObjectGuid_2` などのキーを持つ `additional.fields` にマッピングされます。
`properties.AdditionalFields.DestinationComputerOperatingSystem`	`target.asset.platform_software.platform_version`	配列 `properties.AdditionalFields.DestinationComputerOperatingSystem` の最初の要素は `target.asset.platform_software.platform_version` にマッピングされます。後続の要素は、`DestinationComputerOperatingSystem_1`、`DestinationComputerOperatingSystem_2` などのキーを持つ `additional.fields` にマッピングされます。
`properties.AdditionalFields.DestinationComputerOperatingSystemType`	`target.asset.platform_software.platform`	値が `windows` の場合、UDM フィールドは `WINDOWS` に設定されます。
`properties.AdditionalFields.DestinationComputerOperatingSystemVersion`	`target.platform_version`	配列 `properties.AdditionalFields.DestinationComputerOperatingSystemVersion` の最初の要素は `target.platform_version` にマッピングされます。後続の要素は、`DestinationComputerOperatingSystemVersion1`、`DestinationComputerOperatingSystemVersion2` などのキーを持つ `additional.fields` にマッピングされます。
`properties.AdditionalFields.FROM.DEVICE`	`principal.asset.asset_id`	パーサーは `properties.AdditionalFields.FROM.DEVICE` の値を抽出し、`ASSET ID:` を先頭に追加します。
`properties.AdditionalFields.KerberosDelegationType`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.SourceAccountId`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.SourceAccountSid`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.SourceComputerObjectGuid`	`principal.asset.product_object_id`	未加工ログの `properties.AdditionalFields.SourceComputerObjectGuid` フィールドは `principal.asset.product_object_id` にマッピングされます。
`properties.AdditionalFields.SourceComputerOperatingSystem`	`principal.asset.platform_software.platform_version`	未加工ログの `properties.AdditionalFields.SourceComputerOperatingSystem` フィールドは `principal.asset.platform_software.platform_version` にマッピングされます。
`properties.AdditionalFields.SourceComputerOperatingSystemType`	`principal.asset.platform_software.platform_version`	値が `windows` の場合、UDM フィールドは `WINDOWS` に設定されます。
`properties.AdditionalFields.SourceComputerOperatingSystemVersion`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.Spns`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.TARGET_OBJECT.ENTITY_USER`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.AdditionalFields.TARGET_OBJECT.USER`	`target.user.userid`	配列 `properties.AdditionalFields.TARGET_OBJECT.USER` の最初の要素は `target.user.userid` にマッピングされます。後続の要素は、`TARGET_OBJECT.USER_1`、`TARGET_OBJECT.USER_2` などのキーを持つ `additional.fields` にマッピングされます。
`properties.AdditionalFields.TO.DEVICE`	`target.asset.asset_id`	配列 `properties.AdditionalFields.TO.DEVICE` の最初の要素は、`ASSET ID:` が付加された `target.asset.asset_id` にマッピングされます。後続の要素は、`TODEVICE1`、`TODEVICE2` などのキーを持つ `additional.fields` にマッピングされます。
`properties.AuthenticationDetails`	`extensions.auth.auth_details`	パーサーは、値から中かっこ、角かっこ、二重引用符を削除し、`AuthenticationDetails:` を先頭に追加します。
`properties.DeliveryAction`	`additional.fields`	キー `DeliveryAction` でマッピングされます。
`properties.DeliveryLocation`	`additional.fields`	キー `DeliveryLocation` でマッピングされます。
`properties.DestinationDeviceName`	`target.hostname`、`target.asset.hostname`	未加工ログの `properties.DestinationDeviceName` フィールドは `target.hostname` と `target.asset.hostname` の両方にマッピングされます。
`properties.DestinationIPAddress`	`target.ip`、`target.asset.ip`	未加工ログの `properties.DestinationIPAddress` フィールドは `target.ip` と `target.asset.ip` の両方にマッピングされます。
`properties.DestinationPort`	`target.port`	未加工ログの `properties.DestinationPort` フィールドは `target.port` にマッピングされます。
`properties.DeviceName`	`principal.hostname`、`principal.asset.hostname`	未加工ログの `properties.DeviceName` フィールドは `principal.hostname` と `principal.asset.hostname` の両方にマッピングされます。
`properties.EmailClusterId`	`additional.fields`	キー `EmailClusterId` でマッピングされます。
`properties.EmailDirection`	`network.direction`	値が `Inbound` の場合、UDM フィールドは `INBOUND` に設定されます。値が `Outbound` の場合、UDM フィールドは `OUTBOUND` に設定されます。それ以外の場合は `UNKNOWN_DIRECTION` に設定されます。
`properties.EmailLanguage`	`additional.fields`	キー `EmailLanguage` でマッピングされます。
`properties.InitiatingProcessAccountDomain`	`principal.administrative_domain`	未加工ログの `properties.InitiatingProcessAccountDomain` フィールドは `principal.administrative_domain` にマッピングされます。
`properties.InitiatingProcessAccountSid`	`principal.user.windows_sid`	未加工ログの `properties.InitiatingProcessAccountSid` フィールドは `principal.user.windows_sid` にマッピングされます。
`properties.InitiatingProcessCommandLine`	`principal.process.command_line`	未加工ログの `properties.InitiatingProcessCommandLine` フィールドは `principal.process.command_line` にマッピングされます。
`properties.InitiatingProcessFileName`	`principal.process.file.full_path`	`properties.InitiatingProcessFolderPath` と組み合わせてフルパスを構築するために使用されます。`properties.InitiatingProcessFolderPath` にファイル名がすでに含まれている場合は、それが直接使用されます。
`properties.InitiatingProcessFolderPath`	`principal.process.file.full_path`	`properties.InitiatingProcessFileName` と組み合わせてフルパスを構築するために使用されます。
`properties.InitiatingProcessId`	`principal.process.pid`	未加工ログの `properties.InitiatingProcessId` フィールドは `principal.process.pid` にマッピングされます。
`properties.InitiatingProcessIntegrityLevel`	`about.labels`	キー `InitiatingProcessIntegrityLevel` でマッピングされます。
`properties.InitiatingProcessMD5`	`principal.process.file.md5`	未加工ログの `properties.InitiatingProcessMD5` フィールドは `principal.process.file.md5` にマッピングされます。
`properties.InitiatingProcessParentId`	`principal.process.parent_process.pid`	未加工ログの `properties.InitiatingProcessParentId` フィールドは `principal.process.parent_process.pid` にマッピングされます。
`properties.InitiatingProcessParentFileName`	`principal.process.parent_process.file.full_path`	未加工ログの `properties.InitiatingProcessParentFileName` フィールドは `principal.process.parent_process.file.full_path` にマッピングされます。
`properties.InitiatingProcessSHA1`	`principal.process.file.sha1`	未加工ログの `properties.InitiatingProcessSHA1` フィールドは `principal.process.file.sha1` にマッピングされます。
`properties.InitiatingProcessSHA256`	`principal.process.file.sha256`	未加工ログの `properties.InitiatingProcessSHA256` フィールドは `principal.process.file.sha256` にマッピングされます。
`properties.InitiatingProcessTokenElevation`	`about.labels`	キー `InitiatingProcessTokenElevation` でマッピングされます。
`properties.InternetMessageId`	`additional.fields`	パーサーは山かっこを削除し、キー `InternetMessageId` を持つ値をマッピングします。
`properties.IPAddress`	`principal.ip`、`principal.asset.ip`	未加工ログの `properties.IPAddress` フィールドは `principal.ip` と `principal.asset.ip` の両方にマッピングされます。
`properties.LogonType`	`extensions.auth.mechanism`	`extensions.auth.mechanism` の値の導出に使用されます。
`properties.Port`	`principal.port`	未加工ログの `properties.Port` フィールドは `principal.port` にマッピングされます。
`properties.PreviousRegistryKey`	`src.registry.registry_key`	未加工ログの `properties.PreviousRegistryKey` フィールドは `src.registry.registry_key` にマッピングされます。
`properties.PreviousRegistryValueData`	`src.registry.registry_value_data`	未加工ログの `properties.PreviousRegistryValueData` フィールドは `src.registry.registry_value_data` にマッピングされます。
`properties.PreviousRegistryValueName`	`src.registry.registry_value_name`	未加工ログの `properties.PreviousRegistryValueName` フィールドは `src.registry.registry_value_name` にマッピングされます。
`properties.Query`	`principal.user.attribute.labels`	キー `LDAP Search Scope` でマッピングされます。
`properties.RecipientEmailAddress`	マッピングされません	このフィールドは、UDM の IDM オブジェクトにマッピングされません。
`properties.RegistryKey`	`target.registry.registry_key`	未加工ログの `properties.RegistryKey` フィールドは `target.registry.registry_key` にマッピングされます。
`properties.RegistryValueData`	`target.registry.registry_value_data`	未加工ログの `properties.RegistryValueData` フィールドは `target.registry.registry_value_data` にマッピングされます。
`properties.RegistryValueName`	`target.registry.registry_value_name`	未加工ログの `properties.RegistryValueName` フィールドは `target.registry.registry_value_name` にマッピングされます。
`properties.ReportId`	`about.labels`	キー `ReportId` でマッピングされます。
`properties.SenderIPv4`	`principal.ip`、`principal.asset.ip`	未加工ログの `properties.SenderIPv4` フィールドは `principal.ip` と `principal.asset.ip` の両方にマッピングされます。
`properties.SenderMailFromAddress`	`principal.user.attribute.labels`	キー `SenderMailFromAddress` でマッピングされます。
`properties.SenderMailFromDomain`	`principal.user.attribute.labels`	キー `SenderMailFromDomain` でマッピングされます。
`properties.SenderObjectId`	`principal.user.product_object_id`	未加工ログの `properties.SenderObjectId` フィールドは `principal.user.product_object_id` にマッピングされます。
`properties.Timestamp`	`metadata.event_timestamp`	未加工ログの `properties.Timestamp` フィールドは `metadata.event_timestamp` にマッピングされます。
`tenantId`	`observer.cloud.project.id`	未加工ログの `tenantId` フィールドは `observer.cloud.project.id` にマッピングされます。
なし	`extensions.auth.type`	値 `MACHINE` はパーサーによって割り当てられます。
なし	`metadata.event_type`	`category` フィールドと `properties.ActionType` フィールドに基づいて導出されます。`USER_LOGIN`、`USER_RESOURCE_ACCESS`、`USER_CHANGE_PASSWORD`、`REGISTRY_MODIFICATION`、`REGISTRY_DELETION`、`REGISTRY_CREATION`、`GENERIC_EVENT`、`STATUS_UPDATE` のいずれかです。
なし	`metadata.vendor_name`	値 `Microsoft` はパーサーによって割り当てられます。
なし	`metadata.product_name`	値 `Microsoft Defender Identity` はパーサーによって割り当てられます。
`cs1`	`metadata.url_back_to_product`	未加工ログの `cs1` フィールドは `metadata.url_back_to_product` にマッピングされます。
`externalId`	`metadata.product_log_id`	未加工ログの `externalId` フィールドは `metadata.product_log_id` にマッピングされます。
`msg`	`metadata.description`	未加工ログの `msg` フィールドは `metadata.description` にマッピングされます。
`rule_name`	`security_result.rule_name`	未加工ログの `rule_name` フィールドは `security_result.rule_name` にマッピングされます。
`severity`	`security_result.severity`	未加工ログの `severity` フィールドは `security_result.severity` にマッピングされます。
`shost`	`principal.hostname`、`principal.asset.hostname`	未加工ログの `shost` フィールドは `principal.hostname` と `principal.asset.hostname` の両方にマッピングされます。
`src`	`principal.ip`	未加工ログの `src` フィールドは `principal.ip` にマッピングされます。
`suser`	`principal.user.user_display_name`	未加工ログの `suser` フィールドは `principal.user.user_display_name` にマッピングされます。
`time`	`metadata.event_timestamp`	未加工ログの `time` フィールドは `metadata.event_timestamp` にマッピングされます。
`userid`	`principal.user.userid`	未加工ログの `userid` フィールドは `principal.user.userid` にマッピングされます。
なし	`security_result.action`	`properties.ActionType` フィールドに基づいて導出されます。`ALLOW` または `BLOCK` のいずれかです。
なし	`security_result.summary`	`category` フィールドまたは `properties.ActionType` フィールドから取得されます。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。