サポートコンソール開発者トライアルの開始お問い合わせ

第20章 Microsoft Sentinel 通知機能との統合

Microsoft Sentinel は、Red Hat Advanced Cluster Security for Kubernetes (RHACS) のアラートと監査ログに基づいて動作するセキュリティー情報およびイベント管理 (SIEM) ソリューションです。

20.1. ログ分析を表示して脅威を検出する

Microsoft Sentinel インテグレーションを作成することで、ログ分析を表示して脅威を検出できます。

前提条件

  • Microsoft Azure でデータ収集ルール、ログ分析ワークスペース、サービスプリンシパルを作成している。
  • 認証のために、サービスプリンシパルでクライアントシークレットまたはクライアント証明書を設定している。

  • JSON 形式の TimeGenerated フィールドと msg フィールドを使用して、ログ分析スキーマを作成している。

    重要

    監査ログとアラート用に個別のログ分析テーブルを作成する必要があり、両方のデータソースは同じスキーマを使用します。

    • スキーマを作成するには、次のコンテンツを Microsoft Sentinel にアップロードします。

      JSON の例

      {
 "TimeGenerated": "2024-09-03T10:56:58.5010069Z", 1
 "msg": {  2
   "id": "1abe30d1-fa3a-xxxx-xxxx-781f0a12228a", 3
   "policy" : {}
 }
}

      1
      アラートのタイムスタンプ。
      2
      メッセージの詳細が含まれます。
      3
      メッセージのペイロード (アラートまたは監査ログのいずれか)。

手順

  1. RHACS ポータルで、Platform Configuration Integrations をクリックします。
  2. Notifier Integrations セクションまで下にスクロールし、Microsoft Sentinel をクリックします。
  3. 新しいインテグレーションを作成するには、New integration をクリックします。

  4. Create integration ページで、次の情報を入力します。

    • Integration name: インテグレーションの名前を指定します。

    • Log ingestion endpoint: データ収集エンドポイントを入力します。エンドポイントは Microsoft Azure ポータルで確認できます。

      詳細は、Data collection rules (DCRs) in Azure Monitor (Microsoft Azure ドキュメント) を参照してください。

    • Directory tenant ID : Microsoft クラウドインフラストラクチャー内で Azure Active Directory (AAD) を一意に識別するテナント ID を入力します。テナント ID は、Microsoft Azure ポータルで確認できます。

      詳細は、Find tenant name and tenant ID in Azure Active Directory B2C (Microsoft Azure ドキュメント) を参照してください。

    • Application client ID: リソースへのアクセスが必要な AAD 内に登録されている特定のアプリケーションを一意に識別するクライアント ID を入力します。作成したサービスプリンシパルのクライアント ID は、Microsoft Entra ポータルで確認できます。

      詳細は、Register applications (Microsoft Azure ドキュメント) を参照してください。

    • 適切な認証方法を選択してください:

      • シークレットを使用する場合は、シークレットの値を入力します。シークレットは Microsoft Azure ポータルで確認できます。

      • クライアント証明書を使用する場合は、クライアント証明書と秘密鍵を入力します。証明書 ID と秘密鍵は、Microsoft Azure ポータルで確認できます。

        詳細は、The new App registrations experience for Azure Active Directory B2C (Microsoft Azure ドキュメント) を参照してください。

    • オプション: データ収集ルールの設定を設定するための適切な方法を選択します。

      • アラートデータ収集ルールの設定を有効にする場合は、Enable alert DCR チェックボックスを選択します。

        アラートデータ収集ルールを作成するには、アラートデータ収集ルールのストリーム名と ID を入力します。ストリーム名と ID は、Microsoft Azure ポータルで確認できます。

      • 監査データ収集ルールの設定を有効にする場合は、Enable audit log DCR チェックボックスを選択します。

        監査データ収集ルールを作成するには、ストリーム名と ID を入力します。ストリーム名と ID は、Microsoft Azure ポータルで確認できます。

        詳細は、Data collection rules (DCRs) in Azure Monitor (Microsoft Azure ドキュメント) を参照してください。

  5. オプション: 新しいインテグレーションをテストするには、Test をクリックします。
  6. 新しいインテグレーションを保存するには、Save をクリックします。

検証

  1. RHACS ポータルで、Platform Configuration Integrations をクリックします。
  2. Notifier Integrations セクションまで下にスクロールし、Microsoft Sentinel をクリックします。
  3. Integrations Microsoft Sentinel ページで、新しいインテグレーションが作成されたことを確認します。
  4. メッセージがログ分析ワークスペース内の正しいログテーブルを受信することを確認します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.