Azure Security Center のアラートを SIEM ソリューションに統合

執筆者: Miri Landau (Senior Program Manager, Azure Security Center)

このポストは、2018 年 1 月 31 日に投稿された Integrate Azure Security Center alerts into SIEM solutions の翻訳です。

お客様からの「Azure Security Center のアラートを SIEM ソリューションに表示して、全社的なセキュリティ ポスチャを一元的に監視したい」というご要望にお応えして、このたび新たに SIEM Export のパブリック プレビューをリリースします。これは、Azure Security Center のアラートを Splunk や IBM QRadar などの主要な SIEM ソリューションにエクスポートする機能で、マイクロソフトでは引き続きサポート対象のパートナーの拡大を進めています。この機能は、クラウドとオンプレミスのワークロードのセキュリティ管理を統合する取り組みの一環として実装されます。

Security Center では、さまざまな検出機能を駆使し、お客様の環境に対する潜在的な脅威を検知してアラートを生成します。これにより、アラートの原因、環境内の標的、攻撃元、修復手順などの情報を参照することができます。また、環境内の特定のニーズに対するカスタム アラートを柔軟に設定することも可能です。

Security Center のアラートを取得して社内の SIEM ソリューションに統合することができれば、注意すべきポイントを単一の管理ビューで確認して、すばやく対処できるようになります。

Azure Security Center のアラートをパートナーの SIEM ソリューションで参照できるようにするには、Azure Monitor と Event Hub を準備する必要があります。Azure Security Center のアラートは、Azure Monitor で参照可能なアクティビティ ログという種類のログに発行されます。このログは、Azure Monitor から Azure 監視用の単一パイプラインを通じて Event Hub にエクスポートされます。SIEM サーバーにパートナーの SIEM コネクタをインストールしておけば、ログが Event Hub から SIEM ソリューションにストリーミングされるようになります。

図 1: パイプラインの概要

図 2: Splunk に表示された Azure Security Center のアラート

今回のパブリック プレビュー版では、お客様の声を反映してセキュリティ アラートを優先的にリリースしています。今後は、セキュリティに関する推奨事項を提供するデータ セットを拡充してまいります。

Azure Security Center のアラートを SIEM ソリューションに統合する方法については、こちらのドキュメント (英語) を参照してください。

ご意見やお問い合わせは、ASC_SIEM@microsoft.com までお寄せください。

この機能は、Standard サービス レベルの Azure Security Center で提供されます。ぜひお客様の SIEM ソリューションで Azure Security Center のアラートをお試しください。