Azure Event Hub フィードを作成する

以下でサポートされています。

このドキュメントでは、Azure Event Hub フィードを設定してセキュリティ データを Google Security Operations に取り込むプロセスについて説明します。アクティブ フィードと無効なフィードの両方を含め、最大 10 個の Azure Event Hub フィードを作成できます。Azure フィードを設定するには、次の手順を完了します。

  1. Azure で Event Hub を作成する: セキュリティ データ ストリームを受信して保存するために、Azure 環境に必要なインフラストラクチャを設定します。

  2. Google SecOps でフィードを構成する: Azure Event Hub に接続してデータの取り込みを開始するように、Google SecOps でフィードを構成します。

Azure で Event Hub を作成する

Azure でイベントハブを作成するには、次の操作を行います。

  1. Event Hubs Namespace と Event Hub を作成します。

    • 最適なスケーリングを行うには、パーティション数を 32 に設定します(これは、Standard ティアと Basic ティアでは後で変更できません)。

    • Google SecOps の割り当て上限によるデータ損失を回避するには、イベントハブの保持時間を長くします。これにより、割り当てスロットル後に取り込みが再開される前にログが削除されることはありません。イベントの保持と保持時間の制限の詳細については、イベントの保持をご覧ください。

    • 標準ティアの Event Hubs の場合は、自動インフレートを有効にして、必要に応じてスループットを自動的にスケーリングします。詳細については、Azure Event Hubs スループット ユニットを自動的にスケールアップするをご覧ください。

  2. Google SecOps が Azure Event Hub からデータを取り込むために必要なEvent Hub 接続文字列を取得します。この接続文字列により、Google SecOps がイベントハブからセキュリティ データにアクセスして収集することが許可されます。接続文字列を指定するには、次の 2 つの方法があります。

    • Event Hubs 名前空間レベル: この接続文字列は、名前空間内のすべての Event Hubs で機能します。複数のイベントハブを使用しており、フィード設定でそれらすべてに同じ接続文字列を使用する場合は、このオプションが簡単です。

    • イベントハブ レベル: この接続文字列は単一のイベントハブに固有です。これは、1 つのイベントハブへのアクセスのみを許可する必要がある場合に安全なオプションです。接続文字列の末尾から EntityPath を削除してください。

    たとえば、Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY> に変更します。

  3. Azure Blob Storage を作成してセキュリティ データを保存し、接続文字列を取得します。この接続文字列により、Azure Blob Storage コンテナに保存されているメタデータに Google SecOps がアクセスできるようになります。これにより、イベントハブからデータを正確に取得できます。

  4. SAS トークンを生成します。Google SecOps は、リソースをスケーリングするためにイベントハブのデータフローをトラッキングする必要があります。これは、アクセスに SAS トークンを必要とする Azure API を使用して行われます。

    SAS トークンの有効期限を長く設定します(6 か月など)。サービスが中断されないように、有効期限が切れる前に更新してください。

  5. ウェブ アプリケーション ファイアウォールMicrosoft Defender などのアプリケーションを構成して、イベントハブにログを送信します。

    Microsoft Defender ユーザー: Microsoft Defender ストリーミングを構成するときに、既存のイベントハブ名を入力してください。このフィールドを空白のままにすると、不要なイベントハブが作成され、制限付きのフィード割り当てが消費される可能性があります。整理を容易にするため、ログタイプに一致するイベントハブ名を使用することをおすすめします。

Google SecOps で Azure フィードを構成する

Google SecOps で Azure フィードを構成する手順は次のとおりです。

  1. Google SecOps メニューから [SIEM の設定] を選択し、[フィード] をクリックします。

  2. [新しく追加] をクリックします。

  3. [フィード名] フィールドに、フィードの名前を入力します。

  4. [ソースタイプ] リストで、[Microsoft Azure Event Hub] を選択します。

  5. ログタイプを選択します。たとえば、Open Cybersecurity Schema Framework のフィードを作成するには、[ログタイプ] として [Open Cybersecurity Schema Framework(OCSF)] を選択します。

  6. [次へ] をクリックします。[フィードを追加する] ウィンドウが表示されます。

  7. 前の手順で Azure Portal で作成したイベントハブから情報を取得して、次のフィールドに入力します。

    • イベントハブ名: イベントハブ名

    • イベントハブ コンシューマ グループ: イベントハブに関連付けられたコンシューマ グループ

    • イベントハブ接続文字列: イベントハブ接続文字列

    • Azure Storage 接続文字列: Blob Storage 接続文字列

    • Azure ストレージ コンテナ名: blob ストレージ コンテナ名

    • Azure SAS トークン: SAS トークン

    • アセットの名前空間: アセットの名前空間

    • 取り込みラベル: このフィードのイベントに適用されるラベル

  8. [次へ] をクリックします。[Finalize] 画面が表示されます。

  9. フィードの設定を確認し、[送信] をクリックします。

データフローを検証する

データが Google SecOps に転送され、イベントハブが正しく機能していることを確認するには、次のチェックを行います。

  • Google SecOps でダッシュボードを調べ、未加工ログスキャンまたは統合データモデル(UDM)検索を使用して、取り込まれたデータが正しい形式であることを確認します。

  • Azure ポータルでイベントハブのページに移動し、受信バイトと送信バイトを示すグラフを調べます。受信レートと送信レートがほぼ同じであることを確認します。これは、メッセージが処理され、バックログがないことを示します。