ターゲット プラットフォームに履歴データを取り込む
前の記事では、履歴データのターゲット プラットフォームを選択しました。 また、データを転送するツールを選択し、履歴データをステージング場所に格納しました。 これで、ターゲット プラットフォームへのデータの取り込みを開始できるようになります。
この記事では、選択したターゲット プラットフォームに履歴データを取り込む方法について説明します。
従来の SIEM からデータをエクスポートする
一般に、SIEM はローカル ファイル システム内のファイルにデータをエクスポートまたはダンプできるため、このメソッドを使用して履歴データを抽出できます。 エクスポートしたファイルのステージング場所を設定することも重要です。 データ インジェストを転送するために使用するツールは、ステージング場所からターゲット プラットフォームにファイルをコピーできます。
この図は、エクスポートとインジェスト プロセスの概要を示しています。
現在の SIEM からデータをエクスポートするには、次のいずれかのセクションを参照してください。
Azure Data Explorer への取り込み
Azure Data Explorer (ADX) に履歴データを取り込むには (上の図のオプション 1):
- ログがエクスポートされるシステムに LightIngest をインストールして構成するか、エクスポートされたログにアクセスできる別のシステムに LightIngest をインストールします。 LightIngest では、Windows のみがサポートされます。
- 既存の ADX クラスターがない場合は、新しいクラスターを作成し、接続文字列をコピーします。 ADX を設定する方法をご確認ください。
- ADX でテーブルを作成し、CSV または JSON 形式のスキーマを定義します (QRadar の場合)。 テーブルを作成し、サンプル データがあるまたはサンプル データがないスキーマを定義する方法について説明します。
- エクスポートしたログをパスとして含むフォルダー パスと、出力として ADX 接続文字列を指定して LightIngest を実行します。 LightIngest を実行するときは、ターゲット ADX テーブル名を指定していること、引数パターンが
*.csvに設定されていること、および形式が.csv(または QRadar の場合はjson) に設定されていることを確認します。
Microsoft Sentinel の基本ログにデータを取り込む
Microsoft Sentinel の基本ログに履歴データを取り込むには (上の図のオプション 2):
既存の Log Analytics ワークスペースがない場合は、新しいワークスペースを作成し、Microsoft Sentinel をインストールします。
データを格納するカスタム ログ テーブルを作成し、データ サンプルを提供します。 この手順では、データを取り込む前に変換を定義することもできます。
データ収集ルールから情報を収集し、ルールにアクセス許可を割り当てます。
カスタム ログ インジェスト スクリプトを実行します。 このスクリプトでは、次の詳細を求められます。
- 取り込むログ ファイルへのパス
- Microsoft Entra テナント ID
- アプリケーション ID
- アプリケーション シークレット
- DCE エンドポイント (DCR のログ インジェスト エンドポイント URI を使用する)
- DCR 不変 ID
- DCR からのデータ ストリーム名
スクリプトからは、ワークスペースに送信されたイベントの数が返されます。
Azure Blob Storage に取り込む
Azure Blob Storage に履歴データを取り込むには (上の図のオプション 3):
- ログをエクスポートしたシステムに AzCopy をインストールして構成します。 または、エクスポートされたログにアクセスできる別のシステムに AzCopy をインストールします。
- Azure Blob Storage アカウントを作成し、承認された Microsoft Entra ID 資格情報または Shared Access Signature トークンをコピーします。
- エクスポートしたログをソースとして含むフォルダー パスと、出力として Azure Blob Storage 接続文字列を指定して AzCopy を実行します。
次のステップ
この記事では、ターゲット プラットフォームにデータを取り込む方法について説明しました。