【Azure】Azure Sentinel 第2回 構築編

こんにちは、システムソリューション営業本部の大友です。
今回は、前回のAzure Sentinel 概要編に引き続き構築編になります。
Azure Sentinelが実際にデプロイされるまでの手順と、画面をみていきたいと思います。
なお今回は、基本的にはAzureの無料仕様版で検証可能ですので、ぜひみなさんもお試しください!
それでは行ってみましょう!!
Azure Sentinelの構築イメージ
最初に構築イメージについてお話します。
前回ご説明した通り、Azure Sentinelは仮想マシンからログを収集し、収集されたログを取り込んでアクションを起こします。
その流れを以下のような図で表してみました!
①仮想マシンから各種ログが生成される
②Log Analyticsにログが収集される
③Azure Sentinelで収集したログを分析・検出・対処する

構築手順
構築に必要なもの
Azure Sentinelを構築する上で必須となるのは以下となります。
①は今回のメインではないため省略します。基本的にWindows Serverが稼働することが確認できればOKです。
①ログを収集する仮想マシン
・Azure Virtual Machine
・仮想ネットワーク
・リソースグループ
②Azure Sentinel
・Log Anlyticsワークスペース
・Azure Sentinel
それでは②のLog Analyticsのデプロイからやっていきましょう
Azure Sentinelの作成
Azure Sentinelのデプロイ作業となります。
まず「新しいリソース」から「Azure Sentinel」を検索します
Azure Sentinelが表示されたら「作成」をクリックします。
Azure Sentinelが使用するワークスペースを追加します。
左上の「+追加」もしくは、中央の「ワークスペースの接続」をクリックします・
※事前に作成したLog Analyticsワークスペースが存在する場合はここで指定してください!
Log Analyticsワークスペースが存在しない場合以下の画面になります。
「新しいワークスペースの作成」をクリックして新規作成をします。
以下情報を入力してLog Analyticsワークスペースを作成します
項目名 | 設定詳細 |
---|---|
サブスクリプション | 現時点で使用しているサブスクリプションを指定してください。 今回は無料試用版で作成しています。 |
リソースグループ | 上記のサブスクリプションで作成したリソースグループを指定してください。 |
名前 | 任意 |
詳細 | 各国のサーバを指定できますが、今回は東日本を指定しました。 |
ワークスペースの一覧が表示されるので、Log Analyticsで作成したワークスペースを選択します。
(表示されない場合は一度戻って再表示すると一覧に表示されるようになっています)
これでAzure Sentinelのデプロイが完了しました!
・仮想マシンと接続!
左ペインの「データコネクタ」から今回は「セキュリティイベント」選んでみます。
選択したら右側に「コネクタページを開く」をクリックします。
次にログ収集対象のサーバーにエージェントをインストールします
「Install agent on Azure Windows Virtual Machine」の「Azure Windows仮想マシンのエージェントをダウンロードしてインストールする」をクリックします
対象の仮想マシンをクリックします
仮想マシンの詳細が表示されたら接続をクリックします
緑のチェックが入ったら完了です!
先ほどの画面に戻り、収集するイベントの種類を選択します
今回は「Common」を選択します
これで収集できるようになりました!
まだ収集しているWindowsで何もしていないので特に警告等はありませんね!
まとめ
いかがでしたか。今回はAzure Sentinelのデプロイ、仮想マシンとの接続まで設定しました。
基本的にGUIのクリック操作で作成できるため、とても素早く構築することができました。
次回は実際に構築したAzure Sentinelの運用編をお伝えできればと思います!
最後までご覧いただきありがとうございました!
※このブログで参照されている、Microsoft、Windows、Microsoft Azure、Azure Sentinel、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。