Microsoft Sentinelでは、データ コネクタを使用して さまざまなデータソースからデータを取り込むことができます。
本記事では、Microsoft Sentinelを使ったBoxのログ収集手順を説明します。
Microsoft Sentinel Boxログ収集手順
Box側設定
Boxのログを収集するにあたり、Boxの設定が必要になります。
注意点として、無料プランではログ収集を行うことはできない為、有料プランにする必要があります。
Boxを開き、開発コンソールを選択します。
「Create New App」を選択します。
「Custom App」を選択し、赤枠箇所を入力し、「Next」を押下します。
「Purpose」に関しては、各環境に応じて設定してください。
認証方法を選択します。今回JWT認証を使用する為、「Server Authentication(with JWT)」を選択し、「Create App」を押下します。
Configuration>App Access Levelにて、「App+Enterprise Access」を選択します。選択後、その下の「Application Scops」は自動でチェックが入ります。
その下にある「Add and Manage Public Keys」にて「Generate a Public/Private Keypair」を押下し、公開鍵と共有鍵を作成します。
押下後、Configがダウンロードされます。このConfigは後ほど使用します。
右上にある「Save Changes」を押下し、設定を保存します。
「Authorization」タブに移り、「Review and Submit」を押下し、承認依頼を行います。
承認を行います。Box管理者が実施するため、自身に権限がない場合は依頼する必要があります。
以下リンクを参考に承認を実施しました。
以上で、Box側での設定は完了になります。
次はSentinel側の設定に移ります。
データコネクタインストール
まず最初にBoxのデータコネクタをインストールします。
Micorosft Sentinelを開き、コンテンツ管理>コンテンツハブを選択します。
検索バーにて、Boxと検索し、一覧からBoxを見つけ、インストールを実施します。
インストール完了後、構成>データコネクタに移動し、「最新の情報に更新」を押下し、先ほどのデータコネクタが表示されることを確認します。
コネクタ設定
インストールされたBoxデータコネクタを開き、「Workspace ID」、「Primary Key」をメモしておきます。後ほど使用します。
次にログ収集に必要なリソースを作成します。今回はARM templateを使用します。
Option1にある「Deploy to Azure」を押下します。
続いて、サブスクリプションやリソースグループなど必須項目を設定し、インスタンスの詳細を入力します。
以下、記載項目を説明します。
- リージョン:環境に適したリージョンを選択します。
- Function Name:適切な名前を入力します。
- Box Config JSON:先ほどダウンロードしたファイルの中身をコピぺします。
- Azure Sentinel Workspace id:先ほどメモした値を入力します。
- Azure Sentinel Shared Key:先ほどメモした値を入力します。
- App Insights Workspace Resource ID:以下の図を参考にして入力します。
入力完了後、作成を行います。作成後、指定したリソースグループにBoxログ収集に必要なリソースが作成されます。
しばらくしてから、Log Analyticsにて「BoxEvents_CL」でクエリすると、ログが表示されます。表示されない場合は、今までの手順を参考にトラブルシュートを実施してください。
まとめ
Sentinelで用意されてるデータコネクタを利用することで、簡単にログ統合が可能になります。
ただ、各データコネクタで構築手順が違う為、1つ1つ理解する必要があります。今回はその一部であるBoxについて説明しました。
今後も私が学んだことはアウトプットしていきますので、よろしくお願いします。
森﨑 湧斗(日本ビジネスシステムズ株式会社)
セキュリティビジネスグループの森﨑です。 普段はネットワーク案件ベースで、今期よりセキュリティコンサル業務も対応しております。 今後は自身で学んだセキュリティ関連の内容を投稿していきたいと考えております。 趣味としては、2か月に1回旅行に行くことです。 行ったことない場所から選んで、事前計画を考え、いつもパートナーに提案してるのが、小さな楽しみです。
担当記事一覧