Microsoft Sentinel データコネクタ設定 Box編

Microsoft Sentinelでは、データ コネクタを使用して さまざまなデータソースからデータを取り込むことができます。

本記事では、Microsoft Sentinelを使ったBoxのログ収集手順を説明します。

Microsoft Sentinel Boxログ収集手順

Box側設定

Boxのログを収集するにあたり、Boxの設定が必要になります。

注意点として、無料プランではログ収集を行うことはできない為、有料プランにする必要があります。

Boxを開き、開発コンソールを選択します。

「Create New App」を選択します。

「Custom App」を選択し、赤枠箇所を入力し、「Next」を押下します。

「Purpose」に関しては、各環境に応じて設定してください。

認証方法を選択します。今回JWT認証を使用する為、「Server Authentication(with JWT)」を選択し、「Create App」を押下します。

Configuration＞App Access Levelにて、「App+Enterprise Access」を選択します。選択後、その下の「Application Scops」は自動でチェックが入ります。

その下にある「Add and Manage Public Keys」にて「Generate a Public/Private Keypair」を押下し、公開鍵と共有鍵を作成します。

押下後、Configがダウンロードされます。このConfigは後ほど使用します。

右上にある「Save Changes」を押下し、設定を保存します。

「Authorization」タブに移り、「Review and Submit」を押下し、承認依頼を行います。

承認を行います。Box管理者が実施するため、自身に権限がない場合は依頼する必要があります。

以下リンクを参考に承認を実施しました。

ja.developer.box.com

以上で、Box側での設定は完了になります。

次はSentinel側の設定に移ります。

データコネクタインストール

まず最初にBoxのデータコネクタをインストールします。

Micorosft Sentinelを開き、コンテンツ管理>コンテンツハブを選択します。

検索バーにて、Boxと検索し、一覧からBoxを見つけ、インストールを実施します。

インストール完了後、構成＞データコネクタに移動し、「最新の情報に更新」を押下し、先ほどのデータコネクタが表示されることを確認します。

コネクタ設定

インストールされたBoxデータコネクタを開き、「Workspace ID」、「Primary Key」をメモしておきます。後ほど使用します。

次にログ収集に必要なリソースを作成します。今回はARM templateを使用します。

Option1にある「Deploy to Azure」を押下します。

続いて、サブスクリプションやリソースグループなど必須項目を設定し、インスタンスの詳細を入力します。

以下、記載項目を説明します。

• リージョン：環境に適したリージョンを選択します。
• Function Name：適切な名前を入力します。
• Box Config JSON：先ほどダウンロードしたファイルの中身をコピぺします。
• Azure Sentinel Workspace id：先ほどメモした値を入力します。
• Azure Sentinel Shared Key：先ほどメモした値を入力します。
• App Insights Workspace Resource ID：以下の図を参考にして入力します。

入力完了後、作成を行います。作成後、指定したリソースグループにBoxログ収集に必要なリソースが作成されます。

しばらくしてから、Log Analyticsにて「BoxEvents_CL」でクエリすると、ログが表示されます。表示されない場合は、今までの手順を参考にトラブルシュートを実施してください。

まとめ

Sentinelで用意されてるデータコネクタを利用することで、簡単にログ統合が可能になります。

ただ、各データコネクタで構築手順が違う為、1つ1つ理解する必要があります。今回はその一部であるBoxについて説明しました。

今後も私が学んだことはアウトプットしていきますので、よろしくお願いします。