サードパーティのデータソースからログデータを取り込むために、ログリポジトリにコレクターを追加してください。
始める前に
ログリポジトリにコレクターを追加するには、サードパーティのログ収集サービスがインストールされたService Gatewayが少なくとも1つデプロイされている必要があります。Service
Gatewayのデプロイ方法については、Service Gatewayデプロイメントガイドを参照してください。
手順
- 新しいログリポジトリを作成するか、既存のログリポジトリを選択します。 または で、
- [Collectors]タブに移動し、[Add Collector]をクリックします。[Add Collector]画面が表示されます。
- 使用したいサードパーティのデータソースベンダー名を入力し始めてください (例: Fortinet)。ベンダーがリストにない場合は、指定されたベンダー名を使用するために[作成]をクリックしてください。
- 使用したいサードパーティのデータソース製品名を入力し始めてください (例: FortiGate)。製品がリストにない場合は、指定された製品を使用するために[作成]をクリックしてください。
重要
-
Trend Vision Oneと統合可能な製品からのログデータの取り込みには、追加の設定手順が必要な場合があります。Trend Vision Oneと統合可能な製品の一覧については、Third-Party Integrationを参照してください。
-
Microsoft Defender for Endpointのログデータの取り込みには、Cloud AccountsのAzureサブスクリプションの機能と権限でMicrosoft Defender for Endpointログコレクションを有効にする必要があります。Azureサブスクリプションにterraformスクリプトをデプロイすると、コレクターが自動的に作成されます。詳細については、Microsoft Defender for Endpointのログ収集を有効にするを参照してください.
-
- 受信したログの形式を選択してください。推奨されるログ形式は、選択されたベンダーと製品に基づいて自動的に表示されます。
-
CEFは、CEFログ形式を使用するすべての製品からのログをサポートできる標準化されたパーサーを使用しており、追加のマッピングを必要としません。
-
Syslogはベンダー固有のパーサーを使用しており、追加のマッピング要件がある可能性があるため、CEFが利用できない場合にのみ推奨されます。
注意
より良い解析とより完全なXDR検出のために、推奨されるログ形式を選択してください。 -
- Trend Vision Oneの統合が利用できない製品については、収集設定とデータソースを構成してください。
- コレクターがログデータを受信するためのService Gatewayを選択してください。リストには、サードパーティのログ収集サービスがインストールされたService Gatewayのみが表示されます。
- データトラフィックに使用するプロトコルを選択してください。TLSおよびTCPがサポートされています。
重要
TLSプロトコルを使用してサードパーティのログ収集でログデータを受信したい場合は、有効な証明書を組織から選択したService Gatewayにアップロードする必要があります。手順については、どのようにして証明書をService Gatewayにアップロードしますか?を参照してください - データトラフィックを受信するための利用可能なポートを選択してください。選択後、ポート番号をサードパーティのデータソースに設定する必要があります。
- サードパーティのデータソースの送信元IPアドレスをカンマで区切って指定してください。IPv4アドレスのみがサポートされています。サードパーティのデータソースからコピーした信頼できるIPアドレスを使用していることを確認してください。
- ログソースのタイムゾーンを指定して、イベントのタイムスタンプを正しく合わせてください。
- [追加] をクリックします。コレクターがログリポジトリに追加されました。
- 必要に応じて、指定されたキーワードを含むログの収集を防ぐことで、パフォーマンスとデータ品質を向上させるためにログフィルターを設定してください。
- コレクターを追加した後、コレクターの詳細で[Manage log filters]をクリックしてください。
- [ログフィルターを設定する] をクリックして、フィルターの追加を開始します。
- フィルターの名前を指定します。
- ANDまたはOR演算子で区切られた最大100文字のキーワードまたはフレーズを最大10個追加してください。
- [フィルターを追加]をクリックし、詳細を指定して最大100個のフィルターを追加し続けてください。
- [保存] をクリックします。コレクターは、設定されたフィルターに一致するキーワードを含むログを収集しなくなりました。
- フィルターを編集または削除するには、[Remove filters]を選択してクリックするか、対応するアイコンをクリックします。
重要
フィルターを編集または削除した後、変更が適用されるまで最大5分かかる場合があります。
- コレクタ接続ステータスをモニタする。
- コレクターに関連付けられているログリポジトリの名前をクリックしてください。[Log Repository Details]画面が表示されます。
- [Collectors]タブに移動します。
- [ステータス]列でコレクター接続ステータスを表示します。コレクターステータスが不健康と表示される場合は、関連するService Gateway接続を確認してください。
ヒント
[Third-Party Log Collection]のメインセクションで[Configure alert notifications]をクリックすると、通常と異なるコレクター接続ステータスに関する通知を受け取ることもできます。 - 収集されたログデータがXDR Data Explorerで関連クエリを実行することによって利用可能であることを確認してください。
- コレクターに関連付けられているログリポジトリの名前をクリックしてください。