インテリジェンスへのAzure サブスクリプションの手動オンボーディング

Intelligence を使用して、Azure サブスクリプションのネットワークアクティビティやその他のアカウントアクティビティを分析できます。これには、インテリジェンスのサブスクリプションをオンボードします。このプロセスは、インテリジェンスとAzureフローログとアクティビティログの間の接続を作成します。これは、Onboarding Azure サブスクリプション をCloudGuardした後に実行できます。

フローログを使用したトラフィックアクティビティの有効化

  1. Assets > Environments ページに移動します。

  2. Add Filter > Platform > Azure をクリックするか、検索バーを使用してIntelligence にオンボードするAzure サブスクリプションを表示します。

  3. サブスクリプション行とTraffic activity カラムで、Enable Traffic activity をクリックしてIntelligence オンボードウィザードを開始します。

    または、Azure サブスクリプションページをクリックして入力することもできます。右上のメニューで、Add Intelligence をクリックし、フローログを選択します。

  4. 画面上のウィザードに従って、Intelligence のオンボードを完了します。

    これには以下が含まれます。

    1. アカウントの Azure サブスクリプションでCloudGuardの IAM ロールを割り当てます。

    2. Azure サブスクリプション内のIntelligence にオンボードするAzure Network Security Groups(NSG)を選択します。NSG は、Azure でフローログを設定できるユニットです。

      - NSG フローログをオンボードできるようにするには、Flow Logs version 2 形式を選択する必要があります。この場合:

      1. Azure で、NSG を開きます。

      2. NSG flow logs に移動し、フローログの名前をクリックして設定を開きます。

      3. Flow log settings ウィンドウのFlow logs Version で、Version 2 が選択されていることを確認します。

    3. Azure でARM テンプレートをデプロイします。

これらの手順を完了すると、CloudGuard はインテリジェンスのオンボード処理を開始します。数分かかることがあります。

アクティビティログを使用したアカウントアクティビティの有効化

Azure のアカウントアクティビティログは、次のような複数のログカテゴリにあります。

  • Azure Storage Analytics ログ

  • Azure アクティビティログ

  • Azure Active Directory レポート- サインイン

  • Azure Active Directory レポート- 監査

CloudGuard ウィザードでは、一度に1 種類のログをインテリジェンスにオンボードできます。複数のタイプのログをオンボードするには、タイプごとにウィザードを再起動します。

インテリジェンスにAzure アクティビティログの1 つのタイプをオンボードするには:

  1. Assets > Environments ページに移動します。

  2. Add Filter > Platform > Azure をクリックするか、検索バーを使用してIntelligence にオンボードするAzure サブスクリプションを表示します。

  3. サブスクリプション行とAccount activity カラムで、Enable Account activity をクリックしてIntelligence オンボードウィザードを開始します。

    または、Azure サブスクリプションページをクリックして入力することもできます。右上のメニューで、Add Intelligence をクリックし、Activity Logs を選択します。

  4. 画面上のウィザードに従って、Intelligence のオンボードを完了します。

    これには以下が含まれます。

    1. ストレージアカウントをオンボードする場合は、前提条件を満たしてください。

    2. Azure ポータルで新しいアプリケーション登録を作成し、アプリケーションID とディレクトリID をCloudGuard にコピーします。

    3. アプリケーションのシークレットを作成し、その値をCloudGuard にコピーします。

    4. アカウントの Azure サブスクリプションでCloudGuardの IAM ロールを割り当てます。

    5. インテリジェンスにオンボードするストレージアカウントを選択します。

    - 選択したAzureログの種類に関係なく、CloudGuard はAzureストレージアカウントからログを取得します。

これらの手順を完了すると、CloudGuard はインテリジェンスのオンボード処理を開始します。数分かかることがあります。

その後、Events > Account Activity に移動し、Logs タブをクリックすると、ログページにアカウントアクティビティが表示されます。