インテリジェンスへのAzure サブスクリプションのオンボーディング

このページでは、新しいオンボードエクスペリエンスでAzure サブスクリプションをIntelligence にオンボードする方法について説明します。手動オンボードを使用するレガシーメソッドについては、インテリジェンスへのAzure サブスクリプションの手動オンボーディング を参照してください。

Intelligence を使用して、Azure サブスクリプションのネットワークアクティビティやその他のアカウントアクティビティを分析できます。これには、インテリジェンスのサブスクリプションをオンボードします。このプロセスは、インテリジェンスとAzureアクティビティログ間の接続を作成します。これは、Onboarding Azure サブスクリプション to CloudGuard の後に行うことができます。

動作

インテリジェンスオンボーディング中に、CloudGuard は実行するARM テンプレートを送信します。ARM テンプレートを使用すると、オンボーディングが簡単になり、サブスクリプションにCloudGuardの特殊なアクセス許可を付与する必要がなくなります。次に、CloudGuard は選択したストレージごとにSystemTopic を作成します(環境に存在しない場合)。選択したログタイプごとにEventGridSubscription を作成します。たとえば、ストレージアカウントMyAccount を選択し、ログタイプActivity LogAudit Log を選択した場合、ARM で作成されるリソースは1 つのSystemTopic と2 つのEventGridSubscriptions です。

アクティビティログを使用したアカウントアクティビティの有効化

Azure のアカウントアクティビティログは、次のような複数のログカテゴリにあります。

  • Azure Storage Analytics ログ

  • Azure アクティビティログ

  • Azure Active Directory レポート- サインインログ

  • Azure Active Directory レポート- ログの監査

CloudGuard ウィザードを使用すると、インテリジェンスにいくつかのタイプのログをオンボードできます。オンボードログのタイプを1 つだけ選択した場合は、後でウィザードを再起動し、他のタイプのログをオンボードすることができます。

- CloudGuard は、さまざまなサブスクリプションからログを取得する一元型ストレージアカウントをサポートしていません。

インテリジェンスにAzure アクティビティログの1 つのタイプをオンボードするには:

  1. Assets > Environments ページに移動します。

  2. Add Filter > Platform > Azure をクリックするか、検索バーを使用してIntelligence にオンボードするAzure サブスクリプションを表示します。

  3. サブスクリプション行とAccount activity カラムで、Enable Account activity をクリックしてIntelligence オンボードウィザードを開始します。

    または、Azure サブスクリプションページをクリックして入力することもできます。右上のメニューで、Add Intelligence をクリックし、Activity Logs を選択します。

  4. 画面上の指示に従ってウィザードを完了します。

ウィザードステージ

  1. WELCOME - ストレージアカウントが設定済みであることを確認します。設定しない場合は、手順に従ってください。その後、オンボードするログのタイプを選択し、ウィザードのページ3 で後で表示します。関連するログを有効にする方法について説明します。

  2. ASSIGN ROLE - EventGrid共同作成者ロールをCloudGuardアプリケーションに割り当てます。これにより、CloudGuard は、Azure のサブスクリプションからEventGridサブスクリプションを作成および削除できます。

  3. SELECT STORAGES - CloudGuard には、オンボードに選択したログタイプに対応するコンテナを含むすべてのストレージアカウントが表示されます。ストレージアカウントステータスの詳細については、 を参照してください。

  4. ARM TEMPLATE - ストレージアカウント設定に基づいて、CloudGuard はカスタムARM テンプレートを生成します。このテンプレートは、必要に応じてEventGridトピックとEventGridサブスクリプションを作成します。CloudGuard では、貼り付けられた出力値がJSON 形式で表示されます。

    Finish を押すと、CloudGuard はインテリジェンスのオンボード処理を開始します。数分かかることがあります。

  5. DONE - オンボーディングが成功したことを確認します。

ストレージステータス

オンボーディングに使用可能なストレージアカウントから選択すると、次のようにステータスが表示されます。

  • Available - このストレージアカウントには、オンボードするログが含まれており、いずれもIntelligence にオンボードされていません。関連するログを選択して、次の手順に進むことができます。

  • Connected - このストレージアカウントには、関連するすべてのログがオンボードされます。Log Types カラムには、オンボードログのタイプが表示されます。

  • Partially Connected - このストレージアカウントには、オンボードするログが含まれており、その一部はすでにIntelligence にオンボードされています。残りの使用可能なログを選択して、次の手順に進むことができます。

- 選択したAzureログの種類に関係なく、CloudGuard はAzureストレージアカウントからログを取得します。

後で、Events > Account Activity に移動してLogs タブをクリックすると、ログページにアカウントアクティビティが表示されます。