Azure CLI で AWS と接続する Microsoft Sentinel データコネクタを追加する

yhana

2023.06.22

Microsoft Sentinel では AWS のログを収集できます。今回のブログでは、AWS CloudTrail のログを収集するデータコネクタを Azure CLI で追加してみたいと思います。

結論としては、次のコマンド例で AWS と接続するデータコネクタを追加できます。

$ az sentinel data-connector create \
  --data-connector-id aws-111122223333-cloudtrail \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws \
  --aws-s3 "{data-types:{logs:{state:Enabled}},destination-table:AWSCloudTrail,role-arn:'arn:aws:iam::111122223333:role/ms-sentinel-role',sqs-urls:['https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue']}"

なお、Azure ポータルで AWS に接続するデータコネクタを追加する方法は下記のブログで紹介しています。

AWS と接続するデータコネクタの追加

Microsoft Sentinel のデータコネクタの追加はaz sentinel data-connectorコマンドで実行します。

az sentinel data-connector | Microsoft Learn

az sentinel data-connectorコマンドを実行するためには、Sentinel 拡張機能のインストールが必要となります。拡張機能はaz sentinel data-connectorコマンドを初めて実行するときにインストールするかどうか聞かれます。

データコネクタを追加する前にデータコネクタ一覧を次のコマンドで確認してみます。

az sentinel data-connector list \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws

実行結果です。今回の環境は事前にデータコネクタが一つも無い状況です。

$ az sentinel data-connector list \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws
This command is experimental and under development. Reference and support levels: https://aka.ms/CLI_refstatus
[]

データコネクタ追加

今回追加するコネクタはアマゾンウェブサービス S3 (プレビュー)のAWSCloudTrailテーブルとします。

接続のために必要な AWS リソースの情報は、ロール ARN と SQS URL であり、AWS 側で必要なリソースは次のブログでも紹介しています。

az sentinel data-connector createコマンドでデータコネクタを追加します。

az sentinel data-connector | Microsoft Learn

アマゾンウェブサービス S3 (プレビュー)の追加に該当するオプションはaws-s3であり、オプションのパラメータで AWS CloudTrail を指定します。aws-cloud-trailオプションはアマゾンウェブサービスコネクタに該当します。似ているため注意が必要です。

aws-s3オプションの指定値は??で確認できます。

$ az sentinel data-connector create --aws-s3 ??

Argument
    --aws-s3 : Object
        Amazon web services s3.
        See https://github.com/Azure/azure-cli/tree/dev/doc/shorthand_syntax.md for more about
        shorthand syntax.

Object Properties
    data-types        : The available data types for the connector.  Try `??` to show more.
    destination-table : The logs destination table name in LogAnalytics.
    role-arn          : The Aws Role Arn that is used to access the Aws account.
    sqs-urls          : The AWS sqs urls for the connector.  Try `??` to show more.

aws-s3オプションで指定する JSON の例です。

{
  "data-types": { "logs": { "state": "Enabled" } },
  "destination-table": "AWSCloudTrail",
  "role-arn": "arn:aws:iam::111122223333:role/ms-sentinel-role",
  "sqs-urls": [
    "https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue"
  ]
}

次のコマンドで AWS と接続するデータコネクタを追加します。

$ az sentinel data-connector create \
  --data-connector-id aws-111122223333-cloudtrail \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws \
  --aws-s3 "{data-types:{logs:{state:Enabled}},destination-table:AWSCloudTrail,role-arn:'arn:aws:iam::111122223333:role/ms-sentinel-role',sqs-urls:['https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue']}"

実行結果例です。

$ az sentinel data-connector create \
  --data-connector-id aws-111122223333-cloudtrail \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws \
  --aws-s3 "{data-types:{logs:{state:Enabled}},destination-table:AWSCloudTrail,role-arn:'arn:aws:iam::111122223333:role/ms-sentinel-role',sqs-urls:['https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue']}"
This command is experimental and under development. Reference and support levels: https://aka.ms/CLI_refstatus
{
  "dataTypes": {
    "logs": {
      "state": "enabled"
    }
  },
  "destinationTable": "AWSCloudTrail",
  "etag": "4955c8f0-e347-4e6b-ac1a-e1775example",
  "id": "/subscriptions/eab80a4f-1fd9-464d-b71c-d3cd6example/resourceGroups/test-sentinel-rg/providers/Microsoft.OperationalInsights/workspaces/test-sentinel-ws/providers/Microsoft.SecurityInsights/dataConnectors/aws-111122223333-cloudtrail",
  "kind": "AmazonWebServicesS3",
  "name": "aws-111122223333-cloudtrail",
  "resourceGroup": "test-sentinel-rg",
  "roleArn": "arn:aws:iam::111122223333:role/ms-sentinel-role",
  "sqsUrls": [
    "https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue"
  ],
  "type": "Microsoft.SecurityInsights/dataConnectors"
}

データコネクタ追加の確認

データコネクタ一覧を確認してみたところ、先ほど追加したコネクタが追加されていました。

$ az sentinel data-connector list \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws
This command is experimental and under development. Reference and support levels: https://aka.ms/CLI_refstatus
[
  {
    "dataTypes": {
      "logs": {
        "state": "enabled"
      }
    },
    "destinationTable": "AWSCloudTrail",
    "etag": "4955c8f0-e347-4e6b-ac1a-e1775example",
    "id": "/subscriptions/eab80a4f-1fd9-464d-b71c-d3cd6example/resourceGroups/test-sentinel-rg/providers/Microsoft.OperationalInsights/workspaces/test-sentinel-ws/providers/Microsoft.SecurityInsights/dataConnectors/aws-111122223333-cloudtrail",
    "kind": "AmazonWebServicesS3",
    "name": "aws-111122223333-cloudtrail",
    "resourceGroup": "test-sentinel-rg",
    "roleArn": "arn:aws:iam::111122223333:role/ms-sentinel-role",
    "sqsUrls": [
      "https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue"
    ],
    "type": "Microsoft.SecurityInsights/dataConnectors"
  }
]

az sentinel data-connector showコマンドで個別のコネクタを確認することもできます。

az sentinel data-connector | Microsoft Learn

$ az sentinel data-connector show \
  --data-connector-id aws-111122223333-cloudtrail \
  --resource-group test-sentinel-rg \
  --workspace-name test-sentinel-ws
This command is experimental and under development. Reference and support levels: https://aka.ms/CLI_refstatus
{
  "dataTypes": {
    "logs": {
      "state": "enabled"
    }
  },
  "destinationTable": "AWSCloudTrail",
  "etag": "4955c8f0-e347-4e6b-ac1a-e1775example",
  "id": "/subscriptions/eab80a4f-1fd9-464d-b71c-d3cd6example/resourceGroups/test-sentinel-rg/providers/Microsoft.OperationalInsights/workspaces/test-sentinel-ws/providers/Microsoft.SecurityInsights/dataConnectors/aws-111122223333-cloudtrail",
  "kind": "AmazonWebServicesS3",
  "name": "aws-111122223333-cloudtrail",
  "resourceGroup": "test-sentinel-rg",
  "roleArn": "arn:aws:iam::111122223333:role/ms-sentinel-role",
  "sqsUrls": [
    "https://sqs.ap-northeast-1.amazonaws.com/111122223333/ms-sentinel-queue"
  ],
  "type": "Microsoft.SecurityInsights/dataConnectors"
}

以上でデータコネクタ追加の確認は終わりです。

さいごに

Microsoft Sentinel のデータコネクタ追加作業を Azure ポータルで実行するより簡略化したく、Azure CLI で試してみました。

このブログがどなたかのご参考になれば幸いです。

Azure CLI で AWS と接続する Microsoft Sentinel データコネクタを追加する

AWS と接続するデータコネクタの追加

データコネクタ追加

データコネクタ追加の確認

さいごに

イベント

EVENT【6/5（水）】QuickSightとTableauのデモで営業分析を解説！アクションに繋げるダッシュボード設計

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

Azure CLI で AWS と接続する Microsoft Sentinel データコネクタを追加する

AWS と接続するデータコネクタの追加

データコネクタ追加

データコネクタ追加の確認

さいごに

イベント

EVENT【6/5（水）】QuickSightとTableauのデモで営業分析を解説！アクションに繋げるダッシュボード設計

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

関連記事

Microsoft Sentinel に Google Cloud の IAM ログを取り込んでみた

Microsoft Sentinel に取り込んだ AWS CloudTrail ログを検索してみた

Microsoft Sentinel に Amazon CloudWatch Logs のログを取り込んでみた

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！