Microsoft Windows イベントのソース設定 - Amazon CloudWatch
Windows イベントとの統合Windows イベントによる認証CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

Microsoft Windows イベントのソース設定

Windows イベントとの統合

Microsoft Windows イベントログは、Windows オペレーティングシステムのシステム、セキュリティ、およびアプリケーションイベントを記録する包括的なログ記録システムを提供します。CloudWatch パイプラインは Log Analytics API を使用して、Windows サーバーおよびワークステーションからシステム操作、セキュリティイベント、ユーザーアクティビティ、およびアプリケーションの動作に関する情報を取得します。Log Analytics API を使用すると、KQL (Kusto クエリ言語) クエリを通じてイベントデータにアクセスでき、Log Analytics ワークスペースから Windows イベントログを取得できるようになります。

Windows イベントによる認証

Windows イベント監査ログを読み込むには、パイプラインがアカウントで認証される必要があります。プラグインは OAuth2 認証をサポートしています。Microsoft Windows イベントと Log Analytics API の使用を開始するには、次の手順に従ってください。

  • Azure でアプリケーションをサポートされているアカウントタイプに登録します。この組織ディレクトリのアカウントのみ (単一テナント)。登録が完了したら、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を書き留めます。

  • アプリケーションの新しいクライアントシークレットを生成します。このクライアントシークレットは、認証コードをアクセストークンと交換するときに使用されます。シークレット値は再度表示されないため、すぐにコピーしてください。

  • AWS Secrets Manager でシークレットを作成し、アプリケーション (クライアント) ID をキー client_id の下に、クライアントシークレットをキー client_secret の下に保存します。

  • アプリケーションが Log Analytics API にアクセスするために必要な API アクセス許可を指定します。必要なアクセス許可は Data.Read です。これは、KQL クエリを実行し、Log Analytics ワークスペース (Windows イベントログを含む) からログデータを読み込むために必要です。

  • Log Analytics ワークスペースを作成および設定します。Azure ポータルでワークスペースを作成してください ([モニタリング]、[Log Analytics ワークスペース] の順に選択)。データ収集ルール (DCR) を作成して、収集する Windows イベントログ (システム、アプリケーション、セキュリティ) を指定します。DCR を使用して Windows サーバー/VM をワークスペースに接続します。ワークスペースの [概要] ページからワークスペース ID を書き留めます (API クエリに必要)。

  • アプリケーションにワークスペースアクセスを許可します。Log Analytics ワークスペースに移動し、[アクセスコントロール (IAM)] を選択してください。Log Analytics 閲覧者ロールを登録済みアプリケーションに割り当てます。この RBAC ロールは API アクセス許可と連携してセキュアなアクセスを提供します。OAuth は API の使用権限を確認し、IAM はワークスペースデータへのアクセス権限を確認します。

CloudWatch パイプラインの設定

ログを読み込むようにパイプラインを設定するときは、データソースとして Microsoft Windows イベントを選択します。ディレクトリ (テナント) ID とワークスペース ID (workspace_id) を使用して、テナント ID などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合では、OCSF スキーマバージョン v1.5.0 と、アカウント変更 (3001)、認証 (3002)、エンティティ管理 (3004)、イベントログアクティビティ (1008)、ファイルシステムアクティビティ (1001)、グループ管理 (3006)、およびカーネルアクティビティ (1003) にマッピングする Windows 監査イベントがサポートされています。

アカウント変更には、次のイベントが含まれます。

  • 4740

認証には次のイベントが含まれます。

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

エンティティ管理には、次のイベントが含まれます。

  • 4616

  • 4907

  • 4719

  • 4902

イベントログアクティビティには、次のイベントが含まれます。

  • 1100

  • 1102

  • 1104

  • 1105

ファイルシステムアクティビティには、次のイベントが含まれます。

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

グループ管理には、次のイベントが含まれます。

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

カーネルアクティビティには、次のイベントが含まれます。

  • 4674