# Azure Marketplace経由でのMicrosoft Sentinel連携 ## 概要 本ページでは、Keeper SecurityのSIEMイベントをMicrosoft Sentinelと統合するための、インストールから設定までの手順を説明します。Keeper Securityは、Microsoft Sentinelの**Content Hub**セクションにおいて、商用リージョンおよび政府リージョン向けの標準統合として提供されています。 商用リージョン:\ 政府リージョン:\
## 1. サブスクリプションとプランの選択 * Azureサブスクリプションを選択します。 * プランとして **\[Keeper Security Integration]** を選びます。 * **\[作成]** ボタンをクリックします。
*** ## 2. プロジェクトの基本情報を設定 * ソリューションをデプロイする**リソースグループ**を選択します。 * ログを取り込む **\[Log Analytics ワークスペース]** を選びます。 * サブスクリプションが正しく選択されていることを確認します。 *** ## 3. 確認と作成 * 次の内容を確認します * 名前 * 優先する電子メール アドレスと電話番号 * サブスクリプション * リソース グループ * ワークスペース * 問題がなければ **\[作成]** をクリックしてデプロイを開始します。
*** ## 4. Microsoft SentinelでContent Hubにアクセス * **Microsoft Sentinel**を開きます。 * 対象のワークスペース (例: Keeper301-final) を選択します。 * **\[コンテンツ管理]** > \[**コンテンツ ハブ]** に移動します。 * Keeper Securityを探し、インストールされていることを確認します。
*** ## 5. インストール済みコンテンツの管理 * Keeper Securityの行をクリックします。 * 右側のパネルで **\[管理]** をクリックし、コンテンツの詳細を表示します。 *** ## 6. インストール済みのコンテンツの管理 次のコンポーネントが含まれています。 * **Keeper Security Push Connector** (データコネクタ) * **Password Changed** (分析ルール) * **User MFA Changed** (分析ルール) * **Keeper Security Dashboard** (ワークブック) **\[Keeper Security Push Connector]** をクリックして、Entraの統合を構成します。
*** ## 7. Entra構成の生成 **\[プッシュ コネクタのデプロイ]** ボタンをクリックして、アプリ登録のシークレットを設定します。 次の情報が自動的に生成されます * **テナント ID** (ディレクトリ ID) * **アプリケーション (クライアント) ID** * **クライアント シークレット** * **データ収集エンドポイント URL** * **データ収集不変 ID (DCR ID)** {% hint style="warning" %} これらの値はコピーして保存してください。Keeperからのログ転送設定で使用します。 {% endhint %}
*** ## 8. Keeper管理コンソールの設定 **Keeper管理コンソールのレポートとアラート画面でAzure Monitor Logs**に移動し、手順7で取得した情報を入力します。 * **Azure Tenant ID** * **アプリケーション (クライアント) ID** * **クライアントシークレット値** * **エンドポイントURL** (以下の形式で構成) ### ログ取り込みURL形式の例: {% code overflow="wrap" %} ``` perlCopyEdithttps:///dataCollectionRules//streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01 ``` {% endcode %} * **DCR\_ID**: データ コレクター ルールの不変IDを使用します。 * **Custom-KeeperSecurityEventNewLogs**: Azureによって作成されるテーブル名です。
*** ### 9. 任意: 分析ルール「Master Password Changed」を有効にする
Microsoft Sentinelで、Keeperユーザーがマスターパスワードを変更した際に自動的に検知する分析ルールを任意で有効にできます。 #### 手順1. インストール済みコンテンツにアクセス * Microsoft Sentinelで、**\[コンテンツ ハブ]** → **\[Keeper Security SIEM Integration]** に移動します。 * インストール済みコンテンツ項目の下にある **\[Keeper Security – Password Changed (分析ルール)]** を探します。 * クリックして構成を開始します。 #### 手順2. ルール テンプレートを開く * ルール テンプレート **\[Keeper Security – Password Changed]** を選択します。 * 右側のパネルで **\[ルールの作成]** をクリックします。 * これにより、分析ルール ウィザード が起動します。 #### 手順3. 一般設定を構成 * 名前: Keeper Security – Password Changed (既定) * 説明: Keeper Securityの「Password Change」イベントが検出されたときに情報インシデントを作成します。 * 重大度: 情報 * MITRE ATT\&CK: 永続化 (T1556) を選択 * 状態: 有効のままにする * **\[次へ: ルール ロジックの設定]** をクリックします。 #### 手順4. ルール ロジックの定義 次のクエリを使用します。 ```bash KeeperSecurityEventNewLogs_CL | where AuditEvent == "change_master_password" ``` {% hint style="info" %} テーブル KeeperSecurityEventNewLogs\_CL が存在することを確認してください (KeeperのログがSentinelに流入し始めると自動的に作成されます)。ログがまだ取り込まれていない場合、検証時にクエリエラーが発生することがあります。 {% endhint %} * **\[イベントのグループ化]** では、**\[各イベントごとにアラートをトリガーする]** を選択します。 * **\[次へ: インシデント設定]** をクリックします。 #### 手順5. インシデント設定の構成 * 有効化: このルールによってトリガーされたアラートからインシデントを作成する * アラートのグループ化: 無効 (パスワードイベントを個別に検知するために推奨) * **\[次へ: 自動応答]** をクリックします。 #### 手順6. 任意 – 自動応答の追加 * Logic Appプレイブックを接続すると、自動応答アクション(例: Teamsまたはメールでセキュリティチームに通知)を実行できます。 * 自動化ルールを使用しない場合は、空のままにしておきます。 * **\[次へ: レビューと作成]** をクリックします。 #### 手順7. レビューと作成 * すべての詳細を確認します。 * ルール名 * クエリ * 重大度 * エンティティ マッピング: Username → アカウント、RemoteAddress → IP * **\[作成]** をクリックして完了します。 *** ### 10. 任意: 分析ルール「User MFA Changed」を有効にする
Microsoft Sentinelで、Keeperユーザーが多要素認証 (MFA) 設定を変更した際に自動的に検知する分析ルールを任意で有効にできます。これにより、ユーザーが二要素認証を有効または無効にした際の状況を可視化できます。 #### 手順1. インストール済みコンテンツにアクセス * Microsoft Sentinelで、**\[コンテンツ ハブ]** → **\[Keeper Security SIEM Integration]** に移動します。 * インストール済みコンテンツ項目の下で、**\[Keeper Security – User MFA Changed]** を選択します。 * クリックして詳細を表示します。 #### 手順2. ルール テンプレートを開く * ルール テンプレート **\[Keeper Security – User MFA Changed]** を選択します。 * 右側のパネルで **\[ルールの作成]** をクリックします。 * これにより、分析ルールウィザードが起動します。 #### 手順3. 一般設定を構成 * 名前: Keeper Security – User MFA Changed (既定) * 説明: Keeper SecurityでMFA設定が変更されたときに情報インシデントを作成します。 * 重大度: 情報 * MITRE ATT\&CK: 永続化 (T1556) を選択 * 状態: 有効のままにする * **\[次へ: ルール ロジックの設定]** をクリックします。 #### 手順4. ルール ロジックの定義 次のクエリを使用します。 ``` KeeperSecurityEventNewLogs_CL | where AuditEvent in ("set_two_factor_off", "set_two_factor_on") ``` * **\[イベントのグループ化]** では、**\[各イベントごとにアラートをトリガーする]** を選択します。 * **\[次へ: インシデント設定]** をクリックします。 #### 手順5. インシデント設定の構成 * 有効化: このルールによってトリガーされたアラートからインシデントを作成する * アラートのグループ化: 無効 (各MFA変更を個別のインシデントとして作成する) * **\[次へ: 自動応答]** をクリックします。 #### 手順6. 任意 – 自動応答の追加 * Logic Appプレイブックを接続すると、自動応答アクション (例: Teams、Slack、またはメールでSOCチームに通知) を実行できます。 * 自動化ルールを使用しない場合は、空のままにしておきます。 * **\[次へ: レビューと作成]** をクリックします。 #### 手順7. レビューと作成 * すべての詳細を確認します。 * ルール名 * クエリ * 重大度 * エンティティ マッピング (Username → アカウント、RemoteAddress → IP) * **\[作成]** をクリックして完了します。 *** ### 11. 任意: ワークブック「Keeper Security Dashboard」を有効にする
Microsoft Sentinelで、Keeperのイベントデータを可視化するためにKeeper Securityダッシュボードのワークブックを任意で有効にできます。このダッシュボードでは、パスワード変更、MFAイベント、特権操作、およびKeeperの全体的な利用傾向に関するインサイトを確認できます。 #### 手順1. インストール済みコンテンツにアクセス * Microsoft Sentinelで、**\[コンテンツ ハブ]** → **\[Keeper Security SIEM Integration]** に移動します。 * インストール済みコンテンツ項目の下で、**\[Keeper Security Dashboard]** を選択します。 #### 手順2. ワークブック テンプレートを保存 * ワークブック ビューから **\[Keeper Security Dashboard]** を選択します。 * 右側のパネルで **\[保存]** をクリックします。 * テンプレートが個人用のワークブック一覧に追加されます。 #### 手順3. 保存したワークブックを開く * 保存後、**\[ワークブック]** に移動します。 * 一覧から **\[Keeper Security Dashboard]** を選択します。 * **\[保存済みワークブックの表示]** をクリックして開きます。 #### 手順4. Keeperイベントを可視化 Keeper Security Dashboard には、以下のようなあらかじめ構築されたグラフやインサイトが含まれています。 * パスワード変更 (ユーザーによるマスターパスワード変更の監査履歴) * MFAイベント (MFAの有効化/無効化の追跡) * ユーザーアクティビティ (ログイン、セッション利用、レコードアクセス) * セキュリティアラート (ポリシー変更、特権操作、異常パターン) *** ## ✅ 設定完了 設定が正しく行われると、Microsoft Sentinel内の次のテーブルにログが表示されます。 ``` KeeperSecurityEventNewLogs_CL ``` これで、Azure Monitor Logsの取り込み方法を使用した、KeeperとMicrosoft Sentinelの統合が完了です。