Aws ログを Microsoft Sentinel に収集するようにアマゾンウェブサービス (AWS) 環境を設定する

2025-06-19

アマゾンウェブサービス (AWS) コネクタを使用すると、Amazon S3 (Simple Storage Service) からログを収集し、Microsoft Sentinel に取り込むプロセスが簡略化されます。コネクタには、Microsoft Sentinel ログ収集用に AWS 環境を構成するのに役立つツールが用意されています。

この記事では、Microsoft Sentinel にログを送信するために必要な AWS 環境のセットアップと、サポートされている各コネクタを使用して環境を設定し、AWS ログを収集するための手順へのリンクについて説明します。

AWS 環境のセットアップの概要

この図は、Azure にログを送信するように AWS 環境を設定する方法を示しています。

W S S 3 コネクタアーキテクチャのスクリーンショット。

S3 (Simple Storage Service) ストレージバケットと、S3 バケット が新しいログを受信したときに通知を発行する Simple Queue Service (SQS) キューを作成します。

Microsoft Sentinel コネクタ:
- 新しいログファイルへのパスを含むメッセージについて、SQS キューを頻繁にポーリングします。
- SQS 通知で指定されたパスに基づいて、S3 バケットからファイルをフェッチします。
Open ID Connect (OIDC) Web ID プロバイダーを作成 し、Microsoft Sentinel を登録済みアプリケーションとして追加します (対象ユーザーとして追加します)。

Microsoft Sentinel コネクタでは、Microsoft Entra ID を使用して OpenID Connect (OIDC) を介して AWS で認証を行い、AWS IAM ロールを引き受けます。

Von Bedeutung

既に Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとして Microsoft Sentinel を追加します。 Microsoft Sentinel 用の新しい OIDC プロバイダーを作成しないでください。
AWS S3 バケットと SQS リソースにアクセスするためのアクセス許可を Microsoft Sentinel コネクタに付与するために、AWS が想定するロールを作成します。
1. 適切な IAM アクセス許可ポリシーを 割り当てて、想定されたロールにリソースへのアクセス権を付与します。
2. S3 バケットにアクセスしてログを取得するために作成した想定ロールと SQS キューを使用するようにコネクタを構成します。
S3 バケットにログを送信するように AWS サービスを構成します。

手動セットアップ

AWS 環境は手動で設定できますが、このセクションで説明するように、代わりに AWS コネクタをデプロイするときに提供される自動化されたツールを使用することを強くお勧めします。

1. S3 バケットと SQS キューを作成する

AWS サービス (VPC、GuardDuty、CloudTrail、CloudWatch) からログを送信できる S3 バケット を作成します。

AWS ドキュメントの S3 ストレージバケットを作成する手順を参照してください。
S3 バケットが通知を発行できる標準の 簡易キューサービス (SQS) メッセージキュー を作成します。

AWS ドキュメントで標準の Simple Queue Service (SQS) キューを作成する手順を参照してください。
SQS キューに通知メッセージを送信するように S3 バケットを構成します。

AWS ドキュメントの SQS キューに通知を発行する手順を参照してください。

2. Open ID Connect (OIDC) Web ID プロバイダーを作成する

Von Bedeutung

既に Microsoft Defender for Cloud 用に OIDC Connect プロバイダーを設定している場合は、既存のプロバイダー (商用: api://1462b192-27f7-4cb9-8523-0f4ecb54b47e、Government:api://d4230588-5f84-4281-a9c7-2c15194b28f7) に対象ユーザーとして Microsoft Sentinel を追加します。 Microsoft Sentinel 用の新しい OIDC プロバイダーを作成しないでください。

AWS ドキュメントの次の手順に従います。
OpenID Connect (OIDC) ID プロバイダーの作成。

パラメーター	選択/値	コメント
クライアント ID	-	これは無視してください。既に存在します。対象ユーザーを参照してください。
プロバイダーの種類	OpenIDコネクト	既定の SAML の代わりに。
プロバイダー URL	コマーシャル： `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` 政府： `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`
拇印	`626d44e704d1ceabe3bf0d53397464ac8080142c`	IAM コンソールで作成した場合は、[ 拇印の取得 ] を選択すると、この結果が得られます。
オーディエンス	コマーシャル： `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` 政府： `api://d4230588-5f84-4281-a9c7-2c15194b28f7`

3. AWS の引き受けたロールを作成する

AWS ドキュメントの次の手順に従います。
Web ID または OpenID Connect フェデレーションのロールの作成。

パラメーター	選択/値	コメント
信頼されたエンティティの種類	Web ID	既定の AWS サービスの代わりに。
ID プロバイダー	コマーシャル： `sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d/` 政府： `sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/`	前の手順で作成したプロバイダー。
オーディエンス	コマーシャル： `api://1462b192-27f7-4cb9-8523-0f4ecb54b47e` 政府： `api://d4230588-5f84-4281-a9c7-2c15194b28f7`	前の手順で ID プロバイダーに対して定義した対象ユーザー。
割り当てるアクセス許可	`AmazonSQSReadOnlyAccess` `AWSLambdaSQSQueueExecutionRole` `AmazonS3ReadOnlyAccess` `ROSAKMSProviderPolicy` さまざまな種類の AWS サービスログを取り込むためのその他のポリシー	これらのポリシーの詳細については、Microsoft Sentinel GitHub リポジトリの関連する AWS S3 コネクタのアクセス許可ポリシーページを参照してください。 AWS Commercial S3 コネクタのアクセス許可ポリシーページ AWS Government S3 コネクタのアクセス許可ポリシーページ
名前	"OIDC_MicrosoftSentinelRole"	Microsoft Sentinel への参照を含むわかりやすい名前を選択します。名前には正確なプレフィックス `OIDC_`を含める必要があります。それ以外の場合は、コネクタが正しく機能しません。

新しいロールの信頼ポリシーを編集し、別の条件を追加します。
"sts:RoleSessionName": "MicrosoftSentinel_{WORKSPACE_ID)"

Von Bedeutung

sts:RoleSessionName パラメーターの値には、正確なプレフィックス MicrosoftSentinel_が必要です。それ以外の場合、コネクタは正しく機能しません。

完成した信頼ポリシーは次のようになります。
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::XXXXXXXXXXXX:oidc-provider/sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "sts.windows.net/cab8a31a-1906-4287-a0d8-4eef66b95f6e/:aud": "api://d4230588-5f84-4281-a9c7-2c15194b28f7",
          "sts:RoleSessionName": "MicrosoftSentinel_XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
        }
      }
    }
  ]
}
```
- XXXXXXXXXXXX は AWS アカウント ID です。
- XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX は Microsoft Sentinel ワークスペース ID です。
編集が完了したら、ポリシーを更新 (保存) します。

S3 バケットにログをエクスポートするように AWS サービスを構成する

各種類のログを S3 バケットに送信する手順については、リンクされたアマゾンウェブサービスのドキュメントを参照してください。

VPC フローログを S3 バケットに発行します。

注

ログの形式をカスタマイズする場合は、Log Analytics ワークスペースの TimeGenerated フィールドにマップされるため、開始属性を含める必要があります。それ以外の場合、 TimeGenerated フィールドにはイベントの 取り込まれた時間が設定されます。これはログイベントを正確に記述しません。
GuardDuty の結果を S3 バケットにエクスポートします。
注
- AWS では、結果は既定で 6 時間ごとにエクスポートされます。環境の要件に基づいて、更新されたアクティブな結果のエクスポート頻度を調整します。プロセスを迅速化するために、15 分ごとに結果をエクスポートするように既定の設定を変更できます。更新されたアクティブな結果をエクスポートする頻度の設定を参照してください。
- TimeGenerated フィールドには、検出結果の更新日時の値が入力されます。
AWS CloudTrail 証跡は、既定で S3 バケットに格納されます。
- 1 つのアカウントの証跡を作成します。
- 組織内の複数のアカウントにまたがる証跡を作成します。
CloudWatch ログデータを S3 バケットにエクスポートします。

4. AWS コネクタをデプロイする

Microsoft Sentinel には、次の AWS コネクタが用意されています。

アマゾンウェブサービス Web アプリケーションファイアウォール (WAF) コネクタ: AWS S3 バケットで収集された AWS WAF ログを Microsoft Sentinel に取り込みます。
Amazon Web Services サービスログコネクタ: AWS S3 バケットで収集された AWS サービスログを Microsoft Sentinel に取り込みます。

次のステップ

Microsoft Sentinel の詳細については、次の記事を参照してください。