本記事について
Microsoft Sentinel には、Watchlist (ウォッチリスト) という機能があります。これは、CSV ファイルを取りこんで、クエリ時のサイドテーブルとして利用できるようにするものです。
Azure Portal から CSV ファイルをアップロードすることもできますが、Watchlist のもとになるインベントリ情報などが定期的に更新される場合、この Watchlist 作成を自動化したいケースもあるかと思います。その際、Logic Apps を使うことで、Watchlist の作成や更新、削除を自動化することができます。
また、Logic Apps のコネクターを使う場合、① レコード単位で行う方法と ② Blob の SAS URL を使って、Watchlist を CSV ファイル丸ごと適用する方法、の2つのやり方があります。前者は公式のブログ記事があるため、本記事では②の Blob SAS URL を使う方法を見ていきます。
方法とサンプルの Logic Apps
今回は、下記の Logic Apps コネクター - ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する - を利用します。
また、シンプルなワークフローとして、CSV ファイルが Blob Storage にアップロードされると、ワークフローがトリガーされ、その CSV ファイルからウォッチリストが作成されるを考えます。
注意:
下記の公式ドキュメントにもあるように、既存のウォッチリストと同名でウォッチリストを作成した場合、既存のウォッチリストに存在し、新規の CSV には含まれていないアイテムは、そのまま残ることになります。
https://learn.microsoft.com/ja-jp/azure/sentinel/watchlists-manage#bulk-update-a-watchlist
そのため、インベントリ管理上、アイテムの削除が頻繁に起こるような場合などは、ウォッチリストを一旦削除してから作成するという形で対応できます。
まず、Blob ストレージのトリガーを作成します。
次に、そのファイルに対する SAS を作成します。
そして、ウォッチリスト作成のコネクターで利用する変数を、変数の初期化のコネクターで定義しておきます。
特に、ウォッチリスト作成のコネクターには、JSON で下記のデータを渡す必要があります。
{
"displayName": "<ウォッチリスト名>",
"description": "<descirptionに入れたい文字列>",
"source": "Remote Storage",
"itemsSearchKey": "<検索キーの値>",
"sasUri": "<SAS URL の値>",
"numberOfLinesToSkip": 0,
"contentType": "text/csv"
}
source と contentType の値は、このままの値を使います。numberOfLinesToSkip は CSV の1行目がヘッダー、2行目以降がデータという形の場合は0を入れます。displayName・description と sasUri は上記では、それぞれ前のコネクターで生成された値を渡しています。
そして、ウォッチリスト - 大規模なウォッチリストを SaS URI を使用して作成する のコネクターを配置します。Logic Apps のマネージド ID を有効化し、Sentinel ワークスペースの操作の権限を予め付与しておきます。そして、そのマネージド ID で接続します。
そして、対象のワークスペースのサブスクリプションID, リソースグループ名、ワークスペースIDを入れます。ウォッチリストのエイリアスに先に定義したウォッチリスト名、フィールドにウォッチリストのパラメータ (JSON 形式) をそれぞれ入れます。
準備はこれで完了です。
次に実際にこのワークフローを動かしてみます。対象の Blob Storage のコンテナーに、CSV ファイルをアップロードします。
ワークフローがちゃんと動くと、Sentinel ワークスペース側にウォッチリストが作成されます。
当たり前ですが、ログ検索もできます。
Logic Apps を使った、CSV ファイルから一括でウォッチリストを作成する手順のご紹介は以上になります。
最後に
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。