AWSログをMicrosoft Sentinelに連携する方法 – Azure Functionsを活用
- AWSログ連携
- Microsoft Sentinel
- Azure Functions
- マルチクラウド監視
- CloudTrail連携
- VPC Flow Logs
- Azureセキュリティ
- SOC構築
- セキュリティログ統合
- ログ可視化と分析
1. AWSログをSentinelに連携するメリット
連携の利点
- マルチクラウド環境を一元監視 → AzureとAWSのログをまとめて可視化!
- 脅威検出ルールの活用 → Microsoft Sentinelのアナリティクスで脅威を検知!
- インシデント対応の自動化 → Logic Appsで迅速にアクション!
- 長期ログ保存と分析 → Log Analyticsによるクエリ分析が可能!
2. 連携の仕組み
AWSログをSentinelに送るには、以下の流れになります。
- AWSサービス → S3にCloudTrailやVPC Flow Logsなどを保存
- Azure Functions → AWS S3/SQSからログを取得してSentinelに送信
- Microsoft Sentinel → Log Analyticsワークスペースでログを分析・可視化
この構成により、AWSとAzureのセキュリティログを同じ基盤で管理できるようになります。
3. 設定手順
① AWS側の準備
手順
- AWS CloudTrail / VPC Flow LogsなどをS3に保存する設定
- SQSを設定し、新しいS3オブジェクトが追加された際に通知するよう設定
- 専用のIAMユーザーを作成し、アクセスキーを取得
s3:GetObject,sqs:ReceiveMessageなどの権限を付与
② Azure Functions のデプロイ
Microsoft Sentinelにデータを送るためのAzure Functionsを準備します。
手順
- Azure ポータルで Azure Functions を作成(Python または C# を選択)
- Log Analytics ワークスペースと関連付け
- 公式テンプレートでデプロイ
az deployment group create --resource-group <ResourceGroupName> \
--template-uri https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/AmazonWebServicesS3/azuredeploy.json③ 環境変数の設定
Azure Functions に以下の環境変数を設定します。
| キー | 内容例 |
|---|---|
AWS_ACCESS_KEY_ID | <取得したアクセスキー> |
AWS_SECRET_ACCESS_KEY | <取得したシークレットキー> |
AWS_REGION | us-east-1 など |
SQS_URL | <SQSのURL> |
S3_BUCKET_NAME | <S3バケット名> |
LOG_ANALYTICS_WORKSPACE_ID | <ワークスペースID> |
LOG_ANALYTICS_SHARED_KEY | <共有キー> |
④ Sentinelでログの確認
確認方法
Log Analyticsでクエリ実行
AWSCloudTrail | sort by TimeGenerated descAzure Functions のログを確認
az functionapp log tail --name <FunctionAppName>正常に取り込まれていれば、カスタムテーブルにもデータが反映されます!
4. まとめ – ここがポイント!
AWSのログをMicrosoft Sentinelに連携するには、
- AWSログをS3 + SQSで管理
- Azure Functionsでデータを取り込み、Sentinelへ送信
- KQLで脅威の可視化・分析が可能
この方法なら、クラウド横断のセキュリティ運用がスマートに実現できます!
「マルチクラウド時代に対応したSOCを構築したい」という方は、ぜひこの方法をお試しください!
詳細を知りたい方は、Colorkrew SecurityのSOCサービスもお気軽にご相談ください!
