Microsoft Azure イベント・ハブ・プロトコルの構成オプション

Microsoft Azure Event Hubs プロトコルは、 Microsoft Azure Event Hubs からイベントを収集する IBM® Security QRadar® のアウトバウンドおよびアクティブ・プロトコルです。

重要: デフォルトでは、各 イベント・コレクター は、ファイル・ハンドルを使い尽くす前に、最大 1000 個のパーティションからイベントを収集できます。 さらに多くのパーティションから収集する場合は、 IBM サポートに連絡して、高度なチューニング情報と支援を受けることができます。 詳しくは、 IBM サポートを参照してください。

以下のパラメーターは、 Microsoft Azure Event Hubs アプライアンスからイベントを収集するために固有の値を必要とします。

表 1. Microsoft Azure Event Hubs ログ・ソース・パラメーター
パラメーター
認証方式 このドロップダウンフィールドは、 Azure Event Hub の認証方法を選択するために使用されます。 以下の2つのオプションをサポートしている:

SAS(共有アクセス署名) :接続文字列ベースの認証。 (デフォルト選択)

Entra ID :テナントID、クライアントID、クライアントシークレットによって認証されます。

イベント・ハブ接続ストリングを使用 (Use Event Hub Connection String) 接続ストリングを使用して Azure イベント・ハブで認証します。
注:
  • このスイッチをオフに切り替える機能は非推奨です。
  • Authentication Method > SAS (Shared Access Signature) を選択して、このパラメータを使用できるようにする。
イベント・ハブ接続ストリング (Event Hub Connection String) イベント・ハブへのアクセスを提供する許可ストリング。 例:
Endpoint=sb://<Namespace 
Name>.servicebus.windows.net/;SharedAccess
KeyNam Key Name>;SharedAccessKey=<SAS Key>;
EntityPath=<Event Hub Name>
注: このパラメータを使用可能にするには、「 Authentication Method(認証方法 )」 > 「 SAS(共有アクセス署名) 」を選択する。
テナント ID (Tenant ID) Azure AD 認証に使用します。
注: このパラメータを使用可能にするには、[ Authentication Method ] > [ Entra ID ] を選択します。
クライアント ID クライアントIDは、 Oauth2 が認証に使用する公開識別子です。
注: このパラメータを使用可能にするには、[ Authentication Method ] > [ Entra ID ] を選択します。
クライアント秘密鍵 クライアント・シークレットは、ユーザがアクセストークンを取得する権限があることを確認するために使用されます。 クライアントシークレットは、作成された時のみ利用可能なパスワードです。 その後は、記憶か写しからしか得られない。
注: このパラメータを使用可能にするには、[ Authentication Method ] > [ Entra ID ] を選択します。
名前空間 イベント・ハブ・エンティティを含むトップレベル・ディレクトリの名前。
注: このパラメータを使用可能にするには、[ Authentication Method ] > [ Entra ID ] を選択します。
イベント・ハブ名 アクセス対象のイベント・ハブの識別子。 イベント・ハブ名は、ネームスペース内のイベント・ハブ・エンティティの1つと一致しなければならない。
注: このパラメータを使用可能にするには、[ Authentication Method ] > [ Entra ID ] を選択します。
コンシューマー・グループ 接続中に使用されるビューを指定します。 各Consumer Groupは、独自のセッション・トラッキングを維持します。 コンシューマー・グループおよび接続情報を共有するすべての接続は、セッション・トラッキング情報を共有します。
ストレージ認証方法
このドロップダウンフィールドは、 Azure Storage の認証方法を選択するために使用されます。 以下の2つのオプションをサポートしている:
共有アクセス署名(SAS)
接続文字列ベースの認証。 これはデフォルトの選択である。
エントラID
認証はテナントID、クライアントID、クライアントシークレットによって行われる。
イベントハブEntra IDクレデンシャルを使用する

Azure Event Hub 用に構成されたストレージ アカウントに対して、同じ Entra ID 資格情報を使用してください。

ストレージアカウント接続に別の Entra ID 認証情報を提供するには、このオプションをfalseに設定します。

テナント ID (Tenant ID)

Azure Entra ID のテナント ID は、組織の Microsoft Entra テナントの一意の識別子であり、すべての Azure リソース、ユーザー、およびサブスクリプションのコンテナとして機能します。

Storage Authentication Method>Entra IDを選択し、 Use Event Hub Entra ID Credentialsを falseに設定して、このパラメータを使用できるようにします。

クライアント ID

クライアントIDは、 Oauth2 が認証に使用する公開識別子です。

Storage Authentication Method>Entra IDを選択し、 Use Event Hub Entra ID Credentialsを falseに設定して、このパラメータを使用できるようにします。

クライアント秘密鍵 クライアント・シークレットは、ユーザがアクセストークンを取得する権限があることを確認するために使用されます。

クライアントシークレットは、作成された時のみ利用可能なパスワードです。 その後は、記憶や書面からしか入手できない。

Storage Authentication Method>Entra IDを選択し、 Use Event Hub Entra ID Credentialsを falseに設定して、このパラメータを使用できるようにします。

ストレージ・アカウント名 イベント・ハブのチェックポイントと所有権のメタデータを保存するストレージ・アカウントの名前。

Storage Authentication Method>Entra IDを選択して、このパラメータを使用可能にする

ストレージ・アカウント接続ストリングを使用 (Use Storage Account Connection String)
接続ストリングを使用して Azure ストレージ・アカウントで認証します。
注: このスイッチをオフに切り替える機能は推奨されません。
ストレージ・アカウント接続ストリング

ストレージ・アカウントへのアクセスを提供する許可ストリング。

  • アクセス・キーの例:
    DefaultEndpointsProtocol=https;AccountName=<Storage Account Name>;AccountKey=<Storage Account Key>;EndpointSuffix=core.windows.net
  • Shared Access Signature の例:
    BlobEndpoint=<Blob Endpoint>;QueueEndpoint=<Queue Endpoint>;FileEndpoint=<File Endpoint>;TableEndpoint=<Table Endpoint>;SharedAccessSignature=<Access Signature>

Syslog への Azure Linux イベントの形式設定 (Format Azure Linux Events To Syslog) Azure Linux® ログを、 Linux システムからの標準 syslog ロギングに似た単一行の syslog 形式にフォーマットします。
VNet フロー・ログの IPFIX への変換 Microsoft Azure VNet フロー・ログ。

QRadar「ネットワーク・アクティビティー」 タブにフロー・ログを送信するには、このオプションを選択します。

フロー HostName

このパラメーターを構成するには、 「VNet フロー・ログを IPFIX に変換」 を有効にします。

Microsoft Azure VNet フロー・ログが送信されるフロー・プロセッサーのホスト名。

フロー・ポート

このパラメーターを構成するには、 「VNet フロー・ログを IPFIX に変換」 を有効にします。

Microsoft Azure VNet フロー・ログが送信されるフロー・プロセッサー・ポート。

ゲートウェイ・ログ・ソースとして使用 (Use as a Gateway Log Source)

収集されたイベントが QRadar トラフィック分析エンジンを通過し、 QRadar が 1 つ以上のログ・ソースを自動的に検出するようにするには、このオプションを選択します。

このオプションを選択すると、オプションでログ・ソース ID パターンを使用して、処理中のイベントのカスタムログ・ソース IDを定義できます。

ログ・ソース ID パターン (Log Source Identifier Pattern)

「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを選択した場合は、このオプションを使用して、処理対象のイベントのカスタム・ログ・ソース ID を定義します。 「ログ・ソース ID パターン」 が構成されていない場合、 QRadar はイベントを不明な汎用ログ・ソースとして受信します。

「ログ・ソース ID パターン (Log Source Identifier Pattern)」フィールドでは、処理対象のイベントと、該当する場合に自動的に検出されるログ・ソースのカスタム・ログ・ソース ID を定義するために、key=value などのキーと値のペアを使用できます。 キーは、結果のソースまたは起点の値である ID フォーマット・ストリングです。 値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。 値 (正規表現パターン) は、キャプチャー・グループもサポートします。キャプチャー・グループは、キー (ID フォーマット・ストリング) をさらにカスタマイズするために使用できます。

各パターンを新しい行に入力することで、複数のキーと値のペアを定義できます。 複数のパターンが使用された場合、一致が見つかるまで、それらのパターンは順番に評価されます。 一致が見つかると、カスタム・ログ・ソース ID が表示されます。

次の例では複数のキーと値のペアの機能を示します。
パターン
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
イベント
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
結果としてのカスタム・ログ・ソース ID
VPC-ACCEPT-OK
予測解析を使用 このパラメーターを有効にすると、アルゴリズムはイベントごとに正規表現を実行せずにイベントからログ・ソース ID パターンを抽出するため、解析速度が向上します。

予測解析は、高いイベント率を受け取ることが予想され、より高速な解析を必要とするログ・ソース・タイプに対してのみ有効にします。

プロキシーの使用 (Use Proxy) プロキシーを構成すると、ログ・ソースのすべてのトラフィックがプロキシーを経由して Azure イベント・ハブにアクセスします。 このパラメーターを有効にした後、プロキシー IP またはホスト名プロキシー・ポートプロキシー・ユーザー名、およびプロキシー・パスワードの各フィールドを構成します。

プロキシーが認証を必要としない場合は、プロキシー・ユーザー名フィールドとプロキシー・パスワードフィールドをブランクのままにすることができます。

注: プロキシーのダイジェスト認証は、Java™ SDK for Azure Event Hubs ではサポートされていません。 詳しくは、Azure Event Hubs - Client SDKs (https://docs.microsoft.com/en-us/azure/event-hubs/sdks) を参照してください。
プロキシー IP またはホスト名 プロキシー・サーバーの IP アドレスまたはホスト名。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。

プロキシー・ポート プロキシーとの通信に使用されるポート番号。 デフォルト値は 8080 です。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。

プロキシー・ユーザー名 プロキシー・サーバーにアクセスするためのユーザー名。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。

プロキシー・パスワード プロキシー・サーバーにアクセスするためのパスワード。

このパラメーターは、プロキシーの使用 が有効になっている場合に表示されます。

EPS スロットル

QRadar が取り込む 1 秒当たりのイベントの最大数。

データ・ソースが EPS スロットルを超える場合、データ収集は遅延されます。 データは引き続き収集され、データ・ソースが EPS スロットルを超えて停止すると取り込まれます。

デフォルトは 5000 です。

注記: エラーログ QRadar から Azure SDKのINFOログを抑制する変更は、. PROTOCOL-MicrosoftAzureEventHubs-7.5-20260106095933.noarch.rpmに含まれています。 これらの変更は、アップデートパッケージ13( UP13QRadar )以降に適用されます。 ユーザーが Microsoft Azure イベントハブプロトコルに対してデバッグログの有効化または無効化を行った場合、関連するログソースを無効化してから再度有効化する必要があります。 この手順により、 Azure サードパーティSDKのログ記録に関連する更新された動作が正しく実装されることが保証されます。

以下の表で、非推奨になった Microsoft Azure Event Hubs ログ・ソース・パラメーターについて説明します。

表 2. 非推奨の Microsoft Azure Event Hubs ログ・ソース・パラメーター
パラメーター
非推奨-名前空間名

このオプションは、Use Event Hub Connection Stringオプションがオフに設定されている場合に表示されます。

Microsoft Azure Event Hubs ユーザー・インターフェース内のイベント・ハブ・エンティティーを含む最上位ディレクトリーの名前。
非推奨-イベント・ハブ名

このオプションは、Use Event Hub Connection Stringオプションがオフに設定されている場合に表示されます。

アクセス対象のイベント・ハブの識別子。 イベント・ハブ名は、名前空間内のイベント・ハブ・エンティティーの 1 つと一致する必要があります。
非推奨-SAS キー名

このオプションは、Use Event Hub Connection Stringオプションがオフに設定されている場合に表示されます。

Shared Access Signature (SAS) 名はイベント・パブリッシャーを識別します。
非推奨-SAS キー

このオプションは、Use Event Hub Connection Stringオプションがオフに設定されている場合に表示されます。

Shared Access Signature (SAS) キーはイベント・パブリッシャーを認証します。
非推奨-ストレージ・アカウント名

このオプションは、Use Storage Account Connection Stringオプションがオフに設定されている場合に表示されます。

イベント・ハブ・データを保管するストレージ・アカウントの名前。

「ストレージ・アカウント名 (Storage Account Name)」は、Azure ストレージ・アカウントのデータにアクセスするために必要な認証プロセスの一部です。
非推奨-ストレージ・アカウント・キー

このオプションは、Use Storage Account Connection Stringオプションがオフに設定されている場合に表示されます。

ストレージ・アカウントの認証に使用される許可キー。

「ストレージ・アカウント・キー (Storage Account Key)」は、Azure ストレージ・アカウントのデータにアクセスするために必要な認証プロセスの一部です。