Microsoft Azure Security Center データ・マッピング

Microsoft Azure Security Center Connected Assets and Risk コネクタは、 IBM Security QRadar® Suite Software クラスタで実行できます。 コネクタは、 Microsoft Azure Security Center の資産データベースの内容を、 Connected Assets and Risk サービスで管理されているデータと段階的に同期させます。

次の表は、 Connected Assets and Risk コネクタと仮想マシンデータのマッピングを示しています。

表 1. 仮想マシン・データ・マッピング
CAR 頂点/エッジ CAR フィールド Azure フィールド
Asset 名前 VM Resource -> Name
  説明 "VM Image details:" VM Resource -> properties -> storageProfile -> imageReference - > Offer,Sku
  external ID VM Resource -> id
ホスト名 _key Network Resource -> properties -> ipConfigurations -> properties -> fqdn
  説明 Custom Desc
Asset_Hostname from_external_id Network Resource -> properties -> virtualMachine -> id
  _to Network Resource -> properties -> ipConfigurations -> properties -> fqdn
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key

以下の表は、 Connected Assets and Risk コネクタとネットワークプロファイルデータのマッピングを示しています。

表 2. ネットワーク・プロファイルのデータ・マッピング
CAR 頂点/エッジ CAR フィールド Azure フィールド
IPAddress (Private) _key Network Resource -> properties -> ipConfigurations -> privateIPAddress
IPAddress (Public) _key Network Resource -> properties -> ipConfigurations -> publicIPAddress
MacAddress _key Network Resource -> properties -> macAddress
IPAddress_MacAddress _from ipaddress/_key(ipaddress node)
  _to macaddress/_key(macaddress node)
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key
Asset_IPAddress from_external_id external¥_id of the asset (リソース・タイプに基づく)
  _to ipaddress/_key(ipaddress node)
  active はい
  timestamp Activity log -> eventTimestamp
  source source -> _key
  レポート report -> _key

次の表は、 Connected Assets and Risk コネクタとアプリケーションデータのマッピングを示しています。

表 3. アプリケーション・データ・マッピング
CAR 頂点/エッジ CAR フィールド Azure フィールド
アプリケーション _key App Resource -> Name
  名前 App Resource -> Name
  説明 App Resource -> Name, Type, Location
  external ID App Resource -> id
Asset_Application from_external_id Asset(Application) -> id
  to_external_id App Resource -> id
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key
Asset_ipaddress from_external_id Asset(Application) -> id
  _to App Resource -> inboundIpAddress
  active はい
  timestamp report -> timestamp
  source source -> _key
Asset_hostname レポート report -> _key
  from_external_id Asset(Application) -> id
  _to App Resource -> properties -> hostNames
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key

次の表は、 Connected Assets and Risk コネクタとデータベースのデータマッピングを示しています。

表 4. データベース・データ・マッピング
CAR 頂点/エッジ CAR フィールド Azure フィールド
Database _key DB Resource -> name
  名前 DB Resource -> name
  説明 DB Resource -> name , location
  external ID DB Resource -> id
Asset_Database from_external_id Server Resource -> id
  to_external_id DB Resource -> id
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key
Asset_hostname from_external_id Server Resource -> id
  _to DB Resource -> properties -> fullyQualifiedDomainName
  active はい
  timestamp report -> timestamp
  source source -> _key
  レポート report -> _key

次の表は、 Connected Assets and Risk コネクタと脆弱性データのマッピングを示しています。

表 5. 脆弱性データ・マッピング
CAR 頂点/エッジ CAR フィールド Azure フィールド
Asset 名前 VM Resource -> Name
  説明 VM Image details: VM Resource - > properties -> storageProfile -> imageReference - > Offer, Sku
  external ID VM Resource -> id
脆弱性 external_id Security log -> eventDataId
  名前 Security log -> eventName -> value
  説明 Security log -> description
  disclosed_on Security log -> submissionTimestamp
  published_on Security log -> eventTimestamp
Asset_Vulnerability from_external_id external¥_id of the asset (リソース・タイプに基づく)
  to_external_id Security log -> eventDataId
  active はい
  timestamp Security log -> eventTimestamp
  source source -> _key
  レポート report -> _key