技術情報

Azure Sentinel Windowsファイアウォール データコネクタの設定方法

こんにちは、Firewall ばにゃです。

本記事では、Microsoftのドキュメント通りにAzure Sentinel のデータコネクタでWindowsファイアウォールの設定を行ったにもかかわらず、データが収集されない場合の対処方法について解説します。

この記事を読めばこれがわかる!
  • Azure Sentinel でWindowsファイアウォールのデータが収集されない場合の対処方法
スポンサーリンク

本記事の前提となる環境

本記事では、以下のような環境を例として記載します。
この環境で私自身が実機動作確認済みの手順となります。

前提となる環境
  • Windows Server 2016(Azure上の仮想マシン)


対処方法

ログ収集対象のマシンで以下の設定を確認します。
※今回の例ではログ収集対象となるWindows Server 2016 で以下の設定を確認します。

確認する設定項目
  • Windowsファイアウォールログの取得設定
  • Windowsファイアウォールログのサイズ制限


Windows ファイアウォールログの取得設定

Windows ファイアウォールログが有効になっていないとデータ収集ができないため、まず以下の設定を確認します。デフォルトでは ログを収集しない設定 になっているはずです。

  1. セキュリティが強化されたWindows Defender ファイアウォール」の画面を開きます。この際、アクティブとなっているプロファイルを確認しておきます。


  2. Windows Defender ファイアーウォールのプロパティ」をクリックします。


  3. 手順1.でアクティブとなっているプロファイルのタブを選択し、ログの「カスタマイズ」をクリックします。


  4. 破棄されたパケットをログに記録する」「正常な接続をログに記録する」の設定が「いいえ(既定)」となっている場合、「はい」に変更します。


Windows ファイアウォールログのサイズ制限

「Windows ファイアウォールログの取得設定」を有効にし、しばらく時間をおいても Azure Sentinel 上にファイアウォールログが表示されない場合は以下を確認してください。

  1. セキュリティが強化されたWindows Defender ファイアウォール」の画面を開きます。この際、アクティブとなっているプロファイルを確認しておきます。

  2. Windows Defender ファイアーウォールのプロパティ」をクリックします。
    sentinel_002
  3. 手順1.でアクティブとなっているプロファイルのタブを選択し、ログの「カスタマイズ」をクリックします。
    sentinel_003
  4. サイズ制限」の値を小さい値に変更します。
    ※ここでは例として2KBとします。


データが収集できているかの確認方法

Azure Sentinel のデータコネクタより Windows ファイアウォールを選択し、右画面で「受信したデータの合計」が表示されるようになっていればデータが収集できていると判断できます。


補足説明

Azure Sentinel の Windows ファイアウィール データコネクタで収集するデータが「%systemroot%\system32\logfiles\firewall\pfirewall.log」のことだと気付いていなかったためハマりました。

またログのサイズ制限の設定に関して、実機確認した限りサイズ制限値までログが溜まってからでないとAzure Sentinelへデータを送っていないように見えます。

そのため検証用に作成したほとんど動かしていない環境ではログがたまらず、いつまでたってもログが収集されない、という状態になります。

このサイズ制限に関しては、Azure Sentinelではなく「Windows ファイアウォール」のドキュメントに以下のような記載があります。

遅いログの取り込みのトラブルシューティング
Sentinel でログの表示に時間がかかる場合は、ログファイルサイズを小さくすることができます。 これによって、ログのローテーションのリソース使用量の増加によるリソース使用量の増加に注意してください

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-firewall/configure-the-windows-firewall-log

にほんブログ村 IT技術ブログへ
にほんブログ村


コメント