こんにちは、Windowsインフラエンジニア ばにゃです。
本記事では、Azure Sentinel のデータコネクタでWindowsファイアウォールの設定を行ったにもかかわらず、Windowsファイアウォールのデータが収集されない場合の対処方法について解説します。
本記事の前提となる環境
本記事では、以下のような環境を例として記載します。この環境で私自身が実機動作確認済みの手順となります。
- Windows Server 2016(Azure上の仮想マシン)
対処方法
ログ収集対象のマシンで以下の設定を確認します。今回の例ではログ収集対象となるWindows Server 2016 で以下の設定を確認します。
- Windowsファイアウォールログの取得設定
- Windowsファイアウォールログのサイズ制限
Windows ファイアウォールログの取得設定
Windows ファイアウォールログが有効になっていないとデータ収集ができないため、まず以下の設定を確認します。デフォルトでは ログを収集しない設定 になっているはずです。
- 「セキュリティが強化されたWindows Defender ファイアウォール」の画面を開きます。この際、アクティブとなっているプロファイルを確認しておきます。
- 「Windows Defender ファイアーウォールのプロパティ」をクリックします。
- 手順1.でアクティブとなっているプロファイルのタブを選択し、ログの「カスタマイズ」をクリックします。
- 「破棄されたパケットをログに記録する」「正常な接続をログに記録する」の設定が「いいえ(既定)」となっている場合、「はい」に変更します。
以上で Windows ファイアウォールログを有効にする手順は完了です。
Windows ファイアウォールログのサイズ制限
「Windows ファイアウォールログの取得設定」を有効にして、しばらく時間をおいても Azure Sentinel 上にファイアウォールログが表示されない場合は以下を確認してください。
- 「セキュリティが強化されたWindows Defender ファイアウォール」の画面を開きます。この際、アクティブとなっているプロファイルを確認しておきます。
- 「Windows Defender ファイアーウォールのプロパティ」をクリックします。
- 手順1.でアクティブとなっているプロファイルのタブを選択し、ログの「カスタマイズ」をクリックします。
- 「サイズ制限」の値を小さい値に変更します。
※ここでは例として2KBとします。
以上で Windows ファイアウォールログのサイズ制限を変更する手順は完了です。
データが収集できているかの確認方法
Azure Sentinel のデータコネクタより Windows ファイアウォールを選択し、右画面で「受信したデータの合計」が表示されるようになっていればデータが収集できていると判断できます。
参考情報
Microsoft ドキュメント
- 高度なセキュリティ ログWindows Defenderファイアウォールを構成する
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-firewall/configure-the-windows-firewall-log
補足情報
Azure Sentinel の Windows ファイアウォール データコネクタで収集対象となっているログファイルは以下となります。
- %systemroot%\system32\logfiles\firewall\pfirewall.log
私が実機で確認した限り、サイズ制限値までこのログが溜まっていないと Azure Sentinel へログデータを送っていないようでした。そのため、ほとんど動かしていないような検証環境ではログがたまらず、いつまでたってもログが収集されないという状態になります。
このサイズ制限に関しては、Azure Sentinelではなく「Windows ファイアウォール」のドキュメントに以下のような記載があります。
遅いログの取り込みのトラブルシューティング
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/windows-firewall/configure-the-windows-firewall-log
Sentinel でログの表示に時間がかかる場合は、ログファイルサイズを小さくすることができます。 これによって、ログのローテーションのリソース使用量の増加によるリソース使用量の増加に注意してください
関連書籍
コメント