Citrix Analytics for Security

LogstashによるSentinelインテグレーションのトラブルシューティングガイダンス

この記事では、Logstashを使用してMicrosoft SentinelをCitrix Analyticsと統合する際に発生する可能性のある問題を解決するためのヒントを紹介します。詳細については、 KafkaまたはLogstashベースのデータコネクタを使用したSIEM統合を参照してください

Logstash サーバーのログをチェック

ターミナルウィンドウに表示されるLogstashサーバーのログを確認して、データがSentinelワークスペースのカスタムログテーブルに正しく取り込まれたかどうかを確認できます。

  1. ログの詳細を表示するには、[設定] > [ データエクスポート] > [設定] タブ ** [ SIEM 環境の拡張] から Logstash 設定ファイルをダウンロードする必要があります。 **Azure Sentinel (プレビュー)で、「 Logstash 設定ファイルのダウンロード」をクリックします。

  2. 設定ファイルを使用してLogstashサーバーを起動すると、同じターミナルウィンドウに、Microsoft AzureがホストするLog Analyticsワークスペースとの接続が成功したことを示す次のログが表示されます。

    データエクスポートのトラブルシューティング

よくあるエラー:バンドルされた JDK を使用する

Microsoft ログ分析プラグインをインストールしようとすると、一般的に次のようなエラーが報告されます。

Microsoftログ分析プラグイン

その後、Logstashサーバーを実行しようとすると、次のエラーが表示されることがあります。

Logstash サーバーエラー

これを解決するには、JAVA_HOME をバンドルされている JDK に設定します。

  1. Windows 環境変数に移動
  2. 「JAVA_HOME」という名前の新しいシステム変数を作成します。
  3. < path_to_logstash >バンドルされている Logstash JDK (/Logstash-X.x.x/JDK) にパスを追加してください。

上記の手順を実行した後、プラグインを再インストールしようとすると、次の画面が表示されます。

JDKファイルを開くことのできるプログラム

LS_JAVA_HOME を使用する場合は (JAVA_HOME は廃止されているため)、バンドルされている JDK の場所もシステムの PATH 変数に指定する必要があります。また、このパスは (LS_JAVA_HOME 変数とは異なり) jdk\ bin フォルダーを指している必要があります。

JDKファイルを開くことのできるプログラム

LS_JAVA_HOME を使用する場合は (JAVA_HOME は廃止されているため)、バンドルされている JDK の場所もシステムの PATH 変数に指定する必要があります。また、このパスは (LS_JAVA_HOME 変数とは異なり) jdk\ bin フォルダーを指している必要があります。

ロケーションパス

Microsoft Sentinel Workbookをチェック

Citrix Analytics から送信されたデータが、ログ分析ワークスペースの適切なカスタムログテーブルに正常に入力されたかどうかを確認するには(Microsoft Sentinel と Citrix Analytics の統合について詳しくは、「Microsoft Sentinel の統合」を参照してください)。

  1. Azure ポータル > Microsoft Sentinel > 適切なワークスペースを選択 > データコネクタに移動し、Citrix SecurityAnalytics を選択してクリックします。
  2. トップバーをチェックして、接続状態を確認します。

    接続ステータス

  3. ワークブックでは、直感的なフィルターを使用してデータをさらに掘り下げてリスク指標情報を取得できます。情報を取得するには、 Azure ポータル > Microsoft Sentinel > データコネクタ > CITRIX SECURITY ANALYTICSワークブックに移動します。

    ワークブック

KQL を使用してログ分析ワークスペースのログを確認する

また、それぞれのカスタムログテーブルで KQL クエリを実行して、正しいデータが LogAnalytics ワークスペースに届いたかどうかを確認することもできます。

  1. Azure ポータル > Log Analytics ワークスペースに移動し 、適切なワークスペースを検索します。

  2. 左側のパネルで [ ログ ] を選択し、[テーブル] タブでカスタムログ分析テーブルを検索します

  3. カスタムログ分析テーブルを選択し、[ エディターで使用] をクリックします。(ログ分析ワークスペースでの KQL クエリのガイダンスについては、 ログ分析チュートリアルを参照してください)。

  4. [実行] をクリックします。

    エディターで使用

LogstashによるSentinelインテグレーションのトラブルシューティングガイダンス