AZ700-APP#61
Application Gateway WAF v2 の Firewall ログを SIEM (Microsoft Sentinel) で分析する構成手順を、正しい順序に並べてください。
- Application Gateway 診断設定で ApplicationGatewayFirewallLog を Log Analytics へ送信
- Microsoft Sentinel を該当 Log Analytics Workspace 上で有効化
- Sentinel の Azure Application Gateway Data Connector を有効化
- Analytics Rule (KQL ベース脅威検知) を構成 + Incident 化
解説
【正しい順序】
- ステップ 1: 診断設定 + ログ送信
- ステップ 2: Sentinel 有効化
- ステップ 3: Data Connector 有効化
- ステップ 4: Analytics Rule 構成
【各ステップの理由】
- ステップ 1 診断設定 + ログ送信: Application Gateway WAF v2 の診断設定で FirewallLog / AccessLog を Log Analytics Workspace に送信します。
- ステップ 2 Sentinel 有効化: 対象 Workspace 上で Microsoft Sentinel を有効化します。これにより、SIEM / SOAR 機能が利用可能になります。
- ステップ 3 Data Connector 有効化: Sentinel の Azure Application Gateway Data Connector を有効化し、WAF ログを Sentinel の正規化テーブルに取り込みます。
- ステップ 4 Analytics Rule 構成: KQL ベースの Analytics Rule を作成し、SQL Injection や XSS などの重大度の高い検知パターンを Incident 化します。
【誤った順序の問題点】
- Connector 有効化を先に行う: Sentinel が有効化されていないと Data Connector の概念自体が存在しないため、順序が成立しません。
- Analytics Rule なしで運用: Incident 化されないと SOC オペレーション (調査 / 対応) のキックが行われず、検知が活用されません。
コメント