Windows セキュリティ イベント ログを収集したい Azure に複数の仮想マシンと仮想マシン スケール セットがあります。これらのイベントを、Sentinel が使用する Log Analytics ワークスペースにポータル経由で追加しようとしました。
これにより、次のエラー メッセージが生成されます。
監査成功および監査失敗のイベント タイプは現在サポートされていないため、このインテリジェンス パックでは「セキュリティ」イベント ログを収集できません。
Sentinel がこれらのセキュリティ ログにアクセスできるようにすることは、私にとって難しい要件です。私は自分の選択肢が何であるかを理解しようとしてきましたが、まだ良いものを見つけていません.
規定されたアプローチは、セキュリティ イベント用に Sentinel で Data Connector を設定しているようです。これを試みて、いくつかの興味深いことを思いつきました。
仮想マシン スケール セットのサポートは制限されています。現在、利用できるアクションはありません。
仮想マシン スケール セットを接続できないようです。これは大きな問題です。さらに、このコンテキストからセキュリティ イベントの階層 (以下を参照) を選択することさえできません。
そのため、Azure Security Center を使用する必要があるようです。Azure Security Center 内からこれらのセキュリティ イベントを追加できる唯一の方法は、自動プロビジョニングを有効にして、すべての VM に Microsoft Monitoring Agent (MMA) をインストールすることですが、これはやりたくありません。また、ASC を使用する際のコストも気になります。
他のオプションはありますか?私はこれについて間違った方法で進んでいますか?