問題タブ [azure-sentinel]

特定の一連のサブネットからの IP を検索したいと考えています。一部のクエリ言語は、/24 がサブネットであることを認識できるほどスマートですが、KQL はそうではありません。これに代わるものはありますか？これは私が検索する対象ではありませんが、例として、192.168.1.0/24 のマシンからのみサインイン ログを検索するとします。

Windows セキュリティ イベント ログを収集したい Azure に複数の仮想マシンと仮想マシン スケール セットがあります。これらのイベントを、Sentinel が使用する Log Analytics ワークスペースにポータル経由で追加しようとしました。

これにより、次のエラー メッセージが生成されます。

監査成功および監査失敗のイベント タイプは現在サポートされていないため、このインテリジェンス パックでは「セキュリティ」イベント ログを収集できません。

Sentinel がこれらのセキュリティ ログにアクセスできるようにすることは、私にとって難しい要件です。私は自分の選択肢が何であるかを理解しようとしてきましたが、まだ良いものを見つけていません.

規定されたアプローチは、セキュリティ イベント用に Sentinel で Data Connector を設定しているようです。これを試みて、いくつかの興味深いことを思いつきました。

仮想マシン スケール セットのサポートは制限されています。現在、利用できるアクションはありません。

仮想マシン スケール セットを接続できないようです。これは大きな問題です。さらに、このコンテキストからセキュリティ イベントの階層 (以下を参照) を選択することさえできません。

そのため、Azure Security Center を使用する必要があるようです。Azure Security Center 内からこれらのセキュリティ イベントを追加できる唯一の方法は、自動プロビジョニングを有効にして、すべての VM に Microsoft Monitoring Agent (MMA) をインストールすることですが、これはやりたくありません。また、ASC を使用する際のコストも気になります。

他のオプションはありますか？私はこれについて間違った方法で進んでいますか？

KQLでmake_setによって作成された配列の要素を数える方法は?