Zoho VaultとMicrosoft Sentinelの連携

Zoho VaultとMicrosoft Sentinelの連携

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

概要

Azure Monitor と Microsoft Sentinel は連携して動作しており、Sentinel は Azure Monitor のデータ収集およびログ管理フレームワークの上に構築されています。Azure Monitor は基盤として、ログ分析ワークスペースや Azure Monitor Agent などのコアコンポーネントを提供し、データの収集と保存を行います。Microsoft Sentinel はこのデータを分析し、脅威検出、調査、対応などを含むセキュリティ情報イベント管理 (SIEM) 機能を提供します。

Zoho Vault は Azure Logs Ingestion API を使用して、イベントを Azure Monitor の Log Analytics ワークスペース テーブルに直接ストリーミングすることで、シームレスな連携をサポートします。これにより、監視とセキュリティ分析を一元管理できます。
Notes
メモ: Azure における継続的なモダナイゼーションの一環として、従来のカスタム データ収集 API は2026 年 9 月に廃止される予定です。詳細はこちら

セットアップ手順

セットアップを開始するには、Azure ポータルにアクセスします。

手順 1: アプリ登録を作成する

Azure Logs Ingestion API への API リクエストを認証するには、Azure アプリ登録を作成する必要があります。
  1. Azure ポータルでApp registrationsに移動し、New registrationをクリックします。
  2. 登録フォームに入力します。
    1. Name: ZohoVaultLogging
    2. Supported account types: 既定のオプション (Single tenant) を選択します。
    3. Redirect URI: この項目は空白のままにします。
    4. Registerをクリックします。
  3. アプリの登録が完了したら、次の操作を行います。
    1. 作成したアプリケーションを開きます。
    2. Expose an API に移動します。
    3. Application ID URI の横にある Add をクリックします。
    4. 提案された既定の URI をそのまま承認して保存します。

手順 2: クライアント シークレットを作成する

  1. Azure ポータルで App registrations に移動し、対象のアプリケーションを選択します。
  2. Manage から Certificates & secrets をクリックし、続いて New client secret をクリックします。
  3. 説明を入力し、必要な有効期限を選択します。
  4. Add をクリックしてシークレットを生成します。
  5. 作成後、生成された値をすぐにコピーし、Zoho Vault に安全に保存します。この値は後で「Client Secret Value」として必要になります。
最後に、アプリケーションのOverview ページに移動し、後続の設定手順で使用するために「Tenant ID」と「Display Name」をメモしておきます。
Info
情報: 次の情報を後で使えるように保存しておいてください。
1. Application (client) ID
2. Client secret ID
3. Client secret value
4. App registrations ページに表示される Directory (tenant) ID

手順 3: Log Analytics ワークスペースを作成する

Log Analytics ワークスペースは、ログ データの収集と保持を行う Azure Monitor の主要なリソースです。すでにワークスペースがある場合は、この手順はスキップできます。

新しいワークスペースを作成するには、次の操作を行います。
  1. Azure ポータルで Log Analytics workspaces に移動します。
  2. Create をクリックし、次の詳細を入力します。
    1. サブスクリプション: 使用する Azure サブスクリプションを選択します。
    2. Resource group: 既存のリソース グループを選択するか、新しく作成します。
    3. Name: わかりやすい名前を入力します (たとえば ZohoVaultLogsWorkspace)。
    4. Region: 適切なリージョンを選択します。
  3. Review + Create をクリックし、続いて Create を選択して作成を完了します。

手順 4: アプリ登録にロールを割り当てる

ZohoVaultLogging アプリケーションがワークスペースにデータを送信できるようにするには、その Log Analytics ワークスペースに対して Log Analytics Contributor ロールを割り当てます。
  1. Azure ポータルで、対象の Log Analytics ワークスペース (たとえば ZohoVaultLogsWorkspace) を開きます。
  2. Access control (IAM) に移動し、Role assignments を選択します。
  3. Add をクリックし、続いて Add role assignment をクリックします。
  4. ロールの検索バーに Log Analytics Contributor と入力し、該当するロールを選択します。
  5. + Select member をクリックし、一覧から ZohoVaultLogging アプリケーションを選択します。
  6. 内容を確認し、ロールの割り当てを完了してアクセス権を付与します。

手順 5: データ収集エンドポイントを作成する

データ収集ルール (DCR) を作成する前に、まずデータ収集エンドポイント (DCE) を設定する必要があります。

次の手順で作成します。
  1. Azure ポータルで Data Collection Endpoints を検索し、Create をクリックします。
  2. 次の項目を設定します。
    1. サブスクリプション: 使用する Azure サブスクリプションを選択します。
    2. Resource Group: データ収集ルールで使用する予定のリソース グループと同じものを選択します。
    3. Region: 適切なリージョンを選択します。
    4. Name: わかりやすい名前を入力します (たとえば ZohoVaultLogsEndpoint)。
  3. 設定内容を確認し、作成処理を完了します。
エンドポイントの作成後、「Logs Ingestion URL」をメモしておきます。これは後続の設定手順で必要になります。

手順 6: テーブルと DCR を作成する

ログ取り込み用のカスタム テーブルを作成するには、次の操作を行います。
  1. Azure ポータルで、対象の Log Analytics ワークスペース (たとえば ZohoVaultLogsWorkspace) を開きます。
  2. Settings の下で Tables を選択し、Create をクリックします。
  3. New custom log (Direct ingest) を選択します。
  4. テーブル名を入力します。この例では ZohoVaultLogs を使用します。
  5. プロンプトが表示されたら、新しい data collection rule を作成します。
  6. 以下の JSON ファイルをコンピューターに保存します。
  7. プロンプトが表示されたら、以下の JSON ファイルをデータ サンプルとしてアップロードします。
  1. [
  2. {
  3. 'Action': 'Password Moved to ごみ箱',
  4. 'Ipaddress': '127.0.0.1',
  5. 'TimeGenerated': '2025-12-15T07:06:12.557679Z',
  6. 'PerformedBy': 'Test User',
  7. 'Reason': 'Validating configuration',
  8. 'Remarks':'Test Remarks'
  9. 'Name': 'Test Password'
  10. }
  11. ]
設定内容を確認し、テーブル作成の要求を送信します。

手順 7: DCR にアプリのアクセス許可を割り当てる

データ収集ルールに必要なアクセス許可を付与するには、次の操作を行います。
  1. Azure ポータルで Data collection rules に移動し、対象のルール (たとえば ZohoVaultDCR) を開きます。
  2. Access control (IAM) を選択し、Role assignments に移動します。
  3. Add をクリックし、Add role assignment を選択します。
  4. Monitoring Metrics Publisher ロールを検索して選択します。
  5. +Select members をクリックし、一覧から ZohoVaultLogging application を選択して割り当てを完了します。
  6. 同じ手順を繰り返し、「Monitoring Contributor」と「Monitoring Reader」も追加します。

手順 8: DCE にアプリのアクセス許可を割り当てる

データ収集エンドポイントに必要なアクセス許可を付与するには、次の操作を行います。
  1. Azure ポータルで Data collection endpoints に移動し、対象のエンドポイント (たとえば ZohoVaultLogsEndpoint) を開きます。
  2. Access control (IAM) を選択し、Role assignments に移動します。
  3. Add をクリックし、Add role assignment を選択します。
  4. Monitoring Metrics Publisher ロールを検索して選択します。
  5. Select members をクリックし、一覧から ZohoVaultLogging application を選択して割り当てを完了します。
  6. 同じ手順を繰り返し、ZohoVaultLogging アプリケーションに「Monitoring Contributor」ロールも割り当てます。
これらのロールを割り当てると、Azure 側の設定は完了です。続いて、Zoho Vault の SIEM コンソールから連携設定を行うことができます。

手順 9: Zoho Vault での MS Sentinel (DCR ベース) の設定


Azure 側の設定が完了したら、Zoho Vault で連携設定を行い、ログを Microsoft Sentinel にストリーミングする必要があります。
  1. Zoho Vault アカウントにスーパー管理者としてサインインします。
  2. Settings に移動し、SIEM Integration を選択します。
  3. MS Sentinel DCR-Based の下で、Edit Configurations をクリックします。
  4. 必要な Azure 情報を入力します。
    1. Azure tenant ID: Azure ポータルの App Registration ページに表示されます。
    2. Logs ingestion endpoint: Data Collection Endpoints に表示されます。
    3. Azure client ID (application ID): 先ほど作成したアプリ登録 (例: ZohoVaultLogging) の Overview ページに表示されます。
    4. Azure client secret: アプリ登録の Certificates & Secrets で生成した client secret value を使用します。
    5. Data Collection Rule ID: Data Collection Rules に表示される不変 ID を使用します。
    6. Stream name: Data Collection Rules に移動し、対象の DCR を開いて JSON View を選択します。
    7. ストリーム名をコピーします (例: Custom-ZohoVaultLogs_CL)。
    8. Is Azure US Government Cloud: Azure US Government Cloud を使用している場合のみ、このトグルを有効にします。
Info
情報: Azure US Government は、米国政府機関およびそのパートナー向けに設計された専用クラウド環境です。特定の米国政府の規制やコンプライアンス要件に準拠する必要があるワークロードをサポートします。詳細はこちら