PowerDMARCのMicrosoft Sentinel統合により、Sentinelワークスペース内で直接、メール認証およびドメインセキュリティデータをシームレスに取り込み監視できます。PowerDMARC APIを活用することで、組織は複雑な設定なしに効率的なSIEM統合を構築可能—接続し、実行するだけで、全ドメインにわたるメールセキュリティ態勢を一元的に可視化できます。
このガイドは意図的に セットアップとデータ取り込みに意図的に焦点を当てています。Sentinelダッシュボード/ワークブックは 対象外。
APIドキュメント:
Swagger ドキュメント: https://app.powerdmarc.com/swagger-ui/index.html
代替ドキュメント https://api.powerdmarc.com/
注
命名規則は、このドキュメントに記載されているものに限定されません
アーキテクチャ概要
この例では、 監査ログエンドポイント をテスト目的および説明のために使用しています
PowerDMARC API
↓
Azure Logic App (スケジュール済み)
↓
Azure Log Analytics ワークスペース
↓
Microsoft Sentinel (分析、インシデント、ハンティング)
センチネル は直接データを受信しません。データはLog Analyticsワークスペースから読み取ります。
前提条件
開始前に、以下のものを用意してください:
·Azure サブスクリプション(作成権限付き) 作成権限を持つ Azure サブスクリプション:
oリソースグループ リソースグループ
o ログ アナリティクス ワークスペース
o ロジック アプリ (コンシューマ モデル) (これはテスト環境として優先的に選択されました)
o Microsoft Sentinel
· A PowerDMARC API ベアラートークン アクセス権限付き 監査ログ
Azureリソースの設定
リソース グループを作成する
1. Azure Portal → リソースの作成 → リソース グループ
2. 名前: rg-powerdmarc-sentinel
3. 地域: ご希望の地域を選択してください(一貫性を保ってください)
Log Analytics ワークスペースを作成する
1. Azure Portal → リソースの作成 → Log Analytics ワークスペース
2. 名前: law-powerdmarc-sentinel
3. リソースグループ: rg-powerdmarc-sentinel
4. 地域: リソースグループと同じ
作成後:- ワークスペースを開く- 確認する ログ ブレードが正常に開きました
Microsoft Sentinel を有効にする
1. Azure Portal → Microsoft Sentinel
2. クリック + 作成
3. ワークスペースを選択: law-powerdmarc-sentinel
4. クリック 追加
この統合にはデータコネクタは不要です。
ロジック アプリを作成する
ロジック アプリを作成 (コンシューマ プラン)
1. Azure Portal → リソースの作成 → ロジック アプリ (従量課金)
2. 名前: la-powerdmarc-sentinel
3. リソースグループ: rg-powerdmarc-sentinel
4. 地域: ワークスペースと同じ
トリガーの追加 – 繰り返し(オプション)
1. ロジックアプリを開く → ロジック アプリ デザイナー
2. 選択 再発 トリガー
PowerDMARC API呼び出し
5.1 HTTPアクションの追加
アクションを追加 → HTTP
方法: GET
URI: https://app.powerdmarc.com/api/v1/audit-logs
Headers: Authorization: Bearer <POWERDMARC_API_TOKEN>
Accept: application/json
クエリパラメータ: From & To (これらは監査ログAPIに必要なパラメータです。フォーマットについてはPowerDMARC APIドキュメントを参照してください)
この手順の後、ロジック アプリを保存してください。
JSONレスポンスの解析
Parse JSONアクションを追加
アクションを追加 → JSONを解析
コンテンツ - 選択 ボディ HTTPアクション(動的コンテンツ)から
スキーマ 使用 「サンプルペイロードを使用してスキーマを生成」 を貼り付けます:(これはPowerDMARC APIドキュメントのサンプルから取得できます):
{
"data": [
{
"user_name": "John Doe",
"action": "Updated attached domains",
"ip_address": "12.111.67.123",
"a_username": null,
"other": null,
"created_at": "2025-06-06 14:29:24"
}
]
}
ロジック アプリを保存します。
監査ログエントリのループ処理
PowerDMARC APIは 監査イベントの配列 の配列を返します。各イベントは個別にLog Analyticsに送信する必要があります。
各アクションごとに追加
アクションを追加 → それぞれに対して
前のステップからの出力を選択 (式):@body('Parse_JSON')?['data']
データをLog Analyticsに送信する
データ送信アクションを追加
内部には 各ブロックごとに ブロックごとに:
アクションの追加 → データ送信 (Azure Log Analytics)
Log Analytics 接続を作成する
プロンプトが表示されたら:
接続名 接続名: powerdmarc-loganalytics
ワークスペース ID: Log Analytics ワークスペース → 概要
ワークスペースキー: プライマリキーのソース:
Log Analytics ワークスペース → 設定 → エージェント → Log Analytics エージェント (クラシック)
データ送信設定
JSONリクエスト本文 (式):@items('For_each')
カスタムログ名: PowerDMARCAuditLog
ロジック アプリを保存します。
取り込みの検証
ロジックアプリを実行する
1. クリック 実行
2. 履歴を開く 履歴を開く
3. すべての手順が表示されていることを確認 成功
o HTTP
o JSONの解析
o 各 (反復回数 > 0) について
o データを送信
Log Analytics / Sentinel でのデータの検証
移動先: Microsoft Sentinel → ログ
KQLクエリの実行:
PowerDMARCAuditLog_CL
| sort by TimeGenerated desc
| take 20
期待される結果
現時点では:- PowerDMARC監査ログがAzureに取り込まれる- Microsoft Sentinelは以下の処理が可能: - データのクエリ - 分析ルールの作成 - インシデントの生成 - ハンティングおよび調査のサポート