セキュリティ コントロール V2: ログ記録と脅威検出

ログと脅威の検出では、Azure 上の脅威を検出し、Azure サービスの監査ログを有効、収集、および格納するための制御について説明します。 これには、Azure サービスでネイティブの脅威検出を使用して高品質のアラートを生成するための制御による検出、調査、修復プロセスの有効化が含まれます。また、Azure Monitor でのログの収集、Azure Sentinel を使用したセキュリティ分析の一元化、時刻同期、ログの保持も含まれます。

該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: ログ記録と脅威検出」の詳細を参照してください。

LT-1: Azure リソースの脅威検出を有効にする

潜在的な脅威や異常について、さまざまな種類の Azure 資産を監視していることを確認します。 誤検知の件数を減らし、アナリストが処理しやすくするために、高品質なアラートを取得することに重点を置きます。 アラートは、ログ データ、エージェント、またはその他のデータから取得できます。

Azure サービス テレメトリの監視とサービス ログの分析に基づく Azure Defender を使用します。 データは Log Analytics エージェントを使用して収集されます。このエージェントは、さまざまなセキュリティ関連の構成とイベント ログをシステムから読み取り、分析のためにデータをワークスペースにコピーします。

さらに、Azure Sentinel を使用して、環境全体で特定の条件に一致する脅威を検出する分析ルールを構築します。 各インシデントを調査できるように、条件が一致すると、ルールによってインシデントが生成されます。 Azure Sentinel では、サードパーティの脅威インテリジェンスをインポートして、脅威検出機能を強化することもできます。

• Azure Defender

• Azure Security Center のセキュリティ アラート リファレンス ガイド

• 脅威を検出するためのカスタム分析ルールを作成する

• Azure Sentinel を使用したサイバー脅威インテリジェンス

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• インフラストラクチャとエンドポイントのセキュリティ

• セキュリティ操作

• 姿勢管理

• アプリケーションのセキュリティと DevOps

• 脅威情報

LT-2: Azure ID とアクセス管理の脅威検出を有効にする

Azure AD には、より高度な監視と分析のユース ケースのために、Azure AD レポートで表示したり、Azure Monitor、Azure Sentinel、またはその他の SIEM/監視ツールと統合したりできる次のユーザー ログが用意されています。

• サインイン – サインイン レポートには、マネージド アプリケーションとユーザー サインイン アクティビティの使用状況に関する情報が表示されます。

• 監査ログ - Azure AD 内のさまざまな機能によって行われたすべての変更について、ログを通じて追跡可能性を提供します。 監査ログの例には、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のリソースに加えられた変更が含まれます。

• 危険なサインイン - 危険なサインインは、ユーザー アカウントの正当な所有者ではないユーザーによって実行された可能性のあるサインイン試行のインジケーターです。

• リスクのフラグが設定されたユーザー - 危険なユーザーは、侵害された可能性のあるユーザー アカウントのインジケーターです。

Azure Security Center では、認証試行の失敗回数が多すぎる、サブスクリプション内の非推奨のアカウントなど、特定の疑わしいアクティビティに対してアラートを生成することもできます。 基本的なセキュリティ検疫の監視に加えて、Azure Defender では、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、アプリ サービスなど)、データ リソース (SQL DB やストレージなど)、Azure サービス レイヤーから、より詳細なセキュリティ アラートを収集することもできます。 この機能を使用すると、個々のリソース内のアカウントの異常を確認できます。

• Azure AD の監査アクティビティ レポート

• Azure Identity Protection を有効にする

• Azure Defender

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• インフラストラクチャとエンドポイントのセキュリティ

• セキュリティ操作

• 姿勢管理

• アプリケーションのセキュリティと DevOps

• 脅威情報

LT-3: Azure ネットワーク アクティビティのログ記録を有効にする

セキュリティ分析のために、ネットワーク セキュリティ グループ (NSG) リソース ログ、NSG フロー ログ、Azure Firewall ログ、Web アプリケーション ファイアウォール (WAF) ログを有効にして収集し、インシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートします。 フロー ログを Azure Monitor Log Analytics ワークスペースに送信し、Traffic Analytics を使用して分析情報を提供できます。

他のネットワーク データの関連付けに役立つ DNS クエリ ログを収集していることを確認します。

• ネットワーク セキュリティ グループのフロー ログを有効にする方法

• Azure Firewall のログとメトリック

• Traffic Analytics を有効にして使用する方法

• Network Watcher を使用した監視

• Azure Monitor の Azure ネットワーク監視ソリューション

• DNS Analytics ソリューションを使用して DNS インフラストラクチャに関する分析情報を収集する

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• インフラストラクチャとエンドポイントのセキュリティ

• セキュリティ操作

• 姿勢管理

• アプリケーションのセキュリティと DevOps

• 脅威情報

LT-4: Azure リソースのログ記録を有効にする

Azure リソースのログ記録を有効にして、コンプライアンス、脅威検出、ハンティング、インシデント調査の要件を満たします。

Azure Security Center と Azure Policy を使用して、監査、セキュリティ、およびリソース ログにアクセスするために、Azure リソースのリソース ログとログ データ収集を有効にすることができます。 自動的に使用できるアクティビティ ログには、イベント ソース、日付、ユーザー、タイムスタンプ、ソース アドレス、宛先アドレス、およびその他の便利な要素が含まれます。

• Azure でのログ記録とさまざまなログの種類について

• Azure Security Center のデータ収集について

責任: 共有

顧客のセキュリティ利害関係者 (詳細情報):

• セキュリティ操作

インフラストラクチャとエンドポイントのセキュリティ

• アプリケーションのセキュリティと DevOps

• 脅威情報

LT-5:セキュリティ ログの管理と分析を一元化する

ログ記録ストレージと分析を一元化して相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用されるツール、およびデータ保持要件が割り当てられていることを確認します。

Azure アクティビティ ログを中央ログに統合していることを確認します。 Azure Monitor を使用してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor では、Log Analytics ワークスペースを使用してクエリを実行し、分析を実行し、長期およびアーカイブ ストレージに Azure Storage アカウントを使用します。

さらに、Azure Sentinel またはサード パーティの SIEM にデータを有効にしてオンボードします。

多くの組織では、頻繁に使用される "ホット" データに Azure Sentinel を使用し、使用頻度の低い "コールド" データに Azure Storage を使用することを選択しています。

• Azure Monitor を使用してプラットフォーム のログとメトリックを収集する方法

• Azure Sentinel をオンボードする方法

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• セキュリティ アーキテクチャ

• アプリケーションのセキュリティと DevOps

• インフラストラクチャとエンドポイントのセキュリティ

LT-6:ログの保持期間を構成する

コンプライアンス、規制、ビジネス要件に従ってログリテンション期間を構成します。

Azure Monitor では、組織のコンプライアンス規制に従って Log Analytics ワークスペースの保有期間を設定できます。 長期およびアーカイブ ストレージには、Azure Storage、Data Lake、または Log Analytics ワークスペース アカウントを使用します。

• Log Analytics のデータ保有期間を変更する

• Azure Storage アカウント ログの保持ポリシーを構成する方法

• Azure Security Center のアラートと推奨事項のエクスポート

責任: お客様

顧客のセキュリティ利害関係者 (詳細情報):

• セキュリティ アーキテクチャ

• アプリケーションのセキュリティと DevOps

• セキュリティ操作

• セキュリティ コンプライアンス管理

LT-7: 承認された時刻同期ソースを使用する

Microsoft は、ほとんどの Azure PaaS サービスと SaaS サービスのタイム ソースを維持しています。 仮想マシンの場合は、特定の要件がない限り、時刻同期に Microsoft の既定の NTP サーバーを使用します。 独自のネットワーク タイム プロトコル (NTP) サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。

Azure 内のリソースによって生成されるすべてのログには、既定で指定されたタイム ゾーンを含むタイム スタンプが用意されています。

• Azure Windows コンピューティング リソースの時刻同期を構成する方法

• Azure Linux コンピューティング リソースの時刻同期を構成する方法

• Azure サービスの受信 UDP を無効にする方法

責任: 共有

顧客のセキュリティ利害関係者 (詳細情報):

• ポリシーと標準

• アプリケーションのセキュリティと DevOps

• インフラストラクチャとエンドポイントのセキュリティ