Azure Security Center におけるアダプティブ アプリケーション制御Adaptive application controls in Azure Security Center

このチュートリアルを使用して、Azure Security Center でアプリケーション制御を構成する方法を説明します。Learn how to configure application control in Azure Security Center using this walkthrough.

Security Center でのアダプティブ アプリケーション制御とはWhat are adaptive application controls in Security Center?

適応型アプリケーション制御は、お使いの Azure および Azure 以外の VM (Windows および Linux) 上でどのアプリケーションが実行できるかを制御できる、Azure Security Center によるインテリジェントかつ自動化されたエンドツーエンドのソリューションです。Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure VMs (Windows and Linux). いくつかの利点のうち、これは特にマルウェアから VM を強化することに役立ちます。Among other benefits, this helps harden your VMs against malware. Security Center では、機械学習を使用して、お使いの VM 上で実行されているアプリケーションを分析し、このインテリジェンスから許可リストを作成します。Security Center uses machine learning to analyze the applications running on your VMs and creates an allow list from this intelligence. この機能を使用すると、アプリケーション許可リスト ポリシーを構成および保守するプロセスが非常にシンプルになり、以下のことが実現できます。This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • 悪意のあるアプリケーション (マルウェア対策ソリューションでは見逃される可能性のあるものを含む) の実行が試行されるのをブロックまたは警告する。Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • ライセンスのあるソフトウェアのみを使用するという組織のセキュリティ ポリシーに準拠する。Comply with your organization's security policy that dictates the use of only licensed software.
  • 環境内で使用されることが望ましくないソフトウェアを避ける。Avoid unwanted software to be used in your environment.
  • 古くてサポートされていないアプリが実行されることを避ける。Avoid old and unsupported apps to run.
  • 組織で許可されていない特定のソフトウェア ツールが実行されないようにする。Prevent specific software tools that are not allowed in your organization.
  • アプリの使用状況を通じて、機密データへのアクセスを IT 部門が制御できるようにする。Enable IT to control the access to sensitive data through app usage.

注意

Azure 以外の VM および Linux VM については、監査モードでのみ適応型アプリケーション制御がサポートされています。For Non-Azure and Linux VMs, adaptive application controls are supported in audit mode only.

アダプティブ アプリケーション制御を有効にする方法How to enable adaptive application controls?

適応型アプリケーション制御は、構成済みの VM のグループに対する実行が許可される一連のアプリケーションを定義するのに役立ちます。Adaptive application controls help you define a set of applications that are allowed to run on configured groups of VMs. この機能は、Azure と Azure 以外の Windows (すべてのバージョン、クラシック、または Azure Resource Manager) および Linux VM とサーバーで使用できます。This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux VMs and servers. アプリケーションの許可リストを構成するには、次の手順に従います。Use the following steps to configure your application allow lists:

  1. [Security Center] ダッシュボードを開きます。Open the Security Center dashboard.

  2. 左側のウィンドウで、 [高度なクラウド防御][適応型アプリケーション制御] を選択します。In the left pane, select Adaptive application controls located under Advanced cloud defense.

    防衛

[適応型アプリケーション制御] ページが表示されます。The Adaptive application controls page appears.

controls

[Groups of VMs](VM のグループ) セクションには、次の 3 つのタブがあります。The Groups of VMs section contains three tabs:

  • [構成済み] : アプリケーション制御で構成された VM が含まれているグループの一覧。Configured: list of groups containing the VMs that were configured with application control.
  • [推奨] : アプリケーション制御が推奨されるグループの一覧。Recommended: list of groups for which application control is recommended. Security Center では機械学習が使用され、VM が常に同じアプリケーションを実行しているかどうかに基づいて、アプリケーション制御の候補となる VM が特定されます。Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • [推奨なし] : アプリケーション制御の推奨がない VM が含まれているグループの一覧。No recommendation: list of groups containing VMs without any application control recommendations. たとえば、実行されるアプリケーションが常に変化していて、一定の状態にならない VM などです。For example, VMs on which applications are always changing, and haven’t reached a steady state.

注意

Security Center は、財産的価値のあるクラスタリング アルゴリズムを使用して VM のグループを作成します。これにより、同様の VM には、最適な推奨アプリケーション制御ポリシーが確実に適用されます。Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

新しいアプリケーション制御ポリシーの構成Configure a new application control policy

  1. アプリケーション制御の推奨があるグループの一覧を表示するには、 [推奨] タブをクリックします。Click on the Recommended tab for a list of groups with application control recommendations:

    推奨

    一覧には次の項目が含まれています。The list includes:

    • グループ名: サブスクリプションとグループの名前Group Name: The name of the subscription and group
    • VM およびコンピューター: グループ内の仮想マシンの数VMs and Computers: The number of virtual machines in the group
    • 状態: 推奨事項の状態State: the state of the recommendations
    • 重大度: 推奨事項の重大度レベルSeverity: the severity level of the recommendations
  2. グループをクリックして、 [アプリケーションの制御に関する規則の作成] オプションを開きます。Click on a group to open the Create application control rules option.

    アプリケーション制御規則

  3. [VM の選択] で、推奨されている VM の一覧を確認し、アプリケーションのホワイトリスト登録ポリシーを適用しないすべての VM のチェック ボックスをオフにします。In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. 今度は、次の 2 つの一覧が表示されます。Next, you see two lists:

    • [推奨アプリケーション] : このグループ内の VM での使用頻度が高く、実行を許可することが推奨されるアプリケーションの一覧。Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • [その他のアプリケーション] : このグループ内の VM での使用頻度が低いか、または "利用可能" (下記参照) として知られていることから、確認することが推奨されるアプリケーションの一覧。More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. それぞれの一覧のアプリケーションを確認し、適用したくないアプリケーションについてはチェック ボックスをオフにします。Review the applications in each of the lists, and uncheck any you do not want to apply. 各一覧には次の項目が含まれています。Each list includes:

    • [名前] : 証明書情報またはアプリケーションの完全なパスNAME: the certificate information or the full path of an application
    • [ファイルの種類] : アプリケーションのファイルの種類。FILE TYPES: the application file type. これは、EXE、スクリプト、MSI、またはこれらの種類の任意の順列になります。This can be EXE, Script, MSI, or any permutation of these types.
    • [利用可能] : 警告アイコンは、アプリケーションの許可リストをバイパスするために、特定のアプリケーションが攻撃者によって使用される恐れがある場合を示します。EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. これらのアプリケーションは、承認前に確認することをお勧めします。It is recommended to review these applications prior to their approval.
    • [ユーザー] : アプリケーションの実行を許可することが推奨されるユーザーUSERS: users that are recommended to be allowed to run an application
  5. 選択を終了したら、 [作成] を選択します。Once you finish your selections, select Create.
    [作成] を選択すると、Windows サーバー (AppLocker) 上で使用可能な組み込みアプリケーションの許可リスト ソリューションに対応する適切な規則が、Azure Security Center によって自動的に作成されます。After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

注意

  • VM のグループごとにベースラインを作成し、固有の推奨事項を提示するために、Security Center では最低 2 週間分のデータが必要となります。Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Security Center Standard レベルを初めてご利用になる場合、最初は一連の VM が [推奨なし] タブに表示されます。New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Security Center からのアダプティブ アプリケーション制御では、GPO またはローカル セキュリティ ポリシーによって既に AppLocker ポリシーが有効になっている VM はサポートされていません。Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Security Center では、セキュリティのベスト プラクティスとして、許可されるアプリケーションとして選択されるアプリケーションに対して発行元規則の作成が常に試行されます。アプリケーションに発行元情報がない (つまり署名されていない) 場合にのみ、特定のアプリケーションの完全なパスに対するパス規則が作成されます。As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

アプリケーション制御で構成されたグループの編集および監視Editing and monitoring a group configured with application control

  1. アプリケーションの許可リスト ポリシーを利用して構成されたグループを編集および監視するには、 [適応型アプリケーション制御] ページに戻り、 [VM のグループ] 下にある [構成済み] を選択します。To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    グループ

    一覧には次の項目が含まれています。The list includes:

    • グループ名: サブスクリプションとグループの名前Group Name: the name of the subscription and group
    • VM およびコンピューター: グループ内の仮想マシンの数VMs and Computers: the number of virtual machines in the group
    • [モード] :監査モードでは、許可リストにないアプリケーションの実行を試行すると、ログに記録されます。強制の場合は、許可リストにない限り、アプリケーションの実行は許可されませんMode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • [Alerts](アラート) : 現在のすべての違反Alerts: any current violations
  2. [アプリケーション制御ポリシーの編集] ページで変更を行うには、グループをクリックします。Click on a group to make changes in the Edit application control policy page.

    保護

  3. [保護モード] では、次のいずれかを選択できます。Under Protection mode, you have the option to select between the following:

    • [監査] : このモードでは、アプリケーション制御ソリューションによって規則が強制されず、保護されている VM のアクティビティの監査だけが行われます。Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. このオプションをお勧めするのは、ターゲット VM でアプリの実行をブロックする前に、まず全体的な動作を観察したい場合です。This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • [強制] : このモードでは、アプリケーション制御ソリューションによって規則が強制され、実行を許可されていないアプリケーションがブロックされます。Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    注意

    • 強制保護モードは、今後さらなる通知があるまでは無効になります。Enforce protection mode is disabled until further notice.
    • 既に説明したように、既定では新しいアプリケーション制御ポリシーは常に "監査" モードで構成されます。As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. [ポリシーの拡張機能] で、許可したい任意のアプリケーションのパスを追加します。Under Policy extension, add any application path that you want to allow. これらのパスを追加すると、Security Center によって、選択された VMS グループ内にある VM に対するアプリケーションの許可リスト ポリシーが更新されます。また、既に設定されている規則に加えて、これらのアプリケーションのための適切な規則が作成されます。After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. [最近のアラート] セクションに一覧表示されている現在の違反を確認します。Review the current violations listed in the Recent alerts section. 各行をクリックすると、Azure Security Center 内の [Alerts](アラート) ページにリダイレクトされ、関連付けられた VM で Azure Security Center によって検出されたすべてのアラートが表示されます。Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • [Alerts](アラート) : ログに記録されたすべての違反。Alerts: any violations that were logged.
    • [VM の数] : この種類のアラートがある仮想マシンの数。No. of VMs: the number of virtual machines with this alert type.
  6. [発行元のホワイトリスト登録に関する規則][パスのホワイトリスト登録に関する規則][ハッシュのホワイトリスト登録に関する規則] では、規則コレクションの種類に従って、グループ内の VM 上で現在どのアプリケーションのホワイトリスト登録に関する規則が構成されているかを確認できます。Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. 各規則について、次の内容が表示されます。For each rule you can see:

    • [Rule](規則) :アプリケーションの実行が許可されるかどうかを判断するために AppLocker がアプリケーションを調べる際に使用される特定のパラメーター。Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • [ファイルの種類] :特定の規則の対象となるファイルの種類。File type: The file types that are covered by a specific rule. これは次のいずれかになります。EXE、スクリプト、MSI、またはそれらのファイルの種類で構成された任意の順列。This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • [ユーザー] :アプリケーションのホワイトリスト登録に関する規則の対象となるアプリケーションの実行が許可されているユーザーの名前または人数。Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    ホワイトリスト登録に関する規則

  7. 特定の規則を削除する場合、または許可されたユーザーを編集する場合は、各行の末尾にある 3 つの点をクリックします。Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. 適応型アプリケーション制御ポリシーに変更を加えた後、 [保存] をクリックします。After making changes to an Adaptive application controls policy, click Save.

Security Center では、安定した一連のアプリケーションが実行されている仮想マシンについてのみ、アプリケーションのホワイトリスト登録ポリシーを推奨しています。Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. 関連する VM 上のアプリケーションが常に異なる場合、推奨は作成されません。Recommendations are not created if applications on the associated VMs keep changing.

推奨

一覧には、以下が含まれています。The list contains:

  • グループ名: サブスクリプションとグループの名前Group Name: the name of the subscription and group
  • VM およびコンピューター: グループ内の仮想マシンの数VMs and Computers: the number of virtual machines in the group

Azure Security Center では、推奨されない VM のグループに対してもアプリケーションのホワイトリスト登録ポリシーを定義することができます。Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. これらのグループに対するアプリケーションのホワイトリスト登録ポリシーを構成する場合も、前述の同じ原則に従ってください。Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

VM をあるグループから別のグループに移動するMove a VM from one group to another

VM をあるグループから別のグループに移動すると、適用されていたアプリケーション制御ポリシーが移動先のグループの設定に変更されます。When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. また、構成済みのグループから未構成のグループに VM を移動することもできますが、その結果、VM に適用されていたアプリケーション制御ポリシーが削除されます。You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. [適応型アプリケーション制御] ページの [構成済み] タブから、移動対象の VM が現在属しているグループをクリックします。From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. [構成された VM とコンピューター] をクリックします。Click Configured VMs and Computers.

  3. VM の行で 3 つのドットをクリックし、 [移動] をクリックします。Click the three dots in the line of the VM to move and click Move. [コンピューターを別のグループに移動する] ウィンドウが開きます。The Move computer to different group window opens.

    保護

  4. VM の移動先のグループを選択して [コンピューターの移動] をクリックし、 [保存] をクリックします。Select the group to move the VM to, and click Move Computer, and click Save.

    保護

注意

[コンピューターの移動] をクリックしたら、必ず [保存] をクリックしてください。Be sure to click Save after clicking Move Computer. [保存] をクリックしないと、コンピューターは移動されません。If you do not click Save, then the computer will not be moved.

次の手順Next steps

このドキュメントでは、Azure と Azure 以外の VM で実行されるアプリケーションをホワイトリストに登録するために、Azure Security Center で適応型アプリケーション制御を使用する方法について説明しました。In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Azure セキュリティ センターの詳細については、次を参照してください。To learn more about Azure Security Center, see the following: