Azure Security Center でのアラートの検証 (EICAR テスト ファイル)Alert validation (EICAR test file) in Azure Security Center

このドキュメントは、Azure Security Center のアラートに対してシステムが適切に構成されているかどうかを確認する方法を学ぶのに役立ちます。This document helps you learn how to verify if your system is properly configured for Azure Security Center alerts.

セキュリティの警告とは何かWhat are security alerts?

アラートは、Security Center がリソース上の脅威を検出したときに生成する通知です。Alerts are the notifications that Security Center generates when it detects threats on your resources. アラートは優先順位を付けられ、問題の迅速な調査に必要な情報と共に一覧表示されます。It prioritizes and lists the alerts along with the information needed to quickly investigate the problem. Security Center は、攻撃をどのように修復できるかに関する推奨事項も提供します。Security Center also provides recommendations for how you can remediate an attack. 詳細については、Security Center のセキュリティ アラートおよびセキュリティ アラートの管理と対応に関する記事をご覧くださいFor more information, see Security alerts in Security Center and Managing and responding to security alerts

アラートの検証Alert validation

Windows VM 上でのアラートの検証 Validate alerts on Windows VMs

Security Center エージェントをコンピューターにインストールした後、アラートの攻撃対象リソースとして使用するコンピューターから次の手順を実行します。After Security Center agent is installed on your computer, follow these steps from the computer where you want to be the attacked resource of the alert:

  1. 実行可能ファイル (calc.exe など) をコンピューターのデスクトップまたは他の適切なディレクトリにコピーし、名前を ASC_AlertTest_662jfi039N.exe に変更します。Copy an executable (for example calc.exe) to the computer’s desktop, or other directory of your convenience, and rename it as ASC_AlertTest_662jfi039N.exe.
  2. コマンド プロンプトを開き、引数 (単なるダミーの引数名) を指定してこのファイルを実行します。例: ASC_AlertTest_662jfi039N.exe -fooOpen the command prompt and execute this file with an argument (just a fake argument name), such as: ASC_AlertTest_662jfi039N.exe -foo
  3. 5 ~ 10 分待って、Security Center のアラートを開きます。Wait 5 to 10 minutes and open Security Center Alerts. 以下ののようなアラートが表示されます。An alert similar to the example below should be displayed:

注意

Windows のこのテスト アラートを確認する場合は、 [Arguments Auditing Enabled](引数の監査が有効) フィールドが [true] であることを確認してください。When reviewing this test alert for Windows, make sure the field Arguments Auditing Enabled is true. それが [false] である場合は、コマンド ライン引数の監査を有効にする必要があります。If it is false, then you need to enable command-line arguments auditing. これを有効にするには、次のコマンドを使用します。To enable it, use the following command:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit" /f /v "ProcessCreationIncludeCmdLine_Enabled"

Linux VM 上でのアラートの検証 Validate alerts on Linux VMs

Security Center エージェントをコンピューターにインストールした後、アラートの攻撃対象リソースとして使用するコンピューターから次の手順を実行します。After Security Center agent is installed on your computer, follow these steps from the computer where you want to be the attacked resource of the alert:

  1. 実行可能ファイルを任意の場所にコピーし、名前を ./asc_alerttest_662jfi039n に変更します。例:Copy an executable to a convenient location and rename it to ./asc_alerttest_662jfi039n, for example:

    cp /bin/echo ./asc_alerttest_662jfi039n

  2. コマンド プロンプトを開き、このファイルを実行します。Open the command prompt and execute this file:

    ./asc_alerttest_662jfi039n testing eicar pipe

  3. 5 ~ 10 分待って、Security Center のアラートを開きます。Wait 5 to 10 minutes and open Security Center Alerts. 以下ののようなアラートが表示されます。An alert similar to the example below should be displayed:

アラートの例 Alert example

アラートの検証の例

Kubernetes 上でのアラートの検証 Validate alerts on Kubernetes

Azure Kubernetes Service を統合する Security Center のプレビュー機能を使用している場合は、次の kubectl コマンドを実行して、アラートが動作していることをテストします。If you're using the Security Center preview feature of integrating Azure Kubernetes Service, run the following kubectl command to test that your alerts are working:

kubectl get pods --namespace=asc-alerttest-662jfi039n

Azure Kubernetes Service と Azure Security Center の統合について詳しくは、こちらの記事をご覧ください。For more information about the integration of Azure Kubernetes Service and Azure Security Center, see this article.

次の手順Next steps

この記事では、アラートの検証プロセスについて説明しました。This article introduced you to the alerts validation process. この検証について理解できたら、次の記事をお読みください。Now that you're familiar with this validation, try the following articles: