Azure Security Center での VM とサーバーの脅威検出Threat detection for VMs and servers in Azure Security Center

このトピックでは、次のオペレーティング システムを使用する VM およびサーバーで使用可能なさまざまな種類の検出方法およびアラートを示します。This topic presents the different types of detection methods and alerts available for VMs and servers with the following operating systems. サポートされているバージョンの一覧については、「Azure Security Center でサポートされている機能とプラットフォーム」をご覧ください。For a list of supported versions, see Platforms and features supported by Azure Security Center.

Windows Windows

Azure Security Center は Azure サービスと統合し、Windows ベースのマシンの監視と保護が行われます。Azure Security Center integrates with Azure services to monitor and protect your Windows-based machines. Security Center は、これらすべてのサービスからのアラートと修復の提案を使いやすい形式で示します。Security Center presents the alerts and remediation suggestions from all of these services in an easy-to-use format.

Microsoft Defender ATPMicrosoft Defender ATP

Security Center は、Microsoft Defender Advanced Threat Protection (ATP) との統合により、そのクラウド ワークロード保護プラットフォームを拡張します。Security Center extends its cloud workload protection platforms by integrating with Microsoft Defender Advanced Threat Protection (ATP). これにより、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。This provides comprehensive endpoint detection and response (EDR) capabilities.

注意

Microsoft Defender ATP センサーは、Security Center を使用する Windows サーバーで自動的に有効になります。The Microsoft Defender ATP sensor is automatically enabled on Windows servers that use Security Center.

Microsoft Defender ATP で脅威が検出されると、アラートがトリガーされます。When Microsoft Defender ATP detects a threat, it triggers an alert. アラートは、[Security Center] ダッシュボードに表示されます。The alert is shown on the Security Center dashboard. ダッシュボードからは、Microsoft Defender ATP コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることができます。From the dashboard, you can pivot to the Microsoft Defender ATP console, and perform a detailed investigation to uncover the scope of the attack. Microsoft Defender ATP の詳細については、「Microsoft Defender ATP サービスに対するサーバーのオンボード」をご覧ください。For more information about Microsoft Defender ATP, see Onboard servers to the Microsoft Defender ATP service.

クラッシュ ダンプ分析 Crash dump analysis

ソフトウェアがクラッシュすると、クラッシュ時のメモリが部分的にクラッシュ ダンプにキャプチャされます。When software crashes, a crash dump captures a portion of memory at the time of the crash.

クラッシュは、マルウェアが原因か、マルウェアが含まれている可能性があります。A crash might have been caused by malware or contain malware. セキュリティ製品によって検出されないようにするために、さまざまな形式のマルウェアがファイルレス攻撃を使用して、ディスクへの書き込みやディスクに書き込まれたソフトウェア コンポーネントの暗号化を回避します。To avoid being detected by security products, various forms of malware use a fileless attack, which avoids writing to disk or encrypting software components written to disk. この種の攻撃は、従来のディスク ベースのアプローチを使用して検出することは困難です。This type of attack is difficult to detect by using traditional disk-based approaches.

しかし、メモリ分析を使用すると、この種の攻撃を検出できます。However, by using memory analysis, you can detect this kind of attack. クラッシュ ダンプでメモリを分析すると、Security Center では、攻撃で使用されている手法を検出できます。By analyzing the memory in the crash dump, Security Center can detect the techniques the attack is using. たとえば、攻撃では、ソフトウェアの脆弱性の悪用、機密データへのアクセス、侵害されたコンピューターでの不正な保持が試みられている可能性があります。For example, the attack might be attempting to exploit vulnerabilities in the software, access confidential data, and surreptitiously persist within a compromised machine. Security Center では、ホストへのパフォーマンスへの影響を最小限に抑えながら、これが行われます。Security Center does this work with minimal performance impact to hosts.

アラート:Alert 説明Description
Code injection discovered (コード インジェクションが検出されました)Code injection discovered コード インジェクションとは、実行中のプロセスやスレッドに実行可能なモジュールを挿入することです。Code injection is the insertion of executable modules into running processes or threads. この手法は、マルウェアが、検出されて削除されるのを防ぐためにうまく隠れながら、データにアクセスするために使用されます。This technique is used by malware to access data, while successfully hiding itself to prevent being found and removed.
このアラートは、挿入されたモジュールがクラッシュ ダンプに存在することを示します。This alert indicates that an injected module is present in the crash dump. 悪意のある挿入モジュールと悪意のない挿入モジュールを区別するために、Security Center は、挿入されたモジュールが疑わしい動作の特徴に合致するかどうかをチェックします。To differentiate between malicious and non-malicious injected modules, Security Center checks whether the injected module conforms to a profile of suspicious behavior.
Suspicious code segment discovered (疑わしいコード セグメントが検出されました)Suspicious code segment discovered 反射型インジェクションやプロセス ハロウイングなど、標準以外の方法を使用してコード セグメントが割り当てられたことを示します。Indicates that a code segment has been allocated by using non-standard methods, such as reflective injection and process hollowing. このアラートは、処理されたコード セグメントの他の特性を提供して、報告されるコード セグメントの能力および動作に関するコンテキストを提供します。The alert provides additional characteristics of the code segment that have been processed to provide context for the capabilities and behaviors of the reported code segment.
Shellcode discovered (シェルコードが検出されました)Shellcode discovered シェルコードは、マルウェアがソフトウェアの脆弱性を突破した後に実行されるペイロードです。Shellcode is the payload that is run after malware exploits a software vulnerability.
このアラートは、悪意のあるペイロードに共通した振る舞いをする実行可能コードがクラッシュ ダンプ分析によって検出されたことを示します。This alert indicates that crash dump analysis has detected executable code that exhibits behavior commonly performed by malicious payloads. 悪意のないソフトウェアでもこのような動作が行われる可能性がありますが、これはソフトウェア開発の標準的な慣例からは逸脱しています。Although non-malicious software can also perform this behavior, it isn't typical of normal software development practices.

ファイルレス攻撃の検出 Fileless attack detection

エンドポイントを対象とするファイルレス攻撃は一般的です。Fileless attacks targeting your endpoints are common. ファイルレス攻撃は、検出を回避するために悪意のあるペイロードをメモリに挿入します。To avoid detection, fileless attacks inject malicious payloads into memory. 侵害されたプロセスのメモリ内に存続する攻撃者のペイロードにより、さまざまな悪意のあるアクティビティが実行されます。Attacker payloads persist within the memory of compromised processes, and perform a wide range of malicious activities.

自動メモリ フォレンジック手法は、ファイルレス攻撃の検出を使用して、ファイルレス攻撃のツールキット、手法、および動作を識別します。With fileless attack detection, automated memory forensic techniques identify fileless attack toolkits, techniques, and behaviors. このソリューションでは、実行時にマシンが定期的にスキャンされて、セキュリティ クリティカルなプロセスのメモリから分析情報が直接抽出されます。This solution periodically scans your machine at runtime, and extracts insights directly from the memory of security-critical processes.

これは、悪用、コード インジェクション、および悪意のあるペイロードの実行の証拠を見つけます。It finds evidence of exploitation, code injection, and execution of malicious payloads. ファイルレス攻撃の検出により、アラートのトリアージ、相関関係、およびダウン ストリームの応答時間を高速化するための詳細なセキュリティ アラートが生成されます。Fileless attack detection generates detailed security alerts to accelerate alert triage, correlation, and downstream response time. このアプローチにより、イベント ベースの EDR ソリューションが補完され、検出範囲が拡大します。This approach complements event-based EDR solutions, providing greater detection coverage.

注意

Windows のアラートをシミュレートするには、「Azure Security Center プレイブック:セキュリティ アラート」をダウンロードします。You can simulate Windows alerts by downloading Azure Security Center Playbook: Security Alerts.

アラート:Alert 説明Description
Fileless attack technique detected (ファイルレス攻撃手法が検出されました)Fileless attack technique detected 指定されたプロセスのメモリに、ファイルレス攻撃ツールキットが含まれています: Meterpreter。The memory of the process specified contains a fileless attack toolkit: Meterpreter. ファイルレス攻撃ツールキットは通常、ファイル システムに存在せず、従来のウイルス対策ソフトウェアでは検出が困難です。Fileless attack toolkits typically don't have a presence on the file system, making detection by traditional antivirus software difficult.

参考資料Further reading

Security Center の検出の例と詳細については、以下をご覧ください。For examples and more information about Security Center detection, see:

Linux Linux

Security Center では、auditd (最も一般的な Linux 監査フレームワークの 1 つ) を使用して Linux マシンから監査レコードが収集されます。Security Center collects audit records from Linux machines by using auditd, one of the most common Linux auditing frameworks. auditd はメインライン カーネルに存在します。auditd lives in the mainline kernel.

Linux の auditd アラートと Microsoft Monitoring Agent (MMA) の統合 Linux auditd alerts and Microsoft Monitoring Agent (MMA) integration

auditd システムは、システム コールの監視を担当するカーネル レベルのサブシステムで構成されます。The auditd system consists of a kernel-level subsystem, which is responsible for monitoring system calls. 指定されたルール セットによってそれらのフィルター処理が行われ、それらに対するメッセージがソケットに書き込まれます。It filters them by a specified rule set, and writes messages for them to a socket. Security Center は、Microsoft Monitoring Agent (MMA) 内で auditd パッケージの機能を統合します。Security Center integrates functionalities from the auditd package within the Microsoft Monitoring Agent (MMA). この統合により、前提条件なしで、すべてのサポートされている Linux ディストリビューションで auditd イベントの収集が可能になります。This integration enables collection of auditd events in all supported Linux distributions, without any prerequisites.

Linux の MMA エージェントを使用して、auditd レコードの収集、拡充、およびイベントへの集約が行われます。auditd records are collected, enriched, and aggregated into events by using the Linux MMA agent. Security Center では、Linux のシグナルを使用してクラウドおよびオンプレミスの Linux マシン上で悪意のある動作を検出する新しい分析が、継続的に追加されています。Security Center continuously adds new analytics that use Linux signals to detect malicious behaviors on cloud and on-premises Linux machines. Windows の機能と同様に、これらの分析には、不審なプロセス、不審なサインインの試行、カーネル モジュールの読み込み、その他のアクティビティが含まれます。Similar to Windows capabilities, these analytics span across suspicious processes, dubious sign-in attempts, kernel module loading, and other activities. これらのアクティビティは、マシンが攻撃を受けているか、侵害されたことを示している可能性があります。These activities can indicate a machine is either under attack or has been breached.

以下に、攻撃ライフ サイクルのさまざまなステージにまたがる分析の例をいくつか示します。The following are several examples of analytics that span across different stages of the attack life cycle.

アラート:Alert 説明Description
Process seen accessing the SSH authorized keys file in an unusual way (通常とは異なる方法で SSH 承認済みキー ファイルにアクセスするプロセスが確認されました)Process seen accessing the SSH authorized keys file in an unusual way SSH 承認済みキー ファイルが、既知のマルウェア活動に似た方法でアクセスされました。An SSH authorized keys file has been accessed in a method similar to known malware campaigns. このアクセスは、攻撃者がマシンへの永続的なアクセスを取得しようとしていることを示している可能性があります。This access can indicate that an attacker is attempting to gain persistent access to a machine.
Detected Persistence Attempt (永続化の試行が検出されました)Detected Persistence Attempt ホスト データ分析で、シングル ユーザー モードのスタートアップ スクリプトがインストールされていることが検出されました。Host data analysis has detected that a startup script for single-user mode has been installed.
正当なプロセスがそのモードでの実行を要求されることはまれであるため、これは、攻撃者が持続性を保証するために、すべての実行レベルに悪意のあるプロセスを追加したことを示している可能性があります。Because it's rare that any legitimate process would be required to run in that mode, this might indicate that an attacker has added a malicious process to every run-level to guarantee persistence.
Manipulation of scheduled tasks detected (スケジュールされたタスクの操作が検出されました)Manipulation of scheduled tasks detected ホスト データ分析で、 スケジュールされたタスクが操作された可能性が検出されました。Host data analysis has detected possible manipulation of scheduled tasks. 攻撃者は持続性を得るために、侵害したマシンにスケジュールされたタスクを追加することがよくあります。Attackers often add scheduled tasks to machines they've compromised to gain persistence.
Suspicious file timestamp modification (ファイルのタイムスタンプの不審な変更)Suspicious file timestamp modification ホスト データ分析で、不審なタイムスタンプの変更が検出されました。Host data analysis detected a suspicious timestamp modification. 攻撃者は、既存の正当なファイルから新しいツールにタイムスタンプをコピーし、これらの新しくドロップされたファイルの検出を回避することがよくあります。Attackers often copy timestamps from existing, legitimate files to new tools to avoid detection of these newly dropped files.
A new user was added to the sudoers group (新しいユーザーが sudoers グループに追加されました)A new user was added to the sudoers group ホスト データ分析で、所属メンバーが高い特権でコマンドを実行できる sudoers グループに新しいユーザーが追加されたことが検出されました。Host data analysis detected that a user was added to the sudoers group, which enables its members to run commands with high privileges.
Likely exploit of DynoRoot vulnerability in dhcp client (DHCP クライアントの DynoRoot 脆弱性の悪用の可能性があります)Likely exploit of DynoRoot vulnerability in dhcp client ホスト データ分析で、dhclient スクリプトの親プロセスで異常なコマンドの実行が検出されました。Host data analysis detected the execution of an unusual command, with a parent process of dhclient script.
Suspicious kernel module detected (不審なカーネル モジュールが検出されました)Suspicious kernel module detected ホスト データ分析で、カーネル モジュールとして読み込まれる共有オブジェクト ファイルが検出されました。Host data analysis detected a shared object file being loaded as a kernel module. これは、正当なアクティビティであるか、マシンのいずれかが侵害されたことを示している可能性があります。This might be legitimate activity, or an indication that one of your machines has been compromised.
Process associated with digital currency mining detected (デジタル通貨マイニングに関連するプロセスが検出されました)Process associated with digital currency mining detected ホスト データ分析で、通常はデジタル通貨マイニングに関連するプロセスの実行が検出されました。Host data analysis detected the execution of a process that is normally associated with digital currency mining.
Potential port forwarding to external IP address (外部 IP アドレスへのポート フォワーディングの可能性があります)Potential port forwarding to external IP address ホスト データ分析で、外部 IP アドレスへのポート フォワーディングの開始が検出されました。Host data analysis detected the initiation of port forwarding to an external IP address.

注意

Windows のアラートをシミュレートするには、「Azure Security Center プレイブック:Linux の検出」をダウンロードします。You can simulate Windows alerts by downloading Azure Security Center Playbook: Linux Detections.

詳細については、次を参照してください。For more information, see: