Azure Security Center のセキュリティ アラートSecurity alerts in Azure Security Center

Azure Security Center には、さまざまなリソースの種類に対する各種のアラートがあります。In Azure Security Center, there are a variety of alerts for many different resource types. Azure Security Center では、Azure にデプロイされたリソースに対して、またオンプレミス環境とハイブリッド クラウド環境にデプロイされたリソースに対してもアラートが生成されます。Security Center generates alerts for resources deployed on Azure, and also for resources deployed on on-premises and hybrid cloud environments.

セキュリティ アラートは、高度な検出によってトリガーされ、Azure Defender でのみ使用できます。Security alerts are triggered by advanced detections and are available only with Azure Defender. 無料試用版が提供されています。A free trial is available. [Pricing & settings](価格と設定) ページからアップグレードできます。You can upgrade from the Pricing & settings page. 詳細については、「Security Center の価格」を参照してください。Learn more about Security Center pricing.

今日の脅威への対応 Respond to today's threats

脅威を取り巻く状況は、この 20 年で様変わりしました。There have been significant changes in the threat landscape over the last 20 years. 従来、企業が警戒すべきことは一般に Web サイトの改ざんのみで、その攻撃も興味本位の個人によるものが大半でした。In the past, companies typically only had to worry about web site defacement by individual attackers who were mostly interested in seeing "what they could do". その頃と比べ今日の攻撃は、はるかに進化しており、組織化されています。Today's attackers are much more sophisticated and organized. 明らかに金銭や戦略的な目的をもって攻撃が遂行されるケースも少なくありません。They often have specific financial and strategic goals. 攻撃に利用されるリソースも増えてきました。国家や犯罪組織によって資金提供されている場合があるためです。They also have more resources available to them, as they may be funded by nation states or organized crime.

このような移り変わる現実に導かれ、攻撃者集団はかつてないほど高い技術力を身に付けています。These changing realities have led to an unprecedented level of professionalism in the attacker ranks. もはや彼らのねらいは、Web の改ざんではありません。No longer are they interested in web defacement. 情報や金融口座、プライベート データの盗難がねらいです。いずれも一般市場で現金を得たり、特定の事業や政治、軍事的な立場を利用したりする目的で使用されます。They are now interested in stealing information, financial accounts, and private data – all of which they can use to generate cash on the open market or to leverage a particular business, political, or military position. 金銭目的のこのような攻撃者以上にやっかいな存在は、インフラストラクチャや人に危害を加えるためにネットワークを侵害する攻撃者です。Even more concerning than those attackers with a financial objective are the attackers who breach networks to do harm to infrastructure and people.

そうした攻撃に対応するために多くの組織が実施しているさまざまな解決策は、既に知られている攻撃のシグネチャを探すことで企業ネットワークの境界領域やエンドポイントを防御する対症療法が中心です。In response, organizations often deploy various point solutions, which focus on defending either the enterprise perimeter or endpoints by looking for known attack signatures. このような解決策では、精度の低いアラートが大量に生成されることが多く、セキュリティ アナリストが優先順位を付けて調査しなければなりません。These solutions tend to generate a high volume of low fidelity alerts, which require a security analyst to triage and investigate. しかし、そのようなアラートに対応できるだけの時間とノウハウを持った組織はまれで、多くのアラートは未解決のまま放置されます。Most organizations lack the time and expertise required to respond to these alerts – so many go unaddressed.

さらに、攻撃者の手法は着々と進化を遂げています。シグネチャを使用した防御はその多くが攻略され、クラウド環境への対応も進んでいます。In addition, attackers have evolved their methods to subvert many signature-based defenses and adapt to cloud environments. 発生している脅威を従来以上に早く特定し、検出と対応にかかる時間を短縮する新しいアプローチが必要です。New approaches are required to more quickly identify emerging threats and expedite detection and response.

セキュリティ アラートとセキュリティ インシデントとはWhat are security alerts and security incidents?

アラートは、Security Center がリソースに対する脅威を検出したときに生成する通知です。Alerts are the notifications that Security Center generates when it detects threats on your resources. Security Center では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。Security Center prioritizes and lists the alerts, along with the information needed for you to quickly investigate the problem. Security Center は、攻撃をどのように修復できるかに関する推奨事項も提供します。Security Center also provides recommendations for how you can remediate an attack.

セキュリティ インシデントは、各アラートの個別の一覧ではなく、関連するアラートのコレクションです。A security incident is a collection of related alerts, instead of listing each alert individually. Security Center では、クラウドのスマート アラートの関連付けを使用して、さまざまなアラートと忠実度が低いシグナルをセキュリティ インシデントに関連付けます。Security Center uses Cloud Smart Alert Correlation to correlate different alerts and low fidelity signals into security incidents.

Security Center はインシデントを使用して、攻撃活動とすべての関連するアラートを単一のビューに表示します。Using incidents, Security Center provides you with a single view of an attack campaign and all of the related alerts. このビューにより、攻撃者がどのようなアクションを実行し、どのリソースが影響を受けたかを迅速に把握できます。This view enables you to quickly understand what actions the attacker took, and what resources were affected. 詳細については、クラウドのスマート アラートの関連付けに関する記事を参照してください。For more information, see Cloud smart alert correlation.

Security Center での脅威の検出方法How does Security Center detect threats?

マイクロソフトのセキュリティ研究員は、絶えず脅威に目を光らせています。Microsoft security researchers are constantly on the lookout for threats. クラウドやオンプレミスでの Microsoft のグローバルなプレゼンスにより、Microsoft は広範なテレメトリにアクセスすることが許されています。Because of our global presence in the cloud and on-premises, we have access to an expansive set of telemetry. 広範かつ多様なデータセットのコレクションによって、Microsoft は、オンプレミスの消費者向け/企業向け製品からオンライン サービスに至るまで、攻撃の新しいパターンや傾向を把握することができます。The wide-reaching and diverse collection of datasets enables us to discover new attack patterns and trends across our on-premises consumer and enterprise products, as well as our online services. 攻撃者によって脆弱性の悪用手法が次々に生み出され、しだいに複雑化する中で、Security Center は、その検出アルゴリズムを更新することができるのです。As a result, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. この手法が、目まぐるしい脅威の環境の変化に対応するために役立てられます。This approach helps you keep pace with a fast moving threat environment.

Security Center では、真の脅威を検出し、誤検知を減らすために、Azure のリソースやネットワークから、ログ データを収集、分析、統合します。To detect real threats and reduce false positives, Security Center collects, analyzes, and integrates log data from your Azure resources and the network. 接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) とも連動します。It also works with connected partner solutions, like firewall and endpoint protection solutions. Security Center は、この情報を分析し、多くの場合、複数の情報源から得た情報との関連性を探りながら、脅威を特定します。Security Center analyzes this information, often correlating information from multiple sources, to identify threats.

Security Center Data collection and presentation

Security Center には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。Security Center employs advanced security analytics, which go far beyond signature-based approaches. ビッグ データや 機械学習 における革新的テクノロジを活かし、クラウド ファブリック全体にわたってイベントが評価されるので、手作業に頼った手法や攻撃の進化を予測する手法では特定できない脅威でも検出することができます。Breakthroughs in big data and machine learning technologies are leveraged to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. こうしたセキュリティ分析の例を次に示します。These security analytics include:

  • 統合された脅威インテリジェンス:Microsoft は、膨大なグローバル脅威インテリジェンスを保有しています。Integrated threat intelligence: Microsoft has an immense amount of global threat intelligence. Azure、Microsoft 365、Microsoft CRM Online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU)、および Microsoft セキュリティ レスポンス センター (MSRC) などの複数のソースから製品利用統計情報が送られてきます。Telemetry flows in from multiple sources, such as Azure, Microsoft 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC). また研究員も、大手クラウド サービス プロバイダー間で共有されている脅威インテリジェンス情報や、サード パーティのフィードを入手しています。Researchers also receive threat intelligence information that is shared among major cloud service providers and feeds from other third parties. Azure Security Center はこの情報を基に、既知の有害因子から生じる脅威について利用者に警告を発することができます。Azure Security Center can use this information to alert you to threats from known bad actors.

  • 行動分析:行動分析は、データを分析し、既知のパターンのコレクションと照らして比較する手法です。Behavioral analytics: Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. ただし、これらのパターンはただのシグネチャではありません。However, these patterns are not simple signatures. 大量のデータセットに適用された複雑な機械学習アルゴリズムを通じてパターンが決定されています。They are determined through complex machine learning algorithms that are applied to massive datasets. また、パターンの特定にあたっては、専門のアナリストによって悪質な行動が緻密に分析されます。They are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center は、行動分析を使用して仮想マシンのログ、仮想ネットワーク デバイスのログ、ファブリック ログ、およびその他のソースを分析し、これに基づいて侵害されたリソースを識別することができます。Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, and other sources.

  • 異常検出:Azure Security Center での脅威の特定には、異常検出も使用されます。Anomaly detection: Azure Security Center also uses anomaly detection to identify threats. 行動分析は、大規模なデータセットから導いた既知のパターンに依存します。これとは対照的に、異常検出は "独自色" が強く、個々のデプロイに固有の基準に重点が置かれます。In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more "personalized" and focuses on baselines that are specific to your deployments. 機械学習を適用して個々の環境の正常なアクティビティを突き止めたうえで、セキュリティ イベントの可能性を示す異常な条件とは何かを定義する規則を作成します。Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event.

アラートはどのように分類されますか。How are alerts classified?

Security Center は、アラートに重要度を割り当て、各アラートに対処する優先順位を付けることができます。これにより、リソースが侵害されたときに、すぐにアクセスできるようになります。Security Center assigns a severity to alerts, to help you prioritize the order in which you attend to each alert, so that when a resource is compromised, you can get to it right away. 重要度は、アラートの発行に使用された Security Center の信頼度と、アラートの原因となったアクティビティの背後に悪意のある意図があったかどうかの信頼レベルに基づいて決まります。The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

注意

アラートの重大度は、ポータルと、日付が 01-01-2019 より前のバージョンの REST API では表示方法が異なります。Alert severity is displayed differently in the portal and versions of the REST API that predate 01-01-2019. 古いバージョンの API を使用している場合は、以下で説明するように一貫したエクスペリエンスのためにアップグレードしてください。If you're using an older version of the API, upgrade for the consistent experience described below.

  • 高: リソースが侵害されている可能性が高いことを示します。High: There is a high probability that your resource is compromised. すぐに調べる必要があります。You should look into it right away. Security Center には、悪意のある意図と、アラートの発行に使用される検出結果の両方に高い信頼性があります。Security Center has high confidence in both the malicious intent and in the findings used to issue the alert. たとえば、資格情報の盗難に使用される一般的なツールである Mimikatz など、既知の悪質なツールの実行を検出するアラートです。For example, an alert that detects the execution of a known malicious tool such as Mimikatz, a common tool used for credential theft.
  • 中: リソースが侵害されたことを示す可能性がある不審なアクティビティです。Medium: This is probably a suspicious activity may indicate that a resource is compromised. 分析または検出結果における Security Center の信頼性は中であり、悪意のある意図の信頼性は中から高です。Security Center's confidence in the analytic or finding is medium and the confidence of the malicious intent is medium to high. 通常、これらは機械学習または異常に基づく検出です。These would usually be machine learning or anomaly-based detections. たとえば、異常な場所からのサインイン試行です。For example, a sign-in attempt from an anomalous location.
  • 低: 良性の陽性またはブロックされた攻撃の可能性があります。Low: This might be a benign positive or a blocked attack.
    • Security Center は、その意図に悪意があるかどうか、アクティビティが無害かどうかを確信していません。Security Center is not confident enough that the intent is malicious and the activity may be innocent. たとえば、ログのクリアは、攻撃者がトラックを隠そうとしたときに発生することがあるアクションですが、多くの場合、管理者が実行する日常的な操作です。For example, log clear is an action that may happen when an attacker tries to hide their tracks, but in many cases is a routine operation performed by admins.
    • 通常、攻撃がブロックされても、調査が推奨される興味深いケースでなければ、Security Center からは通知されません。Security Center doesn't usually tell you when attacks were blocked, unless it's an interesting case that we suggest you look into.
  • 情報: セキュリティ インシデントに掘り下げるとき、または特定のアラート ID を指定して REST API を使用する場合にのみ、情報アラートが表示されます。Informational: You will only see informational alerts when you drill down into a security incident, or if you use the REST API with a specific alert ID. 通常、インシデントは複数のアラートで構成され、その一部は単なる情報として表示される場合がありますが、他のアラートとのコンテキストによっては詳しい調査が推奨される可能性があります。An incident is typically made up of a number of alerts, some of which may appear on their own to be only informational, but in the context of the other alerts may be worthy of a closer look.

継続的な監視と評価Continuous monitoring and assessments

Azure Security Center では、脅威に関する状況の変化を継続的に監視する Microsoft が全社にわたり配置するセキュリティ調査/データ サイエンス チームを活用しています。Azure Security Center benefits from having security research and data science teams throughout Microsoft who continuously monitor for changes in the threat landscape. たとえば次のような取り組みが行われています。This includes the following initiatives:

  • 脅威インテリジェンスの監視:脅威インテリジェンスには、既存の脅威や新たに発生した脅威に関するメカニズム、インジケーター、示唆、即時に利用可能なアドバイスが含まれます。Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. こうした情報はセキュリティ コミュニティから得られるほか、マイクロソフトも、社内や社外のソースから提供される脅威インテリジェンスを絶えず監視しています。This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.
  • シグナルの共有:クラウドとオンプレミス向けに Microsoft が保有するさまざまなサービス、サーバー、クライアント エンドポイント デバイスを通じてセキュリティ チームが得た知見は共有され、分析されます。Signal sharing: Insights from security teams across Microsoft's broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.
  • Microsoft のセキュリティ スペシャリスト:フォレンジクスや Web 攻撃検出など、専門のセキュリティ分野に従事する Microsoft 内のさまざまなチームと絶えず連携します。Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.
  • 検出のチューニング:実際のユーザーのデータセットに対してアルゴリズムが実行され、セキュリティ研究員がユーザーと連携してその結果を検証します。Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. 機械学習アルゴリズムの精度を高めるために、真陽性と偽陽性が使用されます。True and false positives are used to refine machine learning algorithms.

こうしたさまざまな取り組みを通じて、これまでできなかったような検出が可能となり、検出の精度が向上しています。しかもその恩恵はすぐに得ることができます。ユーザーが措置を講じる必要はありません。These combined efforts culminate in new and improved detections, which you can benefit from instantly – there's no action for you to take.

次のステップNext steps

この記事では、Security Center で利用できるさまざまな種類のアラートについて説明しました。In this article, you learned about the different types of alerts available in Security Center. 詳細については、次を参照してください。For more information, see: