Azure Security Center での Azure サービス レイヤーの脅威検出Threat detection for the Azure service layer in Azure Security Center

このトピックでは、次の Azure サービス レイヤーを監視する場合に使用可能な Azure Security Center のアラートについて説明します。This topic presents the Azure Security Center alerts available when monitoring the following Azure service layers:

注意

次の分析は、すべての種類のリソースに適用されます。The following analytics are applicable to all resource types. これらの分析では、Azure 内部フィードを利用することで Security Center から提供されるテレメトリを使用します。They use the telemetry that Security Center provides by tapping into Azure internal feeds.

Azure ネットワーク レイヤーAzure network layer

Security Center のネットワーク レイヤー分析は、サンプルの IPFIX データに基づくものであり、Azure コア ルーターによって収集されるパケット ヘッダーです。Security Center network-layer analytics are based on sample IPFIX data, which are packet headers collected by Azure core routers. このデータ フィードに基づき、Security Center の機械学習モデルでは、悪意のあるトラフィック アクセシビリティを特定し、それらにフラグを設定します。Based on this data feed, Security Center machine learning models identify and flag malicious traffic activities. IP アドレスを強化するために、Security Center では、Microsoft の脅威インテリジェンス データベースを活用します。To enrich IP addresses, Security Center makes use of the Microsoft Threat Intelligence database.

アラート:Alert 説明Description
疑わしい発信 RDP ネットワーク アクティビティSuspicious outgoing RDP network activity サンプリングされたネットワーク トラフィックの分析で、デプロイ内のリソースからの異常な発信 Remote Desktop Protocol (RDP) 通信が検出されました。Sampled network traffic analysis detected anomalous outgoing Remote Desktop Protocol (RDP) communication, originating from a resource in your deployment. このアクティビティは、この環境では異常と見なされます。This activity is considered abnormal for this environment. このアクティビティは、ご利用のリソースが侵害されており、現在外部 RDP エンドポイントのブルート フォース攻撃に使用されていることを示す場合があります。It might indicate that your resource has been compromised, and is now being used to brute force attack an external RDP endpoint. この種のアクティビティによって、自分の IP が外部のエンティティによって悪意のあるものとしてフラグが設定される可能性があります。This type of activity might cause your IP to be flagged as malicious by external entities.
複数の送信元への疑わしい発信 RDP ネットワーク アクティビティSuspicious outgoing RDP network activity to multiple destinations サンプリングされたネットワーク トラフィックの分析で、ご利用のデプロイ内のリソースから複数の送信先への異常な発信 RDP 通信が検出されました。Sampled network traffic analysis detected anomalous outgoing RDP communication, originating from a resource in your deployment to multiple destinations. このアクティビティは、この環境では異常と見なされます。This activity is considered abnormal for this environment. このアクティビティは、ご利用のリソースが侵害されており、現在外部 RDP エンドポイントのブルート フォース攻撃に使用されていることを示す場合があります。It might indicate that your resource has been compromised, and is now being used to brute force attack external RDP endpoints. この種のアクティビティによって、自分の IP が外部のエンティティによって悪意のあるものとしてフラグが設定される可能性があります。This type of activity might cause your IP to be flagged as malicious by external entities.
疑わしい発信 SSH ネットワーク アクティビティSuspicious outgoing SSH network activity サンプリングされたネットワーク トラフィックの分析で、デプロイ内のリソースからの異常な発信 Secure Shell (SSH) 通信が検出されました。Sampled network traffic analysis detected anomalous outgoing Secure Shell (SSH) communication, originating from a resource in your deployment. このアクティビティは、この環境では異常と見なされます。This activity is considered abnormal for this environment. このアクティビティは、ご利用のリソースが侵害されており、現在外部 SSH エンドポイントのブルート フォース攻撃に使用されていることを示す場合があります。It might indicate that your resource has been compromised, and is now being used to brute force attack an external SSH endpoint. この種のアクティビティによって、自分の IP が外部のエンティティによって悪意のあるものとしてフラグが設定される可能性があります。This type of activity might cause your IP to be flagged as malicious by external entities.
複数の送信先への疑わしい発信 SSH ネットワーク アクティビティSuspicious outgoing SSH network activity to multiple destinations サンプリングされたネットワーク トラフィックの分析で、ご利用のデプロイ内のリソースから複数の送信先への異常な発信 SSH 通信が検出されました。Sampled network traffic analysis detected anomalous outgoing SSH communication, originating from a resource in your deployment to multiple destinations. このアクティビティは、この環境では異常と見なされます。This activity is considered abnormal for this environment. このアクティビティは、ご利用のリソースが侵害されており、現在外部 SSH エンドポイントのブルート フォース攻撃に使用されていることを示す場合があります。It might indicate that your resource has been compromised, and is now being used to brute force attack external SSH endpoints. この種のアクティビティによって、自分の IP が外部のエンティティによって悪意のあるものとしてフラグが設定される可能性があります。This type of activity might cause your IP to be flagged as malicious by external entities.
複数のソースからの疑わしい着信 SSH ネットワーク アクティビティSuspicious incoming SSH network activity from multiple sources サンプリングされたネットワーク トラフィックの分析で、複数のソースからデプロイ内のリソースへの異常な着信 SSH 通信が検出されました。Sampled network traffic analysis detected anomalous incoming SSH communications from multiple sources to a resource in your deployment. リソースへのさまざまな一意の IP の接続は、この環境では異常と考えられます。Various unique IPs connecting to your resource is considered abnormal for this environment. このアクティビティは、ご利用の SSH インターフェイスに対する、複数のホスト (ボットネット) からのブルート フォース攻撃の試行を示す場合があります。This activity might indicate an attempt to brute force attack your SSH interface from multiple hosts (Botnet).
疑わしい着信 SSH ネットワーク アクティビティSuspicious incoming SSH network activity サンプリングされたネットワーク トラフィックの分析で、デプロイ内のリソースへの異常な着信 SSH 通信が検出されました。Sampled network traffic analysis detected anomalous incoming SSH communication to a resource in your deployment. リソースへの比較的多数の着信接続は、この環境では異常と考えられます。A relatively high number of incoming connections to your resource is considered abnormal for this environment. このアクティビティは、ご利用の SSH インターフェイスに対するブルート フォース攻撃の試行を示す場合があります。This activity might indicate an attempt to brute force attack your SSH interface.
複数のソースからの疑わしい着信 RDP ネットワーク アクティビティSuspicious incoming RDP network activity from multiple sources サンプリングされたネットワーク トラフィックの分析で、複数のソースからデプロイ内のリソースへの異常な着信 RDP 通信が検出されました。Sampled network traffic analysis detected anomalous incoming RDP communications from multiple sources to a resource in your deployment. リソースへのさまざまな一意の IP の接続は、この環境では異常と考えられます。Various unique IPs connecting to your resource is considered abnormal for this environment. このアクティビティは、ご利用の RDP インターフェイスに対する、複数のホスト (ボットネット) からのブルート フォース攻撃の試行を示す場合があります。This activity might indicate an attempt to brute force attack your RDP interface from multiple hosts (Botnet).
疑わしい着信 RDP ネットワーク アクティビティSuspicious incoming RDP network activity サンプリングされたネットワーク トラフィックの分析で、デプロイ内のリソースへの異常な着信 RDP 通信が検出されました。Sampled network traffic analysis detected anomalous incoming RDP communication to a resource in your deployment. リソースへの比較的多数の着信接続は、この環境では異常と考えられます。A relatively high number of incoming connections to your resource is considered abnormal for this environment. このアクティビティは、ご利用の SSH インターフェイスに対するブルート フォース攻撃の試行を示す場合があります。This activity might indicate an attempt to brute force attack your SSH interface.
悪意のあるアドレスとのネットワーク通信が検出されましたNetwork communication with a malicious address has been detected サンプリングされたネットワーク トラフィック分析で、考えられるコマンド アンド コントロール (C&C) サーバーとのデプロイ内のリソースからの通信が検出されました。Sampled network traffic analysis detected communication originating from a resource in your deployment with a possible command and control (C&C) server. この種のアクティビティにより、IP アドレスが外部のエンティティによって有害なものとしてフラグを設定される可能性があります。This type of activity could possibly cause your IP to be flagged as malicious by external entities.

Security Center でネットワーク関連のシグナルを使用して脅威の防止を適用する方法を理解するには、「Azure Security Center でのヒューリスティック DNS 検出」を参照してください。To understand how Security Center can use network-related signals to apply threat protection, see Heuristic DNS detections in Azure Security Center.

注意

Azure Security Center での Azure ネットワーク レイヤーの脅威検出アラートは、不審な通信が行われていたその 1 時間の間に同じ IP アドレスが割り当てられた仮想マシンに対してのみ生成されます。Azure network layer threat detection alerts, in Azure Security Center, are only generated on virtual machines which have been assigned the same IP address for the entire hour during which a suspicious communication has taken place. これは仮想マシンに加えて、マネージド サービス (AKS や Databricks など) の一部として顧客のサブスクリプションで作成される仮想マシンにも適用されます。This applies to virtual machines, as well as virtual machines that are created in the customer’s subscription as part of a managed service (e.g. AKS, Databricks).

Azure 管理レイヤー (Azure Resource Manager) (プレビュー)Azure management layer (Azure Resource Manager) (Preview)

注意

Azure Resource Manager に基づく Security Center の保護レイヤーは、現在、プレビュー段階です。Security Center protection layer based on Azure Resource Manager is currently in preview.

Security Center では、Azure のコントロール プレーンと見なされる Azure Resource Manager イベントを使用することで、追加の保護レイヤーが提供されます。Security Center offers an additional layer of protection by using Azure Resource Manager events, which is considered to be the control plane for Azure. Security Center では、Azure Resource Manager のレコードを分析することで、Azure サブスクリプション環境での異常な、または害を及ぼす可能性のある操作を検出します。By analyzing the Azure Resource Manager records, Security Center detects unusual or potentially harmful operations in the Azure subscription environment.

アラート:Alert 説明Description
MicroBurst ツールキットの実行MicroBurst toolkit run ご利用の環境で、既知のクラウド環境偵察ツールキットの実行が検出されました。A known cloud-environment reconnaissance toolkit run has been detected in your environment. MicroBurst ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピング、安全でない構成の特定、および機密情報の漏えいに使用される恐れがあります。The tool MicroBurst can be used by an attacker (or penetration tester) to map your subscriptions' resources, identify insecure configurations, and leak confidential information.
Azurite ツールキットの実行Azurite toolkit run ご利用の環境で、既知のクラウド環境偵察ツールキットの実行が検出されました。A known cloud-environment reconnaissance toolkit run has been detected in your environment. Azurite ツールは、攻撃者 (または侵入テスター) によって、サブスクリプション リソースのマッピングおよび安全でない構成の特定に使用される恐れがあります。The tool Azurite can be used by an attacker (or penetration tester) to map your subscriptions' resources and identify insecure configurations.
非アクティブ アカウントを使用する疑わしい管理セッションSuspicious management session using an inactive account サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。Subscription activity logs analysis has detected suspicious behavior. 長期間使用されなかったプリンシパルでは、現在、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。A principal not in use for a long period of time is now performing actions that can secure persistence for an attacker.
PowerShell を使用する疑わしい管理セッションSuspicious management session using PowerShell サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。Subscription activity logs analysis has detected suspicious behavior. サブスクリプション環境を管理するために定期的に PowerShell を使用しないプリンシパルでは、現在、PowerShell が使用され、攻撃者の永続化をセキュリティで保護できるアクションが実行されています。A principal that doesn’t regularly use PowerShell to manage the subscription environment is now using PowerShell, and performing actions that can secure persistence for an attacker.
高度な Azure の永続化手法の使用Use of advanced Azure persistence techniques サブスクリプションのアクティビティ ログ分析で、疑わしい動作が検出されました。Subscription activity logs analysis has detected suspicious behavior. カスタマイズされたロールに、正当化された ID エンティティが与えられています。Customized roles have been given legitimized identity entities. これにより、攻撃者が Azure のお客様の環境で永続性を得る可能性があります。This can lead the attacker to gain persistency in an Azure customer environment.
頻度の低い国からのアクティビティActivity from infrequent country 組織内のユーザーが最近アクセスしていなかった場所や一度もアクセスしていない場所からアクティビティが発生しました。Activity from a location that wasn't recently or ever visited by any user in the organization has occurred.
この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。This detection considers past activity locations to determine new and infrequent locations. 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。The anomaly detection engine stores information about previous locations used by users in the organization.
匿名の IP アドレスからのアクティビティActivity from anonymous IP addresses 匿名プロキシ IP アドレスとして識別されている IP アドレスからのユーザー アクティビティが検出されました。Users activity from an IP address that has been identified as an anonymous proxy IP address has been detected.
このようなプロキシは、自分のデバイスの IP アドレスを隠したいユーザーによって使用され、悪意のある目的で使用される恐れがあります。These proxies are used by people who want to hide their device’s IP address, and can be used for malicious intent. この検出では、組織内の他のユーザーがよく使用する IP アドレスのタグ付けが間違っているなどの誤検知を低減する機械学習アルゴリズムが活用されます。This detection uses a machine learning algorithm that reduces false positives, such as mis-tagged IP addresses that are widely used by users in the organization.
Impossible travel detected(あり得ない移動が検出されました)Impossible travel detected 地理的に離れた場所を起点とする 2 つのユーザー アクティビティ (1 つまたは複数のセッションで) が発生しました。Two user activities (in a single or multiple sessions) have occurred, originating from geographically distant locations. これは、ユーザーが 1 番目の場所から 2 番目の場所に移動するのにかかった時間よりも短い時間内に発生します。This occurs within a time period shorter than the time it would have taken the user to travel from the first location to the second. これは、別のユーザーが同じ資格情報を使用していることを示します。This indicates that a different user is using the same credentials.
この検出では、組織内の他のユーザーによって定期的に使用される VPN や場所など、あり得ない移動状況の原因になる明らかな誤検知を無視する機械学習アルゴリズムが使用されます。This detection uses a machine learning algorithm that ignores obvious false positives contributing to the impossible travel conditions, such as VPNs and locations regularly used by other users in the organization. この検出には 7 日間の初期学習期間があり、その間に新しいユーザーのアクティビティ パターンの学習が行われます。The detection has an initial learning period of seven days, during which it learns a new user’s activity pattern.

注意

上記のいくつかの分析では、Microsoft Cloud App Security が利用されています。Several of the preceding analytics are powered by Microsoft Cloud App Security. これらの分析を活用するには、Cloud App Security ライセンスをアクティブにする必要があります。To benefit from these analytics, you must activate a Cloud App Security license. Cloud App Security ライセンスをお持ちの場合、これらのアラートは既定で有効になります。If you have a Cloud App Security license, then these alerts are enabled by default. これらを無効にするには、次のようにします。To disable them:

  1. [Security Center] ブレードで [セキュリティ ポリシー] を選択します。In the Security Center blade, select Security policy. 変更するサブスクリプションに対して [設定の編集] を選択します。For the subscription you want to change, select Edit settings.
  2. [脅威検出] を選択します。Select Threat detection.
  3. [統合の有効化] で、 [Microsoft Cloud App Security にデータへのアクセスを許可する] チェック ボックスをクリアして、 [保存] を選択します。Under Enable integrations, clear Allow Microsoft Cloud App Security to access my data, and select Save.

注意

Security Center では、そのリソースと同じ地域でセキュリティ関連の顧客データが格納されます。Security Center stores security-related customer data in the same geo as its resource. Microsoft によってまだリソースの地域に Security Center がデプロイされていない場合、米国でデータが格納されます。If Microsoft hasn't yet deployed Security Center in the resource's geo, then it stores the data in the United States. Cloud App Security が有効になっている場合、この情報は、Cloud App Security の地域の場所のルールに従って格納されます。When Cloud App Security is enabled, this information is stored in accordance with the geo location rules of Cloud App Security. 詳細については、非リージョン サービスのデータ ストレージに関するページを参照してください。For more information, see Data storage for non-regional services.

Azure Key Vault Azure Key Vault

Azure Key Vault は、暗号化キーとシークレット (証明書、接続文字列、パスワードなど) を保護するクラウド サービスです。Azure Key Vault is a cloud service that safeguards encryption keys and secrets like certificates, connection strings, and passwords.

Azure Security Center には、Azure Key Vault 用に Azure ネイティブの高度な脅威保護機能が含まれており、セキュリティ インテリジェンスのレイヤーが追加されます。Azure Security Center includes Azure-native, advanced threat protection for Azure Key Vault, providing an additional layer of security intelligence. Security Center では、異常であり、害を及ぼす可能性のある、Key Vault アカウントに対するアクセスまたは悪用の試みを検出できます。Security Center detects unusual and potentially harmful attempts to access or exploit Key Vault accounts. この保護層により、セキュリティの専門家でなくても、サードパーティ製のセキュリティ監視システムを管理する必要なしに、脅威に対処することができます。This layer of protection allows you to address threats without being a security expert, and without the need to manage third-party security monitoring systems.

異常なアクティビティが発生した場合、Security Center では、アラートが表示され、必要に応じてサブスクリプション管理者にメールが送信されます。When anomalous activities occur, Security Center shows alerts and optionally sends them via email to subscription administrators. これらのアラートには、不審なアクティビティの詳細と、脅威の調査や修復方法に関する推奨事項が含まれます。These alerts include the details of the suspicious activity and recommendations on how to investigate and remediate threats.

注意

現在、Azure Government およびソブリン クラウド リージョンでは、このサービスを利用できません。This service is not currently available in Azure government and sovereign cloud regions.

アラート:Alert 説明Description
TOR 出口ノードからキー コンテナーへのアクセスAccess from a TOR exit node to a Key Vault TOR IP 匿名化システムを使用して自分の場所を隠ぺいしているユーザーが、キー コンテナーにアクセスしました。The Key Vault has been accessed by someone using the TOR IP anonymization system to hide their location. 悪意のあるアクターは、インターネットに接続されたリソースへの不正アクセスを試みるときに、自分の場所を隠そうとすることがよくあります。 Malicious actors often try to hide their location when attempting to gain unauthorized access to internet-connected resources.
キー コンテナーでの疑わしいポリシーの変更とシークレット クエリSuspicious policy change and secret query in a Key Vault キー コンテナーのポリシーの変更が行われた後で、シークレットの一覧表示や取得の操作が行われました。A Key Vault policy change has been made and then operations to list and/or get secrets occurred. また、この操作パターンは、このコンテナーでユーザーによって通常実行されるものではありません。In addition, this operation pattern isn't normally performed by the user on this vault. これは、高い確率で、キー コンテナーが侵害され、その中のシークレットが悪意のあるアクターによって盗まれたことを示しています。This is highly indicative that the Key Vault is compromised and the secrets within have been stolen by a malicious actor.
キー コンテナーでの疑わしいシークレット一覧取得とクエリSuspicious secret listing and query in a Key Vault シークレット一覧取得操作の後で、多くのシークレット取得操作が行われました。A Secret List operation was followed by many Secret Get operations. また、この操作パターンは、このコンテナーでユーザーによって通常実行されるものではありません。Also, this operation pattern isn't normally performed by the user on this vault. これは、潜在的に悪意のある目的のためにキー コンテナーに格納されているシークレットをだれかがダンプしている可能性があることを示します。This indicates that someone could be dumping the secrets stored in the Key Vault for potentially malicious purposes.
通常とは異なるユーザーとアプリケーションのペアによるキー コンテナーへのアクセスUnusual user-application pair accessed a Key Vault キー コンテナーが、通常ではアクセスすることのないユーザーとアプリケーションのペアによってアクセスされました。The Key Vault has been accessed by a User-Application pairing that doesn't normally access it. これは正当なアクセス試行である可能性があります (たとえば、インフラストラクチャまたはコードの更新の後)。This may be a legitimate access attempt (for example, following an infrastructure or code update). また、インフラストラクチャが侵害され、悪意のあるアクターがキー コンテナーへのアクセスを試みていることを示す可能性もあります。This is also a possible indication that your infrastructure is compromised and a malicious actor is trying to access your Key Vault.
異常なアプリケーションによるキー コンテナーへのアクセスUnusual application accessed a Key Vault キー コンテナーが、通常ではアクセスすることのないアプリケーションによってアクセスされました。The Key Vault has been accessed by an Application that doesn't normally access it. これは正当なアクセス試行である可能性があります (たとえば、インフラストラクチャまたはコードの更新の後)。 This may be a legitimate access attempt (for example, following an infrastructure or code update). また、インフラストラクチャが侵害され、悪意のあるアクターがキー コンテナーへのアクセスを試みていることを示す可能性もあります。This is also a possible indication that your infrastructure is compromised and a malicious actor is trying to access your Key Vault.
異常なユーザーによるキー コンテナーへのアクセスUnusual user accessed a Key Vault キー コンテナーが、通常ではアクセスすることのないユーザーによってアクセスされました。The Key Vault has been accessed by a User that doesn't normally access it. これは正当なアクセス試行である可能性があります (たとえば、アクセスする必要がある新しいユーザーが組織に加わった場合など)。 This may be a legitimate access attempt (for example, a new user needing access has joined the organization). また、インフラストラクチャが侵害され、悪意のあるアクターがキー コンテナーへのアクセスを試みていることを示す可能性もあります。This is also a possible indication that your infrastructure is compromised and a malicious actor is trying to access your Key Vault.
キー コンテナーでの通異常な操作パターンUnusual operation pattern in a Key Vault 履歴データと比較して異常なキー コンテナー操作のセットが実行されました。An unusual set of Key Vault operations has been performed compared with historical data. 通常、Key Vault のアクティビティは、時間が経過しても変わることはありません。Key Vault activity is typically the same over time. これは、アクティビティの正当な変更である可能性があります。This may be a legitimate change in activity. または、インフラストラクチャが侵害されていて、さらに調査が必要である可能性もあります。Alternatively, your infrastructure might be compromised and further investigations are necessary.
キー コンテナーでの大量の操作High volume of operations in a Key Vault 履歴データと比較して大量のキー コンテナー操作が実行されました。A larger volume of Key Vault operations has been performed compared with historical data. 通常、Key Vault のアクティビティは、時間が経過しても変わることはありません。Key Vault activity is typically the same over time. これは、アクティビティの正当な変更である可能性があります。This may be a legitimate change in activity. または、インフラストラクチャが侵害されていて、さらに調査が必要である可能性もあります。Alternatively, your infrastructure might be compromised and further investigations are necessary.
ユーザーによるキー コンテナーへの大量のアクセスUser accessed high volume of Key Vaults ユーザーまたはアプリケーションがアクセスしているコンテナーの数が、履歴データと比較して変化しました。The number of vaults that a user or application accesses has changed compared with historical data. 通常、Key Vault のアクティビティは、時間が経過しても変わることはありません。Key Vault activity is typically the same over time. これは、アクティビティの正当な変更である可能性があります。 This may be a legitimate change in activity. または、インフラストラクチャが侵害されていて、さらに調査が必要である可能性もあります。Alternatively, your infrastructure might be compromised and further investigations are necessary.