Azure Security Center でのデータ収集Data collection in Azure Security Center

Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシン スケール セット、IaaS コンテナー、非 Azure (オンプレミスを含む) コンピューターからデータを収集します。Security Center collects data from your Azure virtual machines (VMs), virtual machine scale sets, IaaS containers, and non-Azure (including on-premises) computers to monitor for security vulnerabilities and threats. データは、Log Analytics エージェントを使用して収集されます。このエージェントは、セキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。Data is collected using the Log Analytics Agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis. このようなデータの例として、オペレーティング システムの種類とバージョン、オペレーティング システム ログ (Windows イベント ログ)、実行中のプロセス、マシン名、IP アドレス、ログイン ユーザーなどがあります。Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, and logged in user. また、Log Analytics エージェントはクラッシュ ダンプ ファイルもワークスペースにコピーします。The Log Analytics Agent also copies crash dump files to your workspace.

不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護の有効性、正常性と脅威の検出を可視化するためには、データ収集が欠かせません。Data collection is required to provide visibility into missing updates, misconfigured OS security settings, endpoint protection enablement, and health and threat detections.

この記事では、Log Analytics エージェントをインストールする方法と、収集されたデータの格納先となる Log Analytics ワークスペースを設定する方法について説明します。This article describes how to install a Log Analytics Agent and set a Log Analytics workspace in which to store the collected data. データ収集を有効にするためには、両方の操作が必要となります。Both operations are required to enable data collection.

注意

  • データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューター) だけです。Data collection is only needed for Compute resources (VMs, virtual machine scale sets, IaaS containers, and non-Azure computers). Azure Security Center の機能は、エージェントをプロビジョニングしなくても利用することができます。ただしセキュリティは限られており、前述の機能はサポートされません。You can benefit from Azure Security Center even if you don’t provision agents; however, you will have limited security and the capabilities listed above are not supported.
  • サポートされるプラットフォームの一覧については、「Azure Security Center でサポートされているプラットフォーム」を参照してください。For the list of supported platforms, see Supported platforms in Azure Security Center.
  • 新しいワークスペースと既存のワークスペースのどちらを使用する場合でも、Log Analytics にデータを格納すると、データ ストレージに対して追加料金が発生する可能性があります。Storing data in Log Analytics, whether you use a new or existing workspace, might incur additional charges for data storage. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

Log Analytics エージェントの自動プロビジョニングを有効にするEnable automatic provisioning of the Log Analytics Agent

マシンからデータを収集するには、Log Analytics エージェントがインストールされている必要があります。To collect the data from the machines, you should have the Log Analytics Agent installed. エージェントのインストールは自動で実行できますが (推奨)、手動でインストールすることもできます。Installation of the agent can be done automatically (recommended) or you can install the agent manually.

注意

自動プロビジョニングは、既定ではオフです。Automatic provisioning is off by default. 既定でインストールするように Security Center を設定するには、自動プロビジョニングをオンに設定してください。To set Security Center to install automatic provisioning by default, set it to On.

自動プロビジョニングをオンにすると、Security Center は、サポートされているすべての Azure VM と新しく作成される VM に Log Analytics エージェントをプロビジョニングします。When automatic provisioning is On, Security Center provisions the Log Analytics Agent on all supported Azure VMs and any new ones that are created. 自動プロビジョニングを強くお勧めしますが、エージェントを手動でインストールすることもできます。Automatic provisioning is strongly recommended but manual agent installation is also available. Log Analytics エージェントの拡張機能をインストールする方法を確認してくださいLearn how to install the Log Analytics Agent extension.

Log Analytics エージェントの自動プロビジョニングを有効にするには、次の手順に従います。To enable automatic provisioning of the Log Analytics Agent:

  1. Security Center メイン メニューの [Pricing & settings](価格と設定) を選択します。Under the Security Center main menu, select Pricing & settings.

  2. 適切なサブスクリプションをクリックします。Click on the applicable subscription

    サブスクリプションを選択します。

  3. [データ収集] を選択します。Select Data Collection.

  4. [Auto Provisioning] (自動プロビジョニング)[オン] を選択して、自動プロビジョニングを有効にします。Under Auto Provisioning, select On to enable automatic provisioning.

  5. [保存] を選択します。Select Save.

    自動プロビジョニングを有効にする

注意

ワークスペースの構成Workspace configuration

Security Center によって収集されたデータは、Log Analytics ワークスペースに保存されます。Data collected by Security Center is stored in Log Analytics workspace(s). Azure VM から収集したデータを、Security Center によって作成されたワークスペースと自分で作成した既存のワークスペースのどちらに保存するかを選択できます。You can select to have data collected from Azure VMs stored in workspaces created by Security Center or in an existing workspace you created.

ワークスペースの構成はサブスクリプションごとに設定されますが、多数のサブスクリプションで同じワークスペースを使うこともできます。Workspace configuration is set per subscription, and many subscriptions may use the same workspace.

Security Center によって作成されたワークスペースを使用するUsing a workspace created by Security Center

データの格納先となる既定のワークスペースは、Security Center で自動的に作成することができます。Security center can automatically create a default workspace in which to store the data.

Security Center によって作成されたワークスペースを選択するには、次の手順に従います。To select a workspace created by Security Center:

  1. [既定のワークスペース構成] で、[Security Center によって作成されたワークスペースを使用] を選択します。Under Default workspace configuration, select Use workspace(s) created by Security center. 価格レベルの選択Select pricing tier

  2. [Save] をクリックします。Click Save.
    Security Center で新しいリソース グループとその位置情報の既定のワークスペースが作成され、エージェントがそのワークスペースに接続されます。Security Center creates a new resource group and default workspace in that geolocation, and connects the agent to that workspace. ワークスペースとリソース グループの名前付け規則は次のとおりです。The naming convention for the workspace and resource group is:
    ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
    リソース グループ: DefaultResourceGroup-[geo]
    Workspace: DefaultWorkspace-[subscription-ID]-[geo]
    Resource Group: DefaultResourceGroup-[geo]

    複数の地理的位置情報からの VM がサブスクリプションに含まれている場合、Security Center では複数のワークスペースを作成します。If a subscription contains VMs from multiple geolocations, then Security Center creates multiple workspaces. 複数のワークスペースは、データのプライバシー ルールを維持するために作成されます。Multiple workspaces are created to maintain data privacy rules.

  3. サブスクリプションに設定された価格レベルに従い、ワークスペースで Security Center ソリューションが自動的に有効になります。Security Center will automatically enable a Security Center solution on the workspace per the pricing tier set for the subscription.

注意

Security Center で作成されたワークスペースの Log Analytics 価格レベルは、Security Center の課金に影響しません。The Log Analytics pricing tier of workspaces created by Security Center does not affect Security Center billing. Security Center の課金は、常に Security Center セキュリティ ポリシーとワークスペースにインストールされているソリューションに基づいています。Security Center billing is always based on your Security Center security policy and the solutions installed on a workspace. Free レベルの場合、既定のワークスペースで SecurityCenterFree ソリューションが有効化されます。For the Free tier, Security Center enables the SecurityCenterFree solution on the default workspace. Standard レベルの場合、既定のワークスペースで Security ソリューションが有効化されます。For the Standard tier, Security Center enables the Security solution on the default workspace. Log Analytics にデータを格納すると、データ ストレージに対して追加料金が発生する可能性があります。Storing data in Log Analytics might incur additional charges for data storage. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

既存の Log Analytics アカウントの詳細については、「既存の Log Analytics ユーザー」を参照してください。For more information about existing log analytics accounts, see Existing log analytics customers.

既存のワークスペースの使用Using an existing workspace

既に Log Analytics ワークスペースがある場合は、同じワークスペースを使用することをお勧めします。If you already have an existing Log Analytics workspace, you might want to use the same workspace.

既存の Log Analytics ワークスペースを使用するには、ワークスペースに対する読み取りアクセス許可と書き込みアクセス許可が必要です。To use your existing Log Analytics workspace, you must have read and write permissions on the workspace.

注意

既存のワークスペースに接続した Azure VM には、そのワークスペースで有効になっているソリューションが適用されます。Solutions enabled on the existing workspace will be applied to Azure VMs that are connected to it. そのため有料ソリューションの場合、追加料金が発生することがあります。For paid solutions, this could result in additional charges. データのプライバシー上、選択したワークスペースが適切な地理的領域に存在することを確認してください。For data privacy considerations, make sure your selected workspace is in the right geographic region. Log Analytics にデータを格納すると、データ ストレージに対して追加料金が発生する可能性があります。Storing data in log analytics might incur additional charges for data storage. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

既存の Log Analytics ワークスペースを選択するには、次の手順に従います。To select an existing Log Analytics workspace:

  1. [Default workspace configuration] (既定のワークスペース構成)[Use another workspace](別のワークスペースを使用する) を選択します。Under Default workspace configuration, select Use another workspace.

    既存のワークスペースを選択する

  2. プルダウン メニューから、収集したデータを保存するワークスペースを選択します。From the pull-down menu, select a workspace to store collected data.

    注意

    プルダウン メニューでは、ご利用のすべてのサブスクリプションにわたって、すべてのワークスペースを選択できます。In the pull down menu, all the workspaces across all of your subscriptions are available. 詳細については、「クロス サブスクリプションのワークスペースの選択」を参照してください。See cross subscription workspace selection for more information. ワークスペースへのアクセス許可が必要となります。You must have permission to access the workspace.

  3. [保存] を選択します。Select Save.

  4. [保存] を選択すると、過去に既定のワークスペースに接続されていた監視対象の VM を再構成するかどうかをたずねられます。After selecting Save, you will be asked if you would like to reconfigure monitored VMs that were previously connected to a default workspace.

    • 新しいワークスペース設定を新しい VM にのみ適用する場合は、 [いいえ] を選択します。Select No if you want the new workspace settings to apply on new VMs only. 新しいワークスペース設定は、エージェントの新しいインストール (Log Analytics エージェントがインストールされていない、新たに検出された VM) にのみ適用されます。The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Log Analytics Agent installed.
    • 新しいワークスペース設定をすべての VM に適用する場合は、 [はい] を選択します。Select Yes if you want the new workspace settings to apply on all VMs. この場合、Security Center によって作成されたワークスペースに接続されているすべての VM が、新しいターゲット ワークスペースに再接続されます。In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    注意

    [はい] を選択した場合、すべての VM が新しいターゲット ワークスペースに再接続されるまで、Security Center によって作成されたワークスペースを削除しないでください。If you select Yes, you must not delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. ワークスペースの削除が早すぎると、この操作は失敗します。This operation fails if a workspace is deleted too early.

    • 操作を取り消すには、 [キャンセル] をクリックします。Select Cancel to cancel the operation.

      既存のワークスペースを選択する

  5. Log Analytics エージェントを設定する目的のワークスペースの価格レベルを選択します。Select the pricing tier for the desired workspace you intend to set the Log Analytics Agent.
    既存のワークスペースを使用するには、ワークスペースの価格レベルを設定します。To use an existing workspace, set the pricing tier for the workspace. これにより、Security Center ソリューションがワークスペースにインストールされます (まだ存在しない場合)。This will install a security Center solution on the workspace if one is not already present.

    a.a. Security Center メイン メニューの [Pricing & settings](価格と設定) を選択します。In the Security Center main menu, select Pricing & settings.

    b.b. エージェントを接続するワークスペースを選択します。Select the desired Workspace in which you intend to connect the agent. ワークスペースを選択 c.Select workspace c. 価格レベルを設定します。Set the pricing tier. 価格レベルの選択Select pricing tier

    注意

    対象のワークスペースで Security ソリューションまたは SecurityCenterFree ソリューションが既に有効になっている場合、価格は自動的に設定されます。If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

クロス サブスクリプションのワークスペースの選択Cross-subscription workspace selection

データの格納先となるワークスペースを選択するときには、ご利用のすべてのサブスクリプションにわたって、すべてのワークスペースを選択できます。When you select a workspace in which to store your data, all the workspaces across all your subscriptions are available. クロス サブスクリプションのワークスペースの選択を行うと、異なるサブスクリプションで実行されている仮想マシンからデータを収集し、選択したワークスペースに格納できます。Cross-subscription workspace selection allows you to collect data from virtual machines running in different subscriptions and store it in the workspace of your choice. この選択は、社内で一元化されたワークスペースを使用していて、それをセキュリティ データの収集に使いたい場合に適しています。This selection is useful if you are using a centralized workspace in your organization and want to use it for security data collection. ワークスペースを管理する方法について詳しくは、ワークスペースのアクセス管理に関するページをご覧ください。For more information on how to manage workspaces, see Manage workspace access.

データ収集レベルData collection tier

Azure Security Center 内でデータ収集レベルを選択した場合、その影響を受けるのは Log Analytics ワークスペース内のセキュリティ イベントのストレージのみです。Selecting a data collection tier in Azure Security Center will only affect the storage of security events in your Log Analytics workspace. Log Analytics エージェントでは、ご利用の Log Analytics ワークスペース (存在する場合) に格納するように選択したセキュリティ イベントのレベルに関係なく、Azure Security Center での脅威検出に必要なセキュリティ イベントが引き続き収集され分析されます。The Log Analytics agent will still collect and analyze the security events required for Azure Security Center’s threat detections, regardless of which tier of security events you choose to store in your Log Analytics workspace (if any). ご利用のワークスペースにセキュリティ イベントを格納するように選択すると、そのワークスペース内のセキュリティ イベントの調査、検索、および監査が有効にされます。Choosing to store security events in your workspace will enable investigation, search, and auditing of those events in your workspace.

注意

Log Analytics にデータを格納すると、データ ストレージに対して追加料金が発生する可能性があります。Storing data in log analytics might incur additional charges for data storage. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

ご利用のワークスペースに格納される 4 つのイベント セットの中から、サブスクリプションとワークスペースに最適なフィルタリング ポリシーを選択できます。You can choose the right filtering policy for your subscriptions and workspaces from four sets of events to be stored in your workspace:

  • なし – セキュリティ イベントのストレージを無効にします。None – Disable security event storage. これは、既定の設定です。This is the default setting.
  • 最小 - イベント ボリュームを最小限に抑える必要があるお客様向けの小さなイベント セットです。Minimal – A smaller set of events for customers who want to minimize the event volume.
  • 共通 - これは、ほとんどのお客様のニーズを満たすイベントのセットです。このセットでは、完全な監査証跡が可能です。Common – This is a set of events that satisfies most customers and allows them a full audit trail.
  • すべてのイベント - すべてのイベントを格納する必要があるお客様向けです。All events – For customers who want to make sure all events are stored.

注意

これらのセキュリティ イベントは、Security Center の Standard レベルでのみ使用できます。These security events sets are available only on Security Center’s Standard tier. Security Center の価格レベルの詳細については、価格に関するページを参照してください。See Pricing to learn more about Security Center's pricing tiers. これらのセットは、一般的なシナリオに対応するように設計されています。These sets were designed to address typical scenarios. 実装前に、どのセットがニーズに合うかを必ず評価してください。Make sure to evaluate which one fits your needs before implementing it.

Microsoft では、共通イベント セットと最小イベント セットに属するイベントを決定するために、お客様や業界標準化団体と協力して、各イベントがフィルター処理されない頻度とイベントの使用方法を確認しました。To determine the events that will belong to the Common and Minimal event sets, we worked with customers and industry standards to learn about the unfiltered frequency of each event and their usage. このプロセスでは次のガイドラインが使用されました。We used the following guidelines in this process:

  • 最小 - このセットは、ボリュームが非常に小さく、侵害が成功したことを示すイベントと重要なイベントだけを対象とします。Minimal - Make sure that this set covers only events that might indicate a successful breach and important events that have a very low volume. たとえば、このセットにはユーザーの成功したログインと失敗したログイン (イベント ID 4624、4625) が含まれますが、監査には重要であっても検出には重要ではない、比較的ボリュームの大きいサインアウトは含まれません。For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain sign out which is important for auditing but not meaningful for detection and has relatively high volume. このセットのデータ量のほとんどは、ログイン イベントとプロセス作成イベント (イベント ID 4688) です。Most of the data volume of this set is the login events and process creation event (event ID 4688).
  • 共通 - このセットでは、完全なユーザー監査証跡を提供します。Common - Provide a full user audit trail in this set. たとえば、このセットには、ユーザー ログインとユーザー サインアウトの両方 (イベント ID 4634) が含まれます。For example, this set contains both user logins and user sign outs (event ID 4634). セキュリティ グループの変更などの監査アクション、ドメイン コントローラーの主要な Kerberos 操作、業界組織が推奨するその他のイベントが含まれます。We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

すべてのイベントではなく、共通セットを選択する主な動機は、特定のイベントを除外することではなく、ボリュームを減らすことであるため、共通セットにはボリュームが非常に小さいイベントも含まれています。Events that have very low volume were included in the Common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

各セットのすべてのセキュリティ イベント ID と AppLocker イベント ID を次に示します。Here is a complete breakdown of the Security and App Locker event IDs for each set:

データ層Data tier 収集したイベント インジケーターCollected event indicators
最小限Minimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
一般Common 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

注意

  • グループ ポリシー オブジェクト (GPO) を使用している場合は、プロセス作成イベント 4688 の監査ポリシーと、イベント 4688 内の CommandLine フィールドを有効にすることをお勧めします。If you are using Group Policy Object (GPO), it is recommended that you enable audit policies Process Creation Event 4688 and the CommandLine field inside event 4688. プロセス作成イベント 4688 の詳細については、Security Center の FAQ を参照してください。For more information about Process Creation Event 4688, see Security Center's FAQ. これらの監査ポリシーの詳細については、「Audit Policy Recommendations」(監査ポリシーの推奨事項) を参照してください。For more information about these audit policies, see Audit Policy Recommendations.
  • 適応型アプリケーション制御のデータ収集を有効にするために、Security Center は、ローカル AppLocker ポリシーを監査モードで構成して、すべてのアプリケーションを許可します。To enable data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. これをきっかけとして AppLocker がイベントを生成するようになり、そのイベントが Security Center によって収集されて活用されます。This will cause AppLocker to generate events which are then collected and leveraged by Security Center. ただし、既に AppLocker ポリシーが構成されているマシンでは、このポリシーが構成されないので注意してください。It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.
  • Windows フィルタリング プラットフォーム イベント (イベント ID 5156) を収集するには、[フィルタリング プラットフォームの接続の監査] を有効にする必要があります (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)。To collect Windows Filtering Platform Event ID 5156, you need to enable Audit Filtering Platform Connection (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

フィルタリグ ポリシーを選択するには、次の手順に従います。To choose your filtering policy:

  1. [データ収集] ページの [セキュリティ イベント] で、フィルタリング ポリシーを選択します。On the Data Collection page, select your filtering policy under Security Events.

  2. [保存] を選択します。Select Save.

    フィルタリング ポリシーを選択する

既にインストールされているエージェントが存在する場合の自動プロビジョニング Automatic provisioning in cases of a pre-existing agent installation

以下のユース ケースは、エージェントまたは拡張機能が既にインストールされていた場合の自動プロビジョニングの動作について記述したものです。The following use cases specify how automatic provision works in cases when there is already an agent or extension installed.

  • マシンに Log Analytics エージェントがインストールされているものの、拡張機能としてはインストールされていない (ダイレクト エージェント)Log Analytics Agent is installed on the machine, but not as an extension (Direct agent)
    Log Analytics エージェントが VM に (Azure 拡張機能としてではなく) 直接インストールされている場合、Security Center によって Log Analytics エージェント拡張機能がインストールされ、Log Analytics エージェントが最新バージョンにアップグレードされる可能性があります。If the Log Analytics Agent is installed directly on the VM (not as an Azure extension), Security Center will install the Log Analytics Agent extension, and may upgrade the Log Analytics Agent to the latest version. インストールされているエージェントでは、既に構成されているワークスペースに引き続きレポートし、さらに Security Center で構成されたワークスペースにもレポートします (Windows マシンでは、マルチ ホームがサポートされています)。The agent installed will continue to report to its already configured workspace(s), and additionally will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines). 構成されたワークスペースがユーザーのワークスペース (Security Center の既定のワークスペースではない) の場合、Security Center でそのワークスペースにレポートする VM とコンピューターからイベントの処理を開始するために、"security/"securityFree" ソリューションをインストールする必要があります。If the configured workspace is a user workspace (not Security Center's default workspace), then you will need to install the "security/"securityFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

    Linux マシンでは、エージェントのマルチ ホームはまだサポートされていません。そのため、既存のエージェントのインストールが検出されても、自動プロビジョニングは行われず、マシンの構成は変更されません。For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.
    2019 年 3 月 17 日より前に Security Center にオンボードされたサブスクリプションの既存のマシンでは、既存のエージェントが検出されると、Log Analytics エージェント拡張機能はインストールされず、マシンに影響はありません。For existing machines on subscriptions onboarded to Security Center before 2019-03-17, when an existing agent will be detected, the Log Analytics Agent extension will not be installed and the machine will not be affected. これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。For these machines, see to the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines.

  • マシンに System Center Operations Manager エージェントがインストールされているSystem Center Operations Manager agent is installed on the machine
    Security Center によって、Log Analytics エージェント拡張機能は、既存の Operations Manager とサイドバイサイドでインストールされます。Security center will install the Log Analytics Agent extension side-by-side to the existing Operations Manager. 通常、既存の Operations Manager エージェントは引き続き Operations Manager サーバーに報告します。The existing Operations Manager agent will continue to report to the Operations Manager server normally. Operations Manager エージェントと Log Analytics エージェントは、このプロセス中に最新バージョンに更新される、共通のランタイム ライブラリを共有することに注意してください。Note that the Operations Manager agent and Log Analytics Agent share common run-time libraries, which will be updated to the latest version during this process. 注 - Operations Manager エージェント バージョン 2012 がインストールされている場合は、自動プロビジョニングを有効にしないでくださいNote - If Operations Manager agent version 2012 is installed, do not turn automatic provisioning On.

  • 既存の VM 拡張機能が存在するA pre-existing VM extension is present

    • Monitoring Agent が拡張機能としてインストールされると、拡張機能の構成で 1 つのワークスペースのみにレポートできます。When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Security Center は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。Security Center does not override existing connections to user workspaces. Security Center では、"security" または "securityFree" ソリューションがインストールされているという条件で、既に接続されているワークスペース内の VM からのセキュリティ データを保存します。Security Center will store security data from the VM in the workspace already connected, provided that the "security" or "securityFree" solution has been installed on it. Security Center では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。Security Center may upgrade the extension version to the latest version in this process.
    • 既存の拡張機能がどのワークスペースにデータを送信しているのかを調べるには、Azure Security Center との接続を確認するテストを実行します。To see to which workspace the existing extension is sending data to, run the test to Validate connectivity with Azure Security Center. または、Log Analytics ワークスペースを開いてワークスペースを選択し、対象の VM を選択して、Log Analytics エージェント接続を調べることもできます。Alternatively, you can open Log Analytics workspaces, select a workspace, select the VM, and look at the Log Analytics agent connection.
    • Log Analytics エージェントがクライアント ワークステーションにインストールされ、既存の Log Analytics ワークスペースにレポートする環境が整っている場合は、Azure Security Center でサポートされるオペレーティング システムの一覧で、ご利用のオペレーティング システムがサポートされているかどうかを確認します。If you have an environment where the Log Analytics agent is installed on client workstations and reporting to an existing Log Analytics workspace, review the list of operating systems supported by Azure Security Center to make sure your operating system is supported. 詳しくは、「既存の Log Analytics ユーザー」をご覧ください。For more information, see Existing log analytics customers.

自動プロビジョニングを無効にするTurn off automatic provisioning

リソースの自動プロビジョニングは、セキュリティ ポリシーでこの設定をオフにすることで、いつでも無効にすることができます。You can turn off automatic provisioning from resources at any time by turning off this setting in the security policy.

  1. Security Center のメイン メニューに戻り、[セキュリティ ポリシー] を選択します。Return to the Security Center main menu and select the Security policy.

  2. 自動プロビジョニングを無効にするサブスクリプションの行で、 [設定の編集] をクリックします。Click Edit settings in the row of the subscription for which you want to disable automatic provisioning.

  3. [セキュリティ ポリシー - データ収集] ブレードの [Auto provisioning] (自動プロビジョニング) で、 [オフ] を選択します。On the Security policy – Data Collection blade, under Auto provisioning select Off.

  4. [保存] を選択します。Select Save.

    自動プロビジョニングの無効化

自動プロビジョニングを無効 (オフ) にすると、既定のワークスペース構成セクションは表示されません。When auto provisioning is disabled (turned off), the default workspace configuration section is not displayed.

オンになっていた自動プロビジョニングをオフにした場合の動作は次のとおりです。If you switch off auto provision after it was previously on:

  • 新しい VM にはエージェントがプロビジョニングされなくなります。Agents will not be provisioned on new VMs.
  • Security Center は既定のワークスペースからのデータ収集を停止します。Security Center stops collecting data from the default workspace.

注意

自動プロビジョニングを無効にしても、Log Analytics エージェントがプロビジョニングされている Azure VM からそのエージェントは削除されません。Disabling automatic provisioning does not remove the Log Analytics Agent from Azure VMs where the agent was provisioned. OMS 拡張機能の削除については、「Security Center にインストールされている OMS 拡張機能を削除するにはどうすればよいですか」をご覧ください。For information on removing the OMS extension, see How do I remove OMS extensions installed by Security Center.

エージェントの手動プロビジョニング Manual agent provisioning

Log Analytics エージェントの手動インストールには、いくつかの方法があります。There are several ways to install the Log Analytics Agent manually. 手動インストールを行うときは、必ず自動プロビジョニングを無効にしてください。When installing manually, make sure you disable auto provisioning.

Operations Management Suite VM 拡張機能のデプロイOperations Management Suite VM extension deployment

Security Center がお使いの VM からセキュリティ データを収集して、推奨や通知を提示できるように、Log Analytics エージェントを手動でインストールすることができます。You can manually install the Log Analytics Agent, so Security Center can collect security data from your VMs and provide recommendations and alerts.

  1. 自動プロビジョニングのオフを選択します。Select Auto provision – OFF.

  2. ワークスペースを作成し、Log Analytics エージェントを設定するワークスペースの価格レベルを設定します。Create a workspace and set the pricing tier for the workspace you intend to set the Log Analytics Agent:

    a.a. Security Center のメイン メニューで、 [セキュリティ ポリシー] を選択します。In the Security Center main menu, select Security policy.

    b.b. エージェントを接続するワークスペースを選択します。Select the Workspace in which you intend to connect the agent. ワークスペースが存在するサブスクリプションが Security Center で使用しているサブスクリプションと同じであること、またそのワークスペースに対する読み取り/書き込みのアクセス許可があることを確認します。Make sure the workspace is in the same subscription you use in Security Center and that you have read/write permissions on the workspace. ワークスペースを選択Select workspace

  3. 価格レベルを設定します。Set the pricing tier. 価格レベルの選択Select pricing tier

    注意

    対象のワークスペースで Security ソリューションまたは SecurityCenterFree ソリューションが既に有効になっている場合、価格は自動的に設定されます。If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

  4. Resource Manager テンプレートを使用して新しい VM にエージェントをデプロイする場合は、OMS 仮想マシン拡張機能をインストールします。If you want to deploy the agents on new VMs using a Resource Manager template, install the OMS virtual machine extension:

    a.a. Windows 用の OMS 仮想マシン拡張機能のインストールInstall the OMS virtual machine extension for Windows

    b.b. Linux 用の OMS 仮想マシン拡張機能のインストールInstall the OMS virtual machine extension for Linux

  5. 既存の VM に拡張機能をデプロイする場合は、「Azure Virtual Machines に関するデータの収集」の手順に従います。To deploy the extensions on existing VMs, follow the instructions in Collect data about Azure Virtual Machines.

    注意

    イベントとパフォーマンス データを収集する」セクションは省略してもかまいません。The section Collect event and performance data is optional.

  6. PowerShell を使用して拡張機能をデプロイするには、PowerShell の次の例を使用します。To use PowerShell to deploy the extension, use the following PowerShell example:

    注意

    この記事は、新しい Azure PowerShell Az モジュールを使用するために更新されました。This article has been updated to use the new Azure PowerShell Az module. AzureRM モジュールはまだ使用でき、少なくとも 2020 年 12 月までは引き続きバグ修正が行われます。You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Az モジュールと AzureRM の互換性の詳細については、「Introducing the new Azure PowerShell Az module (新しい Azure PowerShell Az モジュールの概要)」を参照してください。To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Az モジュールのインストール手順については、Azure PowerShell のインストールを参照してください。For Az module installation instructions, see Install Azure PowerShell.

    1. [Log Analytics] に移動し、 [詳細設定] をクリックします。Go to Log Analytics and click on Advanced settings.

      ログ分析の設定

    2. ワークスペース IDプライマリ キーの値をコピーします。Copy the values out of WorkspaceID and Primary key.

      値をコピーする

    3. public config と private config に次の値を設定します。Populate the public config and the private config with these values:

       $PublicConf = @{
           "workspaceId"= "<WorkspaceID value>"
       }
      
       $PrivateConf = @{
           "workspaceKey"= "<Primary key value>”
       }
      
      • Windows VM にインストールする場合:When installing on a Windows VM:

        Set-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name -Name "MicrosoftMonitoringAgent" -Publisher "Microsoft.EnterpriseCloud.Monitoring" -ExtensionType "MicrosoftMonitoringAgent" -TypeHandlerVersion '1.0' -Location $vm.Location -Settingstring $PublicConf -ProtectedSettingString $PrivateConf -ForceRerun True 
        
      • Linux VM にインストールする場合:When installing on a Linux VM:

        Set-AzVMExtension -ResourceGroupName $vm1.ResourceGroupName -VMName $vm1.Name -Name "OmsAgentForLinux" -Publisher "Microsoft.EnterpriseCloud.Monitoring" -ExtensionType "OmsAgentForLinux" -TypeHandlerVersion '1.0' -Location $vm.Location -Settingstring $PublicConf -ProtectedSettingString $PrivateConf -ForceRerun True`
        

注意

PowerShell を使用して Security Center をオンボードする方法については、「Automate onboarding of Azure Security Center using PowerShell」 (PowerShell を使用して Azure Security Center のオンボードを自動化する) を参照してください。For instructions on how to onboard Security Center using PowerShell, see Automate onboarding of Azure Security Center using PowerShell.

トラブルシューティングTroubleshooting

次の手順Next steps

この記事では、Security Center のデータ収集と自動プロビジョニングのしくみについて説明しました。This article showed you how data collection and automatic provisioning in Security Center works. セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: