Azure Security Center によく寄せられる質問 (FAQ)Azure Security Center frequently asked questions (FAQ)

この FAQ は、Azure Security Center について寄せられる質問とその回答です。Azure Security Center は、Microsoft Azure リソースのセキュリティの視覚化と制御の向上により、脅威を回避、検出、対応するのに役立つサービスです。This FAQ answers questions about Azure Security Center, a service that helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Microsoft Azure resources.

注意

Security Center では、データの収集と格納に Microsoft Monitoring Agent を使用しています。Security Center uses the Microsoft Monitoring Agent to collect and store data. 詳細については、「Azure Security Center のプラットフォームの移行」を参照してください。To learn more, see Azure Security Center Platform Migration.

一般的な質問General questions

Azure Security Center とはWhat is Azure Security Center?

Azure Security Center は、Azure リソースのセキュリティを高度に視覚化し、制御することで脅威を回避、検出し、それに対応することに役立ちます。Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. これにより、サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。It provides integrated security monitoring and policy management across your subscriptions, helps detect threats that might otherwise go unnoticed, and works with a broad ecosystem of security solutions.

Azure Security Center はどうしたら取得できますか。How do I get Azure Security Center?

Azure Security Center は、Microsoft Azure サブスクリプションで有効化し、Azure Portal からアクセスしますAzure Security Center is enabled with your Microsoft Azure subscription and accessed from the Azure portal. (ポータルにサインインして、 [参照] を選択し、 [セキュリティ センター] までスクロールします)。(Sign in to the portal, select Browse, and scroll to Security Center).

課金Billing

Azure Security Center の課金のしくみを教えてください。How does billing work for Azure Security Center?

Azure Security Center は 2 つのレベルで提供されます。Security Center is offered in two tiers:

Free レベルでは、Azure リソースのセキュリティ状態の表示、基本的なセキュリティ ポリシー、セキュリティに関する推奨事項、パートナーのセキュリティ製品やサービスとの統合が提供されます。The Free tier provides visibility into the security state of your Azure resources, basic security policy, security recommendations, and integration with security products and services from partners.

Standard レベルには、脅威インテリジェンス、行動分析、異常検出、セキュリティ インシデント、脅威評価レポートなどの高度な脅威検出機能が追加されます。The Standard tier adds advanced threat detection capabilities, including threat intelligence, behavioral analysis, anomaly detection, security incidents, and threat attribution reports. Standard レベルの無料試用版を開始できます。You can start a Standard tier free trial. アップグレードを行うには、 セキュリティ ポリシーで価格レベルを選択してください。To upgrade, select Pricing Tier in the security policy. 詳細については、価格のページを参照してください。To learn more, see the pricing page.

Azure Security Center で価格レベルの変更を実行した組織内のユーザーを追跡するにはどうすればよいですか?How can I track who in my organization performed pricing tier changes in Azure Security Center

Azure サブスクリプションには、価格レベルを変更する許可が与えられた管理者が複数設定されていることがあります。Azure Subscriptions may have multiple administrators with permissions to change the pricing tier. 価格レベルを変更したユーザーを見つけるには、Azure アクティビティ ログを使用します。To find out which user performed a pricing tier change, use the Azure Activity Log. 詳細については、このページを参照してください。For more information, see here.

アクセス許可Permissions

Azure Security Center では、ロールベースのアクセス制御 (RBAC) が使用されています。RBAC が提供する組み込みのロールは、Azure でユーザー、グループ、サービスに割り当てることができます。Azure Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure.

Security Center は、リソースの構成を評価して、セキュリティの問題と脆弱性を特定します。Security Center assesses the configuration of your resources to identify security issues and vulnerabilities. Security Center では、リソースが属するサブスクリプションまたはリソース グループの所有者、共同作業者、閲覧者のいずれかのロールが割り当てられているときにリソースに関連した情報のみが表示されます。In Security Center, you only see information related to a resource when you are assigned the role of Owner, Contributor, or Reader for the subscription or resource group that a resource belongs to.

Security Center のロールと許可されているアクションの詳細については、「Permissions in Azure Security Center (Azure Security Center のアクセス許可)」を参照してください。See Permissions in Azure Security Center to learn more about roles and allowed actions in Security Center.

データの収集、エージェント、およびワークスペースData collection, agents, and workspaces

Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューター (オンプレミスを含む) からデータを収集します。Security Center collects data from your Azure virtual machines (VMs), Virtual machine scale sets, IaaS containers, and non-Azure computers (including on-premises) to monitor for security vulnerabilities and threats. データは、Microsoft Monitoring Agent を使用して収集されます。Microsoft Monitoring Agent は、セキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。Data is collected using the Microsoft Monitoring Agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis.

Security Center で作成されたワークスペース上の Azure Monitor ログには課金されますか?Am I billed for Azure Monitor logs on the workspaces created by Security Center?

いいえ。No. ノードごとの Azure Monitor ログの課金が構成されている場合でも、Security Center で作成されるワークスペースに Azure Monitor ログの料金はかかりません。Workspaces created by Security Center, while configured for Azure Monitor logs per node billing, do not incur Azure Monitor logs charges. Security Center の課金は、常に Security Center セキュリティ ポリシーとワークスペースにインストールされているソリューションに基づいています。Security Center billing is always based on your Security Center security policy and the solutions installed on a workspace:

  • Free レベル - Security Center によって既定のワークスペースに 'SecurityCenterFree' ソリューションが有効化されます。Free tier – Security Center enables the 'SecurityCenterFree' solution on the default workspace. Free レベルの料金はかかりません。You won't be billed for the Free tier.
  • Standard レベル - Security Center によって既定のワークスペースに 'Security' ソリューションが有効化されます。Standard tier – Security Center enables the 'Security' solution on the default workspace.

価格の詳細については、「Security Center の価格」を参照してください。For more information on pricing, see Security Center pricing.

注意

Security Center で作成されたワークスペースのログ分析の価格レベルは、Security Center の課金には影響しません。The log analytics pricing tier of workspaces created by Security Center does not affect Security Center billing.

注意

この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。We are updating the terminology to better reflect the role of logs in Azure Monitor. 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。See Azure Monitor terminology changes for details.

Microsoft Monitoring Agent インストールの自動プロビジョニングでは、何をもって VM を適格と見なしますか?What qualifies a VM for automatic provisioning of the Microsoft Monitoring Agent installation?

Windows または Linux IaaS VM は、次の条件で適格とします。Windows or Linux IaaS VMs qualify if:

  • Microsoft Monitoring Agent 拡張機能が現在、VM 上にインストールされていない。The Microsoft Monitoring Agent extension is not currently installed on the VM.
  • VM が実行状態である。The VM is in running state.
  • Windows または Linux Azure 仮想マシン エージェントがインストールされている。The Windows or Linux Azure Virtual Machine Agent is installed.
  • VM は、Web アプリケーション ファイアウォールや次世代ファイアウォールなどのアプライアンスとしては使用されません。The VM is not used as an appliance such as web application firewall or next generation firewall.

Security Center で作成された既定のワークスペースは削除できますか?Can I delete the default workspaces created by Security Center?

既定のワークスペースを削除することは推奨されません。Deleting the default workspace is not recommended. Security Center は、既定のワークスペースを使用して VM のセキュリティ データを格納します。Security Center uses the default workspaces to store security data from your VMs. ワークスペースを削除すると、Security Center はこのデータを収集できず、一部のセキュリティの推奨とアラートと使用できなくなります。If you delete a workspace, Security Center is unable to collect this data and some security recommendations and alerts are unavailable.

復旧するには、削除したワークスペースに接続されている VM 上の Microsoft Monitoring Agent を削除します。To recover, remove the Microsoft Monitoring Agent on the VMs connected to the deleted workspace. Security Center によってエージェントが再インストールされ、新しい既定のワークスペースが作成されます。Security Center reinstalls the agent and creates new default workspaces.

既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?How can I use my existing Log Analytics workspace?

Security Center によって収集されたデータを保存する既存の Log Analytics ワークスペースを選択できます。You can select an existing Log Analytics workspace to store data collected by Security Center. 既存の Log Analytics ワークスペースを使用する場合、次の要件があります。To use your existing Log Analytics workspace:

  • 選択した Azure サブスクリプションにワークスペースを関連付ける必要があります。The workspace must be associated with your selected Azure subscription.
  • ワークスペースにアクセスするには、少なくとも読み取りアクセス許可が必要です。At a minimum, you must have read permissions to access the workspace.

既存の Log Analytics ワークスペースを選択するには、次の手順に従います。To select an existing Log Analytics workspace:

  1. [セキュリティ ポリシー - データ収集] で、 [Use another workspace](別のワークスペースを使用する) を選択します。Under Security policy – Data Collection, select Use another workspace.

    別のワークスペースを使用する

  2. プルダウン メニューから、収集したデータを保存するワークスペースを選択します。From the pull-down menu, select a workspace to store collected data.

    注意

    プルダウン メニューには、Azure サブスクリプション内の、アクセスできるワークスペースだけが表示されます。In the pull down menu, only workspaces that you have access to and are in your Azure subscription are shown.

  3. [保存] を選択します。Select Save.

  4. [保存] をクリックすると、監視対象の VM を再構成するかどうかをたずねられます。After selecting Save, you will be asked if you would like to reconfigure monitored VMs.

    • 新しいワークスペース設定を新しい VM にのみ適用する場合は、 [いいえ] を選択します。Select No if you want the new workspace settings to apply on new VMs only. この場合、新しいワークスペース設定は、エージェントの新しいインストール (Microsoft Monitoring Agent がインストールされていない、新たに検出された VM) にのみ適用されます。The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Microsoft Monitoring Agent installed.
    • 新しいワークスペース設定をすべての VM に適用する場合は、 [はい] を選択します。Select Yes if you want the new workspace settings to apply on all VMs. この場合、Security Center によって作成されたワークスペースに接続されているすべての VM が、新しいターゲット ワークスペースに再接続されます。In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    注意

    [はい] を選択した場合、すべての VM が新しいターゲット ワークスペースに再接続されるまで、Security Center によって作成されたワークスペースを削除しないでください。If you select Yes, you must not delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. ワークスペースの削除が早すぎると、この操作は失敗します。This operation fails if a workspace is deleted too early.

    • 操作を取り消すには、 [キャンセル] をクリックします。Select Cancel to cancel the operation.

Microsoft Monitoring Agent が拡張機能として VM に既にインストールされている場合はどうなりますか?What if the Microsoft Monitoring Agent was already installed as an extension on the VM?

Monitoring Agent が拡張機能としてインストールされている場合、拡張機能の構成では 1 つのワークスペースにのみレポートできます。When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Security Center は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。Security Center does not override existing connections to user workspaces. Security Center では、"Security" または "SecurityCenterFree" ソリューションがインストールされている場合は、既に接続されているワークスペースに VM からのセキュリティ データが保存されます。Security Center will store security data from a VM in a workspace that is already connected, provided that the "Security" or "SecurityCenterFree" solution has been installed on it. Security Center では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。Security Center may upgrade the extension version to the latest version in this process.

詳細については、「既にインストールされているエージェントが存在する場合の自動プロビジョニング」をご覧ください。For more information, see Automatic provisioning in cases of a pre-existing agent installation.

マシンに Microsoft Monitoring Agent が拡張機能 (直接エージェント) としてではなく、直接インストールされている場合はどうなりますか?What if I had a Microsoft Monitoring Agent is directly installed on the machine but not as an extension (Direct Agent)?

Microsoft Monitoring Agent が VM に (Azure 拡張機能としてではなく) 直接インストールされている場合、Security Center によって Microsoft Monitoring Agent 拡張機能がインストールされ、Microsoft Monitoring Agent が最新バージョンにアップグレードされる可能性があります。If the Microsoft Monitoring Agent is installed directly on the VM (not as an Azure extension), Security Center will install the Microsoft Monitoring Agent extension, and may upgrade the Microsoft Monitoring agent to the latest version. インストールされているエージェントでは、既に構成されているワークスペースに引き続きレポートし、さらに Security Center で構成されたワークスペースにもレポートします (Windows マシンでは、マルチ ホームがサポートされています)。The agent installed will continue to report to its already configured workspace(s), and in addition will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines). 構成済みのワークスペースが (Security Center の既定のワークスペースではなく) ユーザー ワークスペースの場合、そのワークスペースにレポートする VM およびコンピューターからのイベントの処理を Security Center で始めるには、"Security/SecurityCenterFree" ソリューションをインストールする必要があります。IF the configured workspace is a user workspace (not Security Center's default workspace), you will need to install the "Security/"SecurityCenterFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

Linux マシンでは、エージェントのマルチ ホームはまだサポートされていません。そのため、既存のエージェントのインストールが検出されても、自動プロビジョニングは行われず、マシンの構成は変更されません。For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.

2019 年 3 月 17 日より前に Security Center にオンボードされたサブスクリプションの既存のマシンでは、既存のエージェントが検出されると、Microsoft Monitoring Agent 拡張機能はインストールされず、マシンに影響はありません。For existing machines on subscriptions onboarded to Security Center before March 17 2019, when an existing agent will be detected, the Microsoft Monitoring Agent extension will not be installed and the machine will not be affected. これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。For these machines, see the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines

詳細については、次のセクションの「System Center Operations Manager または OMS のダイレクト エージェントが既に VM にインストールされている場合、どうなりますか?」をご覧くださいFor more information, see the next section What happens if a System Center Operations Manager or OMS direct agent is already installed on my VM?

VM に System Center Operations Manager エージェントが既にインストールされている場合はどうなりますか?What happens if a System Center Operations Manager agent is already installed on my VM?

Security Center によって、Microsoft Monitoring Agent 拡張機能は、既存の System Center Operations Manager エージェントと並行してインストールされます。Security center will install the Microsoft Monitoring Agent extension side by side to the existing System Center Operations Manager agent. 既存のエージェントは、引き続き通常どおり System Center Operations Manager サーバーに報告します。The existing agent will continue to report to the System Center Operations Manager server normally. Operations Manager エージェントと Microsoft Monitoring Agent は、このプロセス中に最新バージョンに更新される、共通のランタイム ライブラリを共有することに注意してください。Note that the Operations Manager agent and Microsoft Monitoring Agent share common run-time libraries, which will be updated to the latest version during this process. 注 - Operations Manager エージェントのバージョン 2012 がインストールされている場合は、自動プロビジョニングを有効にしないでください (Operations Manager サーバーもバージョン 2012 である場合、管理容易性機能が失われる可能性があり)。Note - If version 2012 of the Operations Manager agent is installed, do not turn on automatic provisioning (manageability capabilities can be lost when the Operations Manager server is also version 2012).

これらの拡張機能を削除するとどのような影響がありますか?What is the impact of removing these extensions?

Microsoft Monitoring Extension を削除すると、Security Center は VM からセキュリティ データを収集できなくなります。また、一部のセキュリティの推奨とアラートを使用できなくなります。If you remove the Microsoft Monitoring Extension, Security Center is not able to collect security data from the VM and some security recommendations and alerts are unavailable. Security Center は、VM に拡張機能が存在せず、拡張機能を再インストールすることが 24 時間以内に判断されます。Within 24 hours, Security Center determines that the VM is missing the extension and reinstalls the extension.

自動的なエージェントのインストールとワークスペースの作成を停止するにはどうすればよいですか?How do I stop the automatic agent installation and workspace creation?

セキュリティ ポリシーでサブスクリプションの自動プロビジョニングを無効にすることはできますが、これは推奨されません。You can turn off automatic provisioning for your subscriptions in the security policy but this is not recommended. 自動プロビジョニングを無効にすると、Security Center の推奨事項とアラートが制限されます。Turning off automatic provisioning limits Security Center recommendations and alerts. 自動プロビジョニングを無効にするには、次の手順に従います。To disable automatic provisioning:

  1. Standard レベルのサブスクリプションを構成する場合、そのサブスクリプションのセキュリティ ポリシーを開き、 [Free] レベルを選択します。If your subscription is configured for the Standard tier, open the security policy for that subscription and select the Free tier.

    Pricing tier

  2. 次に、 [セキュリティ ポリシー - データ収集] ページで [オフ] を選択して自動プロビジョニングを無効にします。Next, turn off automatic provisioning by selecting Off on the Security policy – Data collection page. データ収集Data collection

自動的なエージェントのインストールとワークスペースの作成を停止するにはどうすればよいですか?Should I opt out of the automatic agent installation and workspace creation?

注意

自動プロビジョニングを停止する場合は、停止の影響および停止する場合に推奨される手順に関するセクションを必ず確認してください。Be sure to review sections What are the implications of opting out? and recommended steps when opting out if you choose to opt out of automatic provisioning.

次の条件に該当する場合、自動プロビジョニングの停止を検討する可能性があります。You may want to opt out of automatic provisioning if the following applies to you:

  • Security Center による自動的なエージェントのインストールが、サブスクリプション全体に適用されている。Automatic agent installation by Security Center applies to the entire subscription. VM のサブセットには自動インストールを適用できません。You cannot apply automatic installation to a subset of VMs. Microsoft Monitoring Agent ではインストールできない重要な VM がある場合は、自動プロビジョニングを停止する必要があります。If there are critical VMs that cannot be installed with the Microsoft Monitoring Agent, then you should opt out of automatic provisioning.

  • Microsoft Monitoring Agent (MMA) 拡張機能をインストールすると、エージェントのバージョンが更新される。Installation of the Microsoft Monitoring Agent (MMA) extension updates the agent’s version. これは、ダイレクト エージェントと System Center Operations Manager エージェントに該当します (後者の場合、Operations Manager と MMA で共通のランタイム ライブラリが共有され、それはプロセスで更新されます)。This applies to a direct agent and a System Center Operations Manager agent (in the latter, the Operations Manager and MMA share common runtime libraries - which will be updated in the process). インストールされている Operations Manager エージェントがバージョン 2012 であり、これがアップグレードされている場合、Operations Manager サーバーもバージョン 2012 になっていると、管理容易性の機能が失われる恐れがあります。If the installed Operations Manager agent is version 2012 and is upgraded, manageability capabilities can be lost when the Operations Manager server is also version 2012. インストールされている Operations Manager エージェントがバージョン 2012 の場合、自動プロビジョニングの停止を検討してください。Consider opting out of automatic provisioning if the installed Operations Manager agent is version 2012.

  • サブスクリプション (一元化されたワークスペース) の外部にカスタム ワークスペースを保持している場合、自動プロビジョニングを停止する必要があります。If you have a custom workspace external to the subscription (a centralized workspace), then you should opt out of automatic provisioning. 手動で Microsoft Monitoring Agent 拡張機能をインストールして、Security Center が接続をオーバーライドせずに、お使いのワークスペースに接続できます。You can manually install the Microsoft Monitoring Agent extension and connect it your workspace without Security Center overriding the connection.

  • サブスクリプションごとに複数のワークスペースが作成されることを回避したいと考えていて、サブスクリプション内に独自のカスタム ワークスペースがある場合、次の 2 つの選択肢があります。If you want to avoid creation of multiple workspaces per subscription and you have your own custom workspace within the subscription, then you have two options:

    1. 自動プロビジョニングを停止できます。You can opt out of automatic provisioning. 移行後に、「既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?」の説明に従って、既定のワークスペース設定を設定します。After migration, set the default workspace settings as described in How can I use my existing Log Analytics workspace?
    2. 移行の完了を許可して、VM 上に Microsoft Monitoring Agent がインストールされ、作成されたワークスペースに VM が接続されるようにします。Or, you can allow the migration to complete, the Microsoft Monitoring Agent to be installed on the VMs, and the VMs connected to the created workspace. その後、既にインストールされているエージェントを再構成し、既定のワークスペース設定を設定して、独自のカスタム ワークスペースを選択します。Then, select your own custom workspace by setting the default workspace setting with opting in to reconfiguring the already installed agents. 詳細については、「既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?」をご覧ください。For more information, see How can I use my existing Log Analytics workspace?

自動プロビジョニングを停止すると、どのような影響がありますか?What are the implications of opting out of automatic provisioning?

移行が完了すると、Security Center は VM からセキュリティ データを収集できなくなります。また、一部のセキュリティの推奨とアラートを使用できなくなります。When migration is complete, Security Center can't collect security data from the VM and some security recommendations and alerts are unavailable. 停止した場合、Microsoft Monitoring Agent を手動でインストールします。If you opt out, install the Microsoft Monitoring Agent manually. 停止する場合に推奨される手順に関するセクションをご覧ください。See recommended steps when opting out.

Security Center がお使いの VM からセキュリティ データを収集して、推奨や通知を提示できるように、Microsoft Monitoring Agent 拡張機能を手動でインストールします。Manually install the Microsoft Monitoring Agent extension so Security Center can collect security data from your VMs and provide recommendations and alerts. インストールのガイダンスとして、Windows VM 用のエージェントのインストールまたは Linux VM 用のエージェントのインストールに関するページを参照してください。See agent installation for Windows VM or agent installation for Linux VM for guidance on installation.

エージェントをいずれかの既存のカスタム ワークスペースまたは Security Center が作成したワークスペースに接続できます。You can connect the agent to any existing custom workspace or Security Center created workspace. カスタム ワークスペースの 'Security' または 'SecurityCenterFree' ソリューションが有効になっていない場合は、ソリューションを適用する必要があります。If a custom workspace does not have the ‘Security’ or 'SecurityCenterFree' solutions enabled, then you will need to apply a solution. 適用するには、 [セキュリティ ポリシー – 価格レベル] ページを利用して、カスタム ワークスペースまたはサブスクリプションを選択します。To apply, select the custom workspace or subscription and apply a pricing tier via the Security policy – Pricing tier page.

Pricing tier

Security Center は、選択された価格レベルに基づいて、ワークスペース上で適切なソリューションを有効にします。Security Center will enable the correct solution on the workspace based on the selected pricing tier.

Security Center にインストールされている OMS 拡張機能を削除するにはどうすればよいですか?How do I remove OMS extensions installed by Security Center?

Microsoft Monitoring Agent は手動で削除することができます。You can manually remove the Microsoft Monitoring Agent. ただし、Security Center の推奨とアラートが制限されるため、削除は推奨されません。This is not recommended as it limits Security Center recommendations and alerts.

注意

データ収集が有効な場合、削除しても、Security Center でエージェントが再インストールされます。If data collection is enabled, Security Center will reinstall the agent after you remove it. エージェントを手動で削除する前に、データ収集を無効にする必要があります。You need to disable data collection before manually removing the agent. データ収集を無効にする手順については、「自動的なエージェントのインストールとワークスペースの作成を停止するにはどうすればよいですか?」を参照してください。See How do I stop the automatic agent installation and workspace creation? for instructions on disabling data collection.

エージェントを手動で削除するには:To manually remove the agent:

  1. ポータルで、 [Log Analytics] を開きます。In the portal, open Log Analytics.
  2. [Log Analytics] ページで、ワークスペースを選択します。On the Log Analytics page, select a workspace:
  3. 監視しない VM を選択し、 [切断] を選択します。Select the VMs that you don’t want to monitor and select Disconnect.

エージェントを削除する

注意

Linux VM に拡張機能ではない OMS エージェントが既にある場合、拡張機能を削除するとエージェントも削除されるので、ユーザーは再インストールする必要があります。If a Linux VM already has a non-extension OMS agent, removing the extension removes the agent as well and the customer has to reinstall it.

データ収集を無効にするにはどうしたらよいですか。How do I disable data collection?

自動プロビジョニングは、既定ではオフです。Automatic provisioning is off by default. リソースの自動プロビジョニングは、セキュリティ ポリシーでこの設定をオフにすることで、いつでも無効にすることができます。You can disable automatic provisioning from resources at any time by turning off this setting in the security policy. セキュリティ アラートや、システムの更新プログラム、OS の脆弱性、Endpoint Protection に関する推奨事項を取得するために、自動プロビジョニングを使用することを強くお勧めします。Automatic provisioning is highly recommended in order to get security alerts and recommendations about system updates, OS vulnerabilities, and endpoint protection.

データ収集を無効にするには、Azure portal にサインインして、 [参照][セキュリティ センター][ポリシーの選択] の順に選びます。To disable data collection, Sign in to the Azure portal, select Browse, select Security Center, and select Select policy. 自動プロビジョニングを無効にするサブスクリプションを選択します。Select the subscription that you wish to disable automatic provisioning. サブスクリプションを選ぶと、 [セキュリティ ポリシー] - [データ収集] が開きます。When you select a subscription Security policy - Data collection opens. [自動プロビジョニング][オフ] を選びます。Under Auto provisioning, select Off.

データ収集を有効にするにはどうしたらよいですか。How do I enable data collection?

Azure サブスクリプションのデータ収集の有効化は、セキュリティ ポリシーで行うことができます。You can enable data collection for your Azure subscription in the Security policy. データ収集を有効にするには、To enable data collection. Azure portal にサインインして、 [参照][セキュリティ センター][セキュリティ ポリシー] の順に選びます。Sign in to the Azure portal, select Browse, select Security Center, and select Security policy. 自動プロビジョニングを有効にするサブスクリプションを選択します。Select the subscription that you wish to enable automatic provisioning. サブスクリプションを選ぶと、 [セキュリティ ポリシー] - [データ収集] が開きます。When you select a subscription Security policy - Data collection opens. [自動プロビジョニング][オン] を選びます。Under Auto provisioning, select On.

データ収集を有効にするとどうなりますか。What happens when data collection is enabled?

自動プロビジョニングを有効にすると、Security Center は、サポートされているすべての Azure VM と新しく作成される VM に Microsoft Monitoring Agent をプロビジョニングします。When automatic provisioning is enabled, Security Center provisions the Microsoft Monitoring Agent on all supported Azure VMs and any new ones that are created. 自動プロビジョニングをお勧めしますが、エージェントを手動でインストールすることもできます。Automatic provisioning is recommended but manual agent installation is also available. Microsoft Monitoring Agent の拡張機能をインストールする方法を参照してくださいLearn how to install the Microsoft Monitoring Agent extension.

エージェントで、プロセス作成イベント 4688 とイベント 4688 内の CommandLine フィールドが有効になります。The agent enables the process creation event 4688 and the CommandLine field inside event 4688. VM に作成された新しいプロセスは EventLog に記録され、Security Center の検出サービスによって監視されます。New processes created on the VM are recorded by EventLog and monitored by Security Center’s detection services. 新しいプロセスごとに記録される詳細については、4688 の説明フィールドを参照してください。For more information on the details recorded for each new process, see description fields in 4688. また、エージェントは VM に作成された 4688 イベントも収集し、検索に保存します。The agent also collects the 4688 events created on the VM and stores them in search.

さらに、エージェントは、適応型アプリケーション制御のデータ収集を有効にでき、Security Center は、ローカル AppLocker ポリシーを監査モードで構成して、すべてのアプリケーションを許可します。The agent also enables data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. このポリシーをきっかけとして AppLocker がイベントを生成するようになり、そのイベントが Security Center によって収集されて活用されます。This policy will cause AppLocker to generate events, which are then collected and leveraged by Security Center. ただし、既に AppLocker ポリシーが構成されているマシンでは、このポリシーが構成されないので注意してください。It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.

セキュリティ連絡先の情報が指定されている場合、Security Center が VM で疑わしいアクティビティを検出すると、電子メールでユーザーに通知します。When Security Center detects suspicious activity on the VM, the customer is notified by email if security contact information has been provided. Security Center のセキュリティ アラート ダッシュボードにもアラートが表示されます。An alert is also visible in Security Center’s security alerts dashboard.

Security Center は OMS ゲートウェイを使用して動作しますか。Will Security Center work using an OMS gateway?

はい。Yes. Azure Security Center は、Microsoft Monitoring Agent を使用して、Azure VM およびサーバーからデータの収集に Azure Monitor を活用します。Azure Security Center leverages Azure Monitor to collect data from Azure VMs and servers, using the Microsoft Monitoring Agent. データを収集するには、各 VM とサーバーが HTTPS を使用してインターネットに接続する必要があります。To collect the data, each VM and server must connect to the Internet using HTTPS. インターネット接続には、直接接続、プロキシを使用した接続、OMS ゲートウェイを介した接続を使用できます。The connection can be direct, using a proxy, or through the OMS Gateway.

Monitoring Agent はサーバーのパフォーマンスに影響しますか。Does the Monitoring Agent impact the performance of my servers?

エージェントは、システム リソースのわずかな量しか消費しないため、パフォーマンスにほとんど影響しません。The agent consumes a nominal amount of system resources and should have little impact on the performance. パフォーマンスの影響と、エージェントおよび拡張機能の詳細については、計画および運用ガイドを参照してください。For more information on performance impact and the agent and extension, see the planning and operations guide.

データはどこに格納されますか。Where is my data stored?

このエージェントから収集されたデータは、サブスクリプションに関連付けられている既存の Log Analytics ワークスペースまたは新規のワークスペースのいずれかに格納されます。Data collected from this agent is stored in either an existing Log Analytics workspace associated with your subscription or a new workspace. 詳細については、データ セキュリティに関するページを参照してください。For more information, see Data Security.

既存の Azure Monitor ログ ユーザーExisting Azure Monitor logs customers

Security Center は VM とワークスペース間の既存の接続をオーバーライドしますか?Does Security Center override any existing connections between VMs and workspaces?

VM に Azure 拡張機能としてインストールされている Microsoft Monitoring Agent が既にある場合、Security Center は既存のワークスペース接続をオーバーライドしません。If a VM already has the Microsoft Monitoring Agent installed as an Azure extension, Security Center does not override the existing workspace connection. 代わりに、Security Center は既存のワークスペースを使用します。Instead, Security Center uses the existing workspace. VM のレポート先のワークスペースに "Security" または "SecurityCenterFree" ソリューションがインストールされている場合、VM は保護されます。The VM will be protected provided that the "Security" or "SecurityCenterFree" solution has been installed on the workspace to which it is reporting.

[データ収集] 画面で選択されているワークスペースに Security Center ソリューションがインストールされ (まだ存在しない場合)、ソリューションは関連する VM にのみ適用されます。A Security Center solution is installed on the workspace selected in the Data Collection screen if not present already, and the solution is applied only to the relevant VMs. ソリューションを追加すると、既定では、そのソリューションは、Log Analytics ワークスペースに接続されているすべての Windows エージェントおよび Linux エージェントに自動的にデプロイされます。When you add a solution, it's automatically deployed by default to all Windows and Linux agents connected to your Log Analytics workspace. ソリューションのターゲット設定を使用すると、ソリューションにスコープを適用することができます。Solution Targeting allows you to apply a scope to your solutions.

Microsoft Monitoring Agent が VM に (Azure 拡張機能としてではなく) 直接インストールされている場合、Security Center によって Microsoft Monitoring Agent がインストールされず、セキュリティの監視は制限されます。If the Microsoft Monitoring Agent is installed directly on the VM (not as an Azure extension), Security Center does not install the Microsoft Monitoring Agent and security monitoring is limited.

Security Center は既存の Log Analytics ワークスペースにソリューションをインストールしますか?Does Security Center install solutions on my existing Log Analytics workspaces? 課金にどのような影響がありますか?What are the billing implications?

その VM が、作成したワークスペースに既に接続されていることを Security Center が特定すると、Security Center はご利用の価格レベルに従ってそのワークスペースでソリューションを有効にします。When Security Center identifies that a VM is already connected to a workspace you created, Security Center enables solutions on this workspace according to your pricing tier. ソリューションは、ソリューションのターゲット設定に従って関連する Azure VM にのみ適用されるため、課金額は同じままです。The solutions are applied only to the relevant Azure VMs, via solution targeting, so the billing remains the same.

  • Free レベル - Security Center によってワークスペースに 'SecurityCenterFree' ソリューションがインストールされます。Free tier – Security Center installs the 'SecurityCenterFree' solution on the workspace. Free レベルの料金はかかりません。You won't be billed for the Free tier.

  • Standard レベル - Security Center によってワークスペースに 'Security' ソリューションがインストールされます。Standard tier – Security Center installs the 'Security' solution on the workspace.

    既定のワークスペースのソリューション

環境内に既にワークスペースがありますが、それらを使用してセキュリティ データを収集できますか?I already have workspaces in my environment, can I use them to collect security data?

VM に Azure 拡張機能としてインストールされている Microsoft Monitoring Agent が既にある場合、Security Center は既存の接続済みワークスペースを使用します。If a VM already has the Microsoft Monitoring Agent installed as an Azure extension, Security Center uses the existing connected workspace. Security Center ソリューションがワークスペースにまだ存在しない場合は、インストールされます。また、ソリューションのターゲット設定に従って、ソリューションは関連する VM にのみ適用されます。A Security Center solution is installed on the workspace if not present already, and the solution is applied only to the relevant VMs via solution targeting.

Security Center で VM に Microsoft Monitoring Agent がインストールされると、Security Center で作成された既定のワークスペースが使用されます。When Security Center installs the Microsoft Monitoring Agent on VMs, it uses the default workspace(s) created by Security Center.

ワークスペースにはセキュリティ ソリューションが既にあります。I already have security solution on my workspaces. 課金にどのような影響がありますか?What are the billing implications?

Security & Audit ソリューションは、Azure VM で Security Center Standard レベルの機能を有効にするために使用されます。The Security & Audit solution is used to enable Security Center Standard tier features for Azure VMs. Security & Audit ソリューションがワークスペースに既にインストールされている場合、Security Center は既存のソリューションを使用します。If the Security & Audit solution is already installed on a workspace, Security Center uses the existing solution. 課金額の変更はありません。There is no change in billing.

Azure Security Center の使用Using Azure Security Center

セキュリティ ポリシーとは何ですか。What is a security policy?

セキュリティ ポリシーは、指定されたサブスクリプション内のリソースに対して推奨されるコントロールのセットを定義します。A security policy defines the set of controls that are recommended for resources within the specified subscription. Azure Security Center では、セキュリティに関する会社の要件、各サブスクリプションでのアプリケーションの種類やデータの機密度に合わせて Azure サブスクリプションのポリシーを定義します。In Azure Security Center, you define policies for your Azure subscriptions according to your company's security requirements and the type of applications or sensitivity of the data in each subscription.

Azure Security Center で有効になっているセキュリティ ポリシーが、セキュリティに関する推奨事項と監視を促進します。The security policies enabled in Azure Security Center drive security recommendations and monitoring. セキュリティ ポリシーの詳細については、 Azure Security Center でのセキュリティ ヘルスの監視 を参照してください。To learn more about security policies, see Security health monitoring in Azure Security Center.

セキュリティ ポリシーを変更できるのは誰ですか。Who can modify a security policy?

セキュリティ ポリシーを変更するには、セキュリティ管理者であるか、そのサブスクリプションの所有者または共同作成者である必要があります。To modify a security policy, you must be a Security Administrator or an Owner or Contributor of that subscription.

セキュリティ ポリシーを構成する方法については、 Azure Security Center でのセキュリティ ポリシーの設定 を参照してください。To learn how to configure a security policy, see Setting security policies in Azure Security Center.

セキュリティに関する推奨事項とはWhat is a security recommendation?

Azure Security Center は、Azure リソースのセキュリティの状態を分析します。Azure Security Center analyzes the security state of your Azure resources. 潜在的なセキュリティの脆弱性が識別されると、推奨事項が作成されます。When potential security vulnerabilities are identified, recommendations are created. 推奨事項では、必要なコントロールを構成する手順を説明します。The recommendations guide you through the process of configuring the needed control. 次に例をいくつか示します。Examples are:

  • 悪意のあるソフトウェアを識別して削除するためのマルウェア対策をプロビジョニングするProvisioning of anti-malware to help identify and remove malicious software
  • 仮想マシンへのトラフィックを制御するためのネットワーク セキュリティ グループとルールNetwork security groups and rules to control traffic to virtual machines
  • Web アプリケーションを対象とする攻撃から保護するための Web アプリケーション ファイアウォールをプロビジョニングするProvisioning of a web application firewall to help defend against attacks targeting your web applications
  • 不足しているシステムの更新をデプロイするDeploying missing system updates
  • 推奨基準と一致しない OS 構成に対処するAddressing OS configurations that do not match the recommended baselines

ここにはセキュリティ ポリシーで有効な推奨事項のみが表示されています。Only recommendations that are enabled in Security Policies are shown here.

Azure リソースの現在のセキュリティ状態を確認する方法を教えてください。How can I see the current security state of my Azure resources?

[Security Center Overview](Security Center の概要) ページでは、お使いの環境の全体的なセキュリティ体制が [コンピューティング]、[ネットワーク]、[ストレージおよびデータ]、[アプリケーション] に分けて詳しく示されます。The Security Center Overview page shows the overall security posture of your environment broken down by Compute, Networking, Storage & data, and Applications. リソースの種類にはそれぞれ、潜在的なセキュリティの脆弱性が確認されたかどうかを示すインジケーターがあります。Each resource type has an indicator showing if any potential security vulnerabilities have been identified. 各タイルをクリックすると、Security Center によって特定されたセキュリティの問題の一覧が、サブスクリプション内のリソースのインベントリと共に表示されます。Clicking each tile displays a list of security issues identified by Security Center, along with an inventory of the resources in your subscription.

セキュリティの警告をトリガーするものは何ですか。What triggers a security alert?

Azure Security Center は、Azure のリソース、ネットワーク、パートナー ソリューション (マルウェア対策やファイアウォールなど) から、自動的にログ データを収集して分析し、結合します。Azure Security Center automatically collects, analyzes, and fuses log data from your Azure resources, the network, and partner solutions like antimalware and firewalls. 脅威が検出されると、セキュリティの警告が作成されます。When threats are detected, a security alert is created. 例には次の検出が含まれます。Examples include detection of:

  • 既知の悪意のある IP アドレスと通信する、セキュリティ侵害された仮想マシンCompromised virtual machines communicating with known malicious IP addresses
  • Windows エラー報告を使用して検出された高度なマルウェアAdvanced malware detected using Windows error reporting
  • 仮想マシンに対するブルート フォース攻撃Brute force attacks against virtual machines
  • マルウェア対策や Web アプリケーション ファイアウォールなどのセキュリティ ソリューションの統合パートナーからのセキュリティの警告Security alerts from integrated partner security solutions such as Anti-Malware or Web Application Firewalls

セキュリティ スコア値が変わったのはなぜですか?Why did secure scores values change?

2019 年 2 月の時点で、Security Center では、推奨事項の重大度に合わせて一部の推奨事項のスコアを調整しました。As of February 2019, Security Center adjusted the score of a few recommendations, in order to better fit their severity. この調整により、全体的なセキュリティ スコア値が変わる可能性があります。As a result of this adjustment, there may be changes in overall secure score values. セキュリティ スコアの詳細については、「Secure score calculation (セキュリティ スコアの計算)」をご覧ください。For more information about secure score, see Secure score calculation.

Microsoft Security Response Center と Azure Security Center によって検出され、警告される脅威の違いは何ですか。What's the difference between threats detected and alerted on by Microsoft Security Response Center versus Azure Security Center?

Microsoft Security Response Center (MSRC) では、Azure のネットワークとインフラストラクチャの選択的なセキュリティ監視を行い、第三者から脅威インテリジェンスと不正使用の報告を受け取ります。The Microsoft Security Response Center (MSRC) performs select security monitoring of the Azure network and infrastructure and receives threat intelligence and abuse complaints from third parties. 不正利用者や許可されていない利用者が顧客データにアクセスしたことや、顧客による Azure の利用方法が利用規約の条件に従っていないことを MSRC が検出すると、セキュリティ インシデント マネージャーが顧客に通知します。When MSRC becomes aware that customer data has been accessed by an unlawful or unauthorized party or that the customer’s use of Azure does not comply with the terms for Acceptable Use, a security incident manager notifies the customer. 通常、通知は、Azure Security Center で指定されたセキュリティ担当者または Azure サブスクリプション所有者 (セキュリティ担当者が指定されていない場合) に電子メールで送られます。Notification typically occurs by sending an email to the security contacts specified in Azure Security Center or the Azure subscription owner if a security contact is not specified.

Security Center は、顧客の Azure 環境を継続的に監視し、分析を適用して悪意のある可能性があるさまざまなアクティビティを自動的に検出する Azure サービスです。Security Center is an Azure service that continuously monitors the customer’s Azure environment and applies analytics to automatically detect a wide range of potentially malicious activity. 検出されたアクティビティは、Security Center のダッシュボードにセキュリティの警告として表示されます。These detections are surfaced as security alerts in the Security Center dashboard.

Azure Security Center の監視対象になる Azure リソースは何ですか。Which Azure resources are monitored by Azure Security Center?

Azure Security Center は、次の Azure リソースを監視します。Azure Security Center monitors the following Azure resources:

  • 仮想マシン (VM) ( Cloud Servicesを含む)Virtual machines (VMs) (including Cloud Services)
  • 仮想マシン スケール セットVirtual machine scale sets
  • Azure 仮想ネットワークAzure Virtual Networks
  • Azure SQL サービスAzure SQL service
  • Azure ストレージ アカウントAzure Storage account
  • (App Service 環境にある) Azure Web アプリAzure Web Apps (in App Service Environment)
  • Azure サブスクリプションに統合済みのパートナー ソリューション (VM 上および App Service Environment 上の Web アプリケーション ファイアウォールなど)Partner solutions integrated with your Azure subscription such as a web application firewall on VMs and on App Service Environment

さらに、Azure 以外 (オンプレミスを含む) のコンピューターも、Azure Security Center で監視できます (Windows コンピューターLinux コンピューターの両方がサポートされます)In addition, non-Azure (including on-premises) computers can also be monitored by Azure Security Center (Both Windows computers and Linux computers are supported)

Virtual MachinesVirtual Machines

サポートされる仮想マシンのタイプは何ですか。What types of virtual machines are supported?

監視と推奨事項は、クラシック デプロイ モデルと Resource Manager デプロイ モデルのどちらで作成された仮想マシン (VM) でも利用できます。Monitoring and recommendations are available for virtual machines (VMs) created using both the classic and Resource Manager deployment models.

サポートされるプラットフォームの一覧については、「Azure Security Center でサポートされているプラットフォーム」を参照してください。See Supported platforms in Azure Security Center for a list of supported platforms.

Azure VM で実行しているマルウェア対策ソリューションが、Azure Security Center で認識されないのはなぜですか。Why doesn't Azure Security Center recognize the antimalware solution running on my Azure VM?

Azure Security Center では、Azure 拡張機能によりインストールされたマルウェア対策ソリューションを可視化できます。Azure Security Center has visibility into antimalware installed through Azure extensions. たとえば、Azure Security Center では、お客様のイメージにプレインストールされていたマルウェア対策ソリューションや、お客様が独自のプロセス (構成管理システムなど) で仮想マシンにインストールしたマルウェア対策ソリューションは検出できません。For example, Security Center is not able to detect antimalware that was pre-installed on an image you provided or if you installed antimalware on your virtual machines using your own processes (such as configuration management systems).

VM で "スキャン データがありません" というメッセージが表示されるのはなぜですか。Why do I get the message "Missing Scan Data" for my VM?

このメッセージが表示されるのは、VM のスキャン データがない場合です。This message appears when there is no scan data for a VM. Azure Security Center でデータ収集が有効になると、スキャン データが取り込まれるまでにある程度の時間 (1 時間未満) がかかる場合があります。It can take some time (less than an hour) for scan data to populate after Data Collection is enabled in Azure Security Center. スキャン データの初回作成以降でも、スキャン データが存在しなかったり、最近のスキャン データがなかったりする場合にはこのメッセージが表示される可能性があります。After the initial population of scan data, you may receive this message because there is no scan data at all or there is no recent scan data. 停止状態の VM のスキャン データは取り込まれません。Scans do not populate for a VM in a stopped state. スキャン データが最近取り込まれていない場合 (Windows エージェントの保持ポリシーに従い、既定値は 30 日間) にも、このメッセージが表示されることがあります。This message could also appear if scan data has not populated recently (in accordance with the retention policy for the Windows agent, which has a default value of 30 days).

Security Center は、オペレーティング システムの脆弱性、システムの更新、およびエンドポイントの保護の問題をどのくらいの頻度でスキャンしますか。How often does Security Center scan for operating system vulnerabilities, system updates, and endpoint protection issues?

脆弱性、更新プログラム、その他の問題を Security Center がスキャンするときの待ち時間は次の通りです。Below are the latency times for Security Center scans of vulnerabilities, updates, and issues:

  • オペレーティング システムのセキュリティ構成 - データは 48 時間以内に更新されますOperating system security configurations – data is updated within 48 hours
  • システムの更新プログラム - 24 時間以内にデータを更新System updates – data is updated within 24 hours
  • Endpoint Protection の問題 - 8 時間以内にデータを更新Endpoint Protection issues – data is updated within 8 hours

Security Center は通常、1 時間ごとに新しいデータをスキャンし、それに応じて推奨事項を更新します。Security Center typically scans for new data every hour, and refreshes the recommendations accordingly.

注意

Security Center では、データの収集と格納に Microsoft Monitoring Agent を使用しています。Security Center uses the Microsoft Monitoring Agent to collect and store data. 詳細については、「Azure Security Center のプラットフォームの移行」を参照してください。To learn more, see Azure Security Center Platform Migration.

"VM Agent is Missing? (VM エージェントが見つかりません)" というメッセージが表示されるのはなぜですか。Why do I get the message "VM Agent is Missing?"

データ収集を有効にするには、VM エージェントが VM にインストールされている必要があります。The VM Agent must be installed on VMs to enable Data Collection. 既定では、Azure Marketplace からデプロイされた VM に VM エージェントがインストールされます。The VM Agent is installed by default for VMs that are deployed from the Azure Marketplace. 他の VM への VM エージェントのインストール方法については、 VM エージェントと拡張機能に関するブログ投稿を参照してください。For information on how to install the VM Agent on other VMs, see the blog post VM Agent and Extensions.