Azure セキュリティ センターでのセキュリティの警告の管理と対応Managing and responding to security alerts in Azure Security Center

このドキュメントは、Azure Security Center を使用してセキュリティの警告を管理し、必要な対応を行う際にお役立てください。This document helps you use Azure Security Center to manage and respond to security alerts.

注意

高度な検出を有効にするには、Azure Security Center Standard にアップグレードしてください。To enable advanced detections, upgrade to Azure Security Center Standard. 60 日間の無料試用版が提供されています。A free 60-day trial is available. アップグレードするには、 [セキュリティ ポリシー]の [価格レベル] を選択してください。To upgrade, select Pricing Tier in the Security Policy. 詳細については、「Azure Security Center pricing (Azure Security Center の料金)」を参照してください。See Azure Security Center pricing to learn more.

セキュリティの警告とは何かWhat are security alerts?

Security Center は、真の脅威を検出し、偽陽性を減らすために、Azure のリソースやネットワークのほか、接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) から、自動的にログ データを収集、分析、統合します。Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, like firewall and endpoint protection solutions, to detect real threats and reduce false positives. Security Center には、優先順位の付いたセキュリティの警告の一覧が表示されます。また、すぐに問題を調査する必要がある情報や、攻撃を受けたものを修復する方法についての推奨事項も表示されます。A list of prioritized security alerts is shown in Security Center along with the information you need to quickly investigate the problem and recommendations for how to remediate an attack.

注意

Security Center の検出機能に関する詳細については、「 Azure Security Center の検出機能」を参照してください。For more information about how Security Center detection capabilities work, read Azure Security Center Detection Capabilities.

セキュリティの警告の管理Managing security alerts

現在の警告は、 [セキュリティ アラート] タイルで確認できます。You can review your current alerts by looking at the Security alerts tile. 各アラートの詳細を確認するには、以下の手順に従います。Follow the steps below to see more details about each alert:

  1. [セキュリティ センター] ダッシュボードに [セキュリティ アラート] タイルが表示されます。On the Security Center dashboard, you see the Security alerts tile.

    Security alerts tile in Security Center

  2. タイルをクリックして [セキュリティ アラート] を開くと、アラートの詳細が表示されます。Click the tile to open the Security alerts to see more details about the alerts.

    Security Center のセキュリティ アラート

このページの下部に、各アラートの詳細が表示されます。In the bottom part of this page are the details for each alert. 警告を並べ替えるには、並べ替えに使用する列をクリックします。To sort, click the column that you want to sort by. 各列の定義を以下に示します。The definition for each column is given below:

  • 説明: 警告の短い説明。Description: A brief explanation of the alert.
  • カウント: 特定の日に検出された、特定の種類の全警告の一覧。Count: A list of all alerts of this specific type that were detected on a specific day.
  • 検出元: 警告をトリガーしたサービス。Detected by: The service that was responsible for triggering the alert.
  • 日付: イベントが発生した日付。Date: The date that the event occurred.
  • 状態: その警告の現在の状態。State: The current state for that alert. ここに表示される状態は 2 種類です。There are two types of states:
    • アクティブ: セキュリティの警告が検出されました。Active: The security alert has been detected.
  • 重大度: 重大度。高、中、低で示します。Severity: The severity level, which can be high, medium or low.

注意

Security Center によって生成されたセキュリティ アラートは、[Azure の活動ログ] にも表示されます。Security alerts generated by Security Center will also appear under Azure Activity Log. [Azure の活動ログ] にアクセスする方法の詳細については、「リソースのアクションを監査するアクティビティ ログの表示」を参照してください。For more information about how to access Azure Activity Log, read View activity logs to audit actions on resources.

警告のフィルター処理Filtering alerts

日付、状態と重要度に基づいて警告をフィルター処理することができます。You can filter alerts based on date, state, and severity. 警告のフィルター処理は、セキュリティの警告の表示範囲を限定する必要がある場合に便利です。Filtering alerts can be useful for scenarios where you need to narrow the scope of security alerts show. たとえば、システム内の潜在的な違反を調査するために、過去 24 時間以内に発生したセキュリティの警告を確認することができます。For example, you might you want to address security alerts that occurred in the last 24 hours because you are investigating a potential breach in the system.

  1. [セキュリティ アラート][フィルター] をクリックします。Click Filter on the Security Alerts. [フィルター] が開いたら、確認する日付、状態、重大度の値を選択します。The Filter opens and you select the date, state, and severity values you wish to see.

    Filtering alerts in Security Center

セキュリティの警告への対応Respond to security alerts

セキュリティの警告を選択して、警告を発生させたイベントの詳細を確認します。必要に応じて、攻撃を受けたものを修復するために必要な手順を確認します。Select a security alert to learn more about the event(s) that triggered the alert and what, if any, steps you need to take to remediate an attack. セキュリティの警告は種類と日付別に分類されています。Security alerts are grouped by type and date. セキュリティ アラートをクリックすると、分類されたアラートの一覧が示されたページが開きます。Clicking a security alert opens a page containing a list of the grouped alerts.

Azure セキュリティ センターのセキュリティの警告への対応

この場合、トリガーされた警告が、リモート デスクトップ プロトコル (RDP) の疑わしいアクティビティを参照します。In this case, the alerts that were triggered refer to suspicious Remote Desktop Protocol (RDP) activity. 1 列目には、攻撃を受けたリソースが表示されます。2 列目には、リソースが攻撃された回数が表示されます。3 列目には、攻撃の時刻が表示されます。4 列目には、警告の状態が表示されます。5 列目には、攻撃の重大度が表示されます。The first column shows which resources were attacked; the second shows how many times the resource was attacked; the third shows the time of the attack; the fourth shows state of the alert; and the fifth shows the severity of the attack. この情報を確認した後、攻撃を受けたリソースをクリックします。After reviewing this information, click the resource that was attacked.

Azure セキュリティ センターのセキュリティの警告に対処する方法の推奨事項

[説明] フィールドで、このイベントについての詳しい情報を確認できます。In the Description field you find more details about this event. 詳しい情報を確認することで、セキュリティの警告を引き起こした原因、ターゲット リソース、(場合によっては) 発生元の IP アドレス、解決のための推奨事項を知ることができます。These additional details offer insight into what triggered the security alert, the target resource, when applicable the source IP address, and recommendations about how to remediate. Windows セキュリティ イベント ログによっては IP アドレスが含まれていないため、発生元の IP アドレスは空 (利用不可) である場合もあります。In some instances, the source IP address is empty (not available) because not all Windows security events logs include the IP address.

Security Center から提案される修復方法は、セキュリティ アラートによって異なります。The remediation suggested by Security Center vary according to the security alert. 場合によっては、他の Azure 機能を使用して推奨される修復方法を実行する必要があります。In some cases, you may have to use other Azure capabilities to implement the recommended remediation. このような攻撃に対する修復の例として、ネットワーク ACL またはネットワーク セキュリティ グループ規則を使用してこの攻撃の発信元の IP アドレスをブラックリストに指定することが挙げられます。For example, the remediation for this attack is to blacklist the IP address that is generating this attack by using a network ACL or a network security group rule. さまざまな警告の種類については、「 Azure Security Center の種類別のセキュリティの警告」を参照してください。For more information on the different types of alerts, read Security Alerts by Type in Azure Security Center.

注意

Security Center は、制限付きプレビューに対して、Linux マシン上の悪意のある行為を検出するために、共通の監査フレームワークである監査レコードを活用した一連の新しい検出機能をリリースしました。Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. プレビューに参加するには、サブスクリプション ID を記入した電子メールをこちらに送信してください。Please send an email with your subscription IDs to us to join the preview.

関連項目See also

このドキュメントでは、セキュリティ センターでのセキュリティ ポリシーの構成方法について説明しました。In this document, you learned how to configure security policies in Security Center. セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: