Azure Security Center 計画および運用ガイドAzure Security Center planning and operations guide

このガイドは、Azure Security Center の使用を計画している情報技術 (IT) プロフェッショナル、IT アーキテクト、情報セキュリティ アナリスト、クラウド管理者を対象としています。This guide is for information technology (IT) professionals, IT architects, information security analysts, and cloud administrators planning to use Azure Security Center.

計画ガイドPlanning guide

このガイドでは、組織のセキュリティ要件とクラウド管理モデルに応じて Security Center の利用を最適化するために実行できるタスクについて説明します。This guide covers tasks that you can follow to optimize your use of Security Center based on your organization’s security requirements and cloud management model. Security Center を最大限に活用するには、安全な開発と運用、監視、ガバナンス、インシデント対応のニーズを満たすために、組織内のさまざまな個人やチームがこのサービスをどのように使用するのかを把握することが重要です。To take full advantage of Security Center, it is important to understand how different individuals or teams in your organization use the service to meet secure development and operations, monitoring, governance, and incident response needs. Security Center の使用を計画するうえで考慮が必要となる主な領域は次のとおりです。The key areas to consider when planning to use Security Center are:

  • セキュリティ ロールとアクセス制御Security Roles and Access Controls
  • セキュリティ ポリシーと推奨事項Security Policies and Recommendations
  • データの収集と保存Data Collection and Storage
  • Azure 以外のリソースのオンボードOngoing non-Azure resources
  • 継続的なセキュリティの監視Ongoing Security Monitoring
  • インシデント対応Incident Response

次のセクションでは、これらの領域のそれぞれについて計画し、自社の要件に合わせて推奨事項を適用する方法について説明します。In the next section, you will learn how to plan for each one of those areas and apply those recommendations based on your requirements.

注意

Azure Security Center のよく寄せられる質問 (FAQ) 」に、設計と計画のフェーズにも役立つ一般的な質問の一覧が記載されています。Read Azure Security Center frequently asked questions (FAQ) for a list of common questions that can also be useful during the designing and planning phase.

セキュリティ ロールとアクセス制御Security roles and access controls

組織の規模と構造によっては、複数の個人やチームが Security Center を使用して、セキュリティ関連のさまざまなタスクを実行する場合があります。Depending on the size and structure of your organization, multiple individuals and teams may use Security Center to perform different security-related tasks. 次の図には、架空の人物のほか、それぞれの役割とセキュリティ責任が例として挙げられています。In the following diagram, you have an example of fictitious personas and their respective roles and security responsibilities:

ロール

Security Center を使用すると、上記のようなさまざまな責任を果たすことができます。Security Center enables these individuals to meet these various responsibilities. 例:For example:

Jeff (ワークロード所有者)Jeff (Workload Owner)

  • クラウド ワークロードとその関連リソースを管理するManage a cloud workload and its related resources
  • 会社のセキュリティ ポリシーに従って保護を実装、管理する責任を負うResponsible for implementing and maintaining protections in accordance with company security policy

Ellen (CISO/CIO)Ellen (CISO/CIO)

  • 会社のセキュリティに関して全面的な責任を負うResponsible for all aspects of security for the company
  • クラウド ワークロード全般について会社のセキュリティ体制を把握したいと考えているWants to understand the company's security posture across cloud workloads
  • 主な攻撃とリスクを把握している必要があるNeeds to be informed of major attacks and risks

David (IT セキュリティ担当者)David (IT Security)

  • 適切な保護が実施されるように、会社のセキュリティ ポリシーを設定するSets company security policies to ensure the appropriate protections are in place
  • ポリシーを使用してコンプライアンスを監視するMonitors compliance with policies
  • リーダーまたは監査担当者向けのレポートを作成するGenerates reports for leadership or auditors

Judy (セキュリティ運用担当者)Judy (Security Operations)

  • 24 時間 365 日監視を行い、セキュリティ アラートに対応するMonitors and responds to security alerts 24/7
  • クラウド ワークロード所有者または IT セキュリティ アナリストに報告を行うEscalates to Cloud Workload Owner or IT Security Analyst

Sam (セキュリティ アナリスト)Sam (Security Analyst)

  • 攻撃を調査するInvestigate attacks
  • クラウド ワークロード所有者と連携して修復を実施するWork with Cloud Workload Owner to apply remediation

Security Center ではロールベースのアクセス制御 (RBAC) が使用されています。RBAC が提供する組み込みのロールは、Azure でユーザー、グループ、サービスに割り当てることができます。Security Center uses Role-Based Access Control (RBAC), which provides built-in roles that can be assigned to users, groups, and services in Azure. ユーザーが Security Center を開くと、アクセス権のあるリソースに関する情報のみが表示されます。When a user opens Security Center, they only see information related to resources they have access to. これは、サブスクリプションまたはリソースが属するリソース グループについて、所有者、共同作業者、閲覧者のいずれかのロールがユーザーに割り当てられていることを意味します。Which means the user is assigned the role of Owner, Contributor, or Reader to the subscription or resource group that a resource belongs to. これらのロールに加え、Security Center には、次の 2 つの固有のロールがあります。In addition to these roles, there are two specific Security Center roles:

  • セキュリティ閲覧者: このロールに属しているユーザーは、Security Center の構成 (推奨事項、アラート、ポリシー、正常性を含む) のみを閲覧できますが、変更を加えることはできません。Security reader: a user that belongs to this role is able to view only Security Center configurations, which include recommendations, alerts, policy, and health, but it won't be able to make changes.
  • セキュリティ管理者: セキュリティ閲覧者と同じですが、セキュリティ ポリシーの更新と、推奨事項とアラートの解除を実行することもできます。Security admin: same as security reader but it can also update the security policy, dismiss recommendations and alerts.

上記で説明した Security Center のロールには、ストレージ、Web とモバイル、モノのインターネットなどの Azure の他のサービス領域へのアクセス権はありません。The Security Center roles described above do not have access to other service areas of Azure such as Storage, Web & Mobile, or Internet of Things.

前の図で説明した人物の例では、次の RBAC が必要になります。Using the personas explained in the previous diagram, the following RBAC would be needed:

Jeff (ワークロード所有者)Jeff (Workload Owner)

  • リソース グループの所有者/共同作成者Resource Group Owner/Contributor

David (IT セキュリティ担当者)David (IT Security)

  • サブスクリプションの所有者/共同作成者またはセキュリティ管理者Subscription Owner/Contributor or Security Admin

Judy (セキュリティ運用担当者)Judy (Security Operations)

  • サブスクリプションの閲覧者またはセキュリティ閲覧者 (アラートを表示する場合)Subscription Reader or Security Reader to view Alerts
  • サブスクリプションの所有者/共同作成者またはセキュリティ管理者 (アラートを解除する場合は必須)Subscription Owner/Contributor or Security Admin required to dismiss Alerts

Sam (セキュリティ アナリスト)Sam (Security Analyst)

  • サブスクリプションの閲覧者 (アラートを表示する場合)Subscription Reader to view Alerts
  • サブスクリプションの所有者/共同作成者 (アラートを解除する場合は必須)Subscription Owner/Contributor required to dismiss Alerts
  • ワークスペースへのアクセスが必要な場合があるAccess to the workspace may be required

上記に加えて、次の点を考慮する必要があります。Some other important information to consider:

  • セキュリティ ポリシーを編集できるのは、サブスクリプションの所有者/共同作成者とセキュリティ管理者のみです。Only subscription Owners/Contributors and Security Admins can edit a security policy.
  • セキュリティに関する推奨事項をリソースに適用できるのは、サブスクリプションとリソース グループの所有者と共同作成者のみです。Only subscription and resource group Owners and Contributors can apply security recommendations for a resource.

Security Center の RBAC を使用してアクセス制御を計画する際は、組織内のどのユーザーが Security Center を使用するのかを必ず把握してください。When planning access control using RBAC for Security Center, be sure to understand who in your organization will be using Security Center. また、実行されるタスクの種類を把握し、それに応じて RBAC を構成してください。Also, what types of tasks they will be performing and then configure RBAC accordingly.

注意

タスクを実行するために必要となる最小限の権限ロールをユーザーに割り当てることをお勧めします。We recommend that you assign the least permissive role needed for users to complete their tasks. たとえば、リソースのセキュリティ状態に関する情報の表示のみが必要で、推奨事項の適用やポリシーの編集などの操作を行う必要がないユーザーには、閲覧者ロールを割り当てます。For example, users who only need to view information about the security state of resources but not take action, such as applying recommendations or editing policies, should be assigned the Reader role.

セキュリティ ポリシーと推奨事項Security policies and recommendations

セキュリティ ポリシーは、ワークロードの必要な構成を定義し、会社や規制のセキュリティ要件に確実に準拠できるようにします。A security policy defines the desired configuration of your workloads and helps ensure compliance with company or regulatory security requirements. Security Center では、Azure サブスクリプションのポリシーを定義できます。これらのポリシーは、ワークロードの種類やデータの機密性に合わせて調整できます。In Security Center, you can define policies for your Azure subscriptions, which can be tailored to the type of workload or the sensitivity of data.

Security Center のポリシーには、次のコンポーネントが含まれています。Security Center policies contain the following components:

  • データ収集: エージェントのプロビジョニングとデータ収集の設定。Data collection: agent provisioning and data collection settings.
  • セキュリティ ポリシー: Security Center で監視および推奨されるコントロールを決定する Azure Policy。または、Azure Policy を使用して、新しい定義の作成、追加ポリシーの定義、管理グループ間でのポリシーの割り当てを行います。Security policy: an Azure Policy that determines which controls are monitored and recommended by Security Center, or use Azure Policy to create new definitions, define additional policies, and assign policies across management groups.
  • 電子メール通知: セキュリティ連絡先と通知設定。Email notifications: security contacts and notification settings.
  • 価格レベル: Free または Standard の価格の選択。これにより、(サブスクリプション、リソース グループ、ワークスペースに指定できる) スコープ内のリソースに使用できる Security Center の機能が決まります。Pricing tier: free or standard pricing selection, which determine which Security Center features are available for resources in scope (can be specified for subscriptions, resource groups and workspaces).

注意

セキュリティ コントラクトを指定すると、セキュリティ インシデントが発生した場合に Azure から組織内の適切な人物に連絡が届くようになります。Specifying a security contact will ensure that Azure can reach the right person in your organization if a security incident occurs. この推奨事項を有効にする方法の詳細については、「 Azure Security Center でセキュリティ連絡先の詳細情報を指定する 」を参照してください。Read Provide security contact details in Azure Security Center for more information on how to enable this recommendation.

セキュリティ ポリシーの定義と推奨事項Security policies definitions and recommendations

Security Center では、Azure サブスクリプションごとに自動で既定のセキュリティ ポリシーが作成されます。Security Center automatically creates a default security policy for each of your Azure subscriptions. そのポリシーを Security Center で編集するか、Azure Policy を使って新しい定義を作成したり、追加のポリシーを定義したり、管理グループ (組織全体のこともあれば、その中の一部署などのこともあります) にポリシーを割り当てたりすることによって、複数のスコープにわたってポリシーに対するコンプライアンスを監視することができます。You can edit the policy in Security Center or use Azure Policy to create new definitions, define additional policies, and assign policies across Management Groups (which can represent the entire organization, a business unit in it etc.), and monitor compliance to these policies across these scopes.

セキュリティ ポリシーを構成する前に、 セキュリティに関する推奨事項をそれぞれ確認し、対象の各種サブスクリプションとリソース グループに対してこれらのポリシーが適切かどうかを判断します。Before configuring security policies, review each of the security recommendations, and determine whether these policies are appropriate for your various subscriptions and resource groups. セキュリティに関する推奨事項に対処するためにどのような処置を実行する必要があるか、および組織のだれが新しい推奨事項を監視し、必要な手順に行うかを理解しておくことも重要です。It is also important to understand what action should be taken to address Security Recommendations and who in your organization will be responsible for monitoring for new recommendations and taking the needed steps.

データの収集と保存Data collection and storage

Azure Security Center では、Microsoft Monitoring Agent を使用して、ご自分の仮想マシンからセキュリティ データを収集します。これは、Azure Monitor サービスで使用されるのと同じエージェントです。Azure Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Azure Monitor service – to collect security data from your virtual machines. このエージェントから収集されたデータは、Log Analytics ワークスペースに格納されます。Data collected from this agent will be stored in your Log Analytics workspace(s).

エージェントAgent

セキュリティ ポリシーで自動プロビジョニングを有効にすると、サポートされているすべての Azure VM と作成される新しい VM に Microsoft Monitoring Agent (Windows または Linux の場合) がインストールされます。When automatic provisioning is enabled in the security policy, the Microsoft Monitoring Agent (for Windows or Linux) is installed on all supported Azure VMs, and any new ones that are created. VM またはコンピューターに Microsoft Monitoring Agent が既にインストールされている場合、Azure Security Center は、現在インストールされているエージェントを活用します。If the VM or computer already has the Microsoft Monitoring Agent installed, Azure Security Center will leverage the current installed agent. エージェントのプロセスは、他への影響が少なく設計されているため、VM のパフォーマンスに対する影響もごくわずかです。The agent’s process is designed to be non-invasive and have very minimal impact on VM performance.

Microsoft Monitoring Agent for Windows では、TCP ポート 443 を使用する必要があります。The Microsoft Monitoring Agent for Windows requires use TCP port 443. 詳細については、トラブルシューティングに関する記事を参照してください。See the Troubleshooting article for additional details.

ある時点で、データ収集を無効にする必要が生じた場合は、セキュリティ ポリシーで無効にすることができます。If at some point you want to disable Data Collection, you can turn it off in the security policy. ただし、Microsoft Monitoring Agent は他の Azure 管理サービスや監視サービスで使用されている場合があるため、Security Center でデータ収集をオフにしても、このエージェントが自動的にアンインストールされることはありません。However, because the Microsoft Monitoring Agent may be used by other Azure management and monitoring services, the agent will not be uninstalled automatically when you turn off data collection in Security Center. 必要な場合は、手動でエージェントをアンインストールできます。You can manually uninstall the agent if needed.

注意

サポート対象の VM の一覧については、「Azure Security Center のよく寄せられる質問 (FAQ)」を参照してください。To find a list of supported VMs, read the Azure Security Center frequently asked questions (FAQ).

ワークスペースWorkspace

ワークスペースとは、データのコンテナーとして機能する Azure リソースです。A workspace is an Azure resource that serves as a container for data. 組織のメンバーは、複数のワークスペースを使用して、IT インフラストラクチャの一部またはすべてから収集されるデータのさまざまなセットを管理する場合があります。You or other members of your organization might use multiple workspaces to manage different sets of data that is collected from all or portions of your IT infrastructure.

(Azure Security Center に代わって) Microsoft Monitoring Agent から収集されたデータは、VM の位置情報を考慮して、Azure サブスクリプションに関連付けられている既存の Log Analytics ワークスペースまたは新規のワークスペースのいずれかに格納されます。Data collected from the Microsoft Monitoring Agent (on behalf of Azure Security Center) will be stored in either an existing Log Analytics workspace(s) associated with your Azure subscription or a new workspace(s), taking into account the Geo of the VM.

Azure ポータルで、Log Analytics ワークスペースの一覧を参照して表示できます。一覧には、Azure Security Center によって作成されたワークスペースも含まれます。In the Azure portal, you can browse to see a list of your Log Analytics workspaces, including any created by Azure Security Center. 新しいワークスペースに対して、関連するリソース グループが作成されます。A related resource group will be created for new workspaces. それらは、次の名前付け規則に従います。Both will follow this naming convention:

  • ワークスペース:DefaultWorkspace-[subscription-ID]-[geo]Workspace: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ:DefaultResourceGroup-[geo]Resource Group: DefaultResourceGroup-[geo]

Azure Security Center によって作成されたワークスペースでは、データは 30 日間保持されます。For workspaces created by Azure Security Center, data is retained for 30 days. 既存のワークスペースでは、リテンション期間は、ワークスペースの価格レベルに基づきます。For existing workspaces, retention is based on the workspace pricing tier. 必要に応じて、既存のワークスペースを使用することもできます。If you want, you can also use an existing workspace.

注意

このデータのプライバシーとセキュリティは強固に保護されています。Microsoft makes strong commitment to protect the privacy and security of this data. Microsoft ではコーディングからサービスの運用まで、厳密なコンプライアンスとセキュリティのガイドラインに準拠しています。Microsoft adheres to strict compliance and security guidelines—from coding to operating a service. データの取い扱いとプライバシーに関する詳細については、「Azure Security Center のデータ セキュリティ」を参照してください。For more information about data handling and privacy, read Azure Security Center Data Security.

Azure 以外のリソースのオンボードOnboarding non-Azure resources

Security Center では、Azure 以外のコンピューターのセキュリティの状況を監視できますが、これらのリソースをオンボードしておく必要があります。Security Center can monitor the security posture of your non-Azure computers but you need to first onboard these resources. Azure 以外のリソースをオンボードする方法の詳細については、セキュリティ強化のための Azure Security Center Standard へのオンボードに関するページをご覧ください。Read Onboarding to Azure Security Center Standard for enhanced security for more information on how to onboarding non-Azure resources.

継続的なセキュリティの監視Ongoing security monitoring

Security Center の初期構成と推奨事項の適用を完了したら、次の手順は Security Center の運用プロセスの検討です。After initial configuration and application of Security Center recommendations, the next step is considering Security Center operational processes.

Security Center の [概要] では、Azure リソースと接続済みの Azure 以外のリソースすべてのセキュリティが統合された 1 つのビューが表示されます。The Security Center Overview provides a unified view of security across all your Azure resources and any non-Azure resources you have connected. 以下の例は、対処すべき多くの問題を含む環境を示しています。The example below shows an environment with many issues to be addressed:

dashboard

注意

Security Center は、通常の運用上の手順には干渉しません。デプロイを受動的に監視し、有効にされたセキュリティ ポリシーに基づいて推奨事項を提供します。Security Center will not interfere with your normal operational procedures, it will passively monitor your deployments and provide recommendations based on the security policies you enabled.

現在の Azure 環境に対して Security Center を使用することを初めて選択する際は、すべての推奨事項を必ず確認してください。 [推奨事項] タイルで確認するか、リソース単位 (コンピューティングネットワークストレージとデータアプリケーション) で確認できます。When you first opt in to use Security Center for your current Azure environment, make sure that you review all recommendations, which can be done in the Recommendations tile or per resource (Compute, Networking, Storage & data, Application).

すべての推奨事項に対処すると、 [防止策] セクションの対処済みのリソースがすべて緑色になります。Once you address all recommendations, the Prevention section should be green for all resources that were addressed. これで、今後は [リソースのセキュリティ正常性] タイルと [推奨事項] タイルの変化に基づいて対処するだけで済むようになるため、継続的な監視が容易になります。Ongoing monitoring at this point becomes easier since you will only take actions based on changes in the resource security health and recommendations tiles.

[検出] セクションは事後対応型であり、現在対処中の問題、または過去に発生し、Security Center のコントロールやサード パーティ システムで検出された問題に関するアラートが表示されます。The Detection section is more reactive, these are alerts regarding issues that are either taking place now, or occurred in the past and were detected by Security Center controls and 3rd party systems. [セキュリティ アラート] タイルには、各日に発行された脅威検出アラートの数を表す棒グラフと、各重要度カテゴリ (低、中、高) における分布図が表示されます。The Security Alerts tile will show bar graphs that represent the number of threat detection alerts that were found in each day, and their distribution among the different severity categories (low, medium, high). セキュリティ アラートの詳細については、「 Azure Security Center でのセキュリティの警告の管理と対応」を参照してください。For more information about Security Alerts, read Managing and responding to security alerts in Azure Security Center.

毎日のセキュリティ操作の一環として、脅威インテリジェンス オプションにアクセスすることを計画してください。Plan to visit the threat intelligence option as part of your daily security operations. そこでは、特定のコンピューターがボットネットの一部であるかどうかを特定するなど、環境に対するセキュリティの脅威を特定することができます。There you can identify security threats against the environment, such as identify if a particular computer is part of a botnet.

新しいリリースや変更されたリソースの監視Monitoring for new or changed resources

ほとんどの Azure 環境は、リソースが定期的に作成、スピンアップまたはダウン、再構成、変更され動的です。Most Azure environments are dynamic, with resources regularly being created, spun up or down, reconfigured, and changed. Security Center を使用すると、これらの新しいリソースのセキュリティ状態を可視化できるようになります。Security Center helps ensure that you have visibility into the security state of these new resources.

Azure 環境に新しいリソース (VM、SQL DB) を追加すると、Security Center によって自動的にこれらのリソースが検出され、セキュリティの監視が開始されます。When you add new resources (VMs, SQL DBs) to your Azure Environment, Security Center will automatically discover these resources and begin to monitor their security. これには、PaaS の Web ロールと worker ロールも含まれます。This also includes PaaS web roles and worker roles. データ収集が セキュリティ ポリシーで有効になっている場合は、仮想マシンに対して追加の監視機能が自動的に有効になります。If Data Collection is enabled in the Security Policy, additional monitoring capabilities will be enabled automatically for your virtual machines.

Key areas

  1. 仮想マシンの場合は、 [リソース セキュリティの検疫] セクションの [計算とアプリ] をクリックします。For virtual machines, click Compute & apps, under the Resource Security Hygiene section. データの有効化に関する問題または関連する推奨事項があれば、 [概要] タブの [監視の推奨事項] セクションに表示されます。Any issues with enabling data or related recommendations will be surfaced in the Overview tab, and Monitoring Recommendations section.
  2. [推奨事項] を表示し、新しいリソースに関してセキュリティ上のリスクが特定されているかどうか、あればどのようなリスクかを確認します。View the Recommendations to see what, if any, security risks were identified for the new resource.
  3. 環境に新しい VM が追加されると、通常は、最初にオペレーティング システムのみがインストールされます。It is very common that when new VMs are added to your environment, only the operating system is initially installed. リソースの所有者は、ある時点で、これらの VM で使用されるアプリをデプロイする必要が生じることがあります。The resource owner might need some time to deploy other apps that will be used by these VMs. 理想としては、このワークロードの最終的な目的を理解している必要があります。Ideally, you should know the final intent of this workload. たとえば、アプリケーション サーバーかもしれません。Is it going to be an Application Server? 新しいこのワークロードの目的に基づき、適切なセキュリティ ポリシーを有効にできます。これは、このワークフローの 3 番目の手順です。Based on what this new workload is going to be, you can enable the appropriate Security Policy, which is the third step in this workflow.
  4. Azure 環境に新しいリソースを追加すると、 [セキュリティ アラート] タイルに新しいアラートが表示される場合があります。As new resources are added to your Azure environment, new alerts may appear in the Security Alerts tile. このタイルで新しいアラートを探し、推奨事項に従います。Look for new alerts in this tile and follow the recommendations.

また、セキュリティ上のリスクが生じる可能性がある構成の変更、推奨されるベースラインからの逸脱、およびセキュリティ アラートがないか、既存のリソースを定期的に監視する必要があります。You should also regularly monitor existing resources for configuration changes that could have created security risks, drift from recommended baselines, and security alerts. 出発点となるのは、Security Center のダッシュボードです。Start at the Security Center dashboard. ここで、主に 3 つの領域を定期的に確認します。From there, you have three major areas to review on a consistent basis.

Operations

  1. [防止] セクション パネルでは、主要なリソースにすばやくアクセスできます。The Prevention section panel provides you quick access to your key resources. コンピューティング、ネットワーク、ストレージとデータ、およびアプリケーションを監視するには、このオプションを使用します。Use this option to monitor Compute, Networking, Storage & data and Applications.
  2. [推奨事項] パネルでは、Security Center の推奨事項を確認できます。The Recommendations panel enables you to review Security Center recommendations. 継続的な監視の実施中、推奨事項は毎日表示されるわけではありません。これは、Security Center の初回の設定時にすべての推奨事項に対処したためです。During your ongoing monitoring, you may find that you don’t have recommendations on a daily basis, which is normal since you addressed all recommendations on the initial Security Center setup. この理由から、このセクションには毎日新しい情報が表示されるとは限らず、必要に応じてアクセスするだけで十分です。For this reason, you may not have new information in this section every day and will just need to access it as needed.
  3. [検出] セクションは、頻繁に変化するか、ほとんど変化しないかのどちらかになる可能性があります。The Detection section might change on either a very frequent or very infrequent basis. セキュリティ アラートを常に確認し、Security Center の推奨事項に従って対処してください。Always review your security alerts and take actions based on Security Center recommendations.

アクセスとアプリケーションのセキュリティ強化Hardening access and applications

セキュリティ操作の一環として、VM へのアクセスを制限する予防措置を採用したり、VM 上で実行されているアプリケーションを制御したりする必要もあります。As part of your security operations, you should also adopt preventative measures to restrict access to VMs, and control the applications that are running on VMs. Azure VM への受信トラフィックをロックダウンすることで、攻撃にさらされることを減らすと同時に、必要に応じて簡単に VM に接続できるようになります。By locking down inbound traffic to your Azure VMs, you are reducing the exposure to attacks, and at the same time providing easy access to connect to VMs when needed. VM へのアクセスのセキュリティを強化するには、Just-In-Time VM アクセス機能を使用します。Use just-in-time VM access feature to hardening access to your VMs.

適応型アプリケーション制御を使用して、Azure に配置された VM で実行できるアプリケーションを制限することができます。You can use Adaptive Application Controls to limit which applications can run on your VMs located in Azure. いくつかの利点のうち、これは特にマルウェアから VM を強化することに役立ちます。Among other benefits, this helps harden your VMs against malware. 機械学習を使用すると、Security Center ではホワイトリスト登録に関する規則の作成を支援するため、VM で実行されているプロセスが分析されます。Using machine learning, Security Center analyzes processes running in the VM to help you create whitelisting rules.

インシデント対応Incident response

脅威が発生すると、Security Center によって検出され、アラートが生成されます。Security Center detects and alerts you to threats as they occur. 組織は新しいセキュリティ アラートの有無を監視し、必要に応じて、詳しい調査や攻撃の修復のための対策を講じる必要があります。Organizations should monitor for new security alerts and take action as needed to investigate further or remediate the attack. Security Center の脅威検出のしくみの詳細については、Azure Security Center の脅威の検出と応答の方法に関する記事を参照してください。For more information on how Security Center threat detection works, read How Azure Security Center detects and responds to threats.

この記事は実際のインシデント対応プランの作成支援を目的としていないため、インシデント対応の段階のベースとして、クラウド ライフサイクルにおける Microsoft Azure のセキュリティ レスポンスを使用します。While this article doesn’t have the intent to assist you creating your own Incident Response plan, we are going to use Microsoft Azure Security Response in the Cloud lifecycle as the foundation for incident response stages. 段階は次の図のとおりです。The stages are shown in the following diagram:

Suspicious activity

注意

計画の作成については、米国国立標準技術研究所 (NIST) の『 Computer Security Incident Handling Guide (コンピューター セキュリティ インシデント対応ガイド) 』が参考資料としてご利用いただけます。You can use the National Institute of Standards and Technology (NIST) Computer Security Incident Handling Guide as a reference to assist you building your own.

次の段階で、Security Center の警告を使用できます。You can use Security Center Alerts during the following stages:

  • 検出: 1 つまたは複数のリソースで、疑わしいアクティビティを識別します。Detect: identify a suspicious activity in one or more resources.
  • 評価: 最初の評価を実行して、疑わしいアクティビティに関する詳細情報を入手します。Assess: perform the initial assessment to obtain more information about the suspicious activity.
  • 診断: 修復手順を使用して技術的な処置を施し、問題に対処します。Diagnose: use the remediation steps to conduct the technical procedure to address the issue.

各セキュリティ アラートで提供される情報は、攻撃の性質に関する理解を深め、緩和策を提案するために活用できます。Each Security Alert provides information that can be used to better understand the nature of the attack and suggest possible mitigations. 詳細情報へのリンクか Azure 内の他の情報源へのリンクがアラートに記載されている場合もあります。Some alerts also provide links to either more information or to other sources of information within Azure. 提供される情報を使用して、さらに検索したり、緩和策を開始したりできます。ワークスペースに格納されているセキュリティ関連のデータを検索することもできます。You can use the information provided for further research and to begin mitigation, and you can also search security-related data that is stored in your workspace.

次の例は、疑わしい RDP アクティビティの発生を示しています。The following example shows a suspicious RDP activity taking place:

Suspicious activity

このページには、攻撃が発生した時刻、ソース ホスト名、標的となった VM に関する詳細情報のほか、推奨される手順も表示されます。This page shows the details regarding the time that the attack took place, the source hostname, the target VM and also gives recommendation steps. 状況によっては、攻撃元の情報が空白になっていることもあります。In some circumstances, the source information of the attack may be empty. このような動作の詳細については、「 Missing Source Information in Azure Security Center Alerts (Azure Security Center アラートに表示されないソース情報) 」を参照してください。Read Missing Source Information in Azure Security Center Alerts for more information about this type of behavior.

このページから調査を開始すると、攻撃のタイムライン、攻撃がどのように行われたか、どのシステムが侵害された可能性があるか、どの資格情報が使用されたかについて理解を深めると共に、全体的な攻撃の連鎖をグラフィカルに示すこともできます。From this page, you can also start an investigation to better understand the timeline of the attack, how the attack took place, which systems were potentially compromised, which credentials were used, and see a graphical representation of the entire attack chain.

侵害されたシステムを特定したら、以前に作成したセキュリティ プレイブックを実行できます。Once you identify the compromised system, you can run security playbooks that were previously created. セキュリティ プレイブックとは、選択したアラートから特定のプレイブックがトリガーされると Security Center から実行できるプロシージャの集合です。Security playbook is a collection of procedures that can be executed from Security Center once a certain playbook is triggered from selected alert.

ビデオ「How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response」 (Azure Security Center と Microsoft Operations Management Suite をインシデント対応に活用する方法) では、上記の各段階における Security Center の使用方法を理解するのに役立つデモを、いくつかご覧いただけます。In the How to Leverage the Azure Security Center & Microsoft Operations Management Suite for an Incident Response video, you can see some demonstrations that can help you to understand how Security Center can be used in each one of those stages.

注意

インシデント対応プロセス中に役立つ Security Center 機能の使用方法の詳細については、Azure Security Center でのセキュリティ アラートの管理と対応に関するページを参照してください。Read Managing and responding to security alerts in Azure Security Center for more information on how to use Security Center capabilities to assist you during your Incident Response process.

次の手順Next steps

このドキュメントでは、Security Center の導入を計画する方法について説明しました。In this document, you learned how to plan for Security Center adoption. セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: