Azure Security Center トラブルシューティング ガイドAzure Security Center Troubleshooting Guide

このガイドは、所属組織が Azure Security Center を使用しており、Security Center に関連する問題のトラブルシューティングを必要としている情報技術 (IT) プロフェッショナル、情報セキュリティ アナリスト、クラウド管理者を対象としています。This guide is for information technology (IT) professionals, information security analysts, and cloud administrators whose organizations are using Azure Security Center and need to troubleshoot Security Center related issues.

Security Center では、データの収集と格納に Microsoft Monitoring Agent を使用しています。Security Center uses the Microsoft Monitoring Agent to collect and store data. 詳細については、「Azure Security Center のプラットフォームの移行」を参照してください。See Azure Security Center Platform Migration to learn more. この記事の情報は、Microsoft Monitoring Agent に移行した後の Security Center の機能を示しています。The information in this article represents Security Center functionality after transition to the Microsoft Monitoring Agent.

トラブルシューティング ガイドTroubleshooting guide

このガイドでは、Security Center に関連する問題のトラブルシューティングの方法について説明します。This guide explains how to troubleshoot Security Center related issues.

アラートの種類:Alert types:

  • 仮想マシンの動作分析 (VMBA)Virtual Machine Behavioral Analysis (VMBA)
  • ネットワーク分析Network Analysis
  • SQL Database と SQL Data Warehouse の分析SQL Database and SQL Data Warehouse Analysis
  • コンテキスト情報Contextual Information

アラートの種類に応じて、お客様は次のリソースを使用して、アラートを調査するために必要な情報を収集することができます。Depending on the alert types, customers can gather the necessary information to investigate the alert by using the following resources:

  • Windows の仮想マシン (VM) イベント ビューアーのセキュリティ ログSecurity logs in the Virtual Machine (VM) event viewer in Windows
  • Linux の AuditDAuditD in Linux
  • Azure アクティビティ ログ、および攻撃リソースでの診断ログの有効化。The Azure activity logs, and the enable diagnostic logs on the attack resource.

一部のアラートについては、信頼度スコアもあります。For some alerts we also have a confidence score. Security Center の信頼度スコアは、チームがアラートのトリアージを行って優先順位を付けるのに役立ちます。The confidence score in Security Center can help your team triage and prioritize alerts. Security Center は、業界のベスト プラクティス、インテリジェント アルゴリズム、およびアナリストが使用するプロセスを自動的に適用して、脅威が本物かどうかを判断し、信頼度スコアの形で有意な分析情報を提供します。Security Center automatically applies industry best practices, intelligent algorithms, and processes used by analysts to determine whether a threat is legitimate and provides meaningful insights in the form of a confidence score.

お客様は、アラートの説明と関連性のフィードバックを共有できます。Customers can share feedback for the alert description and relevance. アラート自体に移動して、 [お役に立ちましたか] ボタンを選択し、理由を選択して、フィードバックを説明するコメントを入力します。Navigate to the alert itself, select the Was This Useful button, select the reason, and then enter a comment to explain which explains the feedback. アラートを向上させるために、このフィードバック チャネルは常に監視されています。We consistently monitor this feedback channel to improve our alerts.

監査ログAudit log

Security Center で行われるトラブルシューティングのほとんどは、問題の生じたコンポーネントの 監査ログ レコードを確認することから始まります。Most of the troubleshooting done in Security Center takes place by first looking at the Audit Log records for the failed component. 監査ログを使用すると、次の内容を判断することができます。Through audit logs, you can determine:

  • 実行された操作Which operations were taken place
  • 操作を開始したユーザーWho initiated the operation
  • 操作が発生した時間When the operation occurred
  • 操作の状態The status of the operation
  • 操作の調査に役立つ可能性のあるその他のプロパティの値The values of other properties that might help you research the operation

監査ログには、リソースで実行されたすべての書き込み操作 (PUT、POST、DELETE) が含まれます。ただし、読み取り操作 (GET) は含まれません。The audit log contains all write operations (PUT, POST, DELETE) performed on your resources, however it does not include read operations (GET).

Microsoft Monitoring AgentMicrosoft Monitoring Agent

Security Center では、Microsoft Monitoring Agent を使用して、Azure 仮想マシンからセキュリティ データを収集します。これは、Azure Monitor サービスで使用されるのと同じエージェントです。Security Center uses the Microsoft Monitoring Agent – this is the same agent used by the Azure Monitor service – to collect security data from your Azure virtual machines. データ収集が有効になり、ターゲット コンピューターにエージェントが正常にインストールされた後、次のプロセスが実行されます。After data collection is enabled and the agent is correctly installed in the target machine, the process below should be in execution:

  • HealthService.exeHealthService.exe

サービス管理コンソール (services.msc) を開くと、次のように Microsoft Monitoring Agent サービスも実行されていることを確認できます。If you open the services management console (services.msc), you will also see the Microsoft Monitoring Agent service running as shown below:

サービス

エージェントのバージョンを確認するには、タスク マネージャーを開き、 [プロセス] タブで Microsoft Monitoring Agent サービスを見つけます。サービスを右クリックし、 [プロパティ] をクリックします。To see which version of the agent you have, open Task Manager, in the Processes tab locate the Microsoft Monitoring Agent Service, right-click on it and click Properties. [詳細] タブで、次のようなファイルのバージョンを確認します。In the Details tab, look the file version as shown below:

ファイル

Microsoft Monitoring Agent のインストール シナリオMicrosoft Monitoring Agent installation scenarios

コンピューターに Microsoft Monitoring Agent をインストールするシナリオは 2 つあり、生成される結果が異なります。There are two installation scenarios that can produce different results when installing the Microsoft Monitoring Agent on your computer. サポートされるシナリオは次のとおりです。The supported scenarios are:

  • Security Center による自動的なエージェントのインストール: このシナリオでは、Security Center とログ検索の両方にアラートが表示されます。Agent installed automatically by Security Center: in this scenario you will be able to view the alerts in both locations, Security Center and Log search. リソースが属しているサブスクリプション用のセキュリティ ポリシー内に構成したメール アドレスにメール通知が送信されます。You will receive email notifications to the email address that was configured in the security policy for the subscription the resource belongs to.

  • Azure の VM へのエージェントの手動インストール: このシナリオでは、2017 年 2 月以前に手動でダウンロードしてインストールしたエージェントを使用している場合、Security Center ポータルにアラートを表示できるのは、ワークスペースが属しているサブスクリプションをフィルター処理している場合のみです。Agent manually installed on a VM located in Azure: in this scenario, if you are using agents downloaded and installed manually prior to February 2017, you can view the alerts in the Security Center portal only if you filter on the subscription the workspace belongs to. リソースが属しているサブスクリプションをフィルター処理している場合、アラートは表示されません。If you filter on the subscription the resource belongs to, you won’t see any alerts. ワークスペースが属しているサブスクリプション用のセキュリティ ポリシー内に構成したメール アドレスにメール通知が送信されます。You'll receive email notifications to the email address that was configured in the security policy for the subscription the workspace belongs to.

注意

後者の動作を回避するために、必ずエージェントの最新バージョンをダウンロードしてください。To avoid the behavior explained in the second scenario, make sure you download the latest version of the agent.

エージェントの正常性の監視に関する問題Monitoring agent health issues

[監視の状態] には、自動プロビジョニングの対象として初期化された VM およびコンピューターを Security Center で正常に監視できない理由が定義されています。Monitoring state defines the reason Security Center is unable to successfully monitor VMs and computers initialized for automatic provisioning. 次の表は、 [監視の状態] の値、説明、解決手順を示したものです。The following table shows the Monitoring state values, descriptions, and resolution steps.

監視の状態Monitoring state 説明Description 解決手順Resolution steps
エージェントのインストールが保留中ですPending agent installation Microsoft Monitoring Agent のインストールがまだ実行されています。The Microsoft Monitoring Agent installation is still running. インストールには最大数時間かかることがあります。Installation can take up to a few hours. 自動インストールの完了を待ちます。Wait until automatic installation is complete.
電源状態がオフですPower state off VM が停止しています。The VM is stopped. Microsoft Monitoring Agent をインストールできるのは、実行中の VM だけです。The Microsoft Monitoring Agent can only be installed on a VM that is running. VM を再起動します。Restart the VM.
Azure VM エージェントが見つからないか無効ですMissing or invalid Azure VM agent Microsoft Monitoring Agent がまだインストールされていません。The Microsoft Monitoring Agent is not installed yet. Security Center が拡張機能をインストールするためには、有効な Azure VM エージェントが必要です。For Security Center to install the extension a valid Azure VM agent is required. Azure VM エージェントを VM にインストールするか、再インストールするか、またはアップグレードしてください。Install, reinstall or upgrade the Azure VM agent on the VM.
VM がインストールの準備が整っていない状態ですVM state not ready for installation インストールする準備が VM で整っていないため、Microsoft Monitoring Agent がまだインストールされていません。The Microsoft Monitoring Agent is not installed yet because the VM is not ready for installation. インストールする準備が VM で整っていません。VM エージェントまたは VM プロビジョニングに問題があります。The VM is not ready for installation due to a problem with the VM agent or VM provisioning. VM の状態を確認します。Check the status of your VM. ステータス情報については、ポータルの [Virtual Machines] に戻って、対象の VM を選択してください。Return to Virtual Machines in the portal and select the VM for status information.
インストールに失敗しました - 一般エラーInstallation failed - general error Microsoft Monitoring Agent はインストールされましたが、エラーが原因で正しく機能していません。The Microsoft Monitoring Agent was installed but failed due to an error. 拡張機能を手動でインストールするか、または、Security Center によって再インストールが試行されるように、拡張機能をアンインストールしてください。Manually install the extension or uninstall the extension so Security Center will try to install again.
インストールに失敗しました - ローカル エージェントが既にインストールされていますInstallation failed - local agent already installed Microsoft Monitoring Agent のインストールに失敗しました。Microsoft Monitoring Agent install failed. ローカル エージェント (Log Analytics または System Center Operations Manager) が VM にインストール済みであることが Security Center によって検出されました。Security Center identified a local agent (Log Analytics or System Center Operations Manager) already installed on the VM. 1 つの VM が 2 つの異なるワークスペースの管理下に置かれるマルチホーム構成を避けるために、Microsoft Monitoring Agent のインストールは停止されました。To avoid multi-homing configuration, where the VM is reporting to two separate workspaces, the Microsoft Monitoring Agent installation stopped. これには 2 とおりの解決方法があります。1 つは、拡張機能を手動でインストールして、それを目的のワークスペースに接続する方法です。There are two ways to resolve: manually install the extension and connect it to your desired workspace. もう 1 つは、目的のワークスペースを既定のワークスペースとして設定し、エージェントの自動プロビジョニングを有効にする方法です。Or, set your desired workspace as your default workspace and enable automatic provisioning of the agent. 自動プロビジョニングの有効化に関するページを参照してください。See enable automatic provisioning.
エージェントがワークスペースに接続できませんAgent cannot connect to workspace Microsoft Monitoring Agent はインストールされましたが、ネットワーク接続が原因で正しく機能していません。Microsoft Monitoring Agent installed but failed due to network connectivity. エージェントに関して、インターネット アクセスがあること、または有効な HTTP プロキシが構成されていることを確認してください。Check that there is internet access or that a valid HTTP proxy has been configured for the agent. 監視エージェントのネットワーク要件に関するページを参照してください。See monitoring agent network requirements.
エージェントの接続先ワークスペースが存在しないか不明ですAgent connected to missing or unknown workspace VM にインストールされている Microsoft Monitoring Agent が、接続先ワークスペースにアクセスできないことを Security Center が検出しました。Security Center identified that the Microsoft Monitoring Agent installed on the VM is connected to a workspace which it doesn’t have access to. この原因として 2 つのケースが考えられます。This can happen in two cases. まず、ワークスペースが削除されて現在は存在していないことが考えられます。The workspace was deleted and no longer exists. 適切なワークスペースを備えたエージェントを再インストールするか、またはエージェントをアンインストールして、Security Center による自動プロビジョニング インストールが作動するようにしてください。Reinstall the agent with the correct workspace or uninstall the agent and allow Security Center to complete its automatic provisioning installation. もう 1 つは、そのワークスペースを含んでいるサブスクリプションへのアクセス許可が Security Center にないケースです。The second case is where the workspace is part of a subscription that Security Center does not have permissions to. Microsoft Security Resource Provider にサブスクリプションへのアクセスを許可するためには、Security Center にそのサブスクリプションが必要です。Security Center requires subscriptions to allow the Microsoft Security Resource Provider to access them. その対策として、Microsoft Security Resource Provider のサブスクリプションを登録します。To enable, register the subscription to the Microsoft Security Resource Provider. この作業は、API や PowerShell、ポータルから行うことができるほか、Security Center の [概要] ダッシュボードから、目的のサブスクリプションにフィルターを適用するだけでも実行できます。This can be done by API, PowerShell, portal or by simply filtering on the subscription in the Security Center Overview dashboard. 詳細については、「リソース プロバイダーと種類」を参照してください。See Resource providers and types for more information.
エージェントが応答しないか、ID がありませんAgent not responsive or missing ID エージェントがインストールされているにもかかわらず、VM からスキャンされたセキュリティ データを Security Center が取得できません。Security Center is unable to retrieve security data scanned from the VM, even though the agent is installed. エージェントからデータ (ハート ビートも含む) がまったく報告されていません。The agent is not reporting any data, including heartbeat. エージェントが破損しているか、何らかの原因でトラフィックがブロックされています。The agent might be damaged or something is blocking traffic. または、エージェントからはデータが報告されているものの、Azure リソース ID が欠落しているために、データを Azure VM と突き合わせることができません。Or, the agent is reporting data but is missing an Azure resource ID so it’s impossible to match the data to the Azure VM. Linux のトラブルシューティングについては、「Troubleshooting Guide for Log Analytics Agent for Linux (Log Analytics エージェント for Linux のトラブルシューティング ガイド)」を参照してください。To troubleshoot Linux, see Troubleshooting Guide for Log Analytics Agent for Linux. Windows のトラブルシューティングについては、「Troubleshooting Windows Virtual Machines (Windows 仮想マシンのトラブルシューティング)」を参照してください。To troubleshoot Windows, see Troubleshooting Windows Virtual Machines.
エージェントがインストールされていませんAgent not installed データ収集が無効になっています。Data collection is disabled. セキュリティ ポリシーでデータ収集を有効にするか、Microsoft Monitoring Agent を手動でインストールしてください。Turn on data collection in the security policy or manually install the Microsoft Monitoring Agent.

監視エージェントのネットワーク要件のトラブルシューティングTroubleshooting monitoring agent network requirements

Security Center に接続して登録するエージェントには、ドメイン URL とポート番号を含むネットワーク リソースへのアクセスが必要です。For agents to connect to and register with Security Center, they must have access to network resources, including the port numbers and domain URLs.

  • プロキシ サーバーでは、適切なプロキシ サーバーのリソースがエージェントの設定で構成されていることを確認する必要があります。For proxy servers, you need to ensure that the appropriate proxy server resources are configured in agent settings. 詳細については、プロキシ設定を変更する方法に関する記事を参照してください。Read this article for more information on how to change the proxy settings.
  • インターネットへのアクセスを制限するファイアウォールでは、Log Analytics へのアクセスを許可するようにファイアウォールを構成する必要があります。For firewalls that restrict access to the Internet, you need to configure your firewall to permit access to Log Analytics. エージェントの設定で必要な操作はありません。No action is needed in agent settings.

次の表は、通信で必要なリソースを示しています。The following table shows resources needed for communication.

エージェントのリソースAgent Resource PortPorts バイパス HTTPS 検査Bypass HTTPS inspection
*.ods.opinsights.azure.com*.ods.opinsights.azure.com 443443 はいYes
*.oms.opinsights.azure.com*.oms.opinsights.azure.com 443443 はいYes
*.blob.core.windows.net*.blob.core.windows.net 443443 はいYes
*.azure-automation.net*.azure-automation.net 443443 はいYes

エージェントのオンボードに関する問題が発生した場合は、「Operations Management Suite オンボードに関する問題のトラブルシューティング方法」の記事を参照してください。If you encounter onboarding issues with the agent, make sure to read the article How to troubleshoot Operations Management Suite onboarding issues.

Endpoint Protection が正しく動作していない場合のトラブルシューティングTroubleshooting endpoint protection not working properly

ゲスト エージェントは、Microsoft マルウェア対策拡張機能によって実行されるすべての処理の親プロセスです。The guest agent is the parent process of everything the Microsoft Antimalware extension does. ゲスト エージェント プロセスが失敗すると、ゲスト エージェントの子プロセスとして実行されている Microsoft マルウェア対策も失敗する可能性があります。When the guest agent process fails, the Microsoft Antimalware that runs as a child process of the guest agent may also fail. このようなシナリオでは、次の点を確認することをお勧めします。In scenarios like that is recommended to verify the following options:

  • ターゲット VM がカスタム イメージであり、VM の作成者がゲスト エージェントをインストールしていない場合。If the target VM is a custom image and the creator of the VM never installed guest agent.
  • ターゲットが Windows VM ではなく Linux VM の場合、Linux VM に Windows バージョンのマルウェア対策拡張機能をインストールすると、インストールは失敗します。If the target is a Linux VM instead of a Windows VM then installing the Windows version of the antimalware extension on a Linux VM will fail. Linux ゲスト エージェントには、OS バージョンと必要なパッケージに関して固有の要件があります。それらの要件が満たされていない場合、VM エージェントも機能しません。The Linux guest agent has specific requirements in terms of OS version and required packages, and if those requirements are not met the VM agent will not work there either.
  • VM が古いバージョンのゲスト エージェントを使用して作成されている場合。If the VM was created with an old version of guest agent. この場合、一部の古いエージェントが新しいバージョンに自動更新できないことが原因でこの問題が発生している可能性があることに注意してください。If it was, you should be aware that some old agents could not auto-update itself to the newer version and this could lead to this problem. 独自のイメージを作成する場合は、必ず最新バージョンのゲスト エージェントを使用します。Always use the latest version of guest agent if creating your own images.
  • 一部のサード パーティ製管理ソフトウェアによって、ゲスト エージェントが無効化されているか、特定のファイルの場所へのアクセスがブロックされている可能性があります。Some third-party administration software may disable the guest agent, or block access to certain file locations. VM にサード パーティ製品がインストールされている場合は、エージェントが除外リストに含まれていることを確認してください。If you have third-party installed on your VM, make sure that the agent is on the exclusion list.
  • 特定のファイアウォール設定またはネットワーク セキュリティ グループ (NSG) が、ゲスト エージェントとの間でのネットワーク トラフィックをブロックしている可能性があります。Certain firewall settings or Network Security Group (NSG) may block network traffic to and from guest agent.
  • 特定のアクセス制御リスト (ACL) がディスク アクセスを妨げている可能性があります。Certain Access Control List (ACL) may prevent disk access.
  • ディスク領域の不足によって、ゲスト エージェントが正常に機能できなくなっている可能性があります。Lack of disk space can block the guest agent from functioning properly.

既定では、Microsoft マルウェア対策ユーザー インターフェイスは無効になっています。必要に応じてこれを有効にする方法の詳細については、デプロイ後に ARM VM の Microsoft マルウェア対策ユーザー インターフェイスを有効にする方法に関するブログをご覧ください。By default the Microsoft Antimalware User Interface is disabled, read Enabling Microsoft Antimalware User Interface on Azure Resource Manager VMs Post Deployment for more information on how to enable it if you need.

ダッシュボードの読み込みに関する問題のトラブルシューティングTroubleshooting problems loading the dashboard

Security Center ダッシュボードを読み込む際に問題が発生した場合は、Security Center のサブスクリプションを登録するユーザー (つまり、サブスクリプションで Security Center を最初に開いたユーザー) と、データの収集を有効にするユーザーが、サブスクリプションに対する "所有者" または"共同作成者" であることを確認します。If you experience issues loading the Security Center dashboard, ensure that the user that registers the subscription to Security Center (i.e. the first user one who opened Security Center with the subscription) and the user who would like to turn on data collection should be Owner or Contributor on the subscription. その時点から、サブスクリプションの "閲覧者" も dashboard/alerts/recommendation/policy を参照できます。From that moment on also users with Reader on the subscription can see the dashboard/alerts/recommendation/policy.

Microsoft サポートへの問い合わせContacting Microsoft Support

一部の問題は、この記事に示したガイドラインを基に特定できます。その他の問題については、Security Center パブリック フォーラムでドキュメントを確認できます。Some issues can be identified using the guidelines provided in this article, others you can also find documented at the Security Center public Forum. ただし、さらにトラブルシューティングが必要な場合は、次に示すように Azure ポータルを使用して新しいサポート要求を開くことができます。However if you need further troubleshooting, you can open a new support request using Azure portal as shown below:

Microsoft Support

関連項目See also

このドキュメントでは、Azure セキュリティ センターでのセキュリティ ポリシーの構成方法について説明しました。In this document, you learned how to configure security policies in Azure Security Center. Azure セキュリティ センターの詳細については、次を参照してください。To learn more about Azure Security Center, see the following: