チュートリアル:Azure Security Center でリソースを保護するTutorial: Protect your resources with Azure Security Center

Security Center は、アクセスおよびアプリケーション制御を使用して悪意のあるアクティビティをブロックすることで、脅威にさらされる状態を軽減します。Security Center limits your exposure to threats by using access and application controls to block malicious activity. Just-In-Time (JIT) 仮想マシン (VM) アクセスは、VM への永続的なアクセスを拒否できるようにして攻撃に対する露出を減らします。Just-in-time (JIT) virtual machine (VM) access reduces your exposure to attacks by enabling you to deny persistent access to VMs. 代わりに、必要な場合にのみ VM への制御および監査されたアクセスを提供します。Instead, you provide controlled and audited access to VMs only when needed. 適応型アプリケーション制御を使用すると、VM 上で実行できるアプリケーションを制御することでマルウェアに対する VM の保護を強化できます。Adaptive application controls help harden VMs against malware by controlling which applications can run on your VMs. Security Center は、機械学習によって VM で実行されているプロセスを分析し、この情報を利用することで、お客様がホワイトリスト登録に関する規則を適用するのを支援します。Security Center uses machine learning to analyze the processes running in the VM and helps you apply whitelisting rules using this intelligence.

このチュートリアルで学習する内容は次のとおりです。In this tutorial you learn how to:

  • Just-In-Time VM アクセス ポリシーの構成Configure a just-in-time VM access policy
  • アプリケーション制御ポリシーの構成Configure an application control policy

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。If you don’t have an Azure subscription, create a free account before you begin.

前提条件Prerequisites

このチュートリアルで説明されている機能を実行するには、Security Center の Standard 価格レベルを使用する必要があります。To step through the features covered in this tutorial, you must be on Security Center’s Standard pricing tier. Security Center Standard は無料でお試しいただけます。You can try Security Center Standard at no cost. 詳細については、価格のページを参照してください。To learn more, see the pricing page. Standard にアップグレードする方法については、Azure サブスクリプションでの Security Center Standard の利用開始に関するクイックスタートを参照してください。The quickstart Onboard your Azure subscription to Security Center Standard walks you through how to upgrade to Standard.

VM アクセスの管理Manage VM access

JIT VM アクセスを使用すると、Azure VM へのインバウンド トラフィックをロックダウンすることができるので、攻撃に対する露出が減り、VM への接続が必要な場合は簡単にアクセスできます。JIT VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

管理ポートを常に開放しておく必要はありません。Management ports do not need to be open at all times. 管理ポートを開放しておく必要があるのは、管理タスクやメンテナンス タスクを実行する場合など、VM に接続している間だけです。They only need to be open while you are connected to the VM, for example to perform management or maintenance tasks. Just-In-Time が有効になっている場合、Security Center ではネットワーク セキュリティ グループ (NSG) ルールが使用されます。このルールにより管理ポートへのアクセスが制限されるため、攻撃者は管理ポートをターゲットにすることができなくなります。When just-in-time is enabled, Security Center uses Network Security Group (NSG) rules, which restrict access to management ports so they cannot be targeted by attackers.

  1. Security Center のメイン メニューで、 [高度なクラウド防御][Just-In-Time VM アクセス] を選択します。In the Security Center main menu, select Just-in-time VM access under ADVANCED CLOUD DEFENSE.

    Just In Time VM アクセス

    [Just-in-time VM access] (Just-In-Time VM アクセス) には、VM の状態に関する情報が表示されます。Just-in-time VM access provides information on the state of your VMs:

    • [構成済み] - Just-In-Time VM アクセスをサポートするように構成されている VM。Configured - VMs that have been configured to support just-in-time VM access.

    • [推奨] - Just-In-Time VM アクセスをサポートできるが、そのように構成されてはいない VM。Recommended - VMs that can support just-in-time VM access but have not been configured to.

    • [推奨なし] - 以下のような VM には、ジャスト イン タイム VM アクセスは推奨されない場合があります。No recommendation - Reasons that can cause a VM not to be recommended are:

      • NSG がない - Just-In-Time ソリューションには設定済みの NSG が必要です。Missing NSG - The just-in-time solution requires an NSG to be in place.
      • クラシック VM - Security Center の Just-In-Time VM アクセスでは、現在 Azure Resource Manager 経由でデプロイされた VM のみがサポートされています。Classic VM - Security Center just-in-time VM access currently supports only VMs deployed through Azure Resource Manager.
      • その他 - VM がこのカテゴリに含まれるのは、サブスクリプションまたはリソース グループのセキュリティ ポリシー内で Just-In-Time ソリューションが無効になっている場合か、VM にパブリック IP と設定済みの NSG がない場合です。Other - A VM is in this category if the just-in-time solution is turned off in the security policy of the subscription or the resource group, or that the VM is missing a public IP and doesn't have an NSG in place.
  2. 推奨される VM を選択し、 [1 台の VM で JIT を有効にする] をクリックして、その VM の Just-In-Time ポリシーを構成します。Select a recommended VM and click Enable JIT on 1 VM to configure a just-in-time policy for that VM:

    Security Center が推奨する既定のポートを保存するか、Just-In-Time ソリューションを有効にする新しいポートを追加および構成できます。You can save the default ports that Security Center recommends or you can add and configure a new port on which you want to enable the just-in-time solution. このチュートリアルでは、 [追加] を選択してポートを追加しましょう。In this tutorial, let’s add a port by selecting Add.

    ポート構成の追加

  3. [ポート構成の追加] で、以下の項目を識別します。Under Add port configuration, you identify:

    • ポートThe port
    • プロトコルの種類The protocol type
    • 許可されるソース IP - 承認された要求に応じてアクセスが許可される IP の範囲Allowed source IPs - IP ranges allowed to get access upon an approved request
    • 最大要求時間 - 特定のポートを開放しておくことができる最大時間枠Maximum request time - maximum time window that a specific port can be opened
  4. [OK] を選択して保存します。Select OK to save.

マルウェアに対する VM の保護の強化Harden VMs against malware

適応型アプリケーション制御では、構成済みリソース グループに対する実行が許可される一連のアプリケーションを定義できます。これにはさまざまな利点がありますが、たとえばマルウェアに対する VM の保護の強化に役立ちます。Adaptive application controls help you define a set of applications that are allowed to run on configured resource groups, which among other benefits helps harden your VMs against malware. Security Center は、機械学習によって VM で実行されているプロセスを分析し、この情報を利用することで、お客様がホワイトリスト登録に関する規則を適用するのを支援します。Security Center uses machine learning to analyze the processes running in the VM and helps you apply whitelisting rules using this intelligence.

  1. Security Center のメイン メニューに戻ります。Return to the Security Center main menu. [高度なクラウド防御][適応型アプリケーション制御] を選択します。Under ADVANCED CLOUD DEFENSE, select Adaptive application controls.

    アダプティブ アプリケーション制御

    [リソース グループ] セクションには、3 つのタブがあります。The Resource groups section contains three tabs:

    • [構成済み] : アプリケーション制御で構成された VM が含まれているリソース グループの一覧。Configured: List of resource groups containing the VMs that were configured with application control.
    • 推奨:アプリケーション制御が推奨されるリソース グループの一覧。Recommended: List of resource groups for which application control is recommended.
    • [推奨なし] : アプリケーション制御の推奨がない VM が含まれているリソース グループの一覧。No recommendation: List of resource groups containing VMs without any application control recommendations. たとえば、実行されるアプリケーションが常に変化していて、一定の状態にならない VM などです。For example, VMs on which applications are always changing, and haven’t reached a steady state.
  2. アプリケーション制御の推奨があるリソース グループの一覧を表示するには、 [推奨] タブを選択します。Select the Recommended tab for a list of resource groups with application control recommendations.

    アプリケーション制御に関する推奨事項

  3. [アプリケーションの制御に関する規則の作成] オプションを開くには、リソース グループを選択します。Select a resource group to open the Create application control rules option. [VM の選択] で、推奨されている VM の一覧を確認し、アプリケーション制御を適用しないすべての項目をオフにします。In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply application control to. [ホワイトリスト登録に関する規則のプロセスを選択] で、推奨されているアプリケーションの一覧を確認し、適用しないすべての項目をオフにします。In the Select processes for whitelisting rules, review the list of recommended applications, and uncheck any you do not want to apply. 一覧には次の項目が含まれています。The list includes:

    • [名前] : アプリケーションの完全パスNAME: The full application path
    • [プロセス] : 各パス内に存在するアプリケーションの数PROCESSES: How many applications reside within every path
    • [共通] : "はい" は、これらのプロセスがこのリソース グループ内のほとんどの VM で実行されていることを示しますCOMMON: "Yes" indicates that these processes have been executed on most VMs in this resource group
    • [利用可能] : 警告アイコンは、アプリケーションがアプリケーション ホワイトリストをバイパスするために攻撃者によって使用されうることを示します。EXPLOITABLE: A warning icon indicates if the applications could be used by an attacker to bypass application whitelisting. これらのアプリケーションは、承認前に確認することをお勧めします。It is recommended to review these applications prior to their approval.
  4. 選択を終了したら、 [作成] を選択します。Once you finish your selections, select Create.

リソースのクリーンアップClean up resources

このコレクションの他のクイックスタートとチュートリアルは、このクイックスタートに基づいています。Other quickstarts and tutorials in this collection build upon this quickstart. 引き続き次のクイックスタートとチュートリアルを行う予定の場合、Standard レベルの実行を継続して、自動プロビジョニングを有効のままにしてください。If you plan to continue on to work with subsequent quickstarts and tutorials, continue running the Standard tier and keep automatic provisioning enabled. 続行しないまたは Free レベルに戻したい場合:If you do not plan to continue or wish to return to the Free tier:

  1. Security Center のメイン メニューに戻り、 [セキュリティ ポリシー] を選択します。Return to the Security Center main menu and select Security Policy.
  2. Free に戻したいサブスクリプションまたはポリシーを選択します。Select the subscription or policy that you want to return to Free. [セキュリティ ポリシー] が開きます。Security policy opens.
  3. [ポリシー コンポーネント] で、 [価格レベル] を選択します。Under POLICY COMPONENTS, select Pricing tier.
  4. [Free] を選択して、Standard レベルから Free レベルにサブスクリプションを変更します。Select Free to change subscription from Standard tier to Free tier.
  5. [保存] を選択します。Select Save.

自動プロビジョニングを無効にする場合:If you wish to disable automatic provisioning:

  1. Security Center のメイン メニューに戻り、 [セキュリティ ポリシー] を選択します。Return to the Security Center main menu and select Security policy.
  2. 自動プロビジョニングを無効にするサブスクリプションを選択します。Select the subscription that you wish to disable automatic provisioning.
  3. [セキュリティ ポリシー - データ収集] で、 [オンボード][オフ] を選択して、自動プロビジョニングを無効にします。Under Security policy – Data Collection, select Off under Onboarding to disable automatic provisioning.
  4. [保存] を選択します。Select Save.

注意

自動プロビジョニングを無効しても、Microsoft Monitoring Agent がプロビジョニングされている Azure VM からエージェントは削除されません。Disabling automatic provisioning does not remove the Microsoft Monitoring Agent from Azure VMs where the agent has been provisioned. 自動プロビジョニングを無効にすると、リソースのセキュリティの監視が制限されます。Disabling automatic provisioning limits security monitoring for your resources.

次の手順Next steps

このチュートリアルでは、脅威にさらされる状態を以下の方法で軽減する方法について説明しました。In this tutorial, you learned how to limit your exposure to threats by:

  • 必要な場合にのみ VM への制御および監査されたアクセスを提供するための Just-In-Time VM アクセス ポリシーの構成Configuring a just-in-time VM access policy to provide controlled and audited access to VMs only when needed
  • VM で実行できるアプリケーションを制御するための適応型アプリケーション制御ポリシーの構成Configuring an adaptive application controls policy to control which applications can run on your VMs

次のチュートリアルに進み、セキュリティ インシデントへの対応について学習してください。Advance to the next tutorial to learn about responding to security incidents.