Azure の高度な脅威の検出Azure advanced threat detection

Azure では、Azure Active Directory (Azure AD)、Azure Operations Management Suite (OMS)、Azure Security Center などのサービスを通じて、高度な脅威検出を行う組み込み機能を提供しています。Azure offers built in advanced threat detection functionality through services such as Azure Active Directory (Azure AD), Azure Operations Management Suite (OMS), and Azure Security Center. このセキュリティ サービスと機能のコレクションにより、Azure デプロイの内部で起きている事象をシンプルかつ迅速に把握する方法が提供されます。This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

Azure では、アプリのデプロイ要件を満たすセキュリティを構成およびカスタマイズするための幅広いオプションを提供します。Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. この記事では、これらの要件を満たす方法について説明します。This article discusses how to meet these requirements.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure AD Identity Protection は、Azure Active Directory Premium P2 エディションの機能であり、リスク イベントと組織の ID に影響する可能性がある潜在的な脆弱性に関する概要を提供します。Azure AD Identity Protection is an Azure Active Directory Premium P2 edition feature that provides an overview of the risk events and potential vulnerabilities that can affect your organization’s identities. Identity Protection は、Azure AD 異常アクティビティ レポートを通じて利用できる、既存の Azure AD 異常検出機能を使用して、リアルタイムの異常を検出できる新しいリスク イベントの種類を紹介します。Identity Protection uses existing Azure AD anomaly-detection capabilities that are available through Azure AD Anomalous Activity Reports, and introduces new risk event types that can detect real time anomalies.

Azure AD Identity Protection の図

Identity Protection はアダプティブ Machine Learning アルゴリズムとヒューリスティックを使用して、ID が侵害されていることを示している可能性のある異常とリスク イベントを検出します。Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that might indicate that an identity has been compromised. このデータを使用して、Identity Protection はレポートとアラートを生成するので、ユーザーはこれらのリスク イベントを調査して、適切な修復または軽減のアクションを実行することができます。Using this data, Identity Protection generates reports and alerts so that you can investigate these risk events and take appropriate remediation or mitigation action.

Azure Active Directory Identity Protection は単なる監視とレポート作成のツールではありません。Azure Active Directory Identity Protection is more than a monitoring and reporting tool. リスク イベントを基にして、Identity Protection は各ユーザーのユーザー リスク レベルを計算します。これにより、ユーザーはリスク ベースのポリシーを構成して組織の ID を自動的に保護することができます。Based on risk events, Identity Protection calculates a user risk level for each user, so that you can configure risk-based policies to automatically protect the identities of your organization.

これらのリスクに基づくポリシーと、Azure Active Directory および EMS によって提供される他の条件付きアクセス コントロールにより、パスワードのリセットや多要素認証の適用などのアダプティブ修復アクションを自動的にブロックまたは提供できます。These risk-based policies, in addition to other conditional access controls that are provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Identity Protection の機能Identity Protection capabilities

Azure Active Directory Identity Protection は単なる監視とレポート作成のツールではありません。Azure Active Directory Identity Protection is more than a monitoring and reporting tool. 指定したリスク レベルに達したときに、検出された問題が自動的に対処されるようにリスク ベースのポリシーを構成することで、組織の ID を保護できます。To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. こうしたポリシーと、Azure Active Directory および EMS によって提供される他の条件付きアクセス コントロールにより、パスワードのリセットや多要素認証の適用などのアダプティブ修復アクションを自動的にブロックまたは開始できます。These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Azure の Identity Protection によってユーザーのアカウントや ID を保護できる方法の例には次のようなものがあります。Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

リスク イベントとリスクの高いアカウントの検出:Detecting risk events and risky accounts

  • Machine Learning とヒューリスティック ルールを使用した 6 つのリスク イベントの種類の検出。Detect six risk event types using machine learning and heuristic rules.
  • ユーザーのリスク レベルを計算します。Calculate user risk levels.
  • 脆弱性を目立たせることにより全体的なセキュリティ対策を向上させるためのカスタム推奨事項を提供します。Provide custom recommendations to improve overall security posture by highlighting vulnerabilities.

リスク イベントの調査Investigating risk events

  • リスク イベントの通知を送信します。Send notifications for risk events.
  • 関連情報とコンテキスト情報を使用してリスク イベントを調査します。Investigate risk events using relevant and contextual information.
  • 調査を追跡するための基本的なワークフローを提供します。Provide basic workflows to track investigations.
  • パスワード リセットなどの修復アクションへの簡単なアクセスを提供します。Provide easy access to remediation actions such as password reset.

リスクに基づく条件付きアクセス ポリシーRisk-based, conditional-access policies

  • サインインのブロックまたは多要素認証チャレンジの要求によりリスクの高いサインインを抑制します。Mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • リスクの高いユーザー アカウントをブロックまたはセキュリティで保護します。Block or secure risky user accounts.
  • 多要素認証への登録をユーザーに要求します。Require users to register for multi-factor authentication.

Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management

組織内のアクセス権は、Azure Active Directory Privileged Identity Management (PIM) を使用して管理、制御、監視することができます。With Azure Active Directory Privileged Identity Management (PIM), you can manage, control, and monitor access within your organization. その機能には、Azure AD をはじめとする Microsoft の各種オンライン サービス (Office 365、Microsoft Intune など) 内のリソースへのアクセスが含まれます。This feature includes access to resources in Azure AD and other Microsoft online services, such as Office 365 or Microsoft Intune.

Azure AD Privileged Identity Management の図

PIM は以下のことに役立ちます。PIM helps you:

  • Azure AD 管理者のアラートとレポートを受け取り、Office 365 や Intune などの Microsoft Online Services にジャスト イン タイム (JIT) で管理アクセスを行う。Get alerts and reports about Azure AD administrators and just-in-time (JIT) administrative access to Microsoft online services, such as Office 365 and Intune.

  • 管理者のアクセス履歴と管理者の割り当ての変更に関するレポートを取得する。Get reports about administrator access history and changes in administrator assignments.

  • 特権ロールへのアクセスに関するアラートを受け取る。Get alerts about access to a privileged role.

Operations Management SuiteOperations Management Suite

Operations Management Suite (OMS) は、Microsoft のクラウドベースの IT 管理ソリューションです。Operations Management Suite を使用して、オンプレミスとクラウドのインフラストラクチャを管理し、保護することができます。Operations Management Suite (OMS) is a Microsoft cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. OMS はクラウドベースのサービスとして実装されるため、インフラストラクチャ サービスに最小限の投資をするだけで、すぐに稼働させることができます。Because OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. 新しいセキュリティ機能が追加されると自動的に配信されるため、継続的なメンテナンスやアップグレードのコストが節約されます。New security features are delivered automatically, saving ongoing maintenance and upgrade costs.

OMS は、価値のある独自のサービスに加え、System Center Operations Manager などの System Center のコンポーネントと統合して、管理のための既存のセキュリティ投資をクラウドに拡張できます。In addition to providing valuable services on its own, OMS can integrate with System Center components, such as System Center Operations Manager, to extend your existing security management investments into the cloud. System Center と OMS を連携させることで、本格的なハイブリッド管理を実現できます。System Center and OMS can work together to provide a full hybrid management experience.

包括的なセキュリティおよびコンプライアンスの体制Holistic security and compliance posture

OMS の [セキュリティおよび監査] ダッシュボードでは、注意を必要とする重要な問題向けの組み込みの検索クエリと共に、組織の IT セキュリティ対策への包括的な視点が提供されます。The OMS Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture, with built-in search queries for notable issues that require your attention. [セキュリティおよび監査] ダッシュボードは、OMS におけるすべてのセキュリティ関連機能のホーム画面です。The Security and Audit dashboard is the home screen for everything related to security in OMS. この画面では、コンピューターのセキュリティの状態について大まかな情報を得ることができます。It provides high-level insight into the security state of your computers. また、過去の 24 時間、7 日間、またはそれ以外のカスタム期間に発生したすべてのイベントを表示することができます。You can also view all events from the past 24 hours, 7 days, or any other custom timeframe.

OMS のダッシュボードは、あらゆる環境における包括的なセキュリティ体制をすばやく簡単に理解するのに役立ちます。この環境には、IT オペレーションというコンテキストでのソフトウェアの更新プログラムの評価、マルウェア対策の評価、構成基準などがすべて含まれます。OMS dashboards help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including software update assessment, antimalware assessment, and configuration baselines. セキュリティ ログ データに容易にアクセスできるため、セキュリティとコンプライアンスを目的とする監査プロセスが合理化されます。Security log data is readily accessible to streamline the security and compliance audit processes.

OMS の [セキュリティおよび監査] ダッシュボード

OMS の [セキュリティおよび監査] ダッシュボードは、次の 4 つの主要カテゴリで構成されています。The OMS Security and Audit dashboard is organized into four major categories:

  • セキュリティ ドメイン: 時間の経過に伴うセキュリティ レコードを詳しく調査したり、マルウェアの評価にアクセスしたり、評価を更新したり、ネットワーク セキュリティ、ID、アクセスの情報を表示したり、セキュリティ イベントが発生したコンピューターを表示したり、Azure Security Center のダッシュボードに簡単にアクセスしたりできます。Security Domains: Lets you further explore security records over time; access malware assessments; update assessments; view network security, identity, and access information; view computers with security events; and quickly access the Azure Security Center dashboard.

  • 注目に値する問題: アクティブな問題の数と問題の重要度をすばやく特定できます。Notable Issues: Lets you quickly identify the number of active issues and the severity of the issues.

  • 検出 (プレビュー): リソースに対して攻撃が発生したときにセキュリティの警告を表示することで、攻撃パターンを特定できます。Detections (Preview): Lets you identify attack patterns by displaying security alerts as they occur against your resources.

  • 脅威インテリジェンス: 悪意のある送信側 IP トラフィックを持つサーバーの総数、悪意のある脅威の種類、IP の場所のマップを表示することで、攻撃パターンを特定できます。Threat Intelligence: Lets you identify attack patterns by displaying the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map of the IPs locations.

  • 一般的なセキュリティ クエリ: 環境を監視するために使用できる最も一般的なセキュリティ クエリが一覧表示されます。Common security queries: Lists the most common security queries that you can use to monitor your environment. 任意のクエリを選択すると、[検索] ウィンドウが開き、そのクエリの結果が表示されます。When you select any query, the Search pane opens and displays the results for that query.

分析情報と分析Insight and analytics

Log Analytics の核となる機能は、Azure でホストされている OMS リポジトリです。At the center of Log Analytics is the OMS repository, which is hosted by Azure.

分析情報と分析の図

データ ソースを構成し、ソリューションをサブスクリプションに追加することによって、接続されているソースからリポジトリにデータを収集します。You collect data into the repository from connected sources by configuring data sources and adding solutions to your subscription.

<span data-ttu-id="9c9c5-168">OMS ダッシュボード</span><span class="sxs-lookup"><span data-stu-id="9c9c5-168">The OMS dashboard</span></span>

データ ソースとソリューションは、独自のプロパティのセットを持つレコードの種類をそれぞれ別々に作成しますが、リポジトリに対するクエリでまとめて分析することもできます。Data sources and solutions each create separate record types with their own set of properties, but you can still analyze them together in queries to the repository. 同じツールとメソッドを使用することで、さまざまなソースによって収集された各種のデータを使用することができます。You can use the same tools and methods to work with a variety of data that's collected by various sources.

Log Analytics とのやり取りのほとんどは、任意のブラウザーで実行する OMS ポータルを通じて行います。ここから構成設定や複数のツールにアクセスして収集したデータの分析や操作ができる機能が提供されます。Most of your interaction with Log Analytics is through the OMS portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. ポータルでは、以下を使用できます。From the portal, you can use:

  • ログ検索。収集されたデータを分析するためのクエリを構築します。Log searches where you construct queries to analyze collected data.
  • ダッシュボード。最も重要な検索のグラフィカル表示でカスタマイズできます。Dashboards, which you can customize with graphical views of your most valuable searches.
  • ソリューション。追加の機能と分析ツールが提供されます。Solutions, which provide additional functionality and analysis tools.

分析ツール

ソリューションにより、Log Analytics に機能が追加されます。Solutions add functionality to Log Analytics. これらは主にクラウドで実行し、OMS リポジトリで収集されたデータの分析を提供します。They primarily run in the cloud and provide analysis of data that's collected in the OMS repository. また、ソリューションでは、OMS ダッシュボード内でソリューションによって提供される追加のユーザー インターフェイスを使用するか、またはログ検索を使用して分析できる収集対象の新しいレコードの種類を定義することもできます。Solutions might also define new record types to be collected that can be analyzed with log searches or by using an additional user interface that the solution provides in the OMS dashboard.

[セキュリティおよび監査] ダッシュボードはこのような種類のソリューションの一例です。The Security and Audit dashboard is an example of these types of solutions.

Automation と制御: セキュリティ構成の誤差に関するアラートAutomation and control: Alert on security configuration drifts

Azure Automation は、PowerShell に基づいた Runbook を使用して管理プロセスを自動化し、クラウドで実行します。Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the cloud. ローカル データセンターのサーバーで Runbook を実行してローカル リソースを管理することもできます。Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation では、PowerShell Desired State Configuration (DSC) によって構成を管理します。Azure Automation provides configuration management with PowerShell Desired State Configuration (DSC).

Azure Automation の図

Azure でホストされる DSC リソースを作成して管理し、クラウドやオンプレミス システムに適用できます。You can create and manage DSC resources that are hosted in Azure and apply them to cloud and on-premises systems. そのためには、その構成を定義して自動的に適用するか、セキュリティ構成がポリシー内に確実に留まるようにするのに役立つ誤差に関するレポートを取得することができます。By doing so, you can define and automatically enforce their configuration or get reports on drift to help ensure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center によって、Azure リソースを保護します。Azure Security Center helps protect your Azure resources. Azure サブスクリプション間のセキュリティ監視とポリシー管理を総合的に提供します。It provides integrated security monitoring and policy management across your Azure subscriptions. このサービス内では、Azure サブスクリプションとリソース グループの両方に対してポリシーを定義することで、より詳細な定義が可能になります。Within the service, you can define polices against both your Azure subscriptions and resource groups for greater granularity.

Azure Security Center の図

マイクロソフトのセキュリティ研究員は、絶えず脅威に目を光らせています。Microsoft security researchers are constantly on the lookout for threats. クラウドやオンプレミスにおけるマイクロソフトのグローバル プレゼンスから得た広範なテレメトリにアクセスすることが彼らには許されています。They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. この広範かつ多様なデータセットのコレクションによって、マイクロソフトは、そのオンプレミスの消費者向け/企業向け製品からオンライン サービスに至るまで、攻撃の新しいパターンや傾向を把握することができます。This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

このため、Security Center は、攻撃者が新たにより高度な攻撃を仕掛けてくるたびに検出アルゴリズムを迅速に更新することができます。Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. この方法は、刻々と進化する脅威の環境に後れを取らないように対処するのに役立ちます。This approach helps you keep pace with a fast-moving threat environment.

Security Center の脅威検出

Security Center の脅威検出は、Azure のリソースやネットワーク、接続されているパートナー ソリューションからセキュリティ情報を自動的に収集することによって機能します。Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. これは、複数のソースからの情報を関連付けることで情報を分析して脅威を識別します。It analyzes this information, correlating information from multiple sources, to identify threats.

Security Center では、セキュリティの警告に優先順位が、脅威に対処するための推奨事項と共に割り当てられます。Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Security Center には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。Security Center employs advanced security analytics, which go far beyond signature-based approaches. ビッグ データおよび機械学習における革新的テクノロジを使用して、クラウド ファブリック全体でイベントが評価されます。Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric. 高度な分析では、手作業に頼った手法や攻撃の進化を予測する手法では特定できない脅威も検出できます。Advanced analytics can detect threats that would be impossible to identify through manual approaches and predicting the evolution of attacks. こうしたセキュリティ分析の種類については次のセクションで説明します。These security analytics types are covered in the next sections.

脅威インテリジェンスThreat intelligence

Microsoft は、膨大なグローバル脅威インテリジェンスにアクセスできます。Microsoft has access to an immense amount of global threat intelligence.

Azure、Office 365、Microsoft CRM online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU)、および Microsoft セキュリティ レスポンス センター (MSRC) などの複数のソースから製品利用統計情報が送られてきます。Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

脅威インテリジェンスの検索結果

また研究員も、大手クラウド サービス プロバイダー間で共有されている脅威インテリジェンス情報を入手しているほか、サード パーティから脅威インテリジェンス フィードをサブスクライブしています。Researchers also receive threat intelligence information that is shared among major cloud service providers, and they subscribe to threat intelligence feeds from third parties. Azure Security Center はこの情報を基に、既知の有害因子から生じる脅威について利用者に警告を発することができます。Azure Security Center can use this information to alert you to threats from known bad actors. 次に例をいくつか示します。Some examples include:

  • 機械学習の力を利用する: Azure Security Center は、クラウド ネットワークのアクティビティに関する大量のデータにアクセスし、このデータを使用して Azure のデプロイを対象とする脅威を検出することができます。Harnessing the power of machine learning: Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments.

  • ブルート フォース検出: 機械学習を使用してリモート アクセスが試行された履歴のパターンを作成します。これによって Secure Shell (SSH)、Remote Desktop Protocol (RDP)、SQL の各ポートに対するブルート フォース攻撃を検出できます。Brute force detection: Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against Secure Shell (SSH), Remote Desktop Protocol (RDP), and SQL ports.

  • DDoS およびボットネット送信の検出: クラウド リソースを対象とした攻撃の主な目的は、これらのリソースの計算機能を使用して他の攻撃を実行することです。Outbound DDoS and botnet detection: A common objective of attacks that target cloud resources is to use the compute power of these resources to execute other attacks.

  • 新しい行動分析サーバーおよび VM: サーバーまたは仮想マシンが一度侵害されると、攻撃者は、検出を逃れながら繰り返しセキュリティ制御を回避しながら、そのシステムに対して悪意のあるコードを実行するためにさまざまな手法を仕掛けます。New behavioral analytics servers and VMs: After a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Azure SQL データベースの脅威の検出: Azure SQL Database の脅威の検出では、データベースへのアクセスや攻撃を目的とした通常とは異なる潜在的に有害な試行であることを示す、異常なデータベースのアクティビティが識別されます。Azure SQL Database Threat Detection: Threat detection for Azure SQL Database, which identifies anomalous database activities that indicate unusual and potentially harmful attempts to access or exploit databases.

行動分析Behavioral analytics

行動分析は、データを分析し、既知のパターンのコレクションと照らして比較する手法です。Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. ただし、これらのパターンはただのシグネチャではありません。However, these patterns are not simple signatures. 大量のデータセットに適用された複雑な機械学習アルゴリズムを通じてパターンが決定されています。They are determined through complex machine learning algorithms that are applied to massive datasets.

行動分析の検索結果

また、パターンの特定にあたっては、専門のアナリストによって悪質な行動が緻密に分析されます。The patterns are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center は、行動分析を使用して仮想マシンのログ、仮想ネットワーク デバイスのログ、ファブリック ログ、クラッシュ ダンプ、およびその他のソースを分析し、これに基づいて侵害されたリソースを識別することができます。Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

また、他のシグナルとの間には、蔓延している攻撃の裏付けとなる兆候を確認できるパターンが関連付けられています。In addition, patterns are correlated with other signals to check for supporting evidence of a widespread campaign. この相関関係によって、セキュリティ侵害の証拠として確立されたインジケーターと一致しているイベントが特定されます。This correlation helps to identify events that are consistent with established indicators of compromise.

次に例をいくつか示します。Some examples include:

  • 疑わしいプロセスの実行: 攻撃者は、悪質なソフトウェアを秘かに実行するためにいくつかの手法を用います。Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. たとえば、マルウェアに対して正規のシステム ファイルと同じ名前を付けて本来とは異なる場所に配置したり、無害なファイルの名前に類似した名前を使用したり、ファイルの本当の拡張子を隠したりすることが考えられます。For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is similar to that of a benign file, or mask the file’s true extension. Security Center はプロセスの動作をモデル化し、そのプロセスの実行を監視することで、こうした異常を検出します。Security Center models process behaviors and monitor process executions to detect outliers such as these.

  • マルウェアおよび脆弱性の悪用の試行を非表示にする: 巧妙なマルウェアは、ディスクへの書き込みやディスクに格納されているソフトウェア コンポーネントの暗号化をまったくしないために、従来のマルウェア対策製品から逃れることができます。Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. しかし、マルウェアは動作するためにメモリにトレースを残すので、メモリを分析するとこのようなマルウェアを検出できます。However, such malware can be detected by using memory analysis, because the malware must leave traces in memory to function. ソフトウェアがクラッシュすると、クラッシュ時のメモリが部分的にクラッシュ ダンプにキャプチャされます。When software crashes, a crash dump captures a portion of memory at the time of the crash. クラッシュ ダンプにメモリを分析することで、Azure Security Center は、ソフトウェアの脆弱性を悪用したり、機密データにアクセスしたり、侵害したマシン内部でひそかに生き残るために使用されたテクニックを、マシンのパフォーマンスに影響を与えずに検出することができます。By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without affecting the performance of your machine.

  • 水平移動と内部偵察: 攻撃者は、侵害されたネットワークで存続またはこのようなネットワークを探して貴重なデータを奪取するために、侵害されたマシンから同一ネットワーク内の他のマシンに水平移動を試みる場合がよくあります。Lateral movement and internal reconnaissance: To persist in a compromised network and locate and harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Security Center は、攻撃者がネットワーク内部で足がかりを拡大するために試行するリモート コマンドの実行、ネットワーク プローブ、アカウントの列挙などを見つけるために、プロセスとログインのアクティビティを監視します。Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • 悪質な PowerShell スクリプト: 攻撃者が標的となる仮想マシン上で悪質なコードを実行するために、さまざまな目的から PowerShell が使用されることがあります。Malicious PowerShell scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for various purposes. 疑わしい活動の兆候がないか、PowerShell のアクティビティは Security Center によって調査されます。Security Center inspects PowerShell activity for evidence of suspicious activity.

  • 送信方向の攻撃: 攻撃の踏み台として利用するために、クラウド リソースを攻撃者が標的にすることは少なくありません。Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. たとえば、侵入した仮想マシンを利用して、他の仮想マシンにブルート フォース攻撃を仕掛けたり、スパムを送信したり、開放ポートやインターネット上の他のデバイスをスキャンしたりする場合があります。Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send spam, or scan open ports and other devices on the internet. Security Center では、ネットワーク トラフィックに機械学習を適用することで、正常な範囲を逸脱した送信ネットワーク通信を検出することができます。By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. スパムが検出された場合、Security Center では、普通ではない電子メール トラフィックと Office 365 から得られたインテリジェンスとの相関を明らかにすることで、不正目的のメールであるか、正当な電子メール キャンペーンによるものであるかも判断します。When spam is detected, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

異常検出Anomaly detection

Azure Security Center での脅威の特定には、異常検出も使用されます。Azure Security Center also uses anomaly detection to identify threats. 行動分析は、大規模なデータセットから導いた既知のパターンに依存します。これとは対照的に、異常検出は "独自色" が強く、個々の環境に固有の基準に重点が置かれます。In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. 機械学習を適用して個々の環境の正常なアクティビティを突き止めたうえで、セキュリティ イベントの可能性を示す異常な条件とは何かを定義する規則を作成します。Machine learning is applied to determine normal activity for your deployments, and then rules are generated to define outlier conditions that could represent a security event. 次に例を示します。Here’s an example:

  • 受信方向の RDP/SSH ブルート フォース攻撃: 同じ環境でも、日々数多くのユーザーがログインする稼働率の高い仮想マシンもあれば、ほとんどまたはまったくログインされない仮想マシンもあります。Inbound RDP/SSH brute force attacks: Your deployments might have busy virtual machines with many logins each day and other virtual machines that have few, if any, logins. Azure Security Center は、これらの仮想マシンにおける基準となるログイン アクティビティを決定したり、機械学習で通常のログイン アクティビティの範囲を定義することができます。Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. ログインに関連する特性で基準との不一致がある場合は、アラートが生成される場合があります。If there is any discrepancy with the baseline defined for login related characteristics, an alert might be generated. 前述のように、何をもって有意とするかは、機械学習によって突き止められます。Again, machine learning determines what is significant.

脅威インテリジェンスの継続的監視Continuous threat intelligence monitoring

Azure Security Center は、世界中のセキュリティ リサーチ チームやデータ サイエンス チームと連携して脅威に関する状況の変化を絶えず監視しています。Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. たとえば次のような取り組みが行われています。This includes the following initiatives:

  • 脅威インテリジェンスの監視: 脅威インテリジェンスには、既存の脅威や新たに発生した脅威に関するメカニズム、インジケーター、示唆、即時に利用可能なアドバイスが含まれます。Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. こうした情報はセキュリティ コミュニティから得られるほか、Microsoft も、社内や社外のソースから提供される脅威インテリジェンスを絶えず監視しています。This information is shared in the security community, and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • シグナルの共有: クラウドとオンプレミスのサービス、サーバー、クライアント エンドポイント デバイスに及ぶ幅広い Microsoft のポートフォリオからセキュリティ チームが得た分析情報が共有され、分析されます。Signal sharing: Insights from security teams across the broad Microsoft portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Microsoft のセキュリティ スペシャリスト: フォレンジクスや Web 攻撃検出など、専門のセキュリティ分野に従事する Microsoft 内のさまざまなチームと絶えず連携します。Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, such as forensics and web attack detection.

  • 検出のチューニング: 実際のユーザーのデータセットに対してアルゴリズムが実行され、セキュリティ研究員がユーザーと連携してその結果を検証します。Detection tuning: Algorithms are run against real customer data sets, and security researchers work with customers to validate the results. 機械学習アルゴリズムの精度を高めるために、真陽性と偽陽性が使用されます。True and false positives are used to refine machine learning algorithms.

こうしたさまざまな取り組みの結果、新しく改善された検出が可能となり、その恩恵はすぐに得ることができるようになりました。These combined efforts culminate in new and improved detections, which you can benefit from instantly. ユーザーが措置を講じる必要はありません。There’s no action for you to take.

高度な脅威検出機能: その他の Azure サービスAdvanced threat detection features: Other Azure services

仮想マシン: Microsoft マルウェア対策Virtual machines: Microsoft antimalware

Azure の Microsoft マルウェア対策は、アプリケーションやテナント環境のための単一エージェント ソリューションであり、ユーザーの介入なしにバック グラウンドで実行するように設計されています。Microsoft antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure のマルウェア対策は、Azure Virtual Machines のセキュリティ オプションであり、すべての Azure PaaS 仮想マシンに自動的にインストールされます。Azure antimalware is a security option for Azure virtual machines that's automatically installed on all Azure PaaS virtual machines.

Microsoft マルウェア対策の主な機能Microsoft antimalware core features

Microsoft マルウェア対策をアプリケーション用にデプロイして有効にする Azure の機能を次に示します。Here are the features of Azure that deploy and enable Microsoft antimalware for your applications:

  • リアルタイム保護: クラウド サービスおよび仮想マシンでのアクティビティを監視し、マルウェアの実行を検出してブロックします。Real-time protection: Monitors activity in cloud services and on virtual machines to detect and block malware execution.

  • スケジュールに基づくスキャン: 特定対象のスキャンを定期的に実行し、マルウェアや活動量の多いプログラムを検出します。Scheduled scanning: Periodically performs targeted scanning to detect malware, including actively running programs.

  • マルウェアの駆除: 悪意のあるファイルの削除や検疫、悪意のあるレジストリ エントリのクリーンアップなど、検出されたマルウェアに自動的に対処します。Malware remediation: Automatically acts on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • シグネチャの更新: 最新の保護シグネチャ (ウイルスの定義) を自動的にインストールし、事前に定義された頻度で保護を確実に最新の状態に更新します。Signature updates: Automatically installs the latest protection signatures (virus definitions) to ensure that protection is up to date on a pre-determined frequency.

  • マルウェア対策エンジンの更新: Microsoft マルウェア対策エンジンを自動的に更新します。Antimalware Engine updates: Automatically updates the Microsoft Antimalware Engine.

  • マルウェア対策プラットフォームの更新: Microsoft マルウェア対策プラットフォームを自動的に更新します。Antimalware platform updates: Automatically updates the Microsoft antimalware platform.

  • アクティブ保護: 検出された脅威および疑わしいリソースに関するテレメトリ メタデータを Microsoft Azure に報告して発生中の脅威に迅速に対応し、Microsoft Active Protection System を使用して同期されたシグネチャをリアルタイムで配信できるようにします。Active protection: Reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, enabling real-time synchronous signature delivery through the Microsoft active protection system.

  • サンプルのレポート: Microsoft マルウェア対策サービスにサンプルを提供および報告し、サービスの調整およびトラブルシューティングを可能にします。Samples reporting: Provides and reports samples to the Microsoft antimalware service to help refine the service and enable troubleshooting.

  • 除外: パフォーマンスやその他の理由で、アプリケーションおよびサービスの管理者が特定のファイル、プロセス、ドライブを保護から除外できるようにします。Exclusions: Allows application and service administrators to configure certain files, processes, and drives for exclusion from protection and scanning for performance and other reasons.

  • マルウェア対策イベントの収集: マルウェア対策サービスの状態、疑わしいアクティビティ、実行された修復アクションをオペレーティング システムのイベント ログに記録し、顧客の Azure ストレージ アカウントにそれらを収集します。Antimalware event collection: Records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure storage account.

Azure SQL Database の脅威の検出Azure SQL Database Threat Detection

Azure SQL データベースの脅威の検出は、Azure SQL Database サービスに組み込まれている、新しいセキュリティ インテリジェンス機能です。Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Azure SQL Database の脅威の検出は、データベースの異常なアクティビティについて学習、プロファイル、検出を一日中行いながら、データベースへの潜在的な脅威を識別します。Working around the clock to learn, profile, and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

セキュリティ責任者や他の指定された管理者は、不審なデータベースのアクティビティが発生すると、直ちに通知を受け取ることができます。Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. それぞれの通知では、不審なアクティビティの詳細情報と、脅威に対して推奨されるさらなる調査方法や軽減策が記載されています。Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

現時点では、Azure SQL Database の脅威の検出では、潜在的な脆弱性および SQL インジェクション攻撃、および異常なデータベース アクセスのパターンを検出します。Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

脅威の検出を通知する電子メールを受信したとき、ユーザーはメール内のディープ リンクを介して関連する監査レコードに移動してそれを表示することができます。Upon receiving a threat-detection email notification, users are able to navigate and view the relevant audit records through a deep link in the mail. このリンクをクリックすると、監査ビューアーまたは事前に構成された Excel 監査テンプレートが開きます。これらは、以下の要素に従って、疑わしいイベントが発生した時刻前後の関連する監査レコードを表示します。The link opens an audit viewer or a preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event, according to the following:

  • 異常なデータベース アクティビティを伴うデータベース/サーバーの監査ストレージ。Audit storage for the database/server with the anomalous database activities.

  • 監査ログの書き込みイベントの時刻に使用された、関連の監査ストレージ テーブル。Relevant audit storage table that was used at the time of the event to write the audit log.

  • イベントの発生直後の時間の監査レコード。Audit records of the hour immediately following the event occurrence.

  • イベントの発生時における、同様のイベント ID の監査レコード (一部の検出では省略可能)。Audit records with a similar event ID at the time of the event (optional for some detectors).

SQL Database の脅威検出機能では、次の検出手法のいずれかが使用されます。SQL Database threat detectors use one of the following detection methodologies:

  • 確定的な検出: 既知の攻撃に一致する不審なパターン (ルール ベース) を SQL クライアントのクエリで検出します。Deterministic detection: Detects suspicious patterns (rules based) in the SQL client queries that match known attacks. この手法で検出される確率は高く、誤判定率は低くなります。ただし、”アトミック検出” のカテゴリに含まれるため範囲は制限されています。This methodology has high detection and low false positive, but limited coverage because it falls within the category of “atomic detections.”

  • 動作検出: 過去 30 日間に見られなかった、データベースの異常な動作を示す、異常なアクティビティを検出します。Behavioral detection: Detects anomalous activity, which is abnormal behavior in the database that was not seen during the most recent 30 days. SQL クライアントの異常なアクティビティの例には、失敗したログインまたはクエリ、大量のデータ抽出、通常でない Canonical クエリ、またはデータベースへのアクセスに使用された特殊な IP アドレスの急増があります。Examples of SQL client anomalous activity can be a spike of failed logins or queries, a high volume of data being extracted, unusual canonical queries, or unfamiliar IP addresses used to access the database.

Application Gateway の Web アプリケーション ファイアウォールApplication Gateway Web Application Firewall

Web アプリケーション ファイアウォール (WAF) は、Azure Application Gateway の機能で、標準のアプリケーション配信コントロール機能に対してアプリケーション ゲートウェイを使用して、Web アプリケーションを保護します。Web Application Firewall (WAF) is a feature of Azure Application Gateway that provides protection to web applications that use an application gateway for standard application delivery control functions. Web アプリケーション ファイアウォールは、Open Web Application Security Project (OWASP) の上位 10 件の一般的 Web 脆弱性の大部分に対する保護を提供することで、これを実現します。Web Application Firewall does this by protecting them against most of the Open Web Application Security Project (OWASP) top 10 common web vulnerabilities.

Application Gateway の Web アプリケーション ファイアウォールの図

保護には次のものがあります。Protections include:

  • SQL インジェクションからの保護。SQL injection protection.

  • クロス サイト スクリプティングからの保護。Cross site scripting protection.

  • 一般的な Web 攻撃からの保護 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルード攻撃など)。Common Web Attacks Protection, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack.

  • HTTP プロトコル違反に対する保護。Protection against HTTP protocol violations.

  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)。Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.

  • ボット、クローラー、スキャナーの防止。Prevention against bots, crawlers, and scanners.

  • 一般的なアプリケーション構成ミスの検出 (Apache、IIS など)。Detection of common application misconfigurations (that is, Apache, IIS, and so on).

アプリケーション ゲートウェイに WAF を構成することには、次のようなメリットがあります。Configuring WAF at your application gateway provides the following benefits:

  • バックエンド コードを変更しなくても、Web アプリケーションを Web の脆弱性および攻撃から保護できます。Protects your web application from web vulnerabilities and attacks without modification of the back-end code.

  • アプリケーション ゲートウェイの内側にある複数の Web アプリケーションを同時に保護できます。Protects multiple web applications at the same time behind an application gateway. アプリケーション ゲートウェイでは、最大 20 の Web サイトをホスティングします。An application gateway supports hosting up to 20 websites.

  • アプリケーション ゲートウェイの WAF ログで生成されたリアルタイムのレポートを使用して、Web アプリケーションに対する攻撃を監視できます。Monitors web applications against attacks by using real-time reports that are generated by application gateway WAF logs.

  • コンプライアンス要件を満たすのに役立ちます。Helps meet compliance requirements. 特定のコンプライアンス制御では、インターネットに接続するすべてのエンド ポイントを WAF ソリューションで保護する必要があります。Certain compliance controls require all internet-facing endpoints to be protected by a WAF solution.

異常検出 API: Azure Machine Learning を使用して構築されるAnomaly Detection API: Built with Azure Machine Learning

異常検出 API は、時系列データ内のさまざまな異常パターンを検出するために役立つ API です。The Anomaly Detection API is an API that's useful for detecting a variety of anomalous patterns in your time series data. API は、時系列の各データ ポイントに異常なスコアを割り当てます。これを使用してアラート生成、ダッシュボード内の監視、チケット発行システムとの接続ができます。The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards, or connecting with your ticketing systems.

異常検出 API が検出できる時系列の異常のタイプには次のものがあります。The Anomaly Detection API can detect the following types of anomalies on time series data:

  • 急増と急減: サービスへのログインの失敗数や電子商取引サイトのチェックアウトの数を監視している場合は、急増や急減はセキュリティ攻撃やサービス障害を示している可能性があります。Spikes and dips: When you're monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • 正と負の傾向: コンピューティングでのメモリの使用量を監視する場合、空きメモリのサイズの圧縮はメモリ リークの可能性を示しています。Positive and negative trends: When you're monitoring memory usage in computing, shrinking free memory size indicates a potential memory leak. サービス キューの長さの監視では、永続的な上昇傾向は、基のソフトウェアに問題が発生している可能性があることを示しています。For service queue length monitoring, a persistent upward trend might indicate an underlying software issue.

  • レベルの変化と動的範囲値の変化: サービスのアップグレード後にサービス遅延のレベルが変化した場合や、アップグレード後の例外のレベルが低下した場合は、監視する価値があります。Level changes and changes in dynamic range of values: Level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

API に基づいた機械学習では、次のことができます。The machine learning-based API enables:

  • 柔軟かつ堅牢な検出: 異常検出モデルを使用することで、機密度設定の構成や、季節依存または季節に依存しない異常を検出できます。Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. ユーザーは、自身のニーズに合わせて、検出 API の感度を強化または低下させることで異常検出モデルを調整することができます。Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. つまり、季節のパターンの有無によって、検出によるデータの異常性が見えやすくなったり見えにくくなります。This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • スケーラブルかつタイムリーな検出: 専門家のドメイン知識で設定されるしきい値表示で監視する従来の方法はコストがかかるうえ、動的に変化する数百万件のデータ セットに対応するための拡張性がありません。Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. この API を使用する異常検出モデルには学習機能があり、過去とリアルタイムの両方のデータから自動的にモデルを調整します。The anomaly detection models in this API are learned, and models are tuned automatically from both historical and real-time data.

  • プロアクティブでアクションにつながる検出: 動きの遅い傾向とレベルの変更の検出は、初期の異常検出に適用できます。Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. 早期に異常な信号を検出することで、人による調査を指示し、問題の発生領域でアクションを起こすことができます。The early abnormal signals that are detected can be used to direct humans to investigate and act on the problem areas. さらに、問題の原因を分析して、この異常検出 API サービスに追加するアラート用のツールを開発することができます。In addition, root cause analysis models and alerting tools can be developed on top of this anomaly-detection API service.

異常検出 API は、サービスの使用状況や KPI の監視、IoT、パフォーマンスの監視、ネットワーク トラフィックの監視といったさまざまなシナリオで効果的かつ効率的なソリューションです。The anomaly-detection API is an effective and efficient solution for a wide range of scenarios, such as service health and KPI monitoring, IoT, performance monitoring, and network traffic monitoring. 次に、この API が役に立ついくつかの一般的なシナリオを示します。Here are some popular scenarios where this API can be useful:

  • IT 部門には、イベントの追跡、エラー コード、使用状況のログ、パフォーマンス (CPU、メモリ) を適切なタイミングで追跡するツールが必要です。IT departments need tools to track events, error code, usage log, and performance (CPU, memory, and so on) in a timely manner.

  • オンラインの商用サイトは、顧客活動、ページ ビュー、クリック数などの情報を追跡する必要があります。Online commerce sites want to track customer activities, page views, clicks, and so on.

  • 公益事業の関連企業は、水道、ガス、電力、その他のリソースの消費量を追跡する必要があります。Utility companies want to track consumption of water, gas, electricity, and other resources.

  • 設備や建築物の管理サービス企業は、温度、湿度、トラフィックなどを監視する必要があります。Facility or building management services want to monitor temperature, moisture, traffic, and so on.

  • IoT/製造業者は、ワークフローや品質などを時系列で監視するためのセンサー データを使用する必要があります。IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • コール センターなどのサービス プロバイダーは、サービス要求の傾向、インシデントのボリューム、待機キューの長さなどを監視する必要があります。Service providers, such as call centers, need to monitor service demand trend, incident volume, wait queue length, and so on.

  • ビジネス分析グループは、事業 KPI (売上高、顧客センチメント、価格設定など)、異常な動作をリアルタイムで監視する必要があります。Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, or pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security は、Microsoft Cloud のセキュリティ スタックの重要なコンポーネントです。Cloud App Security is a critical component of the Microsoft Cloud Security stack. これは、企業がクラウド アプリケーションの可能性を最大限に活用できるように行動するのに役立つ包括的なソリューションです。It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications. アクティビティのさらなる詳細を把握することで制御は維持されます。It keeps you in control, through improved visibility into activity. また、重要なデータの保護をクラウド アプリケーション全体で強化するうえでも役立ちます。It also helps increase the protection of critical data across cloud applications.

企業は、shadow IT の発見、リスクの評価、ポリシーの適用、アクティビティの調査、および驚異の停止に役立つツールを使用して、重要なデータの制御を維持しながらもより安全にクラウドに移行できるようにします。With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

発見Discover Cloud App Security を使用して shodow IT を発見します。Uncover shadow IT with Cloud App Security. クラウド環境でアプリ、アクティビティ、ユーザー、データ、およびファイルを発見して可視性を獲得します。Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. クラウドに接続しているサード パーティのアプリを検出します。Discover third-party apps that are connected to your cloud.
調査Investigate クラウド フォレンジック ツールを使用してクラウド アプリケーションを調査します。具体的には、ネットワーク内の高リスク アプリケーション、特定のユーザー、およびファイルに関する詳しい調査を行います。Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. クラウドから収集されたデータのパターンを検索します。Find patterns in the data collected from your cloud. クラウドを監視するレポートを生成します。Generate reports to monitor your cloud.
コントロールControl ネットワーク クラウドのトラフィック全体を最大限に制御するためのポリシーとアラートを設定してリスクを軽減します。Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Cloud App Security を使用して、安全で承認された代替クラウド アプリにユーザーが移行できるようにします。Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
保護Protect Cloud App Security を使用して、アプリケーションの承認と禁止、データ損失の防止、アクセスと共有の制御、およびカスタム レポートやアラートの生成を行います。Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
コントロールControl ネットワーク クラウドのトラフィック全体を最大限に制御するためのポリシーとアラートを設定してリスクを軽減します。Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Cloud App Security を使用して、安全で承認された代替クラウド アプリにユーザーが移行できるようにします。Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Cloud App Security の図

Cloud App Security は、次の作業によってクラウドの詳細を把握します。Cloud App Security integrates visibility with your cloud by:

  • Cloud Discovery を使用して、組織が使用しているクラウド環境とクラウド アプリをマップおよび識別します。Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • クラウドでのアプリの使用を承認および禁止します。Sanctioning and prohibiting apps in your cloud.

  • デプロイが容易で、プロバイダー API を活用するアプリ コネクタを使用して、接続しているアプリの詳細を把握し、管理します。Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • ポリシーを設定して、その後の微調整を行うことで、継続的に制御できるようにします。Helping you have continuous control by setting, and then continually fine-tuning, policies.

Cloud App Security は、これらのソースからデータを収集することでデータに対する高度な分析を実行します。On collecting data from these sources, Cloud App Security runs sophisticated analysis on it. Cloud App Security は、異常なアクティビティに迅速に通知し、クラウド環境をさらに詳しく把握できるようにします。It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Cloud App Security にポリシーを構成することができ、これを使用して、クラウド環境内のすべてを保護することができます。You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Azure Marketplace を介したサード パーティ製の高度な脅威検出機能Third-party Advanced Threat Detection capabilities through the Azure Marketplace

Web アプリケーション ファイアウォールWeb Application Firewall

Web アプリケーション ファイアウォールは、着信する Web トラフィックを検査して、SQL インジェクション、クロスサイト スクリプティング、マルウェアのアップロード、アプリケーション DDoS 攻撃など、Web アプリケーションを対象とした攻撃をブロックします。Web Application Firewall inspects inbound web traffic and blocks SQL injections, cross-site scripting, malware uploads, application DDoS attacks, and other attacks targeted at your web applications. さらに、データ損失防止 (DLP) のためにバックエンド Web サーバーからの応答を検査します。It also inspects the responses from the back-end web servers for data loss prevention (DLP). 管理者は、統合アクセス制御エンジンを使用して認証、承認、アカウンティング (AAA) に対応するきめ細かなアクセス制御ポリシーを作成することができ、これによって企業は強力な認証とユーザー制御の機能を得ることができます。The integrated access control engine enables administrators to create granular access control policies for authentication, authorization, and accounting (AAA), which gives organizations strong authentication and user control.

Web アプリケーション ファイアウォールには、次のような利点があります。Web Application Firewall provides the following benefits:

  • アプリケーションに対する SQL インジェクション、クロスサイト スクリプティング、マルウェアのアップロード、アプリケーション DDoS、その他の攻撃を検出してブロックします。Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • 認証およびアクセス制御。Authentication and access control.

  • 発信トラフィックをスキャンして機密データを検出し、情報漏洩を防ぐためにマスクやブロックを行います。Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Web アプリケーションのコンテンツ配信を、キャッシュ、圧縮、その他のトラフィックの最適化機能などを使用して高速化します。Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Azure Marketplace で使用可能な Web アプリケーション ファイアウォールの例については、Barracuda WAF、Brocade 仮想 Web アプリケーション ファイアウォール (vWAF)、Imperva SecureSphere、ThreatSTOP IP ファイアウォールに関するページを参照してください。For examples of web application firewalls that are available in the Azure Marketplace, see Barracuda WAF, Brocade virtual web application firewall (vWAF), Imperva SecureSphere, and the ThreatSTOP IP firewall.

次の手順Next steps