Azure の高度な脅威の検出Azure Advanced Threat Detection

はじめにIntroduction

概要Overview

マイクロソフトでは、Azure ユーザーを支援するために一連のホワイト ペーパー、セキュリティの概要、ベスト プラクティス、およびチェックリストを開発して Azure プラットフォームやその周辺の環境でさまざまなセキュリティ関連の機能を使用できるようにしています。Microsoft has developed a series of White Papers, Security Overviews, Best Practices, and Checklists to assist Azure customers about the various security-related capabilities available in and surrounding the Azure Platform. このトピックの内容は広範囲かつ詳細であることから定期的に更新されています。The topics range in terms of breadth and depth and are updated periodically. このドキュメントは、次の要約のセクションで概要を示した一連の内容の一部です。This document is part of that series as summarized in the following abstract section.

Azure プラットフォームAzure Platform

Azure は、オペレーティング システム、プログラミング言語、フレームワーク、ツール、データベース、デバイスにおいて幅広い選択肢をサポートするパブリック クラウド サービス プラットフォームです。Azure is a public cloud service platform that supports the broadest selection of operating systems, programming languages, frameworks, tools, databases, and devices. 次のプログラミング言語がサポートされています。It supports the following programming languages:

  • Docker と統合した Linux コンテナーの実行。Run Linux containers with Docker integration.
  • JavaScript、Python、.NET、PHP、Java、および Node.js を使用したアプリの構築。Build apps with JavaScript, Python, .NET, PHP, Java, and Node.js
  • iOS、Android、および Windows デバイス用バックエンドの構築。Build back-ends for iOS, Android, and Windows devices.

Azure パブリック クラウド サービスでは、何百万人もの開発者や IT プロフェッショナルから現在信頼が寄せられているのと同じテクノロジがサポートされています。Azure public cloud services support the same technologies millions of developers and IT professionals already rely on and trust.

ユーザーが組織と共にパブリック クラウドに移行する場合、その組織はユーザーのデータを保護し、システム周囲にセキュリティやガバナンスを提供する責任があります。When you are migrating to a public cloud with an organization, that organization is responsible to protect your data and provide security and governance around the system.

Azure のインフラストラクチャでは、数百万の顧客を同時にホストできるように施設からアプリケーションまでが設計されており、ビジネスのセキュリティ ニーズを満たす信頼性の高い基盤となっています。Azure’s infrastructure is designed from the facility to applications for hosting millions of customers simultaneously, and it provides a trustworthy foundation upon which businesses can meet their security needs. Azure では、アプリのデプロイ要件を満たすセキュリティを構成およびカスタマイズするための幅広いオプションを提供します。Azure provides a wide array of options to configure and customize security to meet the requirements of your app deployments. このドキュメントはこれらの要件を満たすうえで役立ちます。This document helps you meet these requirements.

要約Abstract

Microsoft Azure では、Azure Active Directory、Azure Operations Management Suite (OMS) および Azure Security Center などのサービスを通じて、高度な脅威検出を行う組み込み機能を提供しています。Microsoft Azure offers built in advanced threat detection functionality through services like Azure Active Directory, Azure Operations Management Suite (OMS), and Azure Security Center. このセキュリティ サービスと機能のコレクションにより、Azure デプロイの内部で起きている事象をシンプルかつ迅速に把握する方法が提供されます。This collection of security services and capabilities provides a simple and fast way to understand what is happening within your Azure deployments.

このホワイト ペーパーは、脅威の脆弱性診断に対する “Microsoft Azure の手法” について説明し、サーバーや他の Azure リソースをターゲットとした悪意あるアクティビティに関するリスクを分析します。This white paper will guide you the “Microsoft Azure approaches” towards threat vulnerability diagnostic and analysing the risk associated with the malicious activities targeted against servers and other Azure resources. Azure プラットフォームと顧客向けセキュリティ サービスとテクノロジで最適化されたソリューションと共にこれを使用することにより、脅威を特定して脆弱性を管理する方法を見つけることができます。This helps you to identify the methods of identification and vulnerability management with optimized solutions by the Azure platform and customer-facing security services and technologies.

このホワイト ペーパーでは、Azure プラットフォームと顧客向けのコントロールのテクノロジに重点を置いています。SLA、価格モデル、および DevOps プラクティスに関する考慮事項には言及しません。This white paper focuses on the technology of Azure platform and customer-facing controls, and does not attempt to address SLAs, pricing models, and DevOps practice considerations.

Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure Active Directory Identity Protection

Azure Active Directory Identity Protection は、Azure AD Premium P2 エディションの機能で、リスク イベントと組織の ID に影響する潜在的な脆弱性に関する概要を提供します。Azure Active Directory Identity Protection is a feature of the Azure AD Premium P2 edition that provides you an overview of the risk events and potential vulnerabilities affecting your organization’s identities. Microsoft は 10 年以上にわたってクラウド ベースの ID を保護してきました。Azure AD Identity Protection は、同じ保護システムを企業のお客様が利用できるようにするものです。Microsoft has been securing cloud-based identities for over a decade, and with Azure AD Identity Protection, Microsoft is making these same protection systems available to enterprise customers. Identity Protection は、Azure AD の異常アクティビティ レポートを通じて利用できる、既存の Azure AD の異常検出機能を使用して、リアルタイムの異常を検出できる新しいリスク イベントの種類を紹介します。Identity Protection uses existing Azure AD’s anomaly detection capabilities available through Azure AD’s Anomalous Activity Reports, and introduces new risk event types that can detect real time anomalies.

Identity Protection はアダプティブ Machine Learning アルゴリズムとヒューリスティックを使用して、ID が侵害されていることを示している可能性のある異常とリスク イベントを検出します。Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. このデータを使用して、Identity Protection はレポートとアラートを生成し、ユーザーがこれらのリスク イベントを調査して、適切な修復または軽減のアクションを実行できるようにします。Using this data, Identity Protection generates reports and alerts that enable you to investigate these risk events and take appropriate remediation or mitigation action.

ただし、Azure Active Directory Identity Protection は単なる監視とレポート作成のツールではありません。But Azure Active Directory Identity Protection is more than a monitoring and reporting tool. リスク イベントを基にして、Identity Protection は各ユーザーのユーザー リスク レベルを計算し、ユーザーがリスク ベースのポリシーを構成して組織の ID を自動的に保護するできるようにします。Based on risk events, Identity Protection calculates a user risk level for each user, enabling you to configure risk-based policies to automatically protect the identities of your organization.

これらのリスクに基づくポリシーと、Azure Active Directory および EMS によって提供される他の条件付きアクセス コントロールにより、パスワードのリセットや多要素認証の適用などのアダプティブ修復アクションを自動的にブロックまたは提供できます。These risk-based policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can automatically block or offer adaptive remediation actions that include password resets and multi-factor authentication enforcement.

Identity Protection の機能Identity Protection's capabilities

Azure Active Directory Identity Protection は単なる監視とレポート作成のツールではありません。Azure Active Directory Identity Protection is more than a monitoring and reporting tool. 指定したリスク レベルに達したときに、検出された問題が自動的に対処されるようにリスク ベースのポリシーを構成することで、組織の ID を保護できます。To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. こうしたポリシーと、Azure Active Directory および EMS によって提供される他の条件付きアクセス コントロールにより、パスワードのリセットや多要素認証の適用などのアダプティブ修復アクションを自動的にブロックまたは開始できます。These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Azure の Identity Protection によってユーザーのアカウントや ID を保護できる方法の例には次のようなものがあります。Examples of some of the ways that Azure Identity Protection can help secure your accounts and identities include:

リスク イベントとリスクの高いアカウントの検出:Detecting risk events and risky accounts:

  • Machine Learning とヒューリスティック ルールを使用した 6 つのリスク イベントの種類の検出Detecting six risk event types using machine learning and heuristic rules
  • ユーザーのリスク レベルを計算しますCalculating user risk levels
  • 脆弱性を目立たせることにより全体的なセキュリティ対策を向上させるためのカスタム推奨事項を提供しますProviding custom recommendations to improve overall security posture by highlighting vulnerabilities

リスク イベントの調査:Investigating risk events:

  • リスク イベントの通知を送信しますSending notifications for risk events
  • 関連情報とコンテキスト情報を使用してリスク イベントを調査しますInvestigating risk events using relevant and contextual information
  • 調査を追跡するための基本的なワークフローを提供しますProviding basic workflows to track investigations
  • パスワード リセットなどの修復アクションへの簡単なアクセスを提供しますProviding easy access to remediation actions such as password reset

リスクに基づく条件付きアクセス ポリシー:Risk-based conditional access policies:

  • サインインのブロックまたは多要素認証チャレンジの要求によりリスクの高いサインインを軽減するポリシーPolicy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges.
  • リスクの高いユーザー アカウントをブロックまたはセキュリティ保護するためのポリシーPolicy to block or secure risky user accounts
  • 多要素認証用に登録するようユーザーに要求するポリシーPolicy to require users to register for multi-factor authentication

Azure AD Privileged Identity Management (PIM)Azure AD Privileged Identity Management (PIM)

Azure Active Directory (AD) Privileged Identity Management を使用すると、With Azure Active Directory (AD) Privileged Identity Management,

Azure AD Privileged Identity Management

組織内でのアクセスを管理、制御、および監視できます。you can manage, control, and monitor access within your organization. その対象には、Azure AD をはじめとする Microsoft の各種オンライン サービス (Office 365、Microsoft Intune など) 内のリソースへのアクセスが含まれます。This includes access to resources in Azure AD and other Microsoft online services like Office 365 or Microsoft Intune.

Azure AD Privileged Identity Management では、次のことが可能です。Azure AD Privileged Identity Management helps you:

  • Azure AD 管理者のアラートとレポートを受け取り、Office 365 や Intune などの Microsoft Online Services に "ジャスト イン タイム" で管理アクセスを行うGet an alert and report on Azure AD administrators and "just in time" administrative access to Microsoft Online Services like Office 365 and Intune

  • 管理者のアクセス履歴と管理者の割り当ての変更に関するレポートを取得するGet reports about administrator access history and changes in administrator assignments

  • 特権ロールへのアクセスに関するアラートを受け取るGet alerts about access to a privileged role

Microsoft Operations Management Suite (OMS)Microsoft Operations Management Suite (OMS)

Microsoft Operations Management Suite は、Microsoft のクラウドベースの IT 管理ソリューションです。OMS を使用して、オンプレミスとクラウドのインフラストラクチャを管理し、保護することができます。Microsoft Operations Management Suite is Microsoft's cloud-based IT management solution that helps you manage and protect your on-premises and cloud infrastructure. OMS はクラウドベースのサービスとして実装されるため、インフラストラクチャ サービスに最小限の投資をするだけで、すぐに稼働させることができます。Since OMS is implemented as a cloud-based service, you can have it up and running quickly with minimal investment in infrastructure services. 新しいセキュリティ機能が追加されると自動的に配信されるため、継続的なメンテナンスやアップグレードのコストが節約されます。New security features are delivered automatically, saving your ongoing maintenance and upgrade costs.

OMS は、価値のある独自のサービスに加え、System Center Operations Manager などの System Center のコンポーネントと統合して、管理のための既存のセキュリティ投資をクラウドに拡張できます。In addition to providing valuable services on its own, OMS can integrate with System Center components such as System Center Operations Manager to extend your existing security management investments into the cloud. System Center と OMS を連携させることで、本格的なハイブリッド管理を実現できます。System Center and OMS can work together to provide a full hybrid management experience.

包括的なセキュリティおよびコンプライアンスの体制Holistic Security and Compliance Posture

OMS の [セキュリティおよび監査] ダッシュボードでは、注意を必要とする重要な問題向けの組み込みの検索クエリと共に、組織の IT セキュリティ対策への包括的な視点が提供されます。The OMS Security and Audit dashboard provides a comprehensive view into your organization’s IT security posture with built-in search queries for notable issues that require your attention. [セキュリティおよび監査] ダッシュボードは、OMS におけるすべてのセキュリティ関連機能のホーム画面です。The Security and Audit dashboard is the home screen for everything related to security in OMS. この画面では、コンピューターのセキュリティの状態について大まかな情報を得ることができます。It provides high-level insight into the security state of your computers. また、過去の 24 時間、7 日間、またはそれ以外のカスタム期間に発生したすべてのイベントを表示する機能も含まれています。It also includes the ability to view all events from the past 24 hours, 7 days, or any other custom time frame.

OMS のダッシュボードは、あらゆる環境における包括的なセキュリティ体制をすばやく簡単に理解するのに役立ちます。この環境には、IT オペレーションというコンテキストでのソフトウェアの更新の評価、マルウェア対策の評価、構成基準などがすべて含まれます。OMS dashboards help you quickly and easily understand the overall security posture of any environment, all within the context of IT Operations, including: software update assessment, antimalware assessment, and configuration baselines. さらに、セキュリティ ログ データに容易にアクセスできるため、セキュリティとコンプライアンスを目的とする監査プロセスが合理化されます。Furthermore, security log data is readily accessible to streamline the security and compliance audit processes.

OMS のセキュリティと監査ダッシュボードは、次の 4 つの主要カテゴリで構成されています。The OMS Security and Audit dashboard is organized in four major categories:

OMS Security and Audit dashboard

  • [セキュリティ ドメイン]: この領域では、時間の経過に伴うセキュリティ レコードを詳しく調査したり、マルウェアの評価、更新プログラムの評価、ネットワーク セキュリティ、ID とアクセスの情報、セキュリティ イベントが発生したコンピューターにアクセスしたりできます。また、Azure Security Center のダッシュボードにも簡単にアクセスできます。Security Domains: in this area, you will be able to further explore security records over time, access malware assessment, update assessment, network security, identity and access information, computers with security events and quickly have access to Azure Security Center dashboard.

  • [注目に値する問題]: このオプションでは、アクティブな問題の数と重要度をすばやく特定することができます。Notable Issues: this option allows you to quickly identify the number of active issues and the severity of these issues.

  • [検出 (プレビュー)]: ここでは、リソースに対して攻撃が発生したときにセキュリティの警告を視覚化することで、攻撃パターンを特定できます。Detections (Preview): enables you to identify attack patterns by visualizing security alerts as they take place against your resources.

  • [脅威インテリジェンス]: 悪意のある送信側 IP トラフィックを持つサーバーの総数、悪意のある脅威の種類、このような IP の発信元を示すマップを視覚化することで、攻撃パターンを特定することができます。Threat Intelligence: enables you to identify attack patterns by visualizing the total number of servers with outbound malicious IP traffic, the malicious threat type, and a map that shows where these IPs are coming from.

  • [一般的なセキュリティ クエリ]: このオプションでは、環境を監視するために使用できる最も一般的なセキュリティ クエリの一覧が示されます。Common security queries: this option provides you a list of the most common security queries that you can use to monitor your environment. これらのクエリの 1 つをクリックすると、[検索] ブレードが開き、そのクエリの結果が表示されます。When you click in one of those queries, it opens the Search blade with the results for that query.

洞察と分析Insight and Analytics

Log Analytics の核となる機能は、Azure クラウドでホストされている OMS リポジトリです。At the center of Log Analytics is the OMS repository, which is hosted in the Azure cloud.

洞察と分析

データは、データ ソースを構成してソリューションをサブスクリプションに追加することによって接続されているソースからリポジトリに収集されます。Data is collected into the repository from connected sources by configuring data sources and adding solutions to your subscription.

サブスクリプション

データ ソースとソリューションは、独自のプロパティのセットを持つさまざまなレコードの種類をそれぞれ作成しますが、リポジトリへのクエリでまとめて分析することもできます。Data sources and solutions will each create different record types that have their own set of properties but may still be analyzed together in queries to the repository. これにより、同じツールと方法を使用して、異なるソースによって収集されたさまざまな種類のデータを操作できます。This allows you to use the same tools and methods to work with different kinds of data collected by different sources.

Log Analytics とのやり取りのほとんどは、任意のブラウザーで実行する OMS ポータルを通じて行います。ここから構成設定や複数のツールにアクセスして収集したデータの分析や操作ができる機能が提供されます。Most of your interaction with Log Analytics is through the OMS portal, which runs in any browser and provides you with access to configuration settings and multiple tools to analyze and act on collected data. このポータルから、ログ検索を使用して、クエリを作成して収集したデータを分析することができます。また、ダッシュボードからは、最も重要な検索のグラフィック表示をカスタマイズすることができます。さらに、ソリューションからその他の機能や分析ツールが提供されます。From the portal, you can use log searches where you construct queries to analyze collected data, dashboards, which you can customize with graphical views of your most valuable searches, and solutions, which provide additional functionality and analysis tools.

分析ツール

ソリューションにより、Log Analytics に機能が追加されます。Solutions add functionality to Log Analytics. これらは主にクラウドで実行し、OMS リポジトリで収集されたデータの分析を提供します。They primarily run in the cloud and provide analysis of data collected in the OMS repository. また、OMS ダッシュボードのソリューションによって提供されるログ検索または追加のユーザー インターフェイスで分析できる収集対象の新しいレコードの種類を定義することもできます。They may also define new record types to be collected that can be analyzed with Log Searches or by additional user interface provided by the solution in the OMS dashboard. [セキュリティおよび監査] はこのようなソリューションの一例です。The Security and Audit is an example of these types of solutions.

Automation と制御: セキュリティ構成の誤差に関するアラートAutomation & Control: Alert on security configuration drifts

Azure Automation は、PowerShell に基づいた Runbook を使用して管理プロセスを自動化し、Azure クラウドで実行します。Azure Automation automates administrative processes with runbooks that are based on PowerShell and run in the Azure cloud. ローカル データセンターのサーバーで Runbook を実行してローカル リソースを管理することもできます。Runbooks can also be executed on a server in your local data center to manage local resources. Azure Automation では、PowerShell DSC (Desired State Configuration) によって構成を管理します。Azure Automation provides configuration management with PowerShell DSC (Desired State Configuration).

Azure Automation

ユーザーは Azure でホストされる DSC リソースを作成または管理することができ、これをクラウドやオンプレミスのシステムに適用して定義したり、その構成を自動的に施行するか、セキュリティ構成がポリシー内に確実に留まるようにするために役立つ、誤差に関するレポートを取得することができます。You can create and manage DSC resources hosted in Azure and apply them to cloud and on-premises systems to define and automatically enforce their configuration or get reports on drift to help insure that security configurations remain within policy.

Azure Security CenterAzure Security Center

Azure Security Center によって、Azure リソースを保護します。Azure Security Center helps protect your Azure resources. Azure サブスクリプション間のセキュリティ監視とポリシー管理を総合的に提供します。It provides integrated security monitoring and policy management across your Azure subscriptions. このサービス内では、Azure サブスクリプションに対してだけでなく、リソース グループに対してもポリシーを定義できるため、より詳細な定義が可能になります。Within the service, you are able to define polices not only against your Azure subscriptions, but also against Resource Groups, so you can be more granular.

Azure Security Center

マイクロソフトのセキュリティ研究員は、絶えず脅威に目を光らせています。Microsoft security researchers are constantly on the lookout for threats. クラウドやオンプレミスにおけるマイクロソフトのグローバル プレゼンスから得た広範なテレメトリにアクセスすることが彼らには許されています。They have access to an expansive set of telemetry gained from Microsoft’s global presence in the cloud and on-premises. この広範かつ多様なデータセットのコレクションによって、マイクロソフトは、そのオンプレミスの消費者向け/企業向け製品からオンライン サービスに至るまで、攻撃の新しいパターンや傾向を把握することができます。This wide-reaching and diverse collection of datasets enables Microsoft to discover new attack patterns and trends across its on-premises consumer and enterprise products, as well as its online services.

このため、Security Center は、攻撃者が新たにより高度な攻撃を仕掛けてくるたびに検出アルゴリズムを迅速に更新することができます。Thus, Security Center can rapidly update its detection algorithms as attackers release new and increasingly sophisticated exploits. この方法は、刻々と進化する脅威の環境に後れを取らないように対処するのに役立ちます。This approach helps you keep pace with a fast-moving threat environment.

Security Center

Security Center の脅威検出は、Azure のリソースやネットワーク、接続されているパートナー ソリューションからセキュリティ情報を自動的に収集することによって機能します。Security Center threat detection works by automatically collecting security information from your Azure resources, the network, and connected partner solutions. これは、複数のソースからの情報を関連付けることで情報を分析して脅威を識別します。It analyzes this information, correlating information from multiple sources, to identify threats. Security Center では、セキュリティの警告に優先順位が、脅威に対処するための推奨事項と共に割り当てられます。Security alerts are prioritized in Security Center along with recommendations on how to remediate the threat.

Security Center には、シグネチャ ベースの手法とは比較にならない高度なセキュリティ分析が採用されています。Security Center employs advanced security analytics, which go far beyond signature-based approaches. 画期的なビッグ データと Machine Learning テクノロジを使用して、手動の方法では識別が不可能な脅威の検出と、攻撃の進化の予測によって、クラウド ファブリック全体のイベントを評価し、脅威を検出します。Breakthroughs in big data and machine learning technologies are used to evaluate events across the entire cloud fabric – detecting threats that would be impossible to identify using manual approaches and predicting the evolution of attacks. こうしたセキュリティ分析には、次のようなものがあります。These security analytics includes the following.

[脅威インテリジェンス]Threat Intelligence

Microsoft は、膨大なグローバル脅威インテリジェンスを保有しています。Microsoft has an immense amount of global threat intelligence. Azure、Office 365、Microsoft CRM online、Microsoft Dynamics AX、outlook.com、MSN.com、Microsoft Digital Crimes Unit (DCU)、および Microsoft セキュリティ レスポンス センター (MSRC) などの複数のソースから製品利用統計情報が送られてきます。Telemetry flows in from multiple sources, such as Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, the Microsoft Digital Crimes Unit (DCU), and Microsoft Security Response Center (MSRC).

[脅威インテリジェンス]

また研究員も、大手クラウド サービス プロバイダー間で共有されている脅威インテリジェンス情報を入手しているほか、サード パーティから脅威インテリジェンス フィードをサブスクライブしています。Researchers also receive threat intelligence information that is shared among major cloud service providers and subscribes to threat intelligence feeds from third parties. Azure Security Center はこの情報を基に、既知の有害因子から生じる脅威について利用者に警告を発することができます。Azure Security Center can use this information to alert you to threats from known bad actors. 次に例をいくつか示します。Some examples include:

  • Machine Learning の力を利用する - Azure Security Center は、クラウド ネットワークのアクティビティに関する大量のデータにアクセスし、このデータを使用して Azure デプロイメントを対象とする脅威を検出することができます。Harnessing the Power of Machine Learning - Azure Security Center has access to a vast amount of data about cloud network activity, which can be used to detect threats targeting your Azure deployments. 例: For example:

  • ブルート フォース検出 - Machine learning を使用してリモート アクセスが試行された履歴のパターンを作成します。これによって SSH、RDP、および SQL の各ポートに対するブルート フォース攻撃を検出できます。Brute Force Detections - Machine learning is used to create a historical pattern of remote access attempts, which allows it to detect brute force attacks against SSH, RDP, and SQL ports.

  • DDoS およびボットネット送信の検出 - クラウド リソースを対象とした攻撃の主な目的は、これらのリソースの計算機能を使用して他の攻撃を実行することです。Outbound DDoS and Botnet Detection - A common objective of attacks targeting cloud resources is to use the compute power of these resources to execute other attacks.

  • 新しい行動分析サーバーおよび VM - サーバーまたは仮想マシンが一度侵害されると、攻撃者は、検出を逃れながら繰り返しセキュリティ制御を回避しながら、そのシステムに対して悪意のあるコードを実行するためにさまざまな手法を仕掛けます。New Behavioral Analytics Servers and VMs - Once a server or virtual machine is compromised, attackers employ a wide variety of techniques to execute malicious code on that system while avoiding detection, ensuring persistence, and obviating security controls.

  • Azure SQL データベースの脅威の検出 - Azure SQL Database の脅威の検出では、データベースへのアクセスや攻撃を目的とした通常とは異なる潜在的に有害な試行であることを示す、異常なデータベースのアクティビティが識別されます。Azure SQL Database Threat Detection - Threat Detection for Azure SQL Database, which identifies anomalous database activities indicating unusual and potentially harmful attempts to access or exploit databases.

行動分析Behavioral analytics

行動分析は、データを分析し、既知のパターンのコレクションと照らして比較する手法です。Behavioral analytics is a technique that analyzes and compares data to a collection of known patterns. ただし、これらのパターンはただのシグネチャではありません。However, these patterns are not simple signatures. 大量のデータセットに適用された複雑な機械学習アルゴリズムを通じてパターンが決定されています。They are determined through complex machine learning algorithms that are applied to massive datasets.

行動分析

また、パターンの特定にあたっては、専門のアナリストによって悪質な行動が緻密に分析されます。They are also determined through careful analysis of malicious behaviors by expert analysts. Azure Security Center は、行動分析を使用して仮想マシンのログ、仮想ネットワーク デバイスのログ、ファブリック ログ、クラッシュ ダンプ、およびその他のソースを分析し、これに基づいて侵害されたリソースを識別することができます。Azure Security Center can use behavioral analytics to identify compromised resources based on analysis of virtual machine logs, virtual network device logs, fabric logs, crash dumps, and other sources.

また、他のシグナルとの間には、蔓延している攻撃の裏付けとなる兆候を確認できる相関関係が存在します。In addition, there is correlation with other signals to check for supporting evidence of a widespread campaign. この相関関係によって、セキュリティ侵害の証拠として確立されたインジケーターと一致しているイベントが特定されます。This correlation helps to identify events that are consistent with established indicators of compromise.

次に例をいくつか示します。Some examples include:

  • 不審なプロセスの実行: 攻撃者がいくつかの手法を使用して悪意のあるソフトウェアを検出されずに実行しています。Suspicious process execution: Attackers employ several techniques to execute malicious software without detection. たとえば、攻撃者は正当なシステム ファイルと同じ名前をマルウェアに付けて通常とは異なる場所に配置したり、まるで害がないように見えるファイル名を使用したり、ファイルの本来の拡張子をマスクしたりします。For example, an attacker might give malware the same names as legitimate system files but place these files in an alternate location, use a name that is very like a benign file, or mask the file’s true extension. Security Center はプロセスの動作をモデル化し、そのプロセスの実行を監視することで、こうした異常を検出します。Security Center models processes behaviors and monitors process executions to detect outliers such as these.

  • マルウェアおよび脆弱性の悪用の試行を非表示にする: 巧妙なマルウェアは、ディスクへの書き込みやディスクに格納されているソフトウェア コンポーネントの暗号化をまったくしないために、従来のマルウェア対策製品から逃れることができます。Hidden malware and exploitation attempts: Sophisticated malware can evade traditional antimalware products by either never writing to disk or encrypting software components stored on disk. しかし、マルウェアは動作するためにメモリにトレースを残すため、メモリを分析するとこのようなマルウェアを検出できます。However, such malware can be detected using memory analysis, as the malware must leave traces in memory to function. ソフトウェアがクラッシュすると、クラッシュ時のメモリが部分的にクラッシュ ダンプにキャプチャされます。When software crashes, a crash dump captures a portion of memory at the time of the crash. クラッシュ ダンプにメモリを分析することで、Azure Security Center は、ソフトウェアの脆弱性を悪用したり、機密データにアクセスしたり、侵害したマシン内部でひそかに生き残るために使用されたテクニックを、コンピューターのパフォーマンスに影響を与えずに検出することができます。By analyzing the memory in the crash dump, Azure Security Center can detect techniques used to exploit vulnerabilities in software, access confidential data, and surreptitiously persist within a compromised machine without impacting the performance of your machine.

  • 水平移動と内部偵察: 攻撃者は、侵害されたネットワークで存続またはこのようなネットワークを探して貴重なデータを奪取するために、侵害されたマシンから同一ネットワーク内の他のマシンに水平移動を試みる場合がよくあります。Lateral movement and internal reconnaissance: To persist in a compromised network and locate/harvest valuable data, attackers often attempt to move laterally from the compromised machine to others within the same network. Security Center は、攻撃者がネットワーク内部で足がかりを拡大するために試行するリモート コマンドの実行、ネットワーク プローブ、アカウントの列挙などを見つけるために、プロセスとログインのアクティビティを監視します。Security Center monitors process and login activities to discover attempts to expand an attacker’s foothold within the network, such as remote command execution, network probing, and account enumeration.

  • 悪質な PowerShell スクリプト: 攻撃者が標的となる仮想マシン上で悪質なコードを実行するために、さまざまな目的から PowerShell が使用されることがあります。Malicious PowerShell Scripts: PowerShell can be used by attackers to execute malicious code on target virtual machines for a various purposes. 疑わしい活動の兆候がないか、PowerShell のアクティビティは Security Center によって調査されます。Security Center inspects PowerShell activity for evidence of suspicious activity.

  • 送信方向の攻撃: 攻撃の踏み台として利用するために、攻撃者がクラウド リソースを標的にすることは少なくありません。Outgoing attacks: Attackers often target cloud resources with the goal of using those resources to mount additional attacks. たとえば、侵入した仮想マシンを利用して、他の仮想マシンにブルート フォース攻撃を仕掛けたり、スパムを送信したり、開放ポートやインターネット上の他のデバイスをスキャンしたりする場合があります。Compromised virtual machines, for example, might be used to launch brute force attacks against other virtual machines, send SPAM, or scan open ports and other devices on the Internet. Security Center では、ネットワーク トラフィックに機械学習を適用することで、正常な範囲を逸脱した送信ネットワーク通信を検出することができます。By applying machine learning to network traffic, Security Center can detect when outbound network communications exceed the norm. さらに、スパムで、普通ではない電子メール トラフィックと Office 365 から得られたインテリジェンスとの相関を明らかにし、不正目的のメールであるか、正当な電子メール キャンペーンによるものであるかを判断します。When SPAM, Security Center also correlates unusual email traffic with intelligence from Office 365 to determine whether the mail is likely nefarious or the result of a legitimate email campaign.

異常検出Anomaly Detection

Azure Security Center での脅威の特定には、異常検出も使用されます。Azure Security Center also uses anomaly detection to identify threats. 行動分析は、大規模なデータセットから導いた既知のパターンに依存します。これとは対照的に、異常検出は "独自色" が強く、個々の環境に固有の基準に重点が置かれます。In contrast to behavioral analytics (which depends on known patterns derived from large data sets), anomaly detection is more “personalized” and focuses on baselines that are specific to your deployments. 機械学習を適用して個々の環境の正常なアクティビティを突き止めたうえで、セキュリティ イベントの可能性を示す異常な条件とは何かを定義する規則を作成します。Machine learning is applied to determine normal activity for your deployments and then rules are generated to define outlier conditions that could represent a security event. 次に例を示します。Here’s an example:

  • 受信方向の RDP/SSH ブルート フォース攻撃: 同じ環境でも、日々多数のユーザーがログインする稼働率の高い仮想マシンもあれば、ほとんどまたはまったくログインされない仮想マシンもあります。Inbound RDP/SSH brute force attacks: Your deployments may have busy virtual machines with many logins each day and other virtual machines that have few or any logins. Azure Security Center は、これらの仮想マシンにおける基準となるログイン アクティビティを決定したり、機械学習で通常のログイン アクティビティの範囲を定義することができます。Azure Security Center can determine baseline login activity for these virtual machines and use machine learning to define around the normal login activities. ログインに関連する特性で基準との不一致がある場合は、アラートが生成される場合があります。If there is any discrepancy with the baseline defined for login related characteristics, then an alert may be generated. 前述のように、何をもって有意とするかは、機械学習によって突き止められます。Again, machine learning determines what is significant.

脅威インテリジェンスの継続的監視Continuous Threat Intelligence Monitoring

Azure Security Center は、世界中のセキュリティ リサーチ チームやデータ サイエンス チームと連携して脅威に関する状況の変化を絶えず監視しています。Azure Security Center operates with security research and data science teams throughout the world that continuously monitor for changes in the threat landscape. たとえば次のような取り組みが行われています。This includes the following initiatives:

  • 脅威インテリジェンスの監視: 脅威インテリジェンスには、既存の脅威や新たに発生した脅威に関するメカニズム、インジケーター、示唆、即時に利用可能なアドバイスが含まれます。Threat intelligence monitoring: Threat intelligence includes mechanisms, indicators, implications, and actionable advice about existing or emerging threats. こうした情報はセキュリティ コミュニティから得られるほか、マイクロソフトも、社内や社外のソースから提供される脅威インテリジェンスを絶えず監視しています。This information is shared in the security community and Microsoft continuously monitors threat intelligence feeds from internal and external sources.

  • シグナルの共有: クラウドとオンプレミス向けに Microsoft が保有するさまざまなサービス、サーバー、クライアント エンドポイント デバイスを通じてセキュリティ チームが得た知見は共有され、分析されます。Signal sharing: Insights from security teams across Microsoft’s broad portfolio of cloud and on-premises services, servers, and client endpoint devices are shared and analyzed.

  • Microsoft のセキュリティ スペシャリスト: フォレンジクスや Web 攻撃検出など、専門のセキュリティ分野に従事する Microsoft 内のさまざまなチームと絶えず連携します。Microsoft security specialists: Ongoing engagement with teams across Microsoft that work in specialized security fields, like forensics and web attack detection.

  • 検出のチューニング: 実際のユーザーのデータセットに対してアルゴリズムが実行され、セキュリティ研究員がユーザーと連携してその結果を検証します。Detection tuning: Algorithms are run against real customer data sets and security researchers work with customers to validate the results. 機械学習アルゴリズムの精度を高めるために、真陽性と偽陽性が使用されます。True and false positives are used to refine machine learning algorithms.

こうしたさまざまな取り組みを通じて、これまでできなかったような検出が可能となり、検出の精度が向上しています。しかもその恩恵はすぐに得ることができます。ユーザーが措置を講じる必要はありません。These combined efforts culminate in new and improved detections, which you can benefit from instantly – there’s no action for you to take.

高度な脅威検出機能 - その他の Azure サービスAdvanced Threat Detection Features - Other Azure Services

仮想マシンの場合: Microsoft マルウェア対策Virtual Machine: Microsoft Antimalware

Azure の Microsoft マルウェア対策は、アプリケーションやテナント環境のための単一エージェント ソリューションであり、ユーザーの介入なしにバック グラウンドで実行するように設計されています。Microsoft Antimalware for Azure is a single-agent solution for applications and tenant environments, designed to run in the background without human intervention. アプリケーションのワークロードのニーズに基づいて、マルウェア対策監視など、基本的な既定のセキュリティまたは高度なカスタム構成で、保護をデプロイできます。You can deploy protection based on the needs of your application workloads, with either basic secure-by-default or advanced custom configuration, including antimalware monitoring. Azure のマルウェア対策は、Azure Virtual Machines のセキュリティ オプションであり、すべての Azure PaaS の仮想マシンに自動的にインストールされます。Azure antimalware is a security option for Azure Virtual Machines and is automatically installed on all Azure PaaS virtual machines.

Microsoft マルウェア対策をアプリケーション用にデプロイおよび有効にする Azure の機能Features of Azure to deploy and enable Microsoft Antimalware for your applications

Microsoft マルウェア対策の主な機能Microsoft Antimalware Core Features

  • リアルタイム保護 - Cloud Services および Virtual Machine でのアクティビティを監視し、マルウェアの実行を検出してブロックします。Real-time protection - monitors activity in Cloud Services and on Virtual Machines to detect and block malware execution.

  • スケジュールに基づくスキャン - 特定対象のスキャンを定期的に実行し、マルウェアや活動量の多いプログラムを検出します。Scheduled scanning - periodically performs targeted scanning to detect malware, including actively running programs.

  • マルウェアの駆除 - 悪意のあるファイルの削除や検疫、悪意のあるレジストリ エントリのクリーンアップなど、検出されたマルウェアへの対処を自動的に行います。Malware remediation - automatically takes action on detected malware, such as deleting or quarantining malicious files and cleaning up malicious registry entries.

  • シグネチャの更新 - 最新の保護シグネチャ (ウイルスの定義) を自動的にインストールし、事前に定義された頻度で保護を最新の状態に更新します。Signature updates - automatically installs the latest protection signatures (virus definitions) to ensure protection is up-to-date on a pre-determined frequency.

  • マルウェア対策エンジンの更新 - Microsoft マルウェア対策エンジンを自動的に更新します。Antimalware Engine updates - automatically updates the Microsoft Antimalware engine.

  • マルウェア対策プラットフォームの更新 - Microsoft マルウェア対策プラットフォームを自動的に更新します。Antimalware Platform updates – automatically updates the Microsoft Antimalware platform.

  • アクティブ保護 - 検出された脅威および疑わしいリソースに関するテレメトリ メタデータを Microsoft Azure に報告して発生中の脅威に迅速に対応し、さらに、Microsoft Active Protection System (MAPS) を使用して同期されたシグネチャをリアルタイムで配信できるようにします。Active protection - reports telemetry metadata about detected threats and suspicious resources to Microsoft Azure to ensure rapid response to the evolving threat landscape, and enabling real-time synchronous signature delivery through the Microsoft Active Protection System (MAPS).

  • サンプルのレポート - Microsoft マルウェア対策サービスにサンプルを提供および報告し、サービスの調整およびトラブルシューティングを可能にします。Samples reporting - provides and reports samples to the Microsoft Antimalware service to help refine the service and enable troubleshooting.

  • 除外 – パフォーマンスやその他の理由で、アプリケーションおよびサービスの管理者が、特定のファイル、プロセス、およびドライブを保護やスキャンの対象から除外できるようにします。Exclusions – allows application and service administrators to configure certain files, processes, and drives to exclude them from protection and scanning for performance and/or other reasons.

  • マルウェア対策イベントの収集 - マルウェア対策サービスの状態、疑わしいアクティビティ、および実行された修復アクションをオペレーティング システムのイベント ログに記録し、顧客の Azure Storage アカウントにそれらを収集します。Antimalware event collection - records the antimalware service health, suspicious activities, and remediation actions taken in the operating system event log and collects them into the customer’s Azure Storage account.

Azure SQL Database の脅威の検出Azure SQL Database Threat Detection

Azure SQL データベースの脅威の検出は、Azure SQL Database サービスに組み込まれている、新しいセキュリティ インテリジェンス機能です。Azure SQL Database Threat Detection is a new security intelligence feature built into the Azure SQL Database service. Azure SQL Database の脅威の検出は、データベースの異常なアクティビティについて学習、プロファイル、および検出を一日中行いながら、データベースへの潜在的な脅威を識別します。Working around the clock to learn, profile and detect anomalous database activities, Azure SQL Database Threat Detection identifies potential threats to the database.

セキュリティ責任者や他の指定された管理者は、不審なデータベースのアクティビティが発生すると、直ちに通知を受け取ることができます。Security officers or other designated administrators can get an immediate notification about suspicious database activities as they occur. それぞれの通知では、不審なアクティビティの詳細情報と、脅威に対して推奨されるさらなる調査方法や軽減策が記載されています。Each notification provides details of the suspicious activity and recommends how to further investigate and mitigate the threat.

現時点では、Azure SQL Database の脅威の検出では、潜在的な脆弱性および SQL インジェクション攻撃、および異常なデータベース アクセスのパターンを検出します。Currently, Azure SQL Database Threat Detection detects potential vulnerabilities and SQL injection attacks, and anomalous database access patterns.

脅威の検出の電子メール通知を受け取ると、ユーザーは、メール内の監査ビューアーを開くディープ リンクを使用して関連の監査レコードに移動して表示することができます。または、事前定義された監査 Excel テンプレートを使用して、不審なイベントの発生時近くに記録された、次のような関連の監査レコードを表示することもできます。Upon receiving threat detection email notification, users are able to navigate and view the relevant audit records using the deep link in the mail that opens an audit viewer and/or preconfigured auditing Excel template that shows the relevant audit records around the time of the suspicious event according to the following:

  • 異常なデータベース アクティビティを伴うデータベース/サーバーの監査ストレージAudit storage for the database/server with the anomalous database activities

  • 監査ログの書き込みイベントの時刻に使用された、関連の監査ストレージ テーブルRelevant audit storage table that was used at the time of the event to write audit log

  • イベント発生後 1 時間の監査レコードAudit records of the following hour since the event occurs.

  • イベントの発生時における、同様のイベント ID の監査レコード (一部の検出では省略可能)Audit records with similar event ID at the time of the event (optional for some detectors)

SQL Database の脅威検出機能は、次の検出方法論を使用します。SQL Database Threat Detectors use one of the following detection methodologies:

  • 確定的な検出 – 既知の攻撃に一致する不審なパターン (ルール ベース) を SQL クライアントのクエリで検出します。Deterministic Detection – detects suspicious patterns (rules based) in the SQL client queries that match known attacks. この方法論で検出される確率は高く、誤判定率は低くなります。ただし、「アトミック検出」のカテゴリに含まれるため範囲は制限されています。This methodology has high detection and low false positive, however limited coverage because it falls within the category of “atomic detections”.

  • 動作検出 – 過去 30 日間に見られなかった、データベースの異常な動作を示す、異常なアクティビティを検出します。Behavioural Detection – defects anomalous activity, which is abnormal behavior for the database that was not seen during the last 30 days. SQL クライアントの異常なアクティビティの例には、失敗したログイン/クエリ、大量のデータ抽出、通常でない Canonical クエリ、データベースへのアクセスに使用された特殊な IP アドレスの急増があります。An example for SQL client anomalous activity can be a spike of failed logins/queries, high volume of data being extracted, unusual canonical queries, and unfamiliar IP addresses used to access the database

Application Gateway の Web アプリケーション ファイアウォールApplication Gateway Web Application Firewall

Web アプリケーション ファイアウォールは、Azure Application Gateway の機能で、標準のアプリケーション配信コントロール機能に対してアプリケーション ゲートウェイを使用して、Web アプリケーションを保護します。Web Application Firewall is a feature of Azure Application Gateway that provides protection to web applications that use application gateway for standard Application Delivery Control functions. Web アプリケーション ファイアウォールは、OWASP の上位 10 件の一般的 Web 脆弱性の大部分に対する保護を提供することで、これを実現します。Web application firewall does this by protecting them against most of the OWASP top 10 common web vulnerabilities

Application Gateway の Web アプリケーション ファイアウォール

  • SQL インジェクションからの保護SQL injection protection

  • クロス サイト スクリプティングからの保護Cross site scripting protection

  • 一般的な Web 攻撃からの保護 (コマンド インジェクション、HTTP 要求スマグリング、HTTP レスポンス スプリッティング、リモート ファイル インクルード攻撃など)Common Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • HTTP プロトコル違反に対する保護Protection against HTTP protocol violations

  • HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)Protection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • ボット、クローラー、スキャナーの防止Prevention against bots, crawlers, and scanners

  • 一般的なアプリケーション構成ミスの検出 (Apache、IIS など)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

Application Gateway に WAF を構成することには、次のようなメリットがあります。Configuring WAF at Application Gateway provides the following benefit to you:

  • バックエンド コードを変更しなくても、Web アプリケーションを Web の脆弱性および攻撃から保護できます。Protect your web application from web vulnerabilities and attacks without modification to backend code.

  • アプリケーション ゲートウェイの内側にある複数の Web アプリケーションを同時に保護できます。Protect multiple web applications at the same time behind an application gateway. アプリケーション ゲートウェイは、1 つのゲートウェイの内側で最大 20 個の Web サイトをホスティングし、すべてを Web 攻撃から保護できます。Application gateway supports hosting up to 20 websites behind a single gateway that could all be protected against web attacks.

  • アプリケーション ゲートウェイの WAF ログで生成されたリアルタイムのレポートを使用して、Web アプリケーションに対する攻撃を監視できます。Monitor your web application against attacks using real-time report generated by application gateway WAF logs.

  • 特定のコンプライアンス制御では、インターネットに接続するすべてのエンド ポイントを WAF ソリューションで保護する必要があります。Certain compliance controls require all internet facing end points to be protected by a WAF solution. WAF が有効になったアプリケーション ゲートウェイを使用することで、これらのコンプライアンス要件を満たすことができます。By using application gateway with WAF enabled, you can meet these compliance requirements.

Azure Machine Learning で構築される異常検出 APIAnomaly Detection – an API built with Azure Machine Learning

Azure Machine Learning で構築される異常検出は、時系列データでさまざまな種類の異常なパターンを検出するために役立つ API です。Anomaly Detection is an API built with Azure Machine Learning that is useful for detecting different types of anomalous patterns in your time series data. API は、時系列の各データ ポイントに異常なスコアを割り当てます。これを使用してアラート生成、ダッシュボード内の監視、および、チケット発行システムとの接続ができます。The API assigns an anomaly score to each data point in the time series, which can be used for generating alerts, monitoring through dashboards or connecting with your ticketing systems.

異常検出 API が検出できる時系列の異常のタイプには次のものがあります。The Anomaly Detection API can detect the following types of anomalies on time series data:

  • 急増と急減: たとえば、サービスへのログインの失敗数や電子商取引サイトのチェックアウトの数を監視している場合は、急増や急減はセキュリティ攻撃やサービス障害を示している可能性があります。Spikes and Dips: For example, when monitoring the number of login failures to a service or number of checkouts in an e-commerce site, unusual spikes or dips could indicate security attacks or service disruptions.

  • 正と負の傾向: コンピューティングのメモリ使用量を監視する場合、たとえば、空きメモリのサイズの圧縮はメモリ リークの可能性を示している場合があり、サービス キューの長さの監視では、永続的な上昇傾向は、基のソフトウェアに問題が発生している可能性があります。Positive and negative trends: When monitoring memory usage in computing, for instance, shrinking free memory size is indicative of a potential memory leak; when monitoring service queue length, a persistent upward trend may indicate an underlying software issue.

  • レベルの変化と動的範囲値の変化: たとえば、サービスのアップグレード後にサービス遅延のレベルが変化した場合や、アップグレード後の例外のレベルが低下した場合は、監視する価値があります。Level changes and changes in dynamic range of values: For example, level changes in latencies of a service after a service upgrade or lower levels of exceptions after upgrade can be interesting to monitor.

API に基づいた機械学習では、次のことができます。The machine learning based API enables:

  • 柔軟かつ堅牢な検出: 異常検出モデルを使用することで、機密度設定の構成や、季節依存または季節に依存しない異常を検出できます。Flexible and robust detection: The anomaly detection models allow users to configure sensitivity settings and detect anomalies among seasonal and non-seasonal data sets. ユーザーは、自身のニーズに合わせて、検出 API の感度を強化または低下させることで異常検出モデルを調整することができます。Users can adjust the anomaly detection model to make the detection API less or more sensitive according to their needs. つまり、季節のパターンの有無によって、検出によるデータの異常性が見えやすくなったり見えにくくなります。This would mean detecting the less or more visible anomalies in data with and without seasonal patterns.

  • スケーラブルかつタイムリーな検出: 専門家のドメイン知識で設定されるしきい値表示で監視する従来の方法はコストがかかるうえ、動的に変化する数百万件のデータ セットに対応するための拡張性がありません。Scalable and timely detection: The traditional way of monitoring with present thresholds set by experts' domain knowledge are costly and not scalable to millions of dynamically changing data sets. この API を使用する異常検出モデルには学習機能があり、過去とリアルタイムの両方のデータから自動的にモデルを調整します。The anomaly detection models in this API are learned and models are tuned automatically from both historical and real-time data.

  • プロアクティブでアクションにつながる検出: 動きの遅い傾向とレベルの変更の検出は、初期の異常検出に適用できます。Proactive and actionable detection: Slow trend and level change detection can be applied for early anomaly detection. 早期に異常な信号を検出することで、人による調査を指示し、問題の発生領域でアクションを起こすことができます。The early abnormal signals detected can be used to direct humans to investigate and act on the problem areas. さらに、問題の原因を分析して、この異常検出 API サービスに追加するアラート用のツールを開発することができます。In addition, root cause analysis models and alerting tools can be developed on top of this anomaly detection API service.

異常検出 API は、サービスの使用状況や KPI の監視、IoT、パフォーマンスの監視、およびネットワーク トラフィックの監視といったさまざまなシナリオで効果的かつ効率的なソリューションです。The anomaly detection API is an effective and efficient solution for a wide range of scenarios like service health & KPI monitoring, IoT, performance monitoring, and network traffic monitoring. 次に、この API が役に立ついくつかの一般的なシナリオを示します。Here are some popular scenarios where this API can be useful:

  • IT 部門には、イベントの追跡、エラー コード、使用状況のログ、およびパフォーマンス (CPU、メモリ) を適切なタイミングで追跡するツールが必要です。IT departments need tools to track events, error code, usage log, and performance (CPU, Memory and so on) in a timely manner.

  • オンラインの商用サイトは、顧客活動、ページ ビュー、クリック数などの情報を追跡する必要があります。Online commerce sites want to track customer activities, page views, clicks, and so on.

  • 公益事業の関連企業は、水道、ガス、電力、その他のリソースの消費量を追跡する必要があります。Utility companies want to track consumption of water, gas, electricity, and other resources.

  • 設備や建築物の管理サービス企業は、温度、湿度、トラフィックなどを監視する必要があります。Facility/Building management services want to monitor temperature, moisture, traffic, and so on.

  • IoT/製造業者は、ワークフローや品質などを時系列で監視するためのセンサー データを使用する必要があります。IoT/manufacturers want to use sensor data in time series to monitor work flow, quality, and so on.

  • コール センターなどのサービス プロバイダーは、サービス要求の傾向、インシデントのボリューム、待機キューの長さなどを監視する必要があります。Service providers, such as call centers need to monitor service demand trend, incident volume, wait queue length and so on.

  • ビジネス分析グループは、事業 KPI (売上高、顧客センチメント、価格設定など)、異常な動作をリアルタイムで監視する必要があります。Business analytics groups want to monitor business KPIs' (such as sales volume, customer sentiments, pricing) abnormal movement in real time.

Cloud App SecurityCloud App Security

Cloud App Security は、Microsoft Cloud のセキュリティ スタックの重要なコンポーネントです。Cloud App Security is a critical component of the Microsoft Cloud Security stack. これは、企業がクラウド アプリケーションの可能性を最大限に活用できるように行動するのに役立つ包括的なソリューションですが、アクティビティのさらなる詳細を把握することで制御は維持されます。It's a comprehensive solution that can help your organization as you move to take full advantage of the promise of cloud applications, but keep you in control, through improved visibility into activity. また、重要なデータの保護をクラウド アプリケーション全体で強化するうえでも役立ちます。It also helps increase the protection of critical data across cloud applications.

企業は、shadow IT の発見、リスクの評価、ポリシーの適用、アクティビティの調査、および驚異の停止に役立つツールを使用して、重要なデータの制御を維持しながらもより安全にクラウドに移行できるようにします。With tools that help uncover shadow IT, assess risk, enforce policies, investigate activities, and stop threats, your organization can more safely move to the cloud while maintaining control of critical data.

発見Discover Cloud App Security を使用して shodow IT を発見します。Uncover shadow IT with Cloud App Security. クラウド環境でアプリ、アクティビティ、ユーザー、データ、およびファイルを発見して可視性を獲得します。Gain visibility by discovering apps, activities, users, data, and files in your cloud environment. クラウドに接続しているサード パーティのアプリを検出します。Discover third-party apps that are connected to your cloud.
調査Investigate クラウド フォレンジック ツールを使用してクラウド アプリケーションを調査します。具体的には、ネットワーク内の高リスク アプリケーション、特定のユーザー、およびファイルに関する詳しい調査を行います。Investigate your cloud apps by using cloud forensics tools to deep-dive into risky apps, specific users, and files in your network. クラウドから収集されたデータのパターンを検索します。Find patterns in the data collected from your cloud. クラウドを監視するレポートを生成します。Generate reports to monitor your cloud.
コントロールControl ネットワーク クラウドのトラフィック全体を最大限に制御するためのポリシーとアラートを設定してリスクを軽減します。Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Cloud App Security を使用して、安全で承認された代替クラウド アプリにユーザーが移行できるようにします。Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.
保護Protect Cloud App Security を使用して、アプリケーションの承認と禁止、データ損失の防止、アクセスと共有の制御、およびカスタム レポートやアラートの生成を行います。Use Cloud App Security to sanction or prohibit applications, enforce data loss prevention, control permissions and sharing, and generate custom reports and alerts.
コントロールControl ネットワーク クラウドのトラフィック全体を最大限に制御するためのポリシーとアラートを設定してリスクを軽減します。Mitigate risk by setting policies and alerts to achieve maximum control over network cloud traffic. Cloud App Security を使用して、安全で承認された代替クラウド アプリにユーザーが移行できるようにします。Use Cloud App Security to migrate your users to safe, sanctioned cloud app alternatives.

Cloud App Security

Cloud App Security は、次の作業によってクラウドの詳細を把握します。Cloud App Security integrates visibility with your cloud by

  • Cloud Discovery を使用して、組織が使用しているクラウド環境とクラウド アプリをマップおよび識別します。Using Cloud Discovery to map and identify your cloud environment and the cloud apps your organization is using.

  • クラウドでのアプリの使用を承認および禁止します。Sanctioning and prohibiting apps in your cloud.

  • デプロイが容易で、プロバイダー API を活用するアプリ コネクタを使用して、接続しているアプリの詳細を把握し、管理します。Using easy-to-deploy app connectors that take advantage of provider APIs, for visibility and governance of apps that you connect to.

  • ポリシーを設定して、その後の微調整を行うことで、継続的に制御できるようにします。Helping you have continuous control by setting, and then continually fine-tuning, policies.

Cloud App Security は、これらのソースからデータを収集することでデータに対する高度な分析を実行します。On collecting data from these sources, Cloud App Security runs sophisticated analysis on the data. Cloud App Security は、異常なアクティビティに迅速に通知し、クラウド環境をさらに詳しく把握できるようにします。It immediately alerts you to anomalous activities, and gives you deep visibility into your cloud environment. Cloud App Security にポリシーを構成することができ、これを使用して、クラウド環境内のすべてを保護することができます。You can configure a policy in Cloud App Security and use it to protect everything in your cloud environment.

Azure Marketplace を通じたサードパーティ ATD の機能Third-party ATD capabilities through Azure Marketplace

Web アプリケーション ファイアウォールWeb Application Firewall

Web アプリケーション ファイアウォールは、着信する Web トラフィックを検査して、SQL インジェクション、クロスサイト スクリプティング、マルウェアのアップロード、アプリケーション DDoS など、Web アプリケーションを対象とした攻撃をブロックします。Web Application Firewall inspects inbound web traffic and blocks SQL injections, Cross-Site Scripting, malware uploads & application DDoS and other attacks targeted at your web applications. さらに、データ損失防止 (DLP) のためにバックエンド Web サーバーからの応答を検査します。It also inspects the responses from the back-end web servers for Data Loss Prevention (DLP). 管理者は、統合アクセス制御エンジンを使用して認証、承認、およびアカウンティング (AAA) に対応するきめ細かなアクセス制御ポリシーを作成することができ、これによって企業は強力な認証とユーザー制御の機能を得ることができます。The integrated access control engine enables administrators to create granular access control policies for Authentication, Authorization & Accounting (AAA), which gives organizations strong authentication and user control.

ハイライト:Highlights:

  • アプリケーションに対する SQL インジェクション、クロスサイト スクリプティング、マルウェアのアップロード、アプリケーション DDoS、その他の攻撃を検出してブロックします。Detects and blocks SQL injections, Cross-Site Scripting, malware uploads, application DDoS, or any other attacks against your application.

  • 認証およびアクセス制御。Authentication and access control.

  • 発信トラフィックをスキャンして機密データを検出し、情報漏洩を防ぐためにマスクやブロックを行います。Scans outbound traffic to detect sensitive data and can mask or block the information from being leaked out.

  • Web アプリケーションのコンテンツ配信を、キャッシュ、圧縮、その他のトラフィックの最適化機能などを使用して高速化します。Accelerates the delivery of web application contents, using capabilities such as caching, compression, and other traffic optimizations.

Azure Marketplace で利用可能な Web アプリケーション ファイアウォールの使用例を次に示します。Following are example of Web Application firewalls available in Azure Market Place:

Barracuda Web アプリケーション ファイアウォール、Brocade 仮想 Web アプリケーション ファイアウォール (Brocade vWAF)、Imperva SecureSphere および ThreatSTOP IP ファイアウォールがあります。Barracuda Web Application Firewall, Brocade Virtual Web Application Firewall (Brocade vWAF), Imperva SecureSphere & The ThreatSTOP IP Firewall.

次の手順Next Steps

Azure Security Center の高度な検出機能を使用すると、Microsoft Azure リソースをターゲットとするアクティブな脅威を特定し、迅速に対応するうえで必要な知見を得ることができます。Azure Security Center’s advanced detection capabilities helps to identify active threats targeting your Microsoft Azure resources and provides you with the insights needed to respond quickly.

Azure SQL Database の脅威の検出は、そのデータベースに対する潜在的な脅威の問題に対処するのに役立ちます。Azure SQL Database Threat Detection helped address their concerns about potential threats to their database.