Azure セキュリティのログと監査

Azure にはさまざまな構成可能なセキュリティ監査およびログのオプションが用意されており、セキュリティ ポリシーとメカニズムのギャップを特定するのに役立ちます。 この記事では、Azure でホストされているサービスからのセキュリティ ログの生成、収集、分析について説明します。

注意

この記事で紹介しているいくつかの推奨事項に従った結果、データ、ネットワーク、またはコンピューティング リソースの使用量が増加したり、ライセンスまたはサブスクリプションのコストが増加したりする場合があります。

Azure のログのタイプ

クラウド アプリケーションは、動的なパーツを多数使った複雑な構成になっています。 ログ データは、アプリケーションに関する分析情報を提供し、次のことを支援します。

  • これまでに発生した問題のトラブルシューティングや潜在的な問題の防止
  • アプリケーションのパフォーマンスや保守容易性の向上
  • 手動操作を必要とするアクションの自動化

Azure のログは、次の種類に分類されます。

  • コントロール/管理ログ: Azure Resource Manager の CREATE、UPDATE、DELETE 操作に関する情報を提供します。 詳細については、Azure アクティビティ ログに関するページを参照してください。

  • データ プレーン ログは、Azure のリソース使用の一環として発生したイベントに関する情報を提供します。 この種類のログの例として、仮想マシンの Windows イベント システム ログ、セキュリティ ログ、アプリケーション ログや、Azure Monitor で構成される診断ログがあります。

  • 処理済みイベント: ユーザーに代わって処理された分析済みのイベント/アラートに関する情報を提供します。 この種類の例として、Microsoft Defender for Cloud のアラートがあります。Microsoft Defender for Cloud がサブスクリプションを処理して分析し、手短なセキュリティ アラートを発行します。

次の表には、Azure で使用できる最も重要な種類のログを示します。

ログのカテゴリ ログのタイプ 使用法 統合
アクティビティ ログ Azure Resource Manager リソースのコントロールプレーン イベント サブスクリプションのリソースに対して実行された操作に関する分析情報を提供します。 REST API、Azure Monitor
Azure リソース ログ サブスクリプションの Azure Resource Manager リソースの操作に関してよく使用されるデータ リソース自体が実行した操作に関する分析情報を提供します。 Azure Monitor
Azure Active Directory レポート ログとレポート ユーザーのサインイン アクティビティと、ユーザーおよびグループの管理に関するシステム アクティビティの情報を報告します。 Graph API
仮想マシンとクラウド サービス Windows イベント ログ サービスと Linux Syslog 仮想マシンのシステム データとログ データを取り込み、そのデータを任意のストレージ アカウントに転送します。 Azure Monitor の Windows (Microsoft Azure Diagnostics (WAD) ストレージを使用) と Linux
Azure Storage Analytics ストレージ ログ (ストレージ アカウントのメトリック データの提供) トレース要求に関する分析情報を提供し、使用傾向を分析して、ストレージ アカウントの問題を診断します。 REST API またはクライアント ライブラリ
ネットワーク セキュリティ グループ (NSG) フロー ログ JSON 形式 (送信および受信のフローをルールごとに表示) ネットワーク セキュリティ グループを介したイングレスおよびエグレス IP トラフィックに関する情報を表示します。 Azure Network Watcher
Application Insight ログ、例外、カスタム診断 複数のプラットフォームの Web 開発者向けにアプリケーション パフォーマンス管理 (APM) サービスを提供します。 REST API、Power BI
データの処理/セキュリティ アラート Microsoft Defender for Cloud アラート、Azure Monitor ログ アラート セキュリティに関する情報と警告を提供します。 REST API、JSON

オンプレミスの SIEM システムとのログ統合

Defender for Cloud アラートの統合では、Defender for Cloud アラート、Azure Diagnostics ログで収集された仮想マシンのセキュリティ イベント、Azure 監査ログを Azure Monitor ログまたは SIEM ソリューションと同期させる方法について説明します。

次のステップ