Azure セキュリティのログと監査Azure security logging and auditing

Azure にはさまざまな構成可能なセキュリティ監査およびログのオプションが用意されており、セキュリティ ポリシーとメカニズムのギャップを特定するのに役立ちます。Azure provides a wide array of configurable security auditing and logging options to help you identify gaps in your security policies and mechanisms. この記事では、Azure でホストされているサービスからのセキュリティ ログの生成、収集、分析について説明します。This article discusses generating, collecting, and analyzing security logs from services hosted on Azure.

注意

この記事で紹介しているいくつかの推奨事項に従った結果、データ、ネットワーク、またはコンピューティング リソースの使用量が増加したり、ライセンスまたはサブスクリプションのコストが増加したりする場合があります。Certain recommendations in this article might result in increased data, network, or compute resource usage, and increase your license or subscription costs.

Azure のログのタイプTypes of logs in Azure

クラウド アプリケーションは、動的なパーツを多数使った複雑な構成になっています。Cloud applications are complex with many moving parts. ログ データは、アプリケーションに関する分析情報を提供し、次のことを支援します。Logging data can provide insights about your applications and help you:

  • これまでに発生した問題のトラブルシューティングや潜在的な問題の防止Troubleshoot past problems or prevent potential ones
  • アプリケーションのパフォーマンスや保守容易性の向上Improve application performance or maintainability
  • 手動操作を必要とするアクションの自動化Automate actions that would otherwise require manual intervention

Azure のログは、次の種類に分類されます。Azure logs are categorized into the following types:

  • コントロール/管理ログ: Azure Resource Manager の CREATE、UPDATE、DELETE 操作に関する情報を提供します。Control/management logs provide information about Azure Resource Manager CREATE, UPDATE, and DELETE operations. 詳細については、Azure アクティビティ ログに関するページを参照してください。For more information, see Azure activity logs.

  • データ プレーン ログ は、Azure のリソース使用の一環として発生したイベントに関する情報を提供します。Data plane logs provide information about events raised as part of Azure resource usage. この種類のログの例として、仮想マシンの Windows イベント システム ログ、セキュリティ ログ、アプリケーション ログや、Azure Monitor で構成される診断ログがあります。Examples of this type of log are the Windows event system, security, and application logs in a virtual machine (VM) and the diagnostics logs that are configured through Azure Monitor.

  • 処理済みイベント: ユーザーに代わって処理された分析済みのイベント/アラートに関する情報を提供します。Processed events provide information about analyzed events/alerts that have been processed on your behalf. この種類の例として、Azure Security Center がサブスクリプションを処理して分析し、簡潔なセキュリティ アラートを提供する Azure Security Center のアラートがあります。Examples of this type are Azure Security Center alerts where Azure Security Center has processed and analyzed your subscription and provides concise security alerts.

次の表には、Azure で使用できる最も重要な種類のログを示します。The following table lists the most important types of logs available in Azure:

ログのカテゴリLog category ログのタイプLog type 使用法Usage 統合Integration
アクティビティ ログActivity logs Azure Resource Manager リソースのコントロールプレーン イベントControl-plane events on Azure Resource Manager resources サブスクリプションのリソースに対して実行された操作に関する分析情報を提供します。Provides insight into the operations that were performed on resources in your subscription. Rest API、Azure MonitorRest API, Azure Monitor
Azure リソース ログAzure Resource logs サブスクリプションの Azure Resource Manager リソースの操作に関してよく使用されるデータFrequent data about the operation of Azure Resource Manager resources in subscription リソース自体が実行した操作に関する分析情報を提供します。Provides insight into operations that your resource itself performed. Azure MonitorAzure Monitor
Azure Active Directory レポートAzure Active Directory reporting ログとレポートLogs and reports ユーザーのサインイン アクティビティと、ユーザーおよびグループの管理に関するシステム アクティビティの情報を報告します。Reports user sign-in activities and system activity information about users and group management. Graph APIGraph API
仮想マシンとクラウド サービスVirtual machines and cloud services Windows イベント ログ サービスと Linux SyslogWindows Event Log service and Linux Syslog 仮想マシンのシステム データとログ データを取り込み、そのデータを任意のストレージ アカウントに転送します。Captures system data and logging data on the virtual machines and transfers that data into a storage account of your choice. Azure Monitor の Windows (Microsoft Azure Diagnostics (WAD) ストレージを使用) と LinuxWindows (using Windows Azure Diagnostics [WAD] storage) and Linux in Azure Monitor
Azure Storage AnalyticsAzure Storage Analytics ストレージ ログ (ストレージ アカウントのメトリック データの提供)Storage logging, provides metrics data for a storage account トレース要求に関する分析情報を提供し、使用傾向を分析して、ストレージ アカウントの問題を診断します。Provides insight into trace requests, analyzes usage trends, and diagnoses issues with your storage account. REST API またはクライアント ライブラリREST API or the client library
ネットワーク セキュリティ グループ (NSG) フロー ログNetwork security group (NSG) flow logs JSON 形式 (送信および受信のフローをルールごとに表示)JSON format, shows outbound and inbound flows on a per-rule basis ネットワーク セキュリティ グループを介したイングレスおよびエグレス IP トラフィックに関する情報を表示します。Displays information about ingress and egress IP traffic through a Network Security Group. Azure Network WatcherAzure Network Watcher
Application InsightApplication insight ログ、例外、カスタム診断Logs, exceptions, and custom diagnostics 複数のプラットフォームの Web 開発者向けにアプリケーション パフォーマンス管理 (APM) サービスを提供します。Provides an application performance monitoring (APM) service for web developers on multiple platforms. REST API、Power BIREST API, Power BI
データの処理/セキュリティ アラートProcess data / security alerts Azure Security Center のアラート、Azure Monitor のログ アラートAzure Security Center alerts, Azure Monitor logs alerts セキュリティに関する情報と警告を提供します。Provides security information and alerts. REST API、JSONREST APIs, JSON

オンプレミスの SIEM システムとのログ統合Log integration with on-premises SIEM systems

Security Center アラートの統合では、Security Center アラート、Azure Diagnostics ログで収集された仮想マシンのセキュリティ イベント、Azure 監査ログを Azure Monitor ログまたは SIEM ソリューションと同期させる方法について説明します。Integrating Security Center alerts discusses how to sync Security Center alerts, virtual machine security events collected by Azure diagnostics logs, and Azure audit logs with your Azure Monitor logs or SIEM solution.

次のステップNext steps