Azure セキュリティのログと監査
Azure にはさまざまな構成可能なセキュリティ監査およびログのオプションが用意されており、セキュリティ ポリシーとメカニズムのギャップを特定するのに役立ちます。 この記事では、Azure でホストされているサービスからのセキュリティ ログの生成、収集、分析について説明します。
注意
この記事で紹介しているいくつかの推奨事項に従った結果、データ、ネットワーク、またはコンピューティング リソースの使用量が増加したり、ライセンスまたはサブスクリプションのコストが増加したりする場合があります。
Azure のログのタイプ
クラウド アプリケーションは、動的なパーツを多数使った複雑な構成になっています。 ログ データは、アプリケーションに関する分析情報を提供し、次のことを支援します。
- これまでに発生した問題のトラブルシューティングや潜在的な問題の防止
- アプリケーションのパフォーマンスや保守容易性の向上
- 手動操作を必要とするアクションの自動化
Azure のログは、次の種類に分類されます。
コントロール/管理ログ: Azure Resource Manager の CREATE、UPDATE、DELETE 操作に関する情報を提供します。 詳細については、Azure アクティビティ ログに関するページを参照してください。
データ プレーン ログは、Azure のリソース使用の一環として発生したイベントに関する情報を提供します。 この種類のログの例として、仮想マシンの Windows イベント システム ログ、セキュリティ ログ、アプリケーション ログや、Azure Monitor で構成される診断ログがあります。
処理済みイベント: ユーザーに代わって処理された分析済みのイベント/アラートに関する情報を提供します。 この種類の例として、Microsoft Defender for Cloud のアラートがあります。Microsoft Defender for Cloud がサブスクリプションを処理して分析し、手短なセキュリティ アラートを発行します。
次の表には、Azure で使用できる最も重要な種類のログを示します。
| ログのカテゴリ | ログのタイプ | 使用法 | 統合 |
|---|---|---|---|
| アクティビティ ログ | Azure Resource Manager リソースのコントロールプレーン イベント | サブスクリプションのリソースに対して実行された操作に関する分析情報を提供します。 | REST API、Azure Monitor |
| Azure リソース ログ | サブスクリプションの Azure Resource Manager リソースの操作に関してよく使用されるデータ | リソース自体が実行した操作に関する分析情報を提供します。 | Azure Monitor |
| Microsoft Entra ID レポート | ログとレポート | ユーザーのサインイン アクティビティと、ユーザーおよびグループの管理に関するシステム アクティビティの情報を報告します。 | Microsoft Graph |
| 仮想マシンとクラウド サービス | Windows イベント ログ サービスと Linux Syslog | 仮想マシンのシステム データとログ データを取り込み、そのデータを任意のストレージ アカウントに転送します。 | Windows (Azure Diagnostics ストレージを使用) と Azure Monitor の Linux |
| Azure Storage Analytics | ストレージ ログ (ストレージ アカウントのメトリック データの提供) | トレース要求に関する分析情報を提供し、使用傾向を分析して、ストレージ アカウントの問題を診断します。 | REST API またはクライアント ライブラリ |
| ネットワーク セキュリティ グループ (NSG) フロー ログ | JSON 形式 (送信および受信のフローをルールごとに表示) | ネットワーク セキュリティ グループを介したイングレスおよびエグレス IP トラフィックに関する情報を表示します。 | Azure Network Watcher |
| Application Insight | ログ、例外、カスタム診断 | 複数のプラットフォームの Web 開発者向けにアプリケーション パフォーマンス管理 (APM) サービスを提供します。 | REST API、Power BI |
| データの処理/セキュリティ アラート | Microsoft Defender for Cloud アラート、Azure Monitor ログ アラート | セキュリティに関する情報と警告を提供します。 | REST API、JSON |
オンプレミスの SIEM システムとのログ統合
Defender for Cloud アラートの統合では、Defender for Cloud アラート、Azure Diagnostics ログで収集された仮想マシンのセキュリティ イベント、Azure 監査ログを Azure Monitor ログまたは SIEM ソリューションと同期させる方法について説明します。
次のステップ
監査とログ: 可視性の維持と、タイムリーなセキュリティ アラートへの迅速な対応により、データを保護します。
サイト コレクションの監査設定を構成する: サイト コレクションの管理者の場合、個々のユーザーのアクションの履歴と特定の期間内に行われたアクションの履歴を取得します。
Microsoft Defender ポータルで監査ログを検索する: Microsoft Defender ポータルを使用して統合監査ログを検索し、組織内のユーザーと管理者のアクティビティを表示します。