チュートリアル:Azure Security Center を使用して仮想マシンを監視する
Azure リソースのセキュリティの状態は、Azure Security Center で可視化することができます。 Security Center には、包括的なセキュリティ監視機能が備わっています。 他の方法では見過ごされてしまう可能性のある脅威も検出することが可能です。 このチュートリアルでは、Azure Security Center と次の方法について説明します。
- データ収集を設定する
- セキュリティ ポリシーを設定する
- 構成の正常性に関する問題を確認して解決する
- 検出された脅威を確認する
Security Center の概要
Security Center は、仮想マシン (VM) の構成で問題となりうる箇所や、標的となるセキュリティ面の脅威を特定します。 たとえばネットワーク セキュリティ グループが関連付けられていない VM や、暗号化されていないディスク、リモート デスクトップ プロトコル (RDP) でのブルート フォース攻撃を特定することができます。 このような情報が、Security Center のダッシュボードに、グラフを使って見やすく表示されます。
Security Center ダッシュボードにアクセスするには、Azure portalのメニューで Security Center を選択します。 ダッシュボードでは、Azure 環境のセキュリティの正常性、現在の推奨事項の数、脅威アラートの現在の状態を確認できます。 大まかな情報が表示されているそれぞれのグラフを展開すると、さらに詳しい情報が表示されます。
Security Center の機能はデータを検出するだけではありません。検出された問題についての推奨事項が提供されます。 たとえばネットワーク セキュリティ グループが関連付けられていない状態で VM がデプロイされていた場合、Security Center によって推奨事項と修復手順が表示されます。 修復は自動化されており、Security Center を離れる必要はありません。
データ収集を設定する
VM のセキュリティ構成を可視化するためには、まず Security Center のデータ収集を設定する必要があります。 これには、データ収集をオンにすることが含まれます。これにより、ご利用のサブスクリプションのすべての VM に Microsoft Monitoring Agent が自動的にインストールされます。
- Security Center ダッシュボードで、 [セキュリティ ポリシー] をクリックしてサブスクリプションを選択します。
- [データ収集] の [自動プロビジョニング] で [オン] を選択します。
- [既定のワークスペース構成] を [Security Center によって作成されたワークスペースを使用 (既定)] のままにします。
- [セキュリティ イベント] で、既定のオプションの [共通] を保持します。
- ページの上部にある [保存] をクリックします。
これですべての VM に Security Center のデータ収集エージェントがインストールされ、データの収集が開始されます。
セキュリティ ポリシーを設定する
Security Center によるデータの収集と推奨事項の提示の対象となる項目は、セキュリティ ポリシーを使って定義します。 Azure リソースのまとまりごとに異なるセキュリティ ポリシーを適用することができます。 既定ではすべてのポリシー項目と照らして Azure リソースが評価されますが、すべての Azure リソースを対象として、または特定のリソース グループを対象として、個々のポリシー項目を無効にすることができます。 Security Center のセキュリティ ポリシーの詳細については、「Azure Security Center でのセキュリティ ポリシーの設定」を参照してください。
サブスクリプション全体を対象とするセキュリティ ポリシーを設定するには、次の手順に従います。
- Security Center ダッシュボードで、 [セキュリティ ポリシー] を選択し、ご利用のサブスクリプションを選択します。
- [セキュリティ ポリシー] ブレードで [セキュリティ ポリシー] を選択します。
- [セキュリティ ポリシー - セキュリティ ポリシー] ブレードで、サブスクリプションに適用するポリシー項目をオンまたはオフにします。
- 設定の選択が完了したら、ブレードの上部にある [保存] を選択します。
VM の構成の正常性を表示する
データ収集を有効にしてセキュリティ ポリシーを設定すると、Security Center によるアラートの生成と推奨事項の提示が開始されます。 VM をデプロイすると、データ収集エージェントがインストールされます。 その後、その新しい VM のデータが Security Center に収集されていきます。 VM の構成の正常性の詳細については、Security Center での VM の保護に関するページを参照してください。
データが収集されると、各 VM のリソースの正常性および関連する Azure リソースの正常性が収集されます。 その情報が見やすいグラフの形で表示されます。
リソースの正常性を表示するには、次の手順に従います。
- Security Center ダッシュボードの [防止] で、 [コンピューティング] を選択します。
- [コンピューティング] ブレードで [VM とコンピューター] を選択します。 このビューでは、自分の VM すべてについて構成の状態の概要を確認できます。
特定の VM に対するすべての推奨事項を表示するには、対象の VM を選択します。
構成の問題を修復する
Security Center による構成データの収集が開始されると、設定したセキュリティ ポリシーに基づいて推奨事項が提示されます。 たとえば、ネットワーク セキュリティ グループが関連付けられていない状態で VM を設定していた場合には、ネットワーク セキュリティ グループの作成を促す内容の推奨事項が提示されます。
推奨事項の一覧を表示する方法は、次のとおりです。
- Security Center ダッシュボードで [推奨事項] を選択します。
- 特定の推奨事項を選択します。 その推奨事項が該当する全リソースの一覧が表示されます。
- 推奨事項を適用するには、リソースを選択します。
- 修復手順に従います。
多くの場合、Security Center を離れることなくその場で問題を修復するための手順が表示されます。 以下の例では、ネットワーク セキュリティ グループに割り当てられている受信の規則が無制限になっていることが、Security Center によって検出されています。 推奨事項ページで [受信の規則を編集する] ボタンを選択できます。 規則を編集するために必要な UI が表示されます。
推奨事項の内容に従って問題を修復すると、解決済みとしてマークされます。
検出された脅威を表示する
Security Center には、リソースの構成に関する推奨事項を提示するだけでなく、脅威の検出に関するアラートを表示する機能が備わっています。 このセキュリティ アラート機能は、各 VM、Azure のネットワーク ログ、および接続されているパートナー ソリューションから収集されるデータを集計し、Azure リソースに対するセキュリティ面の脅威を検出するものです。 Security Center の脅威検出機能の詳細については、「Security Center での脅威の検出方法」を参照してください。
セキュリティ アラート機能を使用するには、Security Center の価格レベルを Free から Standard に変更する必要があります。 この価格レベルに引き上げるときは、無料試用版をご利用いただけます。
価格レベルを変更する方法は、次のとおりです。
- Security Center ダッシュボードで、 [セキュリティ ポリシー] をクリックしてサブスクリプションを選択します。
- [価格レベル] を選択します。
- [Standard] を選択し、ブレードの上部にある [保存] をクリックします。
価格レベルを変更すると、セキュリティ面の脅威が検出されるたびにセキュリティ アラートのグラフにデータが反映されるようになります。
アラートを選択すると情報が表示されます。 たとえば脅威の詳細、検出時点、脅威の試行回数、推奨される修復方法などの情報が表示されます。 次の例では、RDP 経由のブルート フォース攻撃が検出されており、試行に 294 回失敗したことがわかります。 また、推奨される解決方法が表示されています。
次のステップ
このチュートリアルでは、Azure Security Center を設定した後、Security Center で VM を確認しました。 以下の方法を学習しました。
- データ収集を設定する
- セキュリティ ポリシーを設定する
- 構成の正常性に関する問題を確認して解決する
- 検出された脅威を確認する
次のチュートリアルに進み、Jenkins、GitHub、Docker を使った CI/CD パイプラインの作成について理解を深めてください。