Azure Arc 対応サーバーのセキュリティと監視機能
Azure Arc を使用すると、資産の場所に関係なく、企業全体のテクノロジ資産の管理、監視、保護を一元化し標準化するプロセスを簡素化することもできます。 このユニットでは、Azure Arc 対応サーバーを含め、オンプレミスのサーバーにこの原則がどのように適用されるかについて説明します。
ハイブリッド シナリオでの Microsoft Defender for Cloud の利点は何ですか?
高揮発性や外部サービスへの依存など、ハイブリッド環境に固有のセキュリティ上の課題に対処するには、セキュリティ体制を評価し、リスクを特定して修復するための高度なツールが必要です。 そうしたツールを最小限の労力で展開できれば理想的です。 Microsoft Defender for Cloud は、これらの要件に対応するのに役立ちます。
Defender for Cloud は、クラウドとオンプレミスのインフラストラクチャとワークロードのセキュリティを管理するためのクラウドベースのサービスです。 Defender for Cloud の機能を使用すると、次のことができます。
- セキュリティ体制を改善する: Defender for Cloud を使用して、クラウド サービスとオンプレミス サーバー全体にわたってセキュリティのベスト プラクティスを実装します。 セキュリティのベスト プラクティスに加えて、規制標準に対するコンプライアンスを追跡することもできます。
- 環境を保護する: Microsoft Defender for Cloud を使用して、クラウドとオンプレミスのサーバーに対するセキュリティ上の脅威を監視します。
- データを保護する: サーバー、ファイル、データベースに対する疑わしいアクティビティ (データ侵害の可能性を含む) を特定します。
Defender for Cloud では、Log Analytics エージェントを利用してセキュリティ関連のイベント、アプリケーションのクラッシュ ダンプ、オペレーティング システムの構成設定が収集されます。 収集されたデータが継続的に分析され、修復に関する推奨事項が提供され、試行および実行されたセキュリティ侵害と悪用に応じたセキュリティアラートが生成されます。
Note
Azure Arc 対応サーバーには、Microsoft Defender for Cloud が必要です。
ハイブリッド シナリオでの Microsoft Sentinel の利点は何ですか?
Microsoft Sentinel は、スケーラブルでクラウドネイティブのセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションです。 Microsoft Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを提供し、1 つのソリューションで、アラート検出、脅威の可視性、事前捜索、脅威対応を実現します。
Microsoft Sentinel は、マルチクラウドおよびハイブリッドのインフラストラクチャ全体を鳥瞰する機能であり、ますます高度化する攻撃、アラートの量の増加、および解決までの時間の長期化によるストレスを軽減します。 Microsoft Sentinel を使用すると、次のことが可能になります。
- クラウドの規模でデータを収集します。オンプレミスと複数のクラウド内の両方ですべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたって収集します。
- 過去に検出されたことのない脅威を検出します。Microsoft の分析と類を見ない脅威インテリジェンスを使用して、誤判定を最小限に抑えます。
- 人工知能を使用して脅威を調査し、Microsoft の長年にわたるサイバー セキュリティ業務を活用しながら、疑わしいアクティビティを大規模に追及します。
- インシデントに迅速に対応します。一般的なタスクの組み込みのオーケストレーションとオートメーションを使用します。
ハイブリッド シナリオでの Azure Monitor の監視上の利点
Azure Arc 対応サーバーの使用時には、Azure portal を、すべての Azure Arc 対応サーバーとすべての Azure および Azure Arc 対応リソースに対する一元化された状態監視のためのダッシュボードと管理のための起動パッドとして使用できます。 Azure Arc 対応サーバーのホーム ページには、すべてのサーバーが、そのリソース グループ、場所、関連付けられたサブスクリプションと共に一覧表示されます。 それぞれのサーバーについて、名前、OS のバージョン、ビルドを簡単に確認できます。
Azure Monitor との統合を通して、より詳細な監視、アラート、ログ収集、ログ分析を利用できます。 Azure Monitor は、クラウド環境とオンプレミス環境からのテレメトリを収集し、分析し、それに対応するための包括的なソリューションです。 Azure Monitor では主に 3 つの機能が提供されます。
- 監視とメトリックの可視化: メトリックは、監視対象システムの正常性状態を表す数値です。
- ログのクエリと分析: ログにはアクティビティ、診断、テレメトリが含まれます。 その分析によって、監視対象システムの状態について詳しい分析情報が得られ、トラブルシューティングが容易になります。
- アラートと修復: アラートによって異常な状態が通知されます。 原因となった問題を修正するための是正措置を自動的に開始するようにアラートを構成することもできます。 インシデントを発生させたり、Azure Monitor と組織内の IT サービス管理プラットフォーム間の統合を利用して作業項目を作成したりするようにアラートを構成することもできます。
ほぼリアルタイムのデータと履歴データを、Log Analytics ワークスペースに格納して分析できます。 そのためには Log Analytics エージェントをインストールする必要があります。 サーバーと環境内の他のシステム間の対話についてのさらに詳しい分析情報を得るには、Dependency Agent をインストールします。 この同じ Log Analytics エージェントを使用して、Update Management、変更履歴とインベントリ、Microsoft Defender for Cloud などの他の Azure サービスにサーバーをオンボードすることができます。
![Azure 内の VM の [分析情報] ページの [マップ] タブを示すスクリーンショット。開いている TCP ポートの詳細と共に ContosoVM1 が表示されます。VM の概要も表示されます。VM のオペレーティング システムと IP アドレスに加えて、正常性、マシンのプロパティ、Azure VM のプロパティへのリンクが表示されます。プロパティ (選択済み)、ログ イベント、アラート、接続にアクセスするための 3 つのボタンが表示されます。](media/4-insights-map.png)
エージェントのインストールと構成が完了すると、サーバーによって、選択した Log Analytics ワークスペースへのテレメトリの転送が開始されます。 その後、収集されたデータを Azure Monitor ダッシュボードで表示し、Log Analytics クエリを使用して分析できます。 また、アラートと自動修復タスクをトリガーするメトリックまたはログベースの規則を実装することもできます。
Azure Arc 対応サーバーでの Log Analytics の利点
Azure Arc 対応サーバーには、オンボード プロセスに関する利点があります。VM 拡張機能または Azure Policy を使用して、Log Analytics エージェントを展開できるためです。 これにより、展開プロセスが効率化され、Azure portal を使用して任意の場所から一元化された大規模な管理を行えるようになり、エージェントのメンテナンスが容易になり、期限切れのエージェントの特定とアップグレードが非常に簡単になります。
さらに、Azure Resource Manager との統合により、Log Analytics データへのリソース コンテキスト アクセスがサポートされます。 リソース コンテキストを使用すると、対応する Azure リソースへのアクセス許可に基づいて、Log Analytics データへのアクセスのスコープを制限できます。 各 Azure Arc 対応サーバーは Azure リソースとして存在するため、そのリソースに割り当てられた Azure ロールベースのアクセス制御 (Azure RBAC) に基づいて、その Log Analytics ログへのアクセスを制御できます。
以下の各質問に最も適した回答を選択してください。