チュートリアル: Azure Security Center を使用して仮想マシンを監視する

Azure Security Center は、Azure リソースのセキュリティ プラクティスを可視化するのに役立ちます。 Security Center では、統合されたセキュリティ監視が提供されます。 それ以外の場合は気付かない可能性がある脅威を検出できます。 このチュートリアルでは、Azure Security Center と次の方法について説明します。

Security Center の概要

Security Center は、仮想マシン (VM) の構成に関する潜在的な問題と、対象となるセキュリティ上の脅威を特定します。 これには、ネットワーク セキュリティ グループ、暗号化されていないディスク、ブルート フォース リモート デスクトップ プロトコル (RDP) 攻撃が存在しない VM が含まれる場合があります。 情報は、読みやすいグラフで Security Center ダッシュボードに表示されます。

Security Center ダッシュボードにアクセスするには、Azure portal のメニューで Security Center を選択 します。 ダッシュボードでは、Azure 環境のセキュリティ正常性を確認したり、現在の推奨事項の数を見つけたり、脅威アラートの現在の状態を表示したりできます。 各高度なグラフを展開して、詳細を表示できます。

Security Center は、データ検出を超えて、検出された問題に関する推奨事項を提供します。 たとえば、ネットワーク セキュリティ グループがアタッチされていない VM がデプロイされた場合、Security Center には推奨事項が表示され、修復手順を実行できます。 Security Center のコンテキストを離れることなく、自動修復が行われます。

データ収集を設定する

VM のセキュリティ構成を可視化するには、Security Center データ収集を設定する必要があります。 これには、サブスクリプション内のすべての VM に Microsoft Monitoring Agent を自動的にインストールするデータ収集を有効にする必要があります。

1. Security Center ダッシュボードで、[ セキュリティ ポリシー] をクリックし、サブスクリプションを選択します。
2. [データ収集] で、[自動プロビジョニング] で [オン] を選択します。
3. 既定のワークスペース構成の場合は、Security Center によって作成されたワークスペースを使用 (既定) のままにします。
4. [ セキュリティ イベント ] で、[ 共通] の既定のオプションをそのまま使用します。
5. ページの上部にある [ 保存] をクリックします。

その後、Security Center データ収集エージェントがすべての VM にインストールされ、データ収集が開始されます。

セキュリティ ポリシーを設定する

セキュリティ ポリシーは、Security Center がデータを収集して推奨事項を作成する項目を定義するために使用されます。 さまざまな Azure リソース セットに異なるセキュリティ ポリシーを適用できます。 既定では、Azure リソースはすべてのポリシー項目に対して評価されますが、すべての Azure リソースまたはリソース グループに対して個別のポリシー項目をオフにすることができます。 Security Center のセキュリティ ポリシーの詳細については、「 Azure Security Center でのセキュリティ ポリシーの設定」を参照してください。

サブスクリプション全体のセキュリティ ポリシーを設定するには:

1. Security Center ダッシュボードで、[ セキュリティ ポリシー ] を選択し、サブスクリプションを選択します。
2. [ セキュリティ ポリシー ] ブレードで、[ セキュリティ ポリシー] を選択します。
3. [ セキュリティ ポリシー - セキュリティ ポリシー ] ブレードで、サブスクリプションに適用するポリシー項目をオンまたはオフにします。
4. 設定の選択が完了したら、ブレードの上部にある [保存] を選択します。

VM 構成の正常性を表示する

データ収集を有効にしてセキュリティ ポリシーを設定すると、Security Center はアラートと推奨事項の提供を開始します。 VM がデプロイされると、データ収集エージェントがインストールされます。 その後、Security Center に新しい VM のデータが設定されます。 VM 構成の正常性の詳細については、「 Security Center での VM の保護」を参照してください。

データが収集されると、各 VM と関連する Azure リソースのリソース正常性が集計されます。 この情報は、読みやすいグラフに表示されます。

リソースの正常性を表示するには:

1. Security Center ダッシュボードの [ 防止] で、[コンピューティング] を選択 します。
2. [ コンピューティング ] ブレードで、 VM とコンピューターを選択します。 このビューには、すべての VM の構成状態の概要が表示されます。

VM のすべての推奨事項を表示するには、VM を選択します。

構成の問題を修復する

Security Center で構成データの設定が開始されると、設定したセキュリティ ポリシーに基づいて推奨事項が作成されます。 たとえば、ネットワーク セキュリティ グループが関連付けられていない VM が設定されている場合は、VM を作成することをお勧めします。

すべての推奨事項の一覧を表示するには:

1. Security Center ダッシュボードで、[推奨事項] を選択 します。
2. 特定の推奨事項を選択します。 推奨事項が適用されるすべてのリソースの一覧が表示されます。
3. 推奨事項を適用するには、リソースを選択します。
4. 修復手順の手順に従います。

多くの場合、Security Center には、Security Center を離れることなく推奨事項に対処するために実行できる実用的な手順が用意されています。 次の例では、Security Center は、無制限の受信規則を持つネットワーク セキュリティ グループを検出します。 推奨事項ページで、[ 受信規則の編集 ] ボタンを選択できます。 ルールを変更するために必要な UI が表示されます。

推奨事項は修復されると、解決済みとしてマークされます。

検出された脅威を表示する

リソース構成の推奨事項に加えて、Security Center には脅威検出アラートが表示されます。 セキュリティ アラート機能は、各 VM、Azure ネットワーク ログ、接続されたパートナー ソリューションから収集されたデータを集計して、Azure リソースに対するセキュリティ上の脅威を検出します。 Security Center の脅威検出機能の詳細については、「 Security Center で脅威を検出する方法」を参照してください。

セキュリティ アラート機能では、Security Center の価格レベルを Free から Standard に引き上げることが必要です。 このより高い価格レベルに移行すると、 無料試用版 を利用できます。

価格レベルを変更するには:

1. Security Center ダッシュボードで、[ セキュリティ ポリシー] をクリックし、サブスクリプションを選択します。
2. [価格レベル] を選択します。
3. [ 標準 ] を選択し、ブレードの上部にある [保存 ] をクリックします。

価格レベルを変更すると、セキュリティの脅威が検出されると、セキュリティ アラート グラフが表示され始めます。

アラートを選択して情報を表示します。 たとえば、脅威、検出時間、すべての脅威の試行、推奨される修復の説明を確認できます。 次の例では、RDP ブルート フォース攻撃が検出され、RDP 試行が 294 回失敗しました。 推奨される解決策が提供されます。

次のステップ

このチュートリアルでは、Azure Security Center を設定し、Security Center で VM を確認しました。 以下の方法を学習しました。

次のチュートリアルに進み、Jenkins、GitHub、Docker を使用した CI/CD パイプラインの作成の詳細を確認してください。