Azureには、セキュリティ ポリシーとメカニズムのギャップを特定するのに役立つ、構成可能なセキュリティ監査とログ記録のオプションが多数用意されています。 この記事では、Azureでホストされているサービスからのセキュリティ ログの生成、収集、および分析について説明します。
注意
この記事で紹介しているいくつかの推奨事項に従った結果、データ、ネットワーク、またはコンピューティング リソースの使用量が増加したり、ライセンスまたはサブスクリプションのコストが増加したりする場合があります。
Azureのログの種類
クラウド アプリケーションは、動的なパーツを多数使った複雑な構成になっています。 ログ データは、アプリケーションに関する分析情報を提供し、次のことを支援します。
- これまでに発生した問題のトラブルシューティングや潜在的な問題の防止
- アプリケーションのパフォーマンスや保守容易性の向上
- 手動操作を必要とするアクションの自動化
Azureログは、次の種類に分類されます。
Control/management logs Azure Resource Manager CREATE、UPDATE、DELETE 操作に関する情報が提供されます。 詳細については、「
Azure アクティビティ ログ。 Data プレーン ログはAzureリソースの使用状況の一部として発生したイベントに関する情報を提供します。 この種類のログの例としては、仮想マシン (VM) のWindowsイベント システム、セキュリティ、アプリケーション ログと、Azure Monitorを使用して構成される diagnostics ログがあります。
処理済みイベント: ユーザーに代わって処理された分析済みのイベント/アラートに関する情報を提供します。 この種類の例として、Microsoft Defender for CloudアラートMicrosoft Defender for Cloudがサブスクリプションを処理して分析し、簡潔なセキュリティ アラートを提供します。
次の表に、Azureで使用できるログの最も重要な種類を示します。
| ログのカテゴリ | ログのタイプ | 使用法 | 統合 |
|---|---|---|---|
| アクティビティ ログ | Azure Resource Manager リソースにおける制御プレーンのイベント | サブスクリプションのリソースに対して実行された操作に関する分析情報を提供します。 | REST API、Azure Monitor |
| Azure リソース ログ | サブスクリプション内のAzure Resource Manager リソースの操作に関する頻繁なデータ | リソース自体が実行した操作に関する分析情報を提供します。 | Azure Monitor |
| Microsoft Entra ID レポート | ログとレポート | ユーザーのサインイン アクティビティと、ユーザーおよびグループの管理に関するシステム アクティビティの情報を報告します。 | Microsoft Graph |
| 仮想マシンとクラウド サービス | Windows イベント ログ サービスと Linux Syslog | 仮想マシンのシステム データとログ データを取り込み、そのデータを任意のストレージ アカウントに転送します。 | Azure Monitor のWindows (Azure Diagnostics ストレージを使用) と Linux |
| Azure Storage Analytics | ストレージ ログ (ストレージ アカウントのメトリック データの提供) | トレース要求に関する分析情報を提供し、使用傾向を分析して、ストレージ アカウントの問題を診断します。 | REST API またはクライアント ライブラリ |
| ネットワーク セキュリティ グループ (NSG) フロー ログ | JSON 形式 (送信および受信のフローをルールごとに表示) | ネットワーク セキュリティ グループを介したイングレスおよびエグレス IP トラフィックに関する情報を表示します。 | Azure Network Watcher |
| Application Insight | ログ、例外、カスタム診断 | 複数のプラットフォームの Web 開発者向けにアプリケーション パフォーマンス管理 (APM) サービスを提供します。 | REST API、Power BI |
| データの処理/セキュリティ アラート | Microsoft Defender for Cloud のアラート、Azure Monitor ログのアラート | セキュリティに関する情報と警告を提供します。 | REST API、JSON |
オンプレミスの SIEM システムとのログ統合
Integrating Defender for Cloud アラートでは、Defender for Cloud アラート、Azure診断ログによって収集された仮想マシン セキュリティ イベント、および監査ログを、Azure Monitor ログまたは SIEM ソリューションと連携する方法について説明します。
次のステップ
監査とログ: 可視性の維持と、タイムリーなセキュリティ アラートへの迅速な対応により、データを保護します。
サイト コレクションの監査設定を構成する: サイト コレクションの管理者の場合、個々のユーザーのアクションの履歴と特定の期間内に行われたアクションの履歴を取得します。
Microsoft Defender ポータルで監査ログを検索します: Microsoft Defender ポータルを使用して統合監査ログを検索し、組織内のユーザーと管理者のアクティビティを表示します。