次の方法で共有

ネットワーク セキュリティ境界を使用した Azure Monitor のシナリオ

ネットワーク セキュリティ境界 を使用すると、サポートされている Azure Monitor リソースのネットワーク分離設定を使用してネットワーク アクセスを制御できます。 この記事では、Azure Monitor のさまざまな一般的なシナリオのネットワーク セキュリティ境界の構成について説明します。

Azure Monitor のデータ収集シナリオ

Azure Monitor エージェント (AMA)

Azure Monitor エージェント (AMA) は、Azure Monitor の機能であり、Azure、オンプレミス、またはその他のクラウド環境全体の仮想マシンからパフォーマンス テレメトリを収集します。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • IP ベースの規則が指定され、ソース リソースの IP アドレスと一致する場合は、トラフィックを許可します。
  • 移行モードのリソースの場合は許可します。
  • ソース リソースが規則 (IP アドレス) と一致しない場合は拒否します。
  • ヘッダー内のネットワーク セキュリティ境界/リソース ID 要求を無視します。

コンテナーの分析情報

Container Insights は、Azure Kubernetes クラスターまたは Azure Arc 対応 Kubernetes クラスター とそのコンポーネントからコンテナー ログを収集および分析する Azure Monitor の 機能です。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • IP ベースの規則が指定され、ソース リソースの IP アドレスと一致する場合は、トラフィックを許可します。
  • サブスクリプション ID ベースの規則が指定され、ソース サブスクリプション ID と一致するかどうかを許可します。
  • 移行モードのリソースの場合は許可します。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は拒否します。

VM Insights

VM Insights は、 Azure VM と仮想マシン スケール セットを大規模に監視します。 Windows VM と Linux VM のパフォーマンスと正常性が分析され、これらの VM のプロセスと、他のリソースおよび外部プロセスへの依存関係が監視されます。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • IP ベースの規則が指定され、ソース リソースの IP アドレスと一致する場合は、トラフィックを許可します。
  • サブスクリプション ID ベースの規則が指定され、ソース サブスクリプション ID と一致するかどうかを許可します。
  • 移行モードのリソースの場合は許可します。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は拒否します。

Azure Monitor のログ インジェスト API

Azure Monitor の ログ インジェスト API を使用すると、REST API 呼び出しまたはクライアント ライブラリを使用して Log Analytics ワークスペースにデータを送信できます。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • IP ベースの規則が指定され、ソース リソースの IP アドレスと一致する場合は、トラフィックを許可します。
  • ソース リソースが規則 (IP アドレス) と一致しない場合は拒否します。

Log Analytics ワークスペースをストレージ アカウントまたはイベント ハブにエクスポートする

データエクスポート を使用すると、Log Analytics ワークスペースからストレージ アカウントの宛先にログをエクスポートできます。

  • Log Analytics ワークスペースとストレージ アカウント/イベント ハブを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • ストレージ アカウント/イベント ハブが Log Analytics ワークスペースと同じ境界内にあるかどうかを許可します。
  • Log Analytics からストレージ アカウントへのテーブルのエクスポートは、Log Analytics ワークスペースとストレージ アカウントの両方が同じ境界内にある場合にのみサポートされます。 そうでない場合、エクスポート テーブルのトラフィックは拒否されます。

診断設定

診断設定を使用して、Azure リソースのリソース ログとメトリックを Log Analytics ワークスペース、Event Hubs、またはストレージ アカウントに収集します。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • 診断設定が構成されているプライマリ PaaS リソースと宛先が同じ境界内にある場合は、トラフィックを許可します。
  • ソース リソースが規則と一致しない場合は拒否します。

ログアナリティクス エージェント

Log Analytics エージェントは非推奨となり、Azure Monitor エージェント (AMA) に置き換えられました。 まだ Log Analytics エージェントを使用している場合は、新しいエージェントに移行する必要があります。

データ コレクター API

Data Collector API は非推奨となり、 Logs インジェスト API に置き換えられました。 まだ Data Collector API を使用している場合は、新しい API に移行する必要があります。

Log Analytics ワークスペースのクエリの利用シナリオ

単一の Log Analytics ワークスペースに対するログ クエリ

1 つの Log Analytics ワークスペースからログ データにクエリを実行します。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • IP ベースの規則が指定され、ソース リソースの IP アドレスと一致する場合にトラフィックを許可する
  • サブスクリプション ID ベースの規則が指定され、ソース サブスクリプション ID と一致するかどうかを許可する
  • 移行モードのリソースの場合は許可します。
  • 同じ境界内で許可されます。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は拒否します。

外部演算子とワークスペース間クエリを含むクエリ

  • 既定では拒否されます。 ネットワーク セキュリティ境界は、データ流出のリスクを防ぐために配置されています。

消去/データ削除 (ARM パス)

Log Analytics ワークスペースでの消去操作またはデータ削除操作

  • 既定では拒否されます。 ネットワーク セキュリティ境界は、データ流出のリスクを防ぐために配置されています。

ログ検索アラート

ログ検索アラート

Log Analytics ワークスペース内のログ検索アラートルールからログデータを取得します。

  • Log Analytics ワークスペースを、受信規則が定義されたネットワーク セキュリティ境界に関連付けます。
  • サブスクリプション ID ベースの規則が指定され、ソース サブスクリプション ID と一致するかどうかを許可します。
  • 移行モードのリソースの場合は許可します。
  • 同じ境界内で許可されます。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は拒否します。

1 つの Log Analytics ワークスペースを使用したログ検索アラート

同じネットワーク セキュリティ境界内でアクション グループが構成された 1 つの Log Analytics ワークスペースのログ検索アラート ルール。 同じ境界内のリソースに対してのみトラフィックを許可します。

  • Log Analytics ワークスペース、ログ検索アラート、およびアクション グループは、境界ルールが定義されたネットワーク セキュリティ境界に関連付けられます。
  • 移行モードのリソースの場合は許可します。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は、同じ境界内で許可されます。

複数の Log Analytics ワークスペースを使用したログ検索アラート

同じネットワーク セキュリティ境界内でアクション グループが構成された複数の Log Analytics ワークスペースを含むログ検索アラート ルール。 同じ境界内のリソースに対してのみトラフィックを許可する。それ以外の場合は、トラフィックを拒否します。

  • Log Analytics ワークスペース、ログ検索アラート、およびアクション グループは、境界ルールが定義されたネットワーク セキュリティ境界に関連付けられます。
  • 移行モードのリソースの場合は許可します。
  • 同じ境界内で許可されます。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合は拒否する

アクション グループ

通知の受信

アクション グループ は、アラート ルールによって使用される通知設定とアクションのコレクションです。

  • Log Analytics ワークスペース、ログ検索アラート、およびアクション グループは、境界ルールが定義されたネットワーク セキュリティ境界に関連付けられます。
  • サブスクリプション ID ベースの規則が指定され、ソース サブスクリプション ID と一致するかどうかを許可します。
  • ソース リソースが規則 (IP アドレス、サブスクリプション ID) と一致しない場合、すべてのリソースが同じ境界内にある場合に許可されます。

次のステップ