注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
セキュリティ ログ記録と監視は、Azure サービスの監査ログの有効化、取得、保存に関連するアクティビティに重点を置いています。
2.1:承認された時刻同期ソースを使用する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.1 | 6.1 | Microsoft |
Microsoft は Azure リソースのタイム ソースを保持していますが、コンピューティング リソースの時刻同期設定を管理するオプションがあります。
2.2:セキュリティ ログの一元管理を構成する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.2 | 6.5, 6.6 | カスタマー |
Azure Monitor を使用してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されたセキュリティ データを集計します。 Azure Monitor 内では、Log Analytics ワークスペースを使用してクエリと分析を実行し、Azure Storage アカウントを使用して長期/アーカイブ ストレージを使用します。
または、データを有効にして Azure Sentinel またはサードパーティの SIEM にオンボードすることもできます。
2.3:Azure リソースの監査ログ記録を有効にする
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.3 | 6.2, 6.3 | カスタマー |
監査ログ、セキュリティログ、診断ログにアクセスするために、Azure リソースの診断設定を有効にします。 自動的に使用できるアクティビティ ログには、イベント ソース、日付、ユーザー、タイムスタンプ、ソース アドレス、宛先アドレス、およびその他の便利な要素が含まれます。
2.4:オペレーティング システムからセキュリティ ログを収集する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.4 | 6.2, 6.3 | カスタマー |
コンピューティング リソースが Microsoft によって所有されている場合、Microsoft はそれを監視する責任があります。 コンピューティング リソースが組織によって所有されている場合は、それを監視するのはユーザーの責任です。 Azure Security Center を使用して OS を監視できます。 Security Center によってオペレーティング システムから収集されるデータには、OS の種類とバージョン、OS (Windows イベント ログ)、実行中のプロセス、コンピューター名、IP アドレス、ログイン ユーザーが含まれます。 Log Analytics エージェントは、クラッシュ ダンプ ファイルも収集します。
2.5:セキュリティ ログのストレージ保持を構成する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.5 | 6.4 | カスタマー |
Azure Monitor 内で、組織のコンプライアンス規則に従って Log Analytics ワークスペースの保持期間を設定します。 Azure Storage アカウントは、長期/アーカイブ ストレージに使用します。
2.6: ログの監視と確認
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.6 | 6.7 | カスタマー |
異常な動作がないかログを分析および監視し、結果を定期的に確認します。 Azure Monitor の Log Analytics ワークスペースを使用して、ログを確認し、ログ データに対してクエリを実行します。
または、データを有効にして Azure Sentinel またはサードパーティの SIEM にオンボードすることもできます。
2.7: 異常なアクティビティのアラートを有効にする
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.7 | 6.8 | カスタマー |
Azure Security Center と Log Analytics ワークスペースを使用して、セキュリティ ログとイベントで見つかった異常なアクティビティを監視し、アラートを生成します。
または、データを有効にして Azure Sentinel にオンボードすることもできます。
2.8:マルウェア対策ログを一元化する
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.8 | 8.6 | カスタマー |
Azure Virtual Machines と Cloud Services のマルウェア対策イベント収集を有効にします。
2.9: DNS クエリのログ記録を有効にする
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.9 | 8.7 | カスタマー |
Azure Marketplace からサードパーティ ソリューションを実装して、組織のニーズに応じて DNS ログ ソリューションを実現します。
2.10: コマンドライン監査ログを有効にする
| Azure ID | CISのID | 責任 |
|---|---|---|
| 2.10 | 8.8 | カスタマー |
サポートされているすべての Azure Windows 仮想マシンで Microsoft Monitoring Agent を使用して、プロセス作成イベントと CommandLine フィールドをログに記録します。 サポートされている Azure Linux 仮想マシンでは、ノードごとにコンソール ログを手動で構成し、Syslog を使用してデータを格納できます。 また、Azure Monitor の Log Analytics ワークスペースを使用して、ログを確認し、Azure 仮想マシンからログに記録されたデータに対してクエリを実行します。
次のステップ
- 次のセキュリティ制御: ID とアクセス制御を参照してください。