ログと脅威の検出では、Azure 上の脅威を検出し、Azure サービスの監査ログを有効、収集、および格納するためのコントロールについて説明します。これには、Azure サービスでネイティブの脅威検出を使用して高品質のアラートを生成するコントロールを使用した検出、調査、修復プロセスの有効化などです。また、Azure Monitor でのログの収集、Azure Sentinel を使用したセキュリティ分析の一元化、時刻同期、ログの保持も含まれます。
LT-1: 脅威検出機能を有効にする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
セキュリティ原則: 脅威検出シナリオをサポートするには、既知のリソースの種類と予想される脅威と異常をすべて監視します。 ログ データ、エージェント、またはその他のデータ ソースから高品質のアラートを抽出して誤検知を減らすために、アラートのフィルター処理と分析ルールを構成します。
Azure ガイダンス: それぞれの Azure サービスに対して、Microsoft Defender for Cloud の Azure Defender サービスの脅威検出機能を使用します。
Azure Defender サービスに含まれていない脅威検出については、それぞれのサービスの Azure セキュリティ ベンチマーク サービス ベースラインを参照して、サービス内の脅威検出またはセキュリティ アラート機能を有効にします。 アラートを Azure Monitor または Azure Sentinel に抽出して分析ルールを構築します。このルールは、環境全体の特定の条件に一致する脅威を検出します。
産業用制御システム (ICS) または監督制御およびデータ取得 (SCADA) リソースを制御または監視するコンピューターを含む運用テクノロジ (OT) 環境の場合は、Defender for IoT を使用して資産のインベントリを作成し、脅威と脆弱性を検出します。
ネイティブの脅威検出機能がないサービスの場合は、データ プレーン ログを収集し、Azure Sentinel を使用して脅威を分析することを検討してください。
実装と追加のコンテキスト:
- Azure Defender の概要
- Microsoft Defender for Cloud セキュリティ アラート リファレンス ガイド
- 脅威を検出するためのカスタム分析ルールを作成する
- Azure Sentinel を使用したサイバー脅威インテリジェンス
顧客のセキュリティ利害関係者 (詳細情報):
LT-2: ID およびアクセス管理の脅威検出を有効にする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.6、10.8、A3.5 |
セキュリティ原則: ユーザーとアプリケーションのサインインとアクセスの異常を監視して、ID とアクセス管理の脅威を検出します。 ログイン試行の失敗回数が多すぎる、サブスクリプション内の非推奨のアカウントなどの動作パターンは、アラートを生成する必要があります。
Azure ガイダンス: Azure AD には、より高度な監視と分析のユース ケースのために、Azure AD レポートで表示したり、Azure Monitor、Azure Sentinel、その他の SIEM/監視ツールと統合したりできる次のログが用意されています。
- サインイン: サインイン レポートには、マネージド アプリケーションとユーザー サインイン アクティビティの使用状況に関する情報が表示されます。
- 監査ログ: Azure AD 内のさまざまな機能によって行われたすべての変更について、ログを通じて追跡可能性を提供します。 監査ログの例には、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のリソースに加えられた変更が含まれます。
- 危険なサインイン: 危険なサインインは、ユーザー アカウントの正当な所有者ではないユーザーによって実行された可能性のあるサインイン試行のインジケーターです。
- リスクのフラグが設定されたユーザー: 危険なユーザーは、侵害された可能性のあるユーザー アカウントのインジケーターです。
Azure AD には、ユーザー アカウントとサインイン動作に関連するリスクを検出して修復するための Identity Protection モジュールも用意されています。 リスクの例としては、資格情報の漏洩、匿名またはマルウェアのリンクされた IP アドレスからのサインイン、パスワード スプレーなどがあります。 Azure AD Identity Protection のポリシーを使用すると、ユーザー アカウントに対して Azure 条件付きアクセスと組み合わせてリスクベースの MFA 認証を適用できます。
さらに、Microsoft Defender for Cloud は、サブスクリプション内の非推奨のアカウントや、過剰な数の認証試行の失敗などの疑わしいアクティビティに対してアラートを生成するように構成できます。 基本的なセキュリティ検疫の監視に加えて、Microsoft Defender for Cloud の Threat Protection モジュールでは、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、App Service など)、データ リソース (SQL DB やストレージなど)、Azure サービス レイヤーから、より詳細なセキュリティ アラートを収集することもできます。 この機能を使用すると、個々のリソース内のアカウントの異常を確認できます。
注: 同期のためにオンプレミスの Active Directory を接続する場合は、Microsoft Defender for Identity ソリューションを使用して、オンプレミスの Active Directory シグナルを使用して、組織に向けられた高度な脅威、侵害された ID、悪意のある内部関係者のアクションを特定、検出、調査します。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
LT-3: セキュリティ調査のためにログ記録を有効にする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.12 | AU-3、AU-6、AU-12、SI-4 | 10.1, 10.2, 10.3 |
セキュリティ原則: セキュリティ インシデント調査とセキュリティ対応とコンプライアンスの目的の要件を満たすために、クラウド リソースのログ記録を有効にします。
Azure ガイダンス: AZURE リソースのログ、VM 内のオペレーティング システム、アプリケーション、その他のログの種類など、さまざまなレベルのリソースのログ機能を有効にします。
管理/コントロール プレーン層とデータ プレーン層のセキュリティ、監査、およびその他の操作ログの種類に注意してください。 Azure プラットフォームで使用できるログには、次の 3 種類があります。
- Azure リソース ログ: Azure リソース (データ プレーン) 内で実行される操作のログ記録。 たとえば、キー コンテナーからシークレットを取得したり、データベースに対して要求を行ったりします。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。
- Azure アクティビティ ログ: 外部 (管理プレーン) から、サブスクリプション レイヤーの各 Azure リソースに対する操作のログ記録。 アクティビティ ログを使用して、サブスクリプション内のリソースに対して実行された書き込み操作 (PUT、POST、DELETE) の内容、ユーザー、およびタイミングを確認できます。 Azure サブスクリプションごとに 1 つのアクティビティ ログがあります。
- Azure Active Directory ログ: サインイン アクティビティの履歴と、特定のテナントに対して Azure Active Directory で行われた変更の監査証跡のログ。
Microsoft Defender for Cloud と Azure Policy を使用して、Azure リソースのリソース ログとログ データの収集を有効にすることもできます。
実装と追加のコンテキスト:
- Azure でのログ記録とさまざまなログの種類について
- Microsoft Defender for Cloud データ収集について
- マルウェア対策の監視を有効にして構成する
- コンピューティング リソース内のオペレーティング システムとアプリケーション ログを
顧客のセキュリティ利害関係者 (詳細情報):
LT-4: セキュリティ調査のためにネットワーク ログを有効にする
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.6, 8.7, 13.6 | AU-3、AU-6、AU-12、SI-4 | 10.8 |
セキュリティ原則: ネットワーク関連のインシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートするために、ネットワーク サービスのログ記録を有効にします。 ネットワーク ログには、IP フィルタリング、ネットワークおよびアプリケーション ファイアウォール、DNS、フロー監視などのネットワーク サービスからのログが含まれる場合があります。
Azure ガイダンス: ネットワーク セキュリティ グループ (NSG) リソース ログ、NSG フロー ログ、Azure Firewall ログ、および Web アプリケーション ファイアウォール (WAF) ログを有効にして収集し、インシデント調査とセキュリティ アラートの生成をサポートするためのセキュリティ分析を行います。 フロー ログを Azure Monitor Log Analytics ワークスペースに送信し、Traffic Analytics を使用して分析情報を提供できます。
他のネットワーク データの関連付けに役立つ DNS クエリ ログを収集します。
実装と追加のコンテキスト:
- ネットワーク セキュリティ グループのフロー ログを有効にする方法
- Azure Firewall のログとメトリック
- Azure Monitor の Azure ネットワーク監視ソリューション
- DNS Analytics ソリューションを使用して DNS インフラストラクチャに関する分析情報を収集する
顧客のセキュリティ利害関係者 (詳細情報):
LT-5: セキュリティ ログの管理と分析を一元化する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.9, 8.11, 13.1 | AU-3、AU-6、AU-12、SI-4 | なし |
セキュリティ原則: ログ ストレージと分析を一元化して、ログ データ間の相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用されるツール、およびデータ保持要件が割り当てられていることを確認します。
Azure ガイダンス: Azure アクティビティ ログを一元化された Log Analytics ワークスペースに統合していることを確認します。 Azure Monitor を使用してクエリを実行し、分析を実行し、Azure サービス、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムから集計されたログを使用してアラート ルールを作成します。
さらに、セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Azure Sentinel にデータを有効にしてオンボードします。
実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
LT-6: ログ ストレージのリテンション期間を構成する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.3, 8.10 | AU-11 | 10.5, 10.7 |
セキュリティ原則: コンプライアンス、規制、ビジネス要件に従ってログ保持戦略を計画します。 ログが適切にアーカイブされるように、個々のログ サービスでログ保持ポリシーを構成します。
Azure ガイダンス: Azure アクティビティ ログ イベントなどのログは 90 日間保持され、削除されます。 診断設定を作成し、ニーズに基づいてログ エントリを別の場所 (Azure Monitor Log Analytics ワークスペース、Event Hubs、Azure Storage など) にルーティングする必要があります。 この戦略は、VM 内のオペレーティング システムやアプリケーションのログなど、自分で管理する他のリソース ログやリソースにも適用されます。
ログリテンション期間オプションは次のとおりです。
- Azure Monitor Log Analytics ワークスペースは、最大 1 年間のログ保有期間、または応答チームの要件に従って使用します。
- Azure Storage、Data Explorer、または Data Lake を使用して、1 年以上の長期およびアーカイブ ストレージを使用し、セキュリティ コンプライアンス要件を満たします。
- Azure Event Hubs を使用して、Azure の外部にログを転送します。
注: Azure Sentinel では、Log Analytics ワークスペースをログ ストレージのバックエンドとして使用します。 SIEM ログを長期間保持する予定の場合は、長期的なストレージ戦略を検討する必要があります。
実装と追加のコンテキスト:
- Log Analytics のデータ保有期間を変更する
- Azure Storage アカウント ログの保持ポリシーを構成する方法
- Microsoft Defender for Cloud のアラートと推奨事項のエクスポート
顧客のセキュリティ利害関係者 (詳細情報):
LT-7: 承認された時刻同期ソースを使用する
| CIS Controls v8 ID | NIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 8.4 | AU-8 | 10.4 |
セキュリティ原則: 日付、時刻、タイム ゾーンの情報を含むログタイムスタンプには、承認された時刻同期ソースを使用します。
Azure ガイダンス: Microsoft は、ほとんどの Azure PaaS サービスと SaaS サービスのタイム ソースを維持しています。 コンピューティング リソースのオペレーティング システムでは、特定の要件がない限り、時刻同期に Microsoft の既定の NTP サーバーを使用します。 独自のネットワーク タイム プロトコル (NTP) サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。
Azure 内のリソースによって生成されるすべてのログには、既定で指定されたタイム ゾーンを含むタイム スタンプが用意されています。
実装と追加のコンテキスト:
- Azure Windows コンピューティング リソースの時刻同期を構成する方法
- Azure Linux コンピューティング リソースの時刻同期を構成する方法
- Azure サービスの受信 UDP を無効にする方法
顧客のセキュリティ利害関係者 (詳細情報):