セキュリティ コントロール v3: ログと脅威検出

ログと脅威検出では、Azure での脅威の検出や Azure サービスの監査ログの有効化、収集、および格納を行うコントロールを対象とします。たとえば、Azure サービスのネイティブ脅威検出を使用して高品質アラートを生成するコントロールによる検出、調査、修復のプロセスの有効化のほか、Azure Monitor によるログの収集、Azure Sentinel によるセキュリティ分析の一元化、時間の同期、およびログの保持などがあります。

LT-1: 脅威検出機能を有効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

セキュリティ原則: 脅威検出シナリオをサポートするには、既知の脅威と予期される脅威と異常について、すべての既知のリソースの種類を監視します。 誤検知を減らすために、ログ データ、エージェント、または他のデータ ソースから高品質のアラートを抽出できるよう、アラートのフィルター処理と分析ルールを構成します。

Azure ガイダンス: Microsoft Defender for Cloud の Azure Defender の脅威検出機能を、それぞれの Azure サービスに使用します。

Azure Defender サービスに含まれていない脅威検出については、各サービスの Azure セキュリティ ベンチマークのサービス ベースラインを参照して、サービス内の脅威検出またはセキュリティ アラート機能を有効にします。 Azure Monitor または Azure Sentinel にアラートを抽出して分析ルールを構築し、環境全体で特定の条件に一致する脅威を探します。

産業用制御システム (ICS) または監視データとデータ取得 (SCADA) リソースを制御または監視するコンピューターを含む運用テクノロジ (OT) 環境では、Defender for IoT を使用して資産をインベントリし、脅威と脆弱性を検出します。

ネイティブの脅威検出機能を持たないサービスについては、Azure Sentinel を介してデータ プレーン ログを収集し、脅威を分析することを検討してください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-2: ID およびアクセス管理の脅威検出を有効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

セキュリティ原則: ユーザーとアプリケーションのサインインとアクセスの異常を監視することで、ID とアクセス管理の脅威を検出します。 ログイン試行の失敗回数が多すぎる、サブスクリプション内の非推奨のアカウントなどの動作パターンについては、アラートする必要があります。

Azure ガイダンス: Azure AD では、次のログが記録され、これは Azure AD レポートで確認できます。また、より高度な監視と分析のユース ケースの場合は、Azure Monitor、Azure Sentinel、またはその他の SIEM/監視ツールと統合できます。

  • サインイン: サインイン レポートでは、マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報が得られます。
  • 監査ログ: Azure AD 内のさまざまな機能によって行われたすべての変更についてログによる追跡可能性を提供します。 監査ログの例として、ユーザー、アプリ、グループ、ロール、ポリシーの追加や削除など、Azure AD 内のあらゆるリソースに加えられた変更があります。
  • 危険なサインイン:危険なサインインは、ユーザー アカウントの正当な所有者ではない人によってサインインが試行された可能性があることを示す指標です。
  • リスクのフラグ付きユーザー: リスクの高いユーザーは、侵害された可能性があるユーザー アカウントの指標です。

Azure AD ではユーザー アカウントとサインイン動作に関連するリスクを検出して修復する Identity Protection モジュールも提供されます。 リスクの例としては、資格情報の漏洩、匿名またはマルウェアにリンクされた IP アドレスからのサインイン、パスワード スプレーが含まれます。 Azure AD Identity Protection のポリシーを使用すると、ユーザー アカウントで Azure 条件付きアクセスと組み合わせて、リスクベースの MFA 認証を適用できます。

さらに、Microsoft Defender for Cloud では、サブスクリプションでの非推奨アカウントや、認証試行の失敗回数が多すぎるなどの不審なアクティビティに対してアラートを生成することもできます。 Microsoft Defender for Cloud の脅威保護モジュールでは、基本的なセキュリティ検疫監視に加えて、個々の Azure コンピューティング リソース (仮想マシン、コンテナー、アプリ サービスなど)、データ リソース (SQL DB、ストレージなど)、Azure サービス レイヤーから、さらに詳細なセキュリティ アラートを収集することもできます。 この機能を使用すると、個々のリソース内でアカウントの異常を確認できます。

注: 同期のためにオンプレミスの Active Directory を接続する場合は、Microsoft Defender for Identity ソリューションを使用して オンプレミスの Active Directory シグナルを使用して、高度な脅威、侵害された ID、および組織に向けられた悪意のある内部関係者のアクションを特定、検出、調査します。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-3: セキュリティ調査のためのログを有効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2、8.5、8.12 AU-3、AU-6、AU-12、SI-4 10.1、10.2、10.3

セキュリティ原則: クラウド リソースのログ記録を有効にして、セキュリティ インシデント調査、セキュリティ対応、コンプライアンスの目的の要件を満たします。

Azure ガイダンス: Azure リソース、VM 内のオペレーティング システム、アプリケーションのログなど、さまざまなレベルのリソースに対してログ機能を有効にします。

セキュリティ、監査、その他の操作ログについては、管理/コントロール プレーン層とデータ プレーン層におけるさまざまな種類のログに注意してください。 Azure プラットフォームで使用できるログには、次の 3 種類があります。

  • Azure リソース ログ: Azure リソース (データ プレーン) 内で実行される操作のログ記録。 これには、キー コンテナーからのシークレットの取得や、データベースへの要求などが含まれます。 リソース ログの内容は、Azure サービスとリソースの種類によって異なります。
  • Azure アクティビティ ログ: サブスクリプション レイヤーの各 Azure リソースに対する外部 (管理プレーン) からの操作のログ記録。 アクティビティ ログを使用して、サブスクリプションのリソースに対して行われるすべての書き込み操作 (PUT、POST、DELETE) について、何を、誰が、いつ行ったのかを確認できます。 Azure サブスクリプションごとに 1 つのアクティビティ ログがあります。
  • Azure Active Directory ログ: サインイン アクティビティの履歴と、特定のテナントに対して Azure Active Directory で行われた変更の監査証跡が含まれます。

Microsoft Defender for Cloud と Azure Policy を使用してリソース ログと Azure リソースでのログ データの収集を有効にできます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-4: セキュリティ調査のためのネットワーク ログを有効にする

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2、8.5、8.6、8.7、13.6 AU-3、AU-6、AU-12、SI-4 10.8

セキュリティ原則: ネットワーク サービスのログ記録を有効にして、ネットワーク関連のインシデント調査、脅威ハンティング、セキュリティ アラートの生成をサポートします。 ネットワーク ログには、IP フィルタリング、ネットワークおよびアプリケーション ファイアウォール、DNS、フロー監視などのネットワーク サービスからのログが含まれる場合があります。

Azure ガイダンス: セキュリティ分析で、インシデント調査、セキュリティ アラートの生成をサポートするために、ネットワーク セキュリティ グループ (NSG) のリソース ログ、NSG フロー ログ、Azure Firewall ログ、Web アプリケーション ファイアウォール (WAF) ログを有効にして収集します。 Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

他のネットワーク データの関連付けを支援するために、DNS クエリ ログを収集するようにしてください。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-5:セキュリティ ログの管理と分析を一元化する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.9、8.11、13.1 AU-3、AU-6、AU-12、SI-4 なし

セキュリティ原則: ログ のストレージと分析を一元化して、ログ データ間の相関関係を有効にします。 ログ ソースごとに、データ所有者、アクセス ガイダンス、ストレージの場所、データの処理とアクセスに使用するツール、データ保持の要件を割り当てたことを確認します。

Azure ガイダンス: Azure アクティビティ ログを一元化された Log Analytics ワークスペースに統合します。 Azure Monitor を使用してクエリと分析を実行し、Azure サービス、エンドポイント デバイス、ネットワーク リソース、その他のセキュリティ システムから集約したログを使用したアラート規則を作成します。

さらに、セキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供する Azure Sentinel に対してデータを有効にしてオンボードします。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-6:ログの保持期間を構成する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.3、8.10 AU-11 10.5、10.7

セキュリティ原則: コンプライアンス、規制、ビジネス要件に従ってログ保持戦略を計画します。 ログが適切にアーカイブされるのを確認するために、個々のログ サービスでログ保持ポリシーを構成します。

Azure ガイダンス: Azure アクティビティ ログ イベントなどのログは、90 日間保持された後、削除されます。 診断設定を作成し、ニーズに基づいてログ エントリを別の場所 (Azure Monitor Log Analytics ワークスペース、Event Hubs、Azure Storage など) にルーティングする必要があります。 この戦略は、VM 内のオペレーティング システムやアプリケーションのログなど、自分自身で管理している他のリソース ログとリソースにも適用されます。

ログ保持オプションは次のとおりです。

  • Azure Monitor Log Analytics ワークスペースを使用して、最大 1 年間、または応答チームの要件に従ってログ保持期間を設定します。
  • Azure Storage、データ エクスプローラー、またはデータ レイクを使用して、1 年以上の長期およびアーカイブ ストレージを実現し、セキュリティ コンプライアンス要件を満たします。
  • Azure Event Hubs を使用し、Azure の外部にログを転送します。

注: Azure Sentinel は、Log Analytics ワークスペースをログ ストレージのバックエンドとして使用します。 SIEM ログを長時間保持する場合は、長期的なストレージ戦略を検討する必要があります。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):

LT-7:承認された時刻同期ソースを使用する

CIS Controls v8 ID NNIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.4 AU-8 10.4

セキュリティ原則: 日付、時刻、タイム ゾーン情報を含むログ タイム スタンプには、承認済みの時刻の同期ソースを使用します。

Azure ガイダンス: Microsoft は、ほとんどの Azure PaaS および SaaS サービスのタイム ソースを保守しています。 コンピューティング リソースのオペレーティング システムでは、特定の要件がない限り、時刻の同期に Microsoft の既定の NTP サーバーを使用します。 独自のネットワーク タイム プロトコル (NTP) サーバーを立ち上げる必要がある場合は、UDP サービス ポート 123 をセキュリティで保護してください。

Azure 内のリソースによって生成されるすべてのログでは、既定で指定されたタイム ゾーンを使用してタイム スタンプが付けられます。

実装と追加のコンテキスト:

顧客のセキュリティ上の利害関係者 (詳細):