Microsoft Azureプラットフォームログのセキュリティモニタリングはどうやるかクラウドセキュリティモニタリングのベストプラクティス(3)(1/3 ページ)

クラウド/クラウドネイティブのログをセキュリティの観点でモニタリングするベストプラクティスを紹介する本連載。第3回はMicrosoft Azureプラットフォームログのセキュリティモニタリングについて解説する。

» 2023年08月10日 05時00分 公開

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

*本連載では、Datadogのホワイトペーパーよりベンダー中立的な部分を抜粋し、@ITの表記ルールに合わせるために改変を加えています。(編集部)

 Microsoft Azureは、あらゆる業界の企業がフルスケールのWebアプリケーションをデプロイ、管理、モニタリングするためのクラウドコンピューティングサービスを提供している。Azureベースのアプリケーションを拡張するときには、クラウドリソースのあらゆる領域でセキュリティを確保することが複雑な課題となる。Azureプラットフォームログは、自社環境におけるユーザーのアクティビティとサービスアカウントのアクティビティを誰が、どこで、いつ実行したかを記録する。システム全体に拡散して深刻な問題を引き起こす前に、悪意のあるアクティビティを特定するには、Azureプラットフォームログを収集および分析し、Azureアセットのセキュリティをモニタリングすることが不可欠である。

 本稿では、以下のトピックについて解説する。

  • Azureプラットフォームログのタイプと構造
  • モニタリングする必要がある重要な Azureプラットフォームログ
  • Azureログの収集

 Azureログの詳細を説明する前に、Azureリソースディレクトリの階層構造を理解しておくことが重要である。階層構造を理解しておくと、これらのログを正しく解釈して適切に対応できる。

 Azureは、「Azure Active Directory(Azure AD)」を使用して、「テナント」と呼ばれる組織内のリソースについて、IDとアクセスの管理(IAM)を行う。Azure ADは、リソースへのアクセス許可が設定されているユーザーやサービスを構造化するために、テナントのクラウドリソースを「管理グループ」「サブスクリプション」「リソースグループ」「リソース」の4つのレベルのディレクトリ構造に整理している。これらのレベルは階層構造になっており、高位のレベルのエンティティに設定されたアクセス権は、そのエンティティの全てのサブリソースに継承される。各テナントの Azure AD 階層の最上位には、「ルート管理グループ」がある。このグループは、ディレクトリの残りの部分に適用されるグローバルポリシーを制御する。

 Azure ADは、ディレクトリの全てのリソースにマネージドIDを作成する。このIDは、そのリソースのリソースグループとサブスクリプションに基づいてアクセス認証情報を提供する。ユーザーやリソースがアクション(ストレージバケットからの読み込みやVMの作成など)を実行するときには、Azure ADからアクセストークンを要求する。このトークンはリクエスト認証時に使用され、リクエストはログに記録される。これには、自社環境で実行されたアクションに関する詳細な情報が含まれる。

Azureプラットフォームログを理解する

 Microsoft Azureは、次の3つのカテゴリのプラットフォームログを生成して、異なるタイプのアクションを記録する。

  • 「Azure Active Directoryログ」には、Azure ADで行われた変更とログインアクティビティが詳細に記録される。
  • 「アクティビティログ」には、仮想マシン(VM)の作成などAzureリソースに対する操作が記録される(コントロールプレーンから実行された操作)。アクティビティログには、サービス正常性イベントも記録される。
  • 「リソースログ」には、データベースのクエリやストレージバケットへの書き込みなど、Azure リソース内で実行された操作(データプレーンから実行された操作)が記録される。

 次のセクションでは、各ログのタイプと、Azureが全てのログに追加するcategoryフィールドを確認して、ログタイプを区別する方法を説明する。

Azure Active Directoryログ

 Azure Active Directoryログには、ADユーザーとそのリソースへのアクセスに関連する全ての認証アクティビティの詳細が記録されるため、リソースを使用しているユーザー、ユーザーに権限を委譲している管理者、セキュリティ上の懸念のあるユーザーなど、重要な情報を追跡するのに役立つ。Azure ADログは、ADポータルで直接確認できる。

 Azure ADログには、「アクティビティログ」と「セキュリティレポート」の2つのサブタイプがある。アクティビティログには、サインインのような組織のユーザーによるアクションや全てのユーザーの認証情報の変更が記録される。ユーザーのサインインを記録するアクティビティログのCategoryフィールドにはSign-Inが含まれる。認証情報が変更された場合にはログにPolicyが含まれる。

 セキュリティレポートには、サインインに何度も失敗したり、これまでとは異なる国からアクセスしたりするなどの異常な(潜在的に悪意のある)ユーザーアクティビティが記録される。この場合、アクティビティログと同じように、これらのログの categoryタイプにはそれぞれ、 Sign-InまたはAudit logsが追加される。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。