Azure Security Centerのセキュリティデータ収集

シェアする

  • このエントリーをはてなブックマークに追加

以前の記事[Azureセキュリティ強化(Security Center)]で紹介した通り、Azure Security Centerは、Azure上リソースのセキュリティ確保のためのソリューションです。

今回は、Azure Security Centerのセキュリティデータ収集について解説します。

Security Center では、仮想マシンからデータを収集して、そのセキュリティ状態の評価、セキュリティ推奨事項の提供、脅威についての警告を行います。 最初にセキュリティ センターにアクセスするときは、サブスクリプション内のすべての仮想マシンに対してデータ収集が有効になっています。

データ収集を有効にする手順

Azure サブスクリプションのデータ収集の有効化は、セキュリティ ポリシーで行うことができます。 データ収集を有効にするには、Azure Portal にサインインして、[参照]、[セキュリティ センター]、[ポリシー] の順に選択します。 [データ収集] を [オン] に設定し、収集するデータのストレージ アカウントを構成します (質問「データはどこに格納されますか」を参照)。 データ収集 が有効になっていると、サブスクリプション内のすべてのサポートされている仮想マシンからセキュリティの構成とイベントの情報が自動的に収集されます。

!ポイント

セキュリティ ポリシーは Azure サブスクリプション レベルとリソース グループ レベルで設定できますが、データ収集の構成を行うことができるのはサブスクリプション レベルのみです。

データ収集の無効化

サブスクリプションのデータ収集は、Azure Portal にサインインして、[参照]、[セキュリティ センター]、[ポリシー] の順に選択します。サブスクリプションを選択すると、新しいブレードが開き、データ収集をオフにするオプションが表示されます。 Azure 監視エージェントは、データの収集をオフにすると自動的にサブスクリプションの既存の仮想マシンから削除されます。

セキュリティデータ収集のQA

Q1:データ収集を有効した時のAzure内部的な処理は?

A1:自動でAzure Monitoring Agent と Azure セキュリティの監視拡張機能を使用して有効にします。 Azure セキュリティの監視拡張機能では、さまざまなセキュリティ関連の構成をスキャンして、Windows イベント トレーシング (ETW) トレースに送信します。 さらに、オペレーティング システムでは、イベント ログ エントリが作成されます。 Azure Monitoring Agent は、イベント ログ エントリと ETW トレースを読み取り、分析のためにそれらをストレージ アカウントにコピーします。 これは、セキュリティ ポリシーで構成したストレージ アカウントです。

Q2:Monitoring Agent やセキュリティの監視拡張機能は、サーバーのパフォーマンスに影響しますか?

A2:エージェントと拡張機能は、システム リソースのわずかな量しか消費しないため、パフォーマンスにほとんど影響しません。

Q3:セキュリティデータはどこに格納されますか?

各リージョンに対してストレージ アカウントを選ばないと、ストレージ アカウントが自動的に作成されて、securitydata リソース グループに追加されます。※2017年6月から段階的に新プラットフォームに移行

ひと言コメント

エージェント導入やストレージアカウント作成まで自動で実行してくれるので、コスト意識が薄れてしまうが、サービス利用状況は理解しないと、請求書をみたら目玉が飛び出るービックリサプライズはありえそうです。

SecurityCenterの課金については、ここで纏めてます。

スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする