Azure Security Centerを触ってみた

こんにちは、ひろかずです。

Azure Security Centerで新機能が追加されたというニュースが出ました。

Azure Security Center自体について、ドキュメントを読んで、触ってみた感触について、一筆書きます。

  • やってみた記事です。悪しからず。
  • 本記事は、4/6現在のAzure Portalの状況を基にしています。

参考ドキュメント

Azure Security Center Documentation

tl;dr的な何か

ドキュメントを読んでどんなもんかを把握した上で、UIをなめて、感想を述べてます。

どんなもんかドキュメントを見てみる

何はともあれ、ドキュメントを読みます。

クイックスタート

まず、すべてのAzure サブスクリプションをSecurity Center Standardにする必要があるようです。

次に、AgentをWindows, Linuxに導入します。

Azure Security Center でのセキュリティ ソリューションの統合

目を引くのは、Azure Security Center でのセキュリティ ソリューションの統合ですね。

サードパーティのセキュリティソリューションとの統合が謳われています。

Web アプリケーション ファイアウォール (Barracuda、F5、Imperva、Fortinet、Azure Application Gateway)
次世代ファイアウォール (Check Point、Barracuda、Fortinet、Cisco、および Palo Alto Networks)
脆弱性評価 (Qualys および Rapid7)

また、既存の仕組みとも接続できるようです。

Security Center からデプロイされている Azure セキュリティ ソリューションは自動的に接続されます。 
また、次のようなその他のセキュリティ データ ソースも接続できます。

- Azure AD Identity Protection
- オンプレミスまたは他のクラウドで実行されているコンピューター
- 共通イベント形式 (CEF) をサポートするセキュリティ ソリューション
- Microsoft Advanced Threat Analytics

SIEM へのデータのエクスポート

次に目を引くのは、SIEM へのデータのエクスポートです。

  • Azure Security Center によって生成されて処理されたイベントを連携するとのことです
  • どんな情報か気になりますね
  • Azure Monitorまで自動的に繋がってるので、アドホックなクエリーを書きながら、簡易的なカスタムアラートが書けるかなと思います
  • 使い込んでみないと、良し悪しは変わらんです

Security Center の価格

Security Center の価格で見る限り、VMやインスタンス1台あたり¥1,635/月(プレビュー価格)のようです。

  • Agentを入れないと課金が発生しないので、いきなり課金発生はなさそうですね。
  • Agentの自動プロビジョニングは便利ですが。。。
  • サードパーティのセキュリティソリューション統合では、blobの課金を見たほうが良さそうです。

使ってみる

有効化

Azure PortalでSecurity Centerを選択し、[Free Trial]ボタンを押すだけです。
あっさりと、データの入ったダッシュボードが出てきました。

UIを見ていきましょう。

GENERAL

Overview

先程の画像なので省略します。

Events

既にあるOMSワークスペースが統合されてますね。これはありがたい。

OMSワークスペースを選択すると、Security Eventsの出力傾向が表示されます

注目すべきセキュリティイベントもわかりやすいですね

内訳はこんな感じでした

Search

各OMSワークスペースから、Log Analyticsに飛べます

POLICY & COMPLIANCE

Coverage

リソースのあるサブスクリプションが表示されます

Secure Score

Azure環境および、OMSに連携しているコンピュータのセキュリティ設定状況がスコア化されています。

  • Windows Defender Security Centerとはまた違った切り口ですね
  • もう少し頑張れそうです
  • スコアを上げるための推奨事項は、RESOURCE SECURITY HYGENEの項目で確認できます

Policy Managemnt

サブスクリプションとOMSワークスペースのセキュリティポリシーを設定する箇所のようですね

サブスクリプションの[Edit settings]を選択してみます

  • Micorosoft Monitoring Agentの自動展開は、デフォルトでONのようです

  • ワークスペースを選択できるようです
  • 既存のOMSワークスペースがあったとしても、Azure Security Centerを有効にすると、別のワークスペースが作成されるようですね
  • 初めて使う人がOMSワークスペースを設定する必要がないのは楽そうです

  • デフォルトでは、Micorosoft Monitoring Agentをこのワークスペースに接続しても、セキュリティイベントは収集しないようです

既存のOMSワークスペースを見てみると、Commonが設定されていますね

Regulatory compliance

コンプライアンスの準拠状況を示す箇所です

  • 準拠すべき項目を選んで、準拠状況を把握することができますね

  • どの項目が不準拠なのか、ひと目でわかります

  • 追っていくと、対象のコンピュータまで把握することができます
  • 自分でクエリーを書かなくていいので楽ですね
  • ちなみに、このコンピュータはEC2(Ubuntu)です

RESOURCE SECURITY HYGENE

Recommendations

Secure Scoreで表示された各項目についての推奨事項が表示されます

  • MFAを設定したり、Just-In-Time network access control を使ったほうがいいよって言われてますね
  • たくさん出ているので、各項目の紹介は省略します
  • 自身の環境でぜひやってみてください

ADVANCED CLOUD DEFENSE

Adaptive application controls

アプリケーションコントールの設定状況が表示されます

  • 特定のアプリケーションのみ実行可能とする設定です
  • 設定していないので、特に表示はありませんでした

Just in time VM access

Just in time VM accessの設定状況が表示されます

  • Recommendationsで表示されていたので、いくつかのVMが設定推奨されていますね
  • VMを選択して、JITを有効にすることができるようです
  • 手続きは必要そうですが、設定のために別の画面から再アプローチする必要がないのがいいですね

File Integrity Monitoring

ファイルの変更監視のダッシュボードのようです

  • サブスクリプション毎にファイルの変更監視を有効にするか否かを選択できます
  • 有効にする場合は、Log Analyticsの課金が発生します

  • 監視対象のフォルダが定義されていますね
  • Windows(フォルダ)

  • Windows(レジストリ)

  • Linux(フォルダとファイル)

  • 有効にするとこんな感じに出てきます

THREAT PROTECTION

Security alerts

セキュリティアラートの履歴が表示されています

  • recommendation IPを登録する必要がありそうですね

Custom alert rules (Preview)

Azure Monitorのカスタムアラートルールをベースにカスタムアラートを作れる箇所のようです

  • 新しいカスタムアラートを作成するアイコンが潰れてますね
  • ひろかずは、Azure Monitorのカスタムアラートルールを作ってるのですが、それも表示されていません
  • プレビューですもんね。。。

Security alerts map (Preview)

セキュリティアラートが発生している地理情報を表示してくれる画面のようです

  • Lowが幾つかあったと思うのですが、表示されていませんね
  • プレビューですもんね。。。

AUTOMATION & ORCHESTRATION

Playbooks (Preview)

Azure Logic Appsも統合されたようです
セキュリティイベントにトリガーしてのカスタムワークフローを作れそうですね。

感触

Azure Portal上の各所で表示されていた、セキュリティ設定の推奨事項が一箇所で見れるのは良いですね。
画面遷移も大きな違和感はありませんでした。
個人的には、Azure Monitoringのカスタムアラートが2019/6に廃止され、Azure Sentinelに統合されるのがちょっと驚きました。
各種設定を有効にしたので、しばらく向き合っていきたいと思います。

今日はここまでです。
お疲れ様でした。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です