このガイドは、Microsoft Defender for Cloud に関連する問題のトラブルシューティングを行う必要がある組織の IT プロフェッショナル、情報セキュリティ アナリスト、クラウド管理者のためのものです。
ヒント
問題に直面している場合、またはサポート チームからのアドバイスが必要な場合は、Azure portal の [問題の診断と解決] セクションが解決策を探すのに適しています。
監査ログを使って問題を調べる
トラブルシューティング情報を探す最初の場所は、失敗したコンポーネントの監査ログです。 監査ログでは、次のような詳細を確認できます。
- 実行された操作。
- 操作を開始したユーザー。
- 操作が発生した時間。
- 操作の状態。
監査ログには、リソースで実行されたすべての書き込み操作 (PUT、POST、DELETE) が含まれますが、読み取り操作 (GET) は含まれません。
Log Analytics エージェントのトラブルシューティング
Defender for Cloud では、データを収集して保存するために Log Analytics エージェントが使用されます。 この記事の情報は、Log Analytics エージェントへの移行後の Security Center の機能を表しています。
アラートの種類は次のとおりです。
- 仮想マシンの動作分析 (VMBA)
- ネットワーク分析
- Azure SQL Database と Azure Synapse Analytics の分析
- コンテキスト情報
アラートの種類に応じて、アラートを調査するために必要な情報を次のリソースを使って収集できます。
- Windows の仮想マシン (VM) イベント ビューアーのセキュリティ ログ
- Linux の監査デーモン (
auditd) - Azure アクティビティ ログと、攻撃リソースで有効にされている診断ログ
アラートの説明と関連性のフィードバックは共有することができます。 アラートに移動して、[お役に立ちましたか?] ボタンを選び、理由を選んでから、フィードバックを説明するコメントを入力します。 アラートを向上させるために、このフィードバック チャネルは常に監視されています。
Log Analytics エージェントのプロセスとバージョンを確認する
Azure Monitor と同様に、Defender for Cloud でも Log Analytics エージェントを使って、Azure 仮想マシンからセキュリティ データが収集されます。 データ収集を有効にして、エージェントをターゲット マシンに正しくインストールすると、HealthService.exe プロセスが実行されます。
サービス管理コンソール (services.msc) を開き、Log Analytics エージェント サービスが実行されていることを確認します。
使っているエージェントのバージョンを確認するには、タスク マネージャーを開きます。 [プロセス] タブで、Log Analytics エージェント サービスを見つけて右クリックし、[プロパティ] を選びます。 [詳細] タブで、ファイルのバージョンを確認します。
Log Analytics エージェントのインストール シナリオを確認する
コンピューターに Log Analytics エージェントをインストールするとき、異なる結果になる可能性がある 2 つのシナリオがあります。 サポートされるシナリオは次のとおりです。
Defender for Cloud によって自動的にインストールされたエージェント: Defender for Cloud とログ検索でアラートを表示できます。 リソースが属しているサブスクリプション用のセキュリティ ポリシーで構成したメール アドレスで、メール通知を受け取ります。
Azure にある VM に手動でインストールしたエージェント: このシナリオでは、2017 年 2 月以前に手動でダウンロードしてインストールしたエージェントを使っている場合、Defender for Cloud ポータルでアラートを表示できるのは、"ワークスペース" が属しているサブスクリプションでフィルター処理を行った場合だけです。 "リソース" が属しているサブスクリプションでフィルター処理を行った場合は、アラートは表示されません。 ワークスペースが属しているサブスクリプション用のセキュリティ ポリシーで構成したメール アドレスで、メール通知を受け取ります。
フィルター処理の問題を回避するには、必ず最新バージョンのエージェントをダウンロードしてください。
エージェントのネットワーク接続の問題を監視する
エージェントが Defender for Cloud に接続して登録するには、Azure ネットワーク リソースの DNS アドレスとネットワーク ポートにアクセスできる必要があります。 このアクセスを有効にするには、次のアクションを実行します。
- プロキシ サーバーを使用する場合は、エージェントの設定で適切なプロキシ サーバー リソースが正しく構成されていることを確認します。
- Log Analytics へのアクセスを許可するように、ネットワーク ファイアウォールを構成します。
Azure ネットワーク リソースは次のとおりです。
| エージェントのリソース | 港 / ポート | バイパス HTTPS 検査 |
|---|---|---|
*.ods.opinsights.azure.com |
443 | はい |
*.oms.opinsights.azure.com |
443 | はい |
*.blob.core.windows.net |
443 | はい |
*.azure-automation.net |
443 | はい |
Log Analytics エージェントのオンボードで問題が発生する場合は、「Operations Management Suite のオンボードに関する問題のトラブルシューティング」をご覧ください。
不適切に動作するマルウェア対策の保護のトラブルシューティング
ゲスト エージェントは、Microsoft Antimalware 拡張機能によって行われるすべての処理の親プロセスです。 ゲスト エージェント プロセスが失敗すると、ゲスト エージェントの子プロセスとして実行されている Microsoft マルウェア対策の保護も失敗する可能性があります。
トラブルシューティングのいくつかのヒントを次に示します。
- ターゲット VM がカスタム イメージから作成された場合は、VM の作成者がゲスト エージェントをインストールしたことを確認します。
- ターゲットが Linux VM の場合、Windows バージョンのマルウェア対策拡張機能をインストールすると失敗します。 Linux ゲスト エージェントには、特定の OS とパッケージの要件があります。
- VM が以前のバージョンのゲスト エージェントで作成された場合、新しいバージョンに自動更新する機能を以前のエージェントが備えていない可能性があります。 独自のイメージを作成するときは、常に最新バージョンのゲスト エージェントを使ってください。
- 一部のサード パーティ製管理ソフトウェアによって、ゲスト エージェントが無効にされたり、特定のファイルの場所へのアクセスがブロックされたりする可能性があります。 VM にサード パーティ製管理ソフトウェアがインストールされている場合は、マルウェア対策エージェントが除外リストに含まれていることを確認してください。
- ファイアウォールの設定とネットワーク セキュリティ グループが、ゲスト エージェントとの間のネットワーク トラフィックをブロックしていないことを確認します。
- ディスク アクセスを妨げているアクセス制御リストがないことを確認します。
- ゲスト エージェントが正常に機能するには、十分なディスク領域が必要です。
Microsoft Antimalware のユーザー インターフェイスは、既定では無効になります。 ただし、Azure Resource Manager VM で Microsoft Antimalware のユーザー インターフェイスを有効にできます。
ダッシュボードの読み込みに関する問題のトラブルシューティング
ワークロード保護ダッシュボードの読み込みで問題が発生する場合は、サブスクリプションで Defender for Cloud を最初に有効にしたユーザーと、データ収集を有効にしたいユーザーが、サブスクリプションの "所有者" または "共同作成者" のロールを持っていることを確認します。 そうなっている場合、サブスクリプションの "閲覧者" ロールを持つユーザーは、ダッシュボード、アラート、推奨事項、ポリシーを見ることができます。
Azure DevOps 組織のコネクタに関する問題のトラブルシューティング
Azure DevOps 組織をオンボードできない場合は、次のトラブルシューティングのヒントを試してださい。
Azure portal のプレビューではないバージョンを使っていることを確認します。承認手順は、Azure portal のプレビューでは機能しません。
システムは、ユーザーがアクセスを承認するときにサインインしているアカウントを使ってオンボードを行うので、そのアカウントを把握しておくことが重要です。 お使いのアカウントは同じメール アドレスに関連付けることができますが、異なるテナントにも関連付けることができます。 アカウントとテナントの適切な組み合わせを選んでいることを確認します。 組み合わせを変更する必要がある場合:
Azure DevOps のプロファイル ページで、ドロップダウン メニューを使って別のアカウントを選びます。
適切なアカウントとテナントの組み合わせを選んだ後、Defender for Cloud で [環境設定] に移動し、Azure DevOps コネクタを編集します。 コネクタを再認証して、正しいアカウントとテナントの組み合わせでそれを更新します。 その後、ドロップダウン メニューに正しい組織の一覧が表示されるはずです。
オンボードする Azure DevOps 組織に対する "プロジェクト コレクション管理者" ロールがあることを確認します。
Azure DevOps 組織で、[OAuth を使用したサード パーティ アプリケーションのアクセス] トグルが [オン] になっていることを確認します。 OAuth アクセスの有効化の詳細を確認してください。
Microsoft サポートに問い合わせる
Defender for Cloud のトラブルシューティング情報は、Defender for Cloud の Q&A ページでも確認できます。
さらにサポートが必要な場合は、Azure portal で新しいサポート 要求を開くことができます。 [ヘルプとサポート] ページで、[サポート リクエストの作成] を選択します。
関連項目
- Defender for Cloud でセキュリティ アラートを管理してそれに対応する方法を理解する。
- Defender for Cloud でのアラートの検証について理解する。
- Defender for Cloud の使用に関するよくある質問を確認する。