次の方法で共有

ログと脅威検出

ログ記録と脅威検出により、組織は、大規模な侵害にエスカレートする前に、セキュリティ インシデントを特定、調査、対応できます。 従来の定期的なログ レビューとは異なり、最新のクラウド環境では、迅速なプロビジョニング、エフェメラル リソース、分散アーキテクチャを悪用するマルチステージ攻撃を検出するために、ID、ネットワーク、データ、およびアプリケーションレイヤー間で継続的な監視、行動分析、一元化された相関関係が必要です。 包括的なログ記録と脅威検出機能を実装する組織は、迅速なインシデント対応とフォレンジック対応を実現しますが、これらの制御を無視する組織は、敵対者の滞在時間が長引き、検出されない特権エスカレーション、侵害タイムラインを再構築できない状態に直面します。

包括的なログ記録と脅威検出機能がなければ、組織は長期間にわたって動作する検出されない脅威、インシデントの再構築を防ぐ不完全なフォレンジック証拠、規制コンプライアンスのギャップに直面します。

ログ記録と脅威検出のセキュリティ ドメインの 3 つの主要な柱を次に示します。

検出機能を有効にする: 脅威に対応するには、まず、既知の攻撃パターン、異常な動作、侵害のインジケーターを継続的に監視するインテリジェント検出システムをデプロイする必要があります。 ネイティブの脅威検出サービスは、行動分析と脅威インテリジェンスを利用して、SQL インジェクションの試行やマルウェアのアップロードから資格情報の悪用やデータ流出まで、従来のアクセス制御では防止できない疑わしいアクティビティを特定します。 すべての重要なリソースの種類 (コンピューティング、データ、ID、ネットワーク) で検出を実装して、攻撃対象領域が監視されないようにします。

関連するコントロール:

包括的なログ記録を有効にします。 リソース ログ (データ プレーン操作)、アクティビティ ログ (管理プレーンの変更)、ID ログ (認証および承認イベント)、ネットワーク ログ (トラフィック フローとファイアウォールの決定) など、すべてのクラウド層に体系的な監査ログを実装します。 包括的なログ記録は、攻撃タイムラインの再構築、インシデント ブラスト半径のスコープ設定、コンプライアンス要件のサポートに必要なフォレンジック証拠を提供します。 ID、ネットワーク、およびデータ アクセスにまたがる完全な監査証跡がなければ、インシデント レスポンダーは、だれが、いつ、どこからアクセスしたかを判断するための可視性を持たず、侵害のドウェル時間を延長し、規制の露出を高めます。

関連するコントロール:

集中管理と分析: すべてのソースのログを一元化されたセキュリティ情報イベント管理 (SIEM) プラットフォームに集約して、相関関係、高度な分析、自動応答を有効にします。 一元化では、ID、ネットワーク、およびデータ プレーン間でイベントを関連付けることで、分離されたログ ストリームを実用的な脅威インテリジェンスに変換し、単一ソースの監視では検出できない複数ステージの攻撃チェーンを明らかにします。 コンプライアンス要件とビジネス ニーズに合わせて規範的な保持ポリシーを確立し、すべてのシステム間で正確な時刻同期を確保して、フォレンジックの整合性を維持し、正確なインシデントの再構築を可能にします。

関連するコントロール:

LT-1: 脅威検出機能を有効にする

Azure Policy:Azure の組み込みポリシー定義 LT-1 を参照してください。

セキュリティの原則

コンピューティング、ストレージ、データベース、ID サービス全体で脅威検出機能を有効にして、既知の攻撃パターン、異常な動作、疑わしいアクティビティを特定します。 行動分析と脅威インテリジェンスを使用して、従来のアクセス制御では防止できない脅威を検出します。

軽減すべきリスク

敵対者は、ネイティブの脅威検出が不足している環境を悪用して、従来のセキュリティ制御では見えない攻撃を実行します。 行動分析と脅威インテリジェンス主導の監視なし:

  • 検出されないマルウェアと悪用: ストレージにアップロードされた悪意のあるファイルや、データベースに対する悪用の試行は検出されず、署名ベースまたはネットワーク層の防御では高度なペイロードが見落とされるため、検出されません。
  • サイレント データ流出: 大規模なデータ抽出、異常なクエリ パターン、または異常なアクセス ボリュームは、動作ベースラインやボリュームの異常検出がないため、検出を回避します。
  • 横移動の盲点: サービス間の相関関係と脅威インテリジェンスフィードが統合されていないため、攻撃者はアラートをトリガーせずにリソース間をピボットします(ストレージからコンピュート、そしてデータベースへ)。
  • SQL インジェクションとアプリケーション攻撃: 悪意のあるクエリまたはアプリケーション層攻撃を介したデータベースの悪用の試行は、リアルタイムのクエリ分析と脅威パターンマッチングなしで監視されません。
  • 長時間のドウェル時間: 偵察、ステージング、実行の各フェーズではアラートが生成されないため、攻撃者は長期間 (数日から数か月) にわたって永続的なアクセスを維持し、インシデント対応を遅らせ、侵害への影響をエスカレートします。
  • インサイダー脅威の不透明性: 悪意のあるまたは過失によるインサイダーの活動は、ユーザー行動分析 (UBA) や特権アクセス専用の異常検出がないと、正当なトラフィック パターンに紛れ込んでしまいます。

包括的な脅威検出をデプロイしないと、平均検出時間 (MTTD) が数時間から数週間に増加し、侵害コストが増加し、敵対者がクラウド インフラストラクチャ全体で深い永続化を確立できるようになります。

MITRE ATT&CK

  • 初期アクセス (TA0001): Web アプリケーションまたは API で検出されない脆弱性を利用して、一般向けアプリケーション (T1190) を悪用して、初期の足がかりを得る。
  • 実行 (TA0002): コマンドおよびスクリプト インタープリター (T1059) は、動作アラートをトリガーせずに、コンピューティングリソースまたはサーバーレス リソース内で悪意のあるコードを実行します。
  • 永続化 (TA0003): アカウント操作 (T1098) によるサービス プリンシパルの変更、または異常監視がないために検出されないバックドア ID の作成。
  • 防御回避 (TA0005): 防御 (T1562) を損なって、ログ記録、監視エージェント、またはセキュリティ サービスを無効にして、盲点で動作します。
  • コレクション (TA0009): クラウド ストレージ (T1530) からのデータは、ボリュームまたはパターンベースの検出なしで BLOB コンテナーまたはオブジェクト ストレージをサイレントに収集します。
  • 流出 (TA0010): Web サービス (T1567) 経由の流出は、行動分析によってフラグが設定されるボリュームまたは時間で、正当な API エンドポイントを介してデータをストリーミングします。
  • 影響 (TA0040): リソースのハイジャック (T1496) で、リソース消費の異常検出によって検出されない暗号化機能または計算上の不正使用をデプロイします。

LT-1.1: クラウド サービスの脅威検出を有効にする

すべての重要なクラウド サービスにネイティブの脅威検出機能をデプロイし、行動分析と脅威インテリジェンスを使用して、悪意のあるアクティビティ、異常な動作、既知の攻撃パターンを特定します。 この基本レイヤーは、コンピューティング、ストレージ、データベース、およびキー管理サービスを対象とする脅威に対する防御の第一線を提供します。 包括的な脅威検出範囲を確立するには、次の手順を実装します。

  • クラウドネイティブの脅威検出を使用する: コンピューティング、ストレージ、データベース、ID サービス用のクラウド セキュリティ体制管理プラットフォームの脅威検出機能をデプロイし、行動分析と脅威インテリジェンス主導の監視を提供します。

  • 包括的なサービス カバレッジを有効にします。 仮想マシン、ストレージ アカウント、データベース、コンテナー、Key Vault インスタンスを対象に、 Microsoft Defender for Cloud を使用して、すべての重要な Azure サービスの脅威検出をアクティブ化します。

  • 検出機能を確認する:Microsoft Defender for Cloud セキュリティ アラートリファレンス ガイドを使用して、使用可能な検出機能をセキュリティ チームに理解し、アラートの種類、重大度レベル、および応答の要件を理解します。

  • 検出のギャップに対処する: ネイティブ脅威検出機能のないサービスの場合は、データ プレーン ログを収集し、カスタム分析ルールと行動検出のために Microsoft Sentinel にルーティングします。

  • アラートの品質を最適化する: アラートのフィルター処理と分析ルールを構成して、誤検知を減らし、ログ データから高品質のアラートを抽出し、ワークロードの重要度とリスク許容度に基づいて検出の感度を調整します。

LT-1.2: 高度な脅威検出と分析を有効にする

セキュリティ テレメトリを一元化し、統合された拡張検出と対応 (XDR) プラットフォームをデプロイし、脅威インテリジェンスを使用してアラートを強化することで、基本的な脅威検出を強化します。 この高度なレイヤーにより、複数のドメイン間での脅威の関連付け、組織固有の攻撃パターンのカスタム検出、調査と対応を高速化するコンテキスト豊富なアラートが可能になります。 次の手順で、この高度な検出機能を構築します。

  • セキュリティ テレメトリの一元化: 統合された分析と相関関係のために、クラウド セキュリティ プラットフォーム、エンドポイント保護、ID システム、アプリケーション サービスから Azure Monitor または Microsoft Sentinel にアラートとログ データを集計します。

  • 統合 XDR プラットフォームをデプロイします。Microsoft Defender XDR を有効にして、Microsoft 365 Defender (エンドポイント、電子メール、コラボレーション)、Microsoft Defender for Cloud (Azure インフラストラクチャ)、および Microsoft Entra ID (ID) 全体の脅威検出を、クロスドメイン インシデントのグループ化と自動調査ワークフローと関連付けることができます。

  • カスタム検出ルールを構築する: 事前構築された検出では対処できない組織固有の脅威パターン、攻撃インジケーター、ビジネス ロジック違反に一致する カスタム分析ルール を作成します。

  • 脅威インテリジェンスを使用して強化する:Microsoft Defender 脅威インテリジェンスを統合して、脅威アクターの属性、インフラストラクチャの評判、脆弱性の悪用インテリジェンス、侵害されたインジケーターの相関関係を使用してアラートを強化します。

  • 脅威インジケーターを活用する: 既知の悪意のあるインフラストラクチャや脅威アクター キャンペーンに対する監視可能な (IP アドレス、ドメイン、ファイル ハッシュ、URL) の自動照合のために、Microsoft Sentinel に脅威 インテリジェンス インジケーター を実装します。

実装例

グローバル製造組織は、ストレージ アカウント、SQL データベース、Cosmos DB インスタンス、IoT 運用システムにまたがる 300 以上の Azure リソースにわたる包括的な脅威検出を有効にして、平均検出時間 (MTTD) の高度な攻撃を削減しました。

挑戦: 従来のセキュリティ監視は、ストレージ、データベース、ID、および電子メール システム間の相関関係なしに、分離されたサービス固有のアラートに依存していました。 セキュリティ チームは、フィッシング キャンペーン、資格情報の侵害、データ流出にまたがる複数段階の攻撃を検出するための統一された可視性を欠いていました。 高度な脅威を検出する平均時間が 30 日を超えました。

ソリューションのアプローチ:

  • 包括的なクラウド脅威検出: 150 以上のストレージ アカウント、40 個の SQL Database インスタンス、12 個の Cosmos DB アカウント、PostgreSQL データベースで Microsoft Defender for Cloud サービスを有効にし、データ プレーン操作の行動分析と脅威インテリジェンスドリブン検出を提供します。
  • 統合 XDR プラットフォーム: Microsoft 365 Defender (エンドポイント、電子メール、コラボレーション)、Microsoft Defender for Cloud (Azure インフラストラクチャ)、および Microsoft Entra ID (ID) に脅威検出を関連付ける Microsoft Defender XDR をデプロイし、自動クロスドメイン インシデントの相関関係を持つ。
  • カスタム分析ルール: SQL データベース スキーマの列挙と一致するストレージ アクセスの異常、Cosmos DB の一括抽出パターン、サービス間の資格情報スプレー キャンペーンなど、マルチステージ攻撃を検出する Sentinel 分析ルールを作成しました。
  • 脅威インテリジェンス エンリッチメント: 脅威アクターの属性、既知の攻撃インフラストラクチャ、脆弱性の悪用コンテキストを使用してアラートを強化するための統合された Microsoft Defender 脅威インテリジェンス。

結果: Defender XDR が検出され、展開直後にフィッシングから流出への攻撃チェーンが含まれていました。脅威インテリジェンスは、製造知的財産を対象とする既知の APT と一致するインフラストラクチャを識別します。 ドメイン間のインシデントの関連付けの自動化により、セキュリティ チームは、以前は長期間検出されなかった多段階攻撃を迅速に調査し、対応することが可能になりました。

重要度レベル

持っている必要があります。

コントロール マッピング

  • NIST SP 800-53 Rev.5: SI-4(1)、SI-4(2)、SI-4(5)、SI-4(12)、SI-4(23)、AU-6(1)、AU-6(3)
  • PCI-DSS v4: 10.6.1、10.6.2、10.6.3、10.8.1、11.5.1
  • CIS コントロール v8.1: 8.11、13.1、13.2
  • NIST CSF v2.0: DE。CM-1、DE。CM-4、DE。CM-7
  • ISO 27001:2022: A.8.16、A.5.24
  • SOC 2: CC7.2、CC7.3

LT-2: ID とアクセス管理の脅威検出を有効にする

Azure Policy:Azure の組み込みポリシー定義 LT-2 を参照してください。

セキュリティの原則

認証イベントと承認イベントを監視して、侵害された資格情報、異常なサインイン パターン、アカウントの不正使用を検出します。 過剰な認証エラー、あり得ない移動、非推奨のアカウントの使用、未承認の特権エスカレーションなど、動作の異常を特定します。

軽減すべきリスク

ID ベースの攻撃は、クラウド侵害の主要な初期アクセス ベクトルであり続けていますが、多くの組織では、資格情報の不正使用や異常なアクセス パターンを検出するための行動監視がありません。 ID に重点を置いた脅威検出なし:

  • 資格情報侵害の失明: サインインの異常やリスク スコアリングが存在しないため、盗まれた資格情報、漏洩した資格情報、またはブルート 強制資格情報は、検出なしで長期間 (数週間から数か月間) 使用されます。
  • あり得ない移動が検出されない: 不可能な期間内に地理的に離れた場所からの認証が成功することは、資格情報の共有または侵害を示しますが、ベースライン分析なしで監視を続行します。
  • 非推奨アカウントの悪用: 孤児アカウント、元従業員、または未使用のサービス プリンシパルは、攻撃者がユーザーの行動の調査を回避するために利用する持続的な足場となります。
  • 特権エスカレーションの無音: 攻撃者は、監査アラートや異常検出をトリガーすることなく、管理者ロールに自分自身を追加したり、新しい特権 ID を作成したり、グループ メンバーシップを変更したりします。
  • パスワードスプレーの成功: 低速なパスワード推測攻撃は、アカウントロックアウトのしきい値を回避し、テナント単位の認証エラー分析が欠如しているため、検出を逃れます。
  • MFA バイパスの手法: 敵対者は、従来の認証プロトコル、セッション再生、または MFA 疲労攻撃を悪用します。これは、危険なサインイン動作にフラグが設定されたりブロックされたりしないためです。
  • Insider 脅威の不透明度: 正当な資格情報を持つ悪意のある内部関係者は、ユーザー行動分析 (UBA) がない通常のアクティビティ パターンとブレンドしながら、データを流出させたり、特権アクセスを悪用したりします。

ID とアクセスの異常を監視できないと、攻撃者は有効な資格情報を使用して操作し、ネットワークとエンドポイントの制御をバイパスしながら、低い検出プロファイルを維持することができます。

MITRE ATT&CK

  • 初期アクセス (TA0001): 侵害された資格情報を利用して、正当な認証として表示される初期エントリを取得する有効なアカウント (T1078)。
  • 資格情報アクセス (TA0006): ユーザーおよびサービス アカウントに対してパスワード スプレーまたは資格情報の詰め込み攻撃を行うブルート フォース (T1110)。
  • 資格情報アクセス (TA0006): セキュリティで保護されていない資格情報 (T1552) は、公開侵害データベースまたはダーク Web ソースから漏洩した資格情報を収集します。
  • 永続化 (TA0003): バックドア アカウントの作成、特権グループへの追加、または認証方法の変更を行うアカウント操作 (T1098)。
  • 特権エスカレーション (TA0004): 有効なアカウント (T1078.004) がクラウド アカウントを悪用してアクセス許可をエスカレートしたり、高い特権ロールを引き受けたりします。
  • 防御回避 (TA0005): MFA 要件をバイパスするには、トークン、Cookie、またはセッション成果物を利用する代替認証マテリアル (T1550) を使用します。
  • 横移動 (TA0008): 代替認証マテリアル (T1550.001) を使用して、トークンまたはセッション資格情報を渡して、追加のクラウド リソースにアクセスします。

LT-2.1: Microsoft Entra ID の脅威の検出と監視を有効にする

すべての ID リソースの監査ログとサインイン監視を有効にすることで、ID と認証アクティビティの包括的な可視性を確立します。 この基本的なテレメトリにより、疑わしい認証パターンの検出、ID 構成に対する未承認の変更、およびアカウント侵害インジケーターの可能性を検出できます。 次の監視機能を構成します。

  • 包括的な監査ログを有効にします。Microsoft Entra 監査ログをアクティブ化して、ユーザーとグループの管理、ロールの割り当て、アプリケーションの登録、ポリシーの変更など、ID リソースに加えられたすべての変更を完全に追跡できるようにします。

  • 認証アクティビティを監視する: サインイン レポートを追跡して、マネージド アプリケーションとユーザー アカウントのすべての認証イベントをキャプチャし、通常のアクセス パターンのベースラインを確立し、異常を特定します。

  • 危険なサインイン パターンを検出します。 危険なサインインの監視を有効にして、疑わしいソースからの認証試行、あり得ない移動シナリオ、未知の場所、またはアカウント侵害の可能性を示す漏洩した資格情報の使用にフラグを設定します。

  • 侵害されたアカウントを特定する: リスクのフラグが設定されたユーザーを監視して、自動または手動のレビュー ワークフローを使用して、即時の調査と修復を必要とする複数のリスク インジケーターを示すアカウントを検出します。

  • SIEM プラットフォームと統合する: Microsoft Entra ID ログを Azure MonitorMicrosoft Sentinel、またはサードパーティの SIEM プラットフォームにルーティングして、高度な相関関係、長期的な保有期間、およびクロスドメインの脅威検出分析を行います。

LT-2.2: ID 保護とリスクベースの制御を実装する

高度なリスク検出、アダプティブ アクセス制御、AI を利用した調査機能を使用して、ID 監視を強化します。 この高度なレイヤーは、機械学習を適用して高度な ID 攻撃を検出し、リスクベースの認証の適用を自動化し、クラウドとオンプレミスのインフラストラクチャをブリッジするハイブリッド環境に保護を拡張します。 次の高度な機能を実装します。

  • ID リスク検出をデプロイする:Microsoft Entra ID Protection を有効にして、漏洩した資格情報、匿名 IP アドレスからのサインイン、マルウェアにリンクされたソース、機械学習と脅威インテリジェンスを使用したパスワード スプレー攻撃などの ID リスクを検出して修復します。

  • リスクベースのアクセス制御を実装します。 Microsoft Entra 条件付きアクセスを通じてアダプティブ認証要件を適用するように Identity Protection ポリシーを構成します。中リスクのサインインには MFA を要求し、修復まで高リスクの認証試行をブロックします。

  • クラウド インフラストラクチャ ID の脅威を監視する:Microsoft Defender for Cloud ワークロード保護を有効にして、非推奨のアカウントの使用、過剰な認証試行の失敗、異常なサービス プリンシパルの動作など、疑わしい ID アクティビティを検出します。

ハイブリッド環境に拡張する: オンプレミスの Active Directory を使用する組織の場合は、 Microsoft Defender for Identity を 展開して、ドメイン コントローラーの監視、高度な脅威の検出、侵害された ID の特定、ハイブリッド インフラストラクチャにまたがる悪意のあるインサイダー アクションの調査を行います。

AI を使用して調査を高速化する:Microsoft Security Copilot を活用して、自然言語クエリ、自動化された脅威分析、ガイド付き修復ワークフロー、および Microsoft Defender XDR、Sentinel、Entra ID Protection 全体の ID シグナルの AI を利用した相関関係を通じて調査時間を短縮します。

実装例

8,000 人の従業員を持つ金融サービス組織は、クラウド バンキング アプリケーションと顧客データ リポジトリを対象とする資格情報ベースの攻撃に対抗するために、包括的な ID 脅威検出を実装しました。

挑戦: 従来の認証監視では、あり得ない移動、パスワード スプレー キャンペーン、休止中のアカウントの悪用など、資格情報ベースの攻撃を検出するための行動分析が欠けていました。 セキュリティ チームは、不正行為や顧客の苦情の後にのみ、侵害を検出する手動ログ レビューに依存していました。 ID ベースの攻撃を検出する平均時間が 30 日を超えました。

ソリューションのアプローチ:

  • ID リスクの検出と保護: リスクベースの条件付きアクセス ポリシーを使用して Microsoft Entra ID Protection を展開し、リスクの高いサインインをブロックし、中リスクの認証の試行に MFA を必要とし、漏洩した資格情報の検出のためにパスワード リセットを自動的に強制しました。
  • 高度な SIEM 分析: 不可能な移動パターン、パスワード スプレー攻撃 (1 つのソースから 10 以上のアカウントで 50 以上のエラー)、変更ウィンドウ外の特権エスカレーション、休止中のアカウントの再アクティブ化を検出する Sentinel 分析ルールを作成しました。
  • ハイブリッド環境の監視: Active Directory のシグナルを監視し、クラウド認証パターンと関連付けて完全な可視性を実現するために、12 個のオンプレミス ドメイン コントローラーに Defender for Identity をデプロイしました。
  • AI を利用した調査: 統合された Microsoft Security Copilot により、自然言語インシデント クエリ、自動化された脅威コンテキスト エンリッチメント、ガイド付き修復ワークフロー、ID 侵害とリソース アクセスの間のクロスドメイン相関関係が可能になります。

結果: Identity Protection はデプロイ直後に侵害されたアカウントにフラグを設定し、Sentinel は数分以内に資格情報の詰め込み攻撃を検出して含め、セキュリティ チームは自然言語クエリを使用して ID ベースの脅威を迅速に調査できるようになりました。 組織は、以前は長期間検出されなかった ID ベースの攻撃に対する検出と対応を大幅に高速化しました。

重要度レベル

持っている必要があります。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-2(1)、AU-6(1)、AU-6(3)、IA-4(4)、SI-4(1)、SI-4(12)
  • PCI-DSS v4: 8.2.8、10.2.1、10.2.2、10.6.1
  • CIS コントロール v8.1: 6.2、8.5、8.11
  • NIST CSF v2.0: DE。CM-1、PR。AC-4、PR。IP-8
  • ISO 27001:2022: A.5.16、A.8.15、A.8.16
  • SOC 2: CC6.1、CC7.2、CC7.3

LT-3: セキュリティ調査のためにログ記録を有効にする

Azure Policy:Azure の組み込みポリシー定義 LT-3 を参照してください。

セキュリティの原則

データ プレーン操作、コントロール プレーン アクティビティ、ID イベント全体の監査ログを有効にして、インシデント調査、フォレンジック分析、コンプライアンス検証をサポートします。 包括的なログ記録は、セキュリティ インシデントを再構築し、侵害範囲を決定するために必要な証拠証跡を提供します。

軽減すべきリスク

すべてのクラウド 層にわたる包括的な監査ログは、インシデント調査、侵害の再構築、コンプライアンス検証のためのフォレンジック基盤を提供します。 リソース、アクティビティ、ID イベントの体系的なログ記録なし:

  • 法医学の盲点: リソース レベルのデータ プレーン操作 (キー コンテナー のアクセス、データベース クエリ、ストレージの読み取り) がログに記録されないため、インシデント レスポンダーは侵害中にアクセス、変更、または削除された内容を特定できません。
  • 管理プレーンの不透明度: インフラストラクチャの変更 (ロールの割り当て、ファイアウォール規則の変更、リソースの削除) は監査証跡なしで続行され、悪意のある、または過失な管理アクションの帰属を防ぎます。
  • あり得ない属性: セキュリティ チームは、どの ID がどの IP アドレスから、何時に、どの認証方法を使用して、どの ID が疑わしいアクションを実行したかを特定できません。また、包括的な Microsoft Entra ID ログはありません。
  • 横移動の不可視性: 攻撃者は、サービス間のアクティビティ相関に監査データがないため、リソース間(VMからストレージ、データベースへ)を調査用の痕跡を残すことなくピボットします。
  • コンプライアンスエラー: 規制フレームワーク (PCI-DSS、HIPAA、SOC 2) では、すべてのデータ アクセスと管理アクションに関する詳細な監査証跡が義務付けられています。ログ記録がない場合は、実証可能なコンプライアンスギャップと監査結果が作成されます。
  • ドウェル時間の延長: 包括的なログがない場合、セキュリティ チームは、内部監視ではなく、外部通知 (顧客の苦情、規制開示) の後にのみ侵害を検出します。これにより、平均ドウェル時間が数日から数か月に増加します。
  • 根本原因のあいまいさ: インシデント後のレビューでは、ID、ネットワーク、およびデータ プレーンにまたがる完全な監査証跡がないと、初期アクセス ベクトル、特権エスカレーション パス、または横移動シーケンスを決定できません。

ログ記録が不十分な場合、すべてのセキュリティ インシデントは、不完全なフォレンジック証拠と不確実な範囲を持つ長期の高コストの調査に変換されます。

MITRE ATT&CK

  • 防御回避 (TA0005): 防御 (T1562.008) を損なって、盲点の監視で動作するようにログ構成を無効または変更します。
  • 防御回避 (TA0005): 悪意のあるアクティビティの証拠を削除するためにログを削除または操作するインジケーターの削除 (T1070)。
  • 探索 (TA0007): 環境をマップするためのリソース、アクセス許可、および構成を列挙するクラウド インフラストラクチャ検出 (T1580)。
  • コレクション (TA0009): 読み取り、ダウンロード、または転送を追跡するために、データ プレーンのログ記録なしで機密データにアクセスするクラウド ストレージ (T1530) からのデータ。
  • 流出 (TA0010): トランザクション ログが無効または不完全なクラウド API を介してデータを抽出する Web サービス (T1567) 経由の流出。

LT-3.1: インフラストラクチャと ID のログ記録を有効にする

クラウド環境全体のすべての管理プレーン操作と ID イベントをキャプチャして、基本的な監査証跡を確立します。 このレイヤーでは、インフラストラクチャに変更を加えているユーザー、変更がいつ行われているか、ID がどのように使用されているかを把握できます。これは、承認されていない変更、特権の悪用、コンプライアンス違反を検出するために不可欠です。 次のコア ログ機能を有効にします。

  • 管理プレーン操作のアクティビティ ログを有効にします。 すべてのサブスクリプションの Azure アクティビティ ログ をアクティブ化して、リソースの作成、変更、削除 (PUT、POST、DELETE 操作)、ロールの割り当て、ポリシーの変更、管理アクションなどの管理プレーン操作をキャプチャします。

  • アクティビティ ログの収集を一元化する: 管理グループまたはサブスクリプション レベルで診断設定を構成して、アクティビティ ログを一元化された Log Analytics ワークスペースにルーティングし、長期的なリテンション期間、相関分析、コンプライアンス レポートを行います。

  • 一貫性のあるログカバレッジを適用します。Azure Policy をデプロイして、すべてのサブスクリプションに診断設定を適用することで、アクティビティ ログの収集が一貫し、新しいサブスクリプションが作成されるにつれて構成の誤差を防ぐことができます。

  • 認証イベントをキャプチャします。Microsoft Entra サインイン ログを有効にして、対話型サインイン、非対話型サインイン、サービス プリンシパル サインイン、マネージド ID 認証など、すべてのユーザーおよびサービス プリンシパル認証イベントをキャプチャします。

  • ID の変更を追跡する:Microsoft Entra 監査ログを有効にして、ユーザー/グループ管理、ロールの割り当て、アプリケーションの登録、条件付きアクセス ポリシーの変更、管理単位の変更など、Microsoft Entra ID に加えられたすべての変更を追跡します。

  • ID ログの保持期間を延長する: Microsoft Entra 診断設定を構成して、既定の 30 日間の Microsoft Entra 管理センターのリテンション期間を超えて保持期間を延長するために、サインインログと監査ログを Log Analytics ワークスペースまたは Event Hub にルーティングします。

  • ハイブリッド ID インフラストラクチャを監視する: ハイブリッド環境の場合は、 Microsoft Entra Connect Health ログを統合して、同期イベント、認証エラー、およびオンプレミスの Active Directory 統合正常性を監視します。

  • ネットワーク イベントとの関連付け: LT-4 で説明されているネットワーク インフラストラクチャ ログ (NSG フロー ログ、Azure Firewall ログ、VPN Gateway 診断、Application Gateway ログ) を有効にして、ID とコントロール プレーンのイベントをネットワーク トラフィック パターンと関連付けるセキュリティ調査のネットワーク コンテキストを提供します。

LT-3.2: プラットフォームとデータ サービスのログ記録を有効にする

機密性の高いビジネス データが存在し、アクセスされるデータ プレーン操作に対する監査範囲を拡大します。 プラットフォーム サービス ログでは、ストレージ、データベース、シークレット管理、コンテナー、および NoSQL プラットフォームを含む、データ侵害、インサイダー脅威、コンプライアンス違反の調査に不可欠な "アクセスされた内容" と "だれが" の詳細をキャプチャします。 次のデータ プレーン ログを構成します。

  • リソース レベルのデータ プレーン ログを有効にします。 すべてのプラットフォーム サービスにわたるデータと構成に対する読み取り、書き込み、削除操作など、Azure サービス内で実行されるデータ プレーン操作に対して Azure リソース ログ をアクティブ化します。

  • ログ ストレージ操作:Azure Storage 診断ログを有効にして、StorageRead、StorageWrite、StorageDelete イベントを含むすべての BLOB、ファイル、キュー、およびテーブル ストレージ操作を、呼び出し元 ID、ソース IP、およびフォレンジック調査の操作待機時間でキャプチャします。

  • データベース アクティビティの監査:Azure SQL Database 監査を構成して、すべてのデータベース クエリ、スキーマの変更、アクセス許可付与、認証の試行、および管理操作をログに記録します。監査ログは、コンプライアンスとセキュリティの監視のために Log Analytics ワークスペースまたはストレージ アカウントにルーティングされます。

  • シークレットアクセスを監視する:Azure Key Vault 診断ログを有効にして、取得、ローテーション、削除、アクセス許可の変更など、すべてのキー、シークレット、証明書アクセス操作を、機密性の高い資産追跡のための完全な監査コンテキストでキャプチャします。

  • NoSQL 操作の追跡: セキュリティとパフォーマンスの調査のために、データ プレーン操作、クエリ のパフォーマンス、パーティション キーのアクセス パターン、調整イベントをキャプチャするように Azure Cosmos DB 診断ログ を構成します。

  • 追加のデータ プラットフォームについて説明します。 データ アクセスと管理操作をキャプチャする Azure Data Lake Storage、Azure Synapse Analytics、Azure Database for PostgreSQL/MySQL、Azure Cache for Redis などの他のデータ サービスの診断ログを有効にします。

0- Kubernetes コントロール プレーンをログに記録する:Azure Kubernetes Service (AKS) 診断 を有効にして、kube-apiserver (すべての API 要求)、kube-audit (セキュリティ監査証跡)、kube-controller-manager、kube-scheduler、およびクラスター オートスケーラー ログを含むコントロール プレーン ログをキャプチャします。

  • コンテナー ランタイムの監視: コンテナー のライフサイクル イベントやリソース使用率など、AKS クラスター、Azure Container Instances、Azure Arc 対応 Kubernetes クラスターからコンテナー レベルのメトリック、ログ、パフォーマンス データを収集するように Container Insights を構成します。

  • コンテナー イメージを追跡する:Azure Container Registry 診断を有効にして、イメージのプッシュ/プル操作、リポジトリ アクセス、認証イベント、Webhook 呼び出し、脆弱性スキャン結果をログに記録します。

  • プラットフォーム ログの有効化を自動化する:Microsoft Defender for Cloud を使用して、サブスクリプション全体でサポートされている Azure サービスのリソース ログを自動的に有効にして構成し、手動構成のオーバーヘッドを削減します。

  • 一貫性のあるカバレッジを適用します。Azure Policy をデプロイして、データ サービスの診断設定を適用して、一貫性のあるログ収集を保証し、構成の誤差を防ぎ、準拠していないリソースを自動的に修復します。

LT-3.3: アプリケーションとワークロードのログ記録を有効にする

アプリケーション層のアクティビティ、カスタム ワークロード操作、ビジネス ロジックの実行をキャプチャして、監査範囲を完了します。 アプリケーション ログを使用すると、ユーザーがシステムと対話する方法、アクセスするビジネス データ、および試行されるアプリケーション層攻撃 (内部関係者の脅威、アプリケーションの悪用、インフラストラクチャ制御をバイパスする高度な攻撃の検出に不可欠) を最も詳細に把握できます。 包括的なアプリケーション ログ記録を実装します。

  • Web アプリケーション アクティビティをログに記録します。Azure App Service 診断を有効にして、アプリケーション ログ、Web サーバー ログ (IIS/HTTP.sys ログ)、詳細なエラー メッセージ、失敗した要求トレース、Web アプリケーションと API のデプロイ ログをキャプチャします。

  • API ゲートウェイの操作を監視する: API 要求、応答、認証エラー、レート制限違反、ポリシー実行の詳細、バックエンド サービス エラー、サブスクリプション管理イベントをログに記録するように Azure API Management 診断 を構成します。

  • サーバーレス関数の実行を追跡する: Application Insights 統合を使用して Azure Functions の監視 を有効にして、関数の実行、依存関係、例外、パフォーマンス メトリック、および承認の決定や機密性の高い操作監査などのカスタム セキュリティ イベントをキャプチャします。

  • ビジネス プロセス ワークフローをログに記録する: Azure Logic Apps の場合、診断を有効にして、ワークフローの実行をログに記録し、イベント、アクションの結果、およびビジネス プロセスのセキュリティ調査をサポートする統合エラーをトリガーします。

  • VM 監視エージェントをデプロイします。Azure Monitor エージェントを Windows および Linux 仮想マシンにデプロイして、セキュリティ イベント ログ、Syslog、パフォーマンス カウンター、カスタム ログ ファイルを収集します。

  • Windows セキュリティ イベントの収集: 認証試行 (イベント ID 4624、4625)、特権エスカレーション (4672、4673)、アカウント管理 (4720、4726、4738)、監査ポリシーの変更 (4719) など、セキュリティ関連のイベント用に Windows イベント ログ収集を構成します。

  • Linux システム ログを収集します。 認証ログ (/var/log/auth.log、/var/log/secure)、システム ログ (/var/log/syslog、/var/log/messages)、およびアプリケーション固有のセキュリティ ログ用に Linux Syslog コレクションを構成します。

  • エンドポイント保護を監視する: Windows 仮想マシンの マルウェア対策監視 を有効にして、マルウェア検出イベント、スキャン結果、署名の更新、ポリシー違反をログに記録します。

  • 構造化されたログ記録を実装します。 関連付けとフォレンジック分析をサポートするために、ユーザー ID、ソース IP アドレス、要求 ID、操作の種類、データ分類ラベル、承認決定、ビジネス トランザクション識別子などのセキュリティ コンテキストを使用して、構造化されたアプリケーション ログを実装します。

  • APM テレメトリを有効にする:Application Insights または同等のアプリケーション パフォーマンス監視 (APM) ソリューションを有効にして、テレメトリ、例外、カスタム セキュリティ イベント、マイクロサービスの分散トレース、依存関係の追跡を収集します。

  • アプリケーションのセキュリティ イベントをログに記録します。 認証の試行、承認エラー、入力検証エラー、特権エスカレーション、機密データ アクセス、ビジネス ロジックセキュリティ違反など、アプリケーション層のセキュリティ イベント ログを構成します。

  • Web アプリケーション攻撃を監視する: Web アプリケーションと API の場合は、HTTP セキュリティ ヘッダー、コンテンツ セキュリティ ポリシー違反、CORS ポリシーの適用、セッション管理イベントをログに記録して、アプリケーション層の攻撃を検出します。

  • レイヤー 7 攻撃の試行をキャプチャする: API ゲートウェイと Web アプリケーション ファイアウォールのログ記録を有効にして、SQL インジェクションの試行、クロスサイト スクリプティング (XSS)、リモート コード実行の試行、ローカル ファイルインクルージョン、XML 外部エンティティ (XXE) 攻撃、ビジネス ロジック不正使用パターンなど、レイヤー 7 攻撃をキャプチャします。

  • API の不正使用を追跡する: レート制限の適用、認証エラー、ボット検出、および脅威検出とインシデント対応をサポートする API 不正使用パターンのログ記録を構成します。

実装例

医療 SaaS プロバイダーは、HIPAA 監査要件を満たし、200 以上の病院のお客様にサービスを提供する電子医療記録 (EHR) システムのセキュリティ調査をサポートするために、包括的な 3 層ログ (インフラストラクチャ/ID、プラットフォーム/データ サービス、アプリケーション/ワークロード) を有効にしました。

挑戦: 分離されたサービス間で断片化されたログ記録により、マルチステージ攻撃の相関関係が妨げられた。 セキュリティ チームには、HIPAA コンプライアンスに関する完全な監査証跡がなく、インフラストラクチャの変更、データ アクセス、アプリケーションの悪用にまたがるインシデントタイムラインを再構築できませんでした。 120 以上のサービスにわたる手動ログ集計により、インシデントを調査する平均時間が 2 週間を超えました。

ソリューションのアプローチ:

  • インフラストラクチャと ID のログ記録: 5 つのサブスクリプションをカバーする管理グループ レベルで一元化されたアクティビティ ログと Microsoft Entra ID ログ (サインイン、監査) を構成し、コンプライアンスのために 1.5M の毎日の認証イベントと 50,000 個の管理操作をキャプチャし、2 年間保持します。
  • プラットフォームとデータ サービスのログ記録: 120 以上のストレージ アカウント、12 個の SQL データベース、15 個の Key Vault、Cosmos DB インスタンス、AKS クラスター (kube-audit、Container Insights) の診断ログが有効になり、データ プレーン操作、クエリ パフォーマンス、および 2M 以上の毎日の監査イベントを生成するコンテナー セキュリティ イベントがキャプチャされます。
  • アプリケーションとワークロードのログ記録: Azure Monitor エージェントを 150 個の VM にデプロイし、8 つの Web アプリケーションに対して App Service 診断を有効にし、3 つの医療統合 API 用に API Management ログを構成し、構造化されたセキュリティ コンテキスト ログを使用した分散トレース用の Application Insights を実装しました。
  • 一元化された相関関係: 階層化された保持ポリシー (2 年間の HIPAA 規制、1 年間の運用、90 日間のパフォーマンス) と Azure RBAC アクセス制御を使用して、3 つのレベルすべてにイベントを関連付けた Microsoft Sentinel 分析ルールをデプロイしました。

結果: 階層間のログ関連付けにより、ロールの割り当て、Key Vault のアクセス、ストレージ流出にまたがる高度なマルチステージ攻撃を迅速に検出できるようになりました。 組織は、完全な HIPAA 監査証跡コンプライアンスを達成し、インフラストラクチャ、プラットフォーム、およびアプリケーションレイヤー全体でログ分析を一元化することで、インシデント調査時間を大幅に短縮しました。

重要度レベル

持っている必要があります。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-2(1)、AU-3(1)、AU-6(1)、AU-6(3)、AU-12(1)、SI-4(2)
  • PCI-DSS v4: 10.2.1、10.2.2、10.3.1、10.3.2、10.3.3
  • CIS コントロール v8.1: 8.2、8.3、8.5、8.12
  • NIST CSF v2.0: DE。AE-3、DE。CM-1、DE。CM-6、PR。PT-1
  • ISO 27001:2022: A.8.15、A.8.16、A.8.17
  • SOC 2: CC4.1、CC7.2、CC7.3

LT-4: セキュリティ調査のためにネットワーク ログを有効にする

Azure Policy:Azure の組み込みポリシー定義 LT-4 を参照してください。

セキュリティの原則

インシデント調査と脅威検出をサポートするために、フロー ログ、ファイアウォール決定ログ、Web アプリケーション ファイアウォール イベント、DNS クエリなどのネットワーク トラフィック ログを有効にします。 ネットワーク ログは、横移動、コマンド アンド コントロール通信、データ流出、ポリシー違反に関するフォレンジック証拠を提供します。

軽減すべきリスク

ネットワーク トラフィック ログは、横移動、データ流出、コマンド アンド コントロール通信、アプリケーション層攻撃を調査するための重要なフォレンジック証拠を提供します。 包括的なネットワーク ログ記録なし:

  • 横運動失明: 攻撃者は、ネットワーク フローの証拠を残すことなく、サブネット間、VM 間、またはコンピューティングからデータ サービスにピボットし、東西のトラフィックの異常を特定できないようにします。
  • 流出パスの不透明度: フローログとファイアウォールのトラフィック分析がなければ、大規模なデータの外部宛先への転送、通常とは異なる外向きの通信パターン、またはDNSトンネリングが検出されずに行われることがあります。
  • 非表示のアプリケーション層攻撃: WAF ログ、アプリケーション ゲートウェイ ログ、およびレイヤー 7 検査が無効になっている場合の、SQL インジェクションの試行、Web シェルのアップロード、API の不正使用、またはプロトコル操作のバイパス検出。
  • C2 通信が検出されない: コマンド アンド コントロールのビーコン、コールバック パターン、またはトンネリングされたプロトコルは、DNS クエリ ログとネットワーク接続ベースラインなしで検出を回避します。
  • ポリシー違反の非表示: ネットワークのセグメント化に違反するトラフィック、未承認のポート/プロトコルにアクセスするトラフィック、またはファイアウォール規則をバイパスするトラフィックは監視されないまま続行され、ゼロトラスト境界が損なわれます。
  • コンプライアンスのギャップ: 規制基準 (PCI-DSS 10.8、NIST AU-12) では、ネットワーク アクティビティのログ記録と監視が義務付けられています。存在しないログは、監査結果と認定リスクを作成します。
  • インシデントの再構築エラー: 侵害後のフォレンジックでは、包括的なネットワーク フローとファイアウォールの決定ログがないと、攻撃者の発信元 IP、横移動パス、またはデータ流出ルートを特定できません。

MITRE ATT&CK

  • コマンドと制御 (TA0011): HTTP/HTTPS またはその他の標準プロトコルを使用して、C2 トラフィックを正当な通信とブレンドするアプリケーション層プロトコル (T1071)。
  • コマンドと制御 (TA0011): C2 チャネルまたはデータ流出トンネルの DNS クエリを利用する DNS (T1071.004)。
  • 横移動 (TA0008): RDP、SSH、またはクラウド管理プロトコルを使用してシステム間を移動するリモート サービス (T1021)。
  • 流出 (TA0010): 確立されたコマンドアンドコントロール接続を介して盗まれたデータをストリーミングする C2 チャネル (T1041) 経由の流出。
  • 流出 (TA0010): 非標準ポートまたはプロトコルを使用してエグレス監視を回避する代替プロトコル (T1048) 経由の流出。
  • 防御回避 (TA0005): 検査をバイパスするために正当なプロトコル (DNS、HTTPS) 内に悪意のあるトラフィックをカプセル化するプロトコル トンネリング (T1572)。

LT-4.1: ネットワーク セキュリティのログ記録と監視を有効にする

包括的なネットワーク トラフィック テレメトリをキャプチャして、横移動、データ流出、コマンドアンドコントロール通信、アプリケーション層攻撃を検出します。 ネットワーク ログは、攻撃者がシステム間を移動する方法、接続する外部の宛先、および使用する攻撃手法 (高度なマルチステージ侵害の調査に不可欠) の証拠証跡を提供します。 次のネットワーク ログ機能を有効にします。

  • ネットワーク フロー ログをキャプチャします。ネットワーク セキュリティ グループ (NSG) フロー ログを有効にして、送信元/宛先 IP、ポート、プロトコル、横移動検出の許可/拒否の決定など、NSG を通過する IP トラフィックに関する情報をキャプチャします。

  • ファイアウォール アクティビティを監視する:Azure Firewall ログとメトリックを有効にして、ファイアウォール アクティビティ、ルール処理、脅威インテリジェンス ヒット、DNS プロキシ ログを監視し、一元化されたエグレス監視と脅威検出を行います。

  • アプリケーション層の攻撃をログに記録する: Web アプリケーション ファイアウォール (WAF) ログを有効にして、SQL インジェクション、クロスサイト スクリプティング、OWASP 上位 10 件の違反など、要求の詳細とブロックの決定を含むアプリケーション層攻撃の試行をキャプチャします。

  • DNS クエリ データの収集:DNS クエリ ログを収集して、ネットワーク データの関連付けと、トンネリング、DGA ドメイン、コマンド アンド コントロール通信などの DNS ベースの攻撃の検出に役立ちます。

  • 包括的な監視をデプロイします。 Azure Monitor で Azure ネットワーク監視ソリューションを 使用して、包括的なネットワーク可視性と一元化されたログの相関関係を実現します。

  • トラフィック分析を有効にする: フロー ログを Azure Monitor Log Analytics ワークスペースに送信し、Traffic Analytics を使用して、ネットワーク トラフィック パターン、セキュリティの脅威、帯域幅消費、ポリシー違反に関する分析情報を提供します。

実装例

挑戦: 支払い処理と顧客データ システムを保護するマルチリージョン インフラストラクチャ全体の横移動、データ流出、アプリケーション層攻撃を検出するために必要なグローバル e コマース プラットフォーム。

ソリューションのアプローチ: 200 以上のネットワーク セキュリティ グループに Traffic Analytics を使用して NSG フロー ログをデプロイし、一元化されたエグレス ポイントとアプリケーション ゲートウェイで Azure Firewall と WAF の診断ログを構成し、C2 検出用の DNS 分析を実装し、すべてのネットワーク ログを SIEM と統合して ID とリソース アクティビティのシグナルと関連付けることで、包括的なネットワーク ログを有効にしました。

結果: Traffic Analytics によって、ポリシー違反 (公開された管理ポート)、WAF ログの検出とブロックされた SQL インジェクション キャンペーン、および迅速な VM 分離を可能にする DNS 分析フラグ付き DGA パターンが特定されました。 ネットワーク ログにより、包括的なフローとファイアウォール ログ分析なしでは見えない横移動パターンとデータ流出試行の検出が可能になりました。

重要度レベル

持っている必要があります。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-2(1)、AU-3(1)、AU-6(1)、AU-12(1)、SI-4(2)、SI-4(4)、SI-4(5)、SI-4(12)
  • PCI-DSS v4: 10.2.1、10.2.2、10.3.1、10.3.2、11.4.1、11.4.2
  • CIS コントロール v8.1: 8.2、8.5、8.6、8.11、13.6
  • NIST CSF v2.0: DE。AE-3、DE。CM-1、DE。CM-4、DE。CM-6、DE。CM-7
  • ISO 27001:2022: A.8.15、A.8.16
  • SOC 2: CC7.2

LT-5: セキュリティ ログの管理と分析を一元化する

Azure Policy:Azure の組み込みポリシー定義 LT-5 を参照してください。

セキュリティの原則

すべてのクラウド サービス、ID システム、およびネットワーク インフラストラクチャのセキュリティ ログを、相関関係と分析のための統合プラットフォームに一元化します。 集約を一元化すると、分離されたログ ソースでは明らかにできない複数のサービスにまたがるマルチステージ攻撃を検出できます。

軽減すべきリスク

分散ログは、さまざまなサービスとリージョンに保存され、マルチステージ攻撃と遅延インシデント検出の相関関係を防ぎます。 ログ集計と SIEM 機能を一元化しない場合:

  • マルチステージ攻撃の非表示: ID (Microsoft Entra ID)、ネットワーク (NSG フロー)、およびデータ (ストレージ アクセス) にまたがる高度なキル チェーンは、分離されたログ サイロによってサービス間の相関関係とタイムラインの再構築が防止されるため、検出されません。
  • アラートの疲労とノイズ: 何十もの個々のサービスからの関連性のないアラートにかかわるセキュリティ チームは、重要なパターンを見逃しています。つまり、コンテキストと優先順位付けを欠く数千の誤検知に埋もれた優先度の高いインシデントです。
  • 遅延検出: 手動ログの集計と分析により、平均検出時間 (MTTD) が数分から数日に延長されます。攻撃者は、防御者が証拠を関連付ける前に完全な攻撃サイクル (偵察→実行→流出) を完了します。
  • 不完全な脅威ハンティング: セキュリティ アナリストは、複数のサービス、時間範囲、攻撃インジケーターにまたがるプロアクティブな脅威ハンティング クエリを実行できません。ログがサービス固有のインターフェイスに分散したままである場合。
  • コンプライアンス監査エラー: 規制要件では、セキュリティの監視とレポートの一元化が義務付けられています。分散ログによって、セキュリティ運用の成熟度と監査の準備状態に、実証可能なギャップが生じます。
  • 非効率的なインシデント対応: IR チームは、統合された調査ワークフローではなく、Azure Portal、Log Analytics、サービス固有のログ、サードパーティ製ツールの間を手動でピボットする重要な時間を無駄にします。
  • 保持とガバナンスの喪失: サービス間で一貫性のない保持ポリシーを使用すると、調査が完了する前に重要なフォレンジック証拠が期限切れになり、アクセス制御が一元化されていないと、機密ログが未承認の表示に公開されます。

一元化された SIEM/SOAR がない場合、組織は、断片化された可視性、長い応答時間、調整された攻撃を検出できない状態で事後対応的に動作します。

MITRE ATT&CK

  • 防御回避 (TA0005): ログの断片化を悪用する防御 (T1562) を損なって、サービス境界を越えた相関関係ベースの検出を回避します。
  • 検出 (TA0007): クラウド インフラストラクチャ検出 (T1580) は、複数のサービスにわたってリソースを体系的に列挙します。一元化された分析によってのみ表示されるパターンです。
  • 横移動 (TA0008): トークンまたは資格情報を使用してサービス間でピボットする代替認証マテリアル (T1550) を使用します。移動は、サービス間ログの相関関係を介してのみ追跡できます。
  • コレクション (TA0009): データ ステージング (T1074.002) は、流出前に複数のソースからデータを集計します。ステージング パターンは、マルチサービスの異常分析によって検出できます。
  • 流出 (TA0010): 自動化された流出 (T1020) は、複数のサービスにわたる分散抽出を使用して、個々のサービスのボリュームしきい値による検出を回避します。これは、集計データによる分析でのみ検出可能です。

LT-5.1: 一元化されたログ集計を実装する

すべてのセキュリティ テレメトリを中央プラットフォームにルーティングすることで、サービス全体に分散された断片化されたログを統一された可視性に変換します。 ログ集計は、サービス間の相関関係の基礎を提供し、最初の侵害から横移動、データ流出まで、インフラストラクチャの境界をまたがる攻撃パターンの検出を可能にします。 一元化されたログ収集を確立します。

  • ログを一元的に集計する: Azure アクティビティ ログを、すべてのサービスのリソース診断ログと共 に一元化された Log Analytics ワークスペース に統合して、リソース間の相関関係と統合された調査ワークフローを実現します。

  • 集計されたログのクエリ:Azure Monitor と KQL クエリを使用して、パターンの検出と調査のために、Azure サービス、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムから集計されたログに対して分析を実行します。

  • アラートの構成: 複数のソースから集計されたログを使用してアラート ルールを作成し、複数のログ ソースにまたがる相関ロジックを使用してセキュリティの脅威と運用上の問題を検出します。

  • データ ガバナンスを確立する: データの所有権を定義し、ログにロールベースのアクセス制御を実装し、コンプライアンス要件のストレージの場所を指定し、調査のニーズとコストと規制の義務のバランスを取る保持ポリシーを設定します。

LT-5.2: SIEM と SOAR の機能をデプロイする

自動応答機能を備えたセキュリティ情報とイベント管理 (SIEM) をデプロイすることで、ログ集計をプロアクティブなセキュリティ操作に昇格させます。 SIEM は、相関ルール、脅威分析、自動インシデント ワークフローを通じて生ログを実用的なインテリジェンスに変換します。これにより、セキュリティ チームは手動の調査ペースではなく、コンピューターの速度で脅威を検出して対応できます。 SIEM/SOAR プラットフォームを構築します。

  • SIEM プラットフォームをデプロイする:Microsoft Sentinel をオンボード して、セキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション自動応答 (SOAR) 機能を提供して、一元化されたセキュリティ分析とインシデント対応を実現します。

  • データ ソースを接続する: データ ソースを Azure サービス、Microsoft 365、サード パーティのセキュリティ ソリューション、オンプレミス システムなどの Microsoft Sentinel に接続して、包括的なセキュリティの可視性を確立します。

  • 分析ルールを構成する: Sentinel で検出ルールを作成して脅威を特定し、複数のログ ソースと期間にまたがる関連付けられたセキュリティ イベントに基づいてインシデントを自動的に作成します。

  • 応答アクションを自動化する: Logic Apps を使用して自動応答プレイブックを実装し、包含、通知、修復ワークフローなどのインシデント対応アクションを調整します。

  • 監視ダッシュボードを有効にする: セキュリティ監視、脅威ハンティング、コンプライアンス レポート、およびエグゼクティブ レベルのセキュリティ体制の可視性のために、Sentinel のブックとダッシュボードをデプロイします。

  • AI を利用した分析を統合する:Microsoft Security Copilot と Sentinel の統合を有効にして、一元化されたセキュリティ ログ全体で自然言語クエリを使用して、AI を利用したインシデント調査、脅威ハンティング、ガイド付き応答の推奨事項を提供します。

実装例

挑戦: 多国籍保険会社は、12 の Azure サブスクリプション、500 以上のリソース、および 4 つの地理的リージョンで、保険者の個人情報とクレーム データを処理する統合された脅威検出と調査機能を必要としました。

ソリューションのアプローチ: すべての Azure アクティビティ ログ、ID テレメトリ、および重要なリソース ログ (ストレージ、SQL、Key Vault、ファイアウォール) をルーティングする管理グループ レベルの診断設定を含む、デプロイされた一元化された Log Analytics ワークスペース。 Defender for Cloud、Entra ID Protection、Microsoft 365 Defender、Defender 脅威インテリジェンスのデータ コネクタで Microsoft Sentinel SIEM を有効にしました。 保険固有の脅威 (大量要求のエクスポート、特権アクセスの異常、多段階攻撃)、封じ込めワークフロー用の自動応答プレイブック、自然言語調査機能用の統合セキュリティ コピロット用に構成された分析ルール。 HIPAA、PCI-DSS、SOC 2 の要件を Sentinel テレメトリにマッピングするための確立されたコンプライアンスワークブック。

結果: Sentinel は、サブスクリプション間の相関関係を介して資格情報の詰め込みキャンペーンを検出し、数分以内に地理的リージョン間の横移動を特定しました。 Security Copilot では、レベル 1 のアナリストは、高度なクエリ言語の専門知識を必要とせずに、自然言語クエリを使用して高度な調査を実施できるようになりました。 一元化された SIEM により、グローバル インフラストラクチャ全体のセキュリティ インシデントを検出して調査する平均時間が大幅に短縮されました。

重要度レベル

持っている必要があります。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-2(1)、AU-3(1)、AU-6(1)、AU-6(3)、AU-6(5)、AU-7(1)、AU-12(1)、SI-4(1)、SI-4(2)、SI-4(5)、SI-4(12)
  • PCI-DSS v4: 10.4.1、10.4.2、10.4.3、10.7.1、10.7.2、10.7.3
  • CIS コントロール v8.1: 8.9、8.11、13.1、13.3、13.4、17.1
  • NIST CSF v2.0: DE。AE-2、DE。AE-3、DE。CM-1、DE。CM-4、DE。CM-6、DE。CM-7、RS。AN-1
  • ISO 27001:2022: A.8.15、A.8.16、A.5.25
  • SOC 2: CC7.2、CC7.3

LT-6: ログ ストレージのリテンション期間を構成する

Azure Policy:Azure の組み込みポリシー定義 LT-6 を参照してください。

セキュリティの原則

規制要件、コンプライアンスの義務、調査タイムラインに合わせてログの保持期間を構成します。 階層化された保持戦略を通じて、フォレンジック証拠の保持要件とストレージ コストのバランスを取ります。

軽減すべきリスク

不十分または一貫性のないログ保持ポリシーは、調査が完了する前にフォレンジック証拠を破棄し、コンプライアンスのギャップを作成します。 規制と運用上の要件に合わせた規律のある保存期間がない場合:

  • 証拠の有効期限: セキュリティ チームが侵害を検出する前に、重要なフォレンジック データ (認証ログ、アクセス パターン、ネットワーク フロー) の有効期限が切れます。平均ドウェル時間が 200 日を超えると、ログは履歴侵害を調査するのに十分な時間を保持する必要があります。
  • コンプライアンス違反: 規制の義務 (PCI-DSS 10.7: 1 年、GDPR: 管轄区域によって異なります。HIPAA: 6 年) には、特定の保持期間が必要です。不十分な保持では、監査結果、認定の失敗、規制のペナルティが発生します。
  • 不完全なインシデントの再構築: 拡張された違反タイムライン間のインジケーターの履歴の相関関係は、ログの有効期限が早くなると不可能になり、完全なキル チェーン分析と根本原因の決定を防ぐことができます。
  • 法的検出のギャップ: 訴訟、規制調査、および内部監査では、履歴のセキュリティ ログを作成する必要があります。ログが不足すると、法的な露出が生じ、組織のプラクティスを守れなくなっています。
  • パターン分析の失明: 機械学習モデルと行動ベースラインには、履歴トレーニング データが必要です。短いリテンション期間により、スローバーン攻撃、季節パターン、または長期的な傾向分析の検出が防止されます。
  • コストオーバーラン: リテンション期間の階層化戦略 (ホット ストレージとコールド ストレージ) が不足すると、長期アーカイブのニーズに対する Log Analytics の保有コストが高くなり、Azure Storage によってより適切に処理され、運用コストが不必要に増大します。
  • 保持ポリシーのずれ: サービス間の保持期間の不一致 (アクティビティログの場合は90日、リソースログの場合は30日、一部のサービスでは無期限) が、調査の盲点や予測不可能なフォレンジックカバレッジを生み出します。

データ保持が不十分な場合、長期的な侵害が調査不能なインシデントに変わり、規制および法的なリスクが生じます。

MITRE ATT&CK

  • 防御回避 (TA0005): インジケーターの削除 (T1070) 攻撃者は、短い保持期間を利用して、アクティブなログの削除を必要とせずに証拠の有効期限が自然に切れるようにします。
  • 永続化 (TA0003): アカウント操作 (T1098) は、最初の侵害の証拠が検出される前に陳腐化させるという意図を持ちながら、長期的なバックドアアクセスを確立します。

LT-6.1: ログ保持戦略を実装する

規制の義務と調査のタイムラインに合わせて階層化された保持戦略を実装することで、フォレンジックな保持ニーズとストレージ コストのバランスを取ります。 ログの種類が異なると、アクティブな調査用のホット ストレージ、最近の履歴用のウォーム ストレージ、長期的なコンプライアンスのためのコールド アーカイブなど、さまざまな保有期間が必要になり、調査機能と運用コストの両方が最適化されます。 次の保持戦略を構成します。

  • ログを適切なストレージにルーティングします。 診断設定を作成して、Azure アクティビティ ログやその他のリソース ログを、リテンション期間の要件、コンプライアンスの義務、調査タイムラインに基づいて適切なストレージの場所にルーティングし、ホット ストレージとコールド ストレージのコストのバランスを取ります。

  • 短期から中規模の期間のリテンション期間を構成します。 KQL クエリ機能を使用してアクティブな調査、脅威ハンティング、運用分析を行うために、最大 1 年から 2 年間のログ保持に Azure Monitor Log Analytics ワークスペース を使用します。

  • 長期アーカイブ ストレージを実装する: Azure Storage、Data Explorer、または Data Lake を使用して、1 年から 2 年を超える 長期およびアーカイブ ストレージ を使用して、コールド/アーカイブ層による大幅なコスト削減を実現するコンプライアンス要件 (PCI-DSS、SEC 17a-4、HIPAA) を満たします。

  • ログを外部に転送する: マルチクラウドの可視性またはレガシ統合に必要な場合は、Azure Event Hubs を使用して外部 SIEM、データ レイク、またはサード パーティのセキュリティ システムにログを転送します。

  • ストレージ アカウントのリテンション期間を構成します。 コンプライアンス要件に基づいて Azure Storage アカウント ログの保持ポリシー を構成し、階層の自動切り替えと削除のためのライフサイクル管理を実装します。

  • Sentinel のログリテンション期間を計画する: Sentinel は Log Analytics ワークスペースをバックエンドとして使用するため、Microsoft Sentinel ログの長期的なストレージ戦略を実装します。ワークスペースの制限を超えて保持期間を延長するには、明示的なアーカイブ構成が必要です。

  • セキュリティ アラートをアーカイブする:Microsoft Defender for Cloud のアラートと推奨事項の継続的エクスポートを構成して、Defender for Cloud データのリテンション期間がネイティブ ポータルで制限されているため、保持要件を満たすようにします。

実装例

挑戦: 規制対象の金融サービス組織は、年間 80 TB のセキュリティ ログ データをコスト効率の高い方法で管理しながら、複数の保持要件 (PCI-DSS: 1 年、SEC 17a-4: 7 年) を満たす必要がありました。

ソリューションのアプローチ: 1 年間の既定のリテンション期間とテーブル レベルのオーバーライド (ID ログ: 2 年、ネットワーク フロー: 90 日) を使用して Log Analytics ワークスペースを構成し、ライフサイクル管理ポリシー (ホット→クール 90 日、クール→ 1 年) ですべてのログを Azure Storage アカウントにエクスポートし、コンプライアンス クリティカルなアカウントで不変ストレージ (WORM) を構成することで、階層化されたログ保持戦略を実装しました。 診断設定と保持構成の一貫性を適用する Azure Policy をデプロイし、自動化されたコンプライアンス レポート用の Log Analytics クエリ パックを作成し、アクティブなインシデントの間にフォレンジック データを保持するための訴訟ホールド プロセスを確立しました。

結果: 階層化ストレージ戦略によってログ ストレージ コストを大幅に削減しながら、PCI-DSS と SEC 17a-4 の要件に対する完全な監査証跡コンプライアンスを達成しました。 以前の保持機能を超えてアーカイブされたログを使用して、過去のセキュリティ インシデントを正常に調査し、自動証拠収集と保持検証クエリを使用して四半期ごとのコンプライアンス監査を合理化しました。

重要度レベル

持つべきです。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-11(1)、SI-12
  • PCI-DSS v4: 10.5.1、10.7.1、10.7.2、10.7.3
  • CIS コントロール v8.1: 8.3、8.10
  • NIST CSF v2.0: PR。PT-1、DE。CM-1
  • ISO 27001:2022: A.8.15
  • SOC 2: CC7.2

LT-7: 承認された時刻同期ソースを使用する

セキュリティの原則

すべてのシステムを権限のあるタイム ソースと同期して、セキュリティ ログ全体で正確なタイムスタンプを維持します。 一貫性のある時刻同期により、信頼性の高いログの相関関係、インシデント タイムラインの再構築、フォレンジック分析が可能になります。

軽減すべきリスク

すべてのシステムで正確で同期された時間は、ログの相関関係、フォレンジック分析、インシデント タイムラインの再構築の基礎となります。 一貫性のある時刻同期がない場合:

  • フォレンジック タイムラインの破損: 異なるソースのログに競合するタイムスタンプが示されている場合、インシデントの再構築は不可能になります。調査担当者は、攻撃シーケンスを特定したり、システム間でイベントを関連付けたりすることはできません (午前 10 時 00 分に攻撃を示す VM ログ、午前 9 時 45 分に同じイベントを示すファイアウォール ログ)。
  • SIEM の関連付けの失敗: 時間のずれによってイベントが順不同に到着すると、セキュリティ分析と関連付けルールは失敗します。ルール ロジックでは時系列のイベント シーケンスが想定されるため、検出が見落とされます。
  • 認証バイパスの機会: 時間ベースの認証メカニズム (Kerberos チケット、JWT トークン、OTP コード) は、クロック スキューによってリプレイ攻撃が有効になったり、トークンの有効性ウィンドウが拡張されたりすると悪用されます。
  • コンプライアンス監査エラー: 規制フレームワーク (PCI-DSS 10.4、SOC 2、HIPAA) では、監査証跡の整合性のための正確な時刻同期が必要です。時間ドリフトにより、監査結果と質問の証拠の信頼性が作成されます。
  • 誤検知/負のアラート: 異常検出と行動分析では、時間のずれによって通常のアクティビティが予期した時間枠外に表示されたり、疑わしいパターンが無害に表示されたりすると、誤ったアラートが生成されます。
  • 証明書の検証エラー: システム クロックが証明書 NotBefore/NotAfter ウィンドウの外部でドリフトし、サービスの中断またはセキュリティ バイパスの原因になった場合、SSL/TLS 証明書の有効性チェックが失敗するか、正しく成功しません。
  • ログ保持エラー: タイムスタンプの評価 (365 日より前のログの削除) に基づく保持ポリシーは、期限切れで証拠を削除するか、ポリシー制限を超えてログを保持するかのどちらかの時間誤差で正しく実行されません。

時刻同期エラーは、すべてのセキュリティ ログと監視の証拠整合性を損ない、フォレンジック分析を決定的で信頼性の低い状態にします。

MITRE ATT&CK

  • 防御回避 (TA0005): タイムスタンプを操作するインジケーターの削除 (T1070) は、正当な時間枠内で悪意のあるアクティビティを非表示にしたり、証拠を調査範囲外に表示したりします。

LT-7.1: セキュリティで保護された時刻同期を構成する

すべてのシステムで正確で一貫性のあるタイムスタンプを確保し、信頼性の高いログの相関関係とインシデント タイムラインの再構築を可能にします。 時間同期はフォレンジック整合性の基礎となります。小さなクロック ドリフトであっても、調査タイムラインが破損し、SIEM の関連付けエラーが発生し、コンプライアンス監査結果が作成される可能性があります。 信頼できるタイム ソースを使用し、ドリフトを継続的に監視するようにすべてのシステムを構成します。 次の時刻同期プラクティスを実装します。

  • Windows 時刻同期を構成する: 特定の要件が特に規定されていない限り、仮想化統合サービスを介して Azure ホストのタイム ソースを利用する Azure Windows コンピューティング リソースでの時刻同期 には、Microsoft の既定の NTP サーバーを使用します。

  • Linux の時刻同期を構成します。 Azure 提供の NTP ソースまたは適切な外部 NTP サーバーを使用して、chrony または ntpd を使用して、Azure Linux コンピューティング リソースの時刻同期 を構成します。

  • カスタム NTP サーバーをセキュリティで保護する: カスタム ネットワーク タイム プロトコル (NTP) サーバーを展開する場合は、 UDP サービス ポート 123 をセキュリティで保護 し、承認されたクライアントのみにタイム サービス クエリを制限するアクセス制御を実装します。

  • タイムスタンプ形式を検証します。 Azure リソースによって生成されるすべてのログに、グローバル デプロイ全体の明確なタイムライン再構築を有効にするために、既定でタイム ゾーン情報 (できれば UTC) を含むタイムスタンプが含まれているかどうかを確認します。

  • 時間ドリフトを監視する: システム間の時間ドリフトの継続的な監視を実装し、ログの相関関係、フォレンジック分析、および時間ベースの認証メカニズムに影響する可能性がある重大な同期の問題 (>5 秒) のアラートを構成します。

実装例

挑戦: グローバル小売組織は、PCI-DSS コンプライアンスと不正行為の調査のために、2,500 店舗にまたがるハイブリッド インフラストラクチャ (オンプレミスの POS システム、Azure クラウド POS バックエンド、支払い処理) 全体でフォレンジック タイムラインの整合性を必要としていました。

ソリューションのアプローチ: Azure PaaS サービスの自動 NTP 同期を検証し、Azure ホストの時刻ソースを使用するように Azure VM (Windows/Linux) を構成し、時間ドリフト >5 秒間の Azure Monitor アラートを実装することで、包括的な時刻同期を構成しました。 関連付けられたログ ソース間のタイムスタンプの異常を検出するデプロイされた Log Analytics クエリと、影響を受ける VM で時間の再同期を強制する自動修復 Runbook。 確立された四半期ごとの時間同期監査は、アプリケーション、ID、ネットワーク ログ全体のNTP構成とタイムスタンプの一貫性を検証します。

結果: PCI-DSS 時刻同期要件への準拠を達成し、一貫したタイムスタンプ精度でハイブリッド ログ ソース間で不正調査を正常に関連付け、正確なインシデント再構築を実現しました。 時間ドリフトの監視と修復を自動化することで、順序の不順のイベントによって発生する誤検知のセキュリティ アラートが排除され、グローバルに分散されたインフラストラクチャ全体でフォレンジック タイムラインの整合性が確保されました。

重要度レベル

持つべきです。

コントロール マッピング

  • NIST SP 800-53 Rev.5: AU-8(1)、AU-8(2)
  • PCI-DSS v4: 10.6.1、10.6.2、10.6.3
  • CIS コントロール v8.1: 8.4
  • NIST CSF v2.0: DE。CM-1、PR。PT-1
  • ISO 27001:2022: A.8.15
  • SOC 2: CC7.2
  • Last updated on