Azure Log Analyticsmskkazure.blob.core.windows.net/materials/Log_Analytics...Security and Audit – ログ、構成、ネットワークの視点からシステムがセキュアであるかどうかを可視化

© 2016 Microsoft Corporation. All rights reserved

システムのあらゆる情報を可視化Azure Log Analytics（旧サービス名：Azure Operational Insights）

日本マイクロソフト株式会社

2016年6月

© 2016 Microsoft Corporation. All rights reserved 2

ハイブリッドクラウドからマルチクラウドへ


マルチクラウドにおける可視化の必要性

オンプレミスのほか、複数のクラウドサービスの状況を単一の画面からシンプルに把握したい

複数のクラウドサービスにおいて一貫したセキュリティ対策を行いたい

あらゆるクラウドサービスから簡単に接続できる仕組みがほしい


収集したデータをクラウド上に置く

豊富なストレージ必要な時だけ分析エンジンを利用安全に保管どこからでも収集


Azure Log Analytics

プライベートクラウド(Azure Stack, Hyper-V, VMware, OpenStack)

WindowsServer(Guest)




Linux(Guest)

Azure Log Analytics

システムのあらゆる情報を可視化するマルチクラウド対応の SaaS 型ソリューション


Azure Log Analytics とは

IT 運用チーム向けのサービスとしての SaaS ソリューション

– クラウドからオンプレミスのデータセンターまで、あらゆる環境のログや構成情報の収集と可視化

– Windows および Linux に対応

キャパシティプランニング

– 仮想化環境における容量の計測と予測によりデータセンターの投資計画に活用

サーバーの構成変更の追跡

– Windows サービスやソフトウェアの追加・変更の履歴を記録することでトラブルシューティングへの活用

ワークロードの構成アセスメント

– Active Directory や SQL Server など、適切な構成であるかどうかを監査して監査結果を可視化

ネットワーク監視

– クラウド環境も含めたネットワークの利用状況を計測し、セキュリティ対策や容量計画に活用


Azure Log Analytics を使うメリット

マルチクラウドを簡単に一元管理

– 専用エージェントの利用、監視ツール（SCOM）との連携、クラウドサービスの管理機能（Azure診断）との連携など、あらゆる方法でバラバラであったクラウド環境の稼働情報を可視化

迅速な導入

– SaaS による提供なので、サーバー機器のセットアップ不要オンプレミス、クラウドを問わず、すぐに利用が可能

データを安全に保管

– 安全なクラウド上にデータが保管されるので、ログや構成情報などのデータの改竄・漏えいのリスクを低減

安価に利用

– 料金は０円の無償プランから、データの保存期間と容量による従量課金

– 用途に合わせて提供されるレポートテンプレートはSolution Galleryから無償提供


Log Analytics

利用シナリオ：既存の運用管理ツールへの付加価値提供

System Center Operations Manager 環境において、稼働状況をクラウド環境で可視化

既存の SCOM 環境

可用性・セキュリティなどの観点から運用管理に必要なレポートを提供

Microsoft Azure

開発環境など、SCOM の監視対象に含めづらいサーバーも、

SCOMの監視下に入れることなく構成管理とアクセスログなどを取集

既存の環境にはほとんど手を入れることなく、クラウドベースの管理が利用可能


Amazon Web ServicesMicrosoft Azure

利用シナリオ：パブリッククラウドのマルチテナント運用

複数のクラウド環境で出力されるデータを一か所に集約

Microsoft Azure

Log Analytics

Log Analytics が Manager of Manager として複数テナントのクラウドをまとめて管理

System Center に加えZabbix、Nagios 配下の

サーバーも対象

Azure以外のクラウドもテナントの一つとして管理可能

各テナントの IaaS 上にSystem Center を構築して、

テナントごとの管理（※）Zabbix, Nagios からはアラートのみ通知可能


利用シナリオ：マルチクラウド基盤におけるセキュリティ対策

Log Analytics

Azureや AWSなどのパブリッククラウド

MicrosoftCyber Crime Center

マイクロソフトが入手したボットネットなどの不正なネットワークリストの活用

サーバー健全性を保つために必要な構成監査

・マルウェア対策・更新プログラム適用・Active Directory の構成・ SQL Server の構成

SaaS 型で提供されるサービスのため収集した情報を外部からの改竄することは

極めて困難、ログの正確性を担保

すぐに利用可能な SaaS 型ソリューション使った分だけの従量課金、最小プランは 0円

不正なログオンで行われている行動は全てクラウド上に通知

• 管理者権限への昇格• ポリシーの変更• 不正なアプリケーション（バッ

クドア）のインストール• 痕跡（ログ）の消去など

ネットワーク監視ツールの導入が困難なパブリッククラウド上のネットワークアクセスも監視


クラウド上で提供されるPhotoDNA等のツールによりオンライン上の児童ポルノなどの犯罪を防止

サイバー犯罪の脅威についての情報発信基地

最新データから日本のマルウェアの情報/状況を解析

マイクロソフトサイバークライムセンター日本サテライト

デジタルクライムユニットとの連携でサイバー犯罪抑止に貢献

サイバー攻撃の傾向等の情報をセキュリティ関連団体などを通じて公表

お客様・パートナー企業へ、「信頼できるクラウド」とセキュリティのベストプラクティスを周知

ご参考情報


ダッシュボード画面

あらゆるシステムの情報を単一の画面で可視化


管理対象の形態に合わせた柔軟な構成

Log Analytics

System CenterOperations Manager

Zabbix /Nagios

(Preview 版)OMS Log Analytics

Forwarder

Zabbix , Nagios はアラートのみ Log Analytics へ通知

現在はAWS上の仮想マシンに Log Analytics エージェントのインストール、もしくはSCOM連携で対応


それぞれのデータ収集方法の特徴

３種類のデータ収集方法をサポート


Solutions Gallery

データの収集項目やクエリのセットはポータル画面から追加

– 構成管理、ネットワーク監視、セキュリティなどの Solution を提供

– すべての Solution は無償で利用可能


Solution 一覧（2016年6月現在）

AD Assessment Active Directory の構成の健全性を可視化

AD Replication Status Active Directory のドメインコントローラー間の複製を監視

Alert Management System Center Operations Manager のアラートを通知

Malware Assessment マルウェア対策の状況を可視化

Azure Networking Analysis Azure ネットワークの詳細な状況を可視化・分析

Automation Azure Automation の実行状況

Backup Azure Backup の実行状況

Change Tracking アプリケーションおよび Windows サービスの構成変更の履歴

Capacity Planning SCVMM が管理する仮想化環境のリソースの利用状況と将来の予測

Configuration Assessment System Center、Exchange Server など、サーバー構成の健全性を可視化

Office 365 Office 365 のアクティビティの監査と可視化

Security & Audit システムにおけるセキュリティの脅威を可視化

Key Vault Key Vault の利用状況の可視化

Azure Site Recovery Azure Site Recovery の実行状況

SQL Assessment SQL Server の構成の健全性を可視化

Surface Hub Surface Hub の監視

System Update Assessment ソフトウェア更新プログラムの適用状況


近日提供予定の Solution 一覧（2016年6月現在）

App Dependency Monitor アプリケーションの依存関係を可視化

Containers Docker Container ホストのログおよびパフォーマンスを可視化

Network Performance MonitorオンプレミスおよびAzure ネットワークのパフォーマンス、接続状況の可視化

Service FabricService Fabric Framework の状態可視化と Service Fabric Application のパフォーマンス可視化

Upgrade Analytics Windows クライアントの構成情報の収集とアップグレードに必要な情報を可視化

Wire Data ネットワークの利用状況を可視化


提供されている Solution の例

Security and Audit

– ログ、構成、ネットワークの視点からシステムがセキュアであるかどうかを可視化

セキュリティ関連で利用可能なクエリ

セキュリティ関連で特に注視すべき問題

不審なネットワークとの接続の有無


主な収集項目（2016年6月現在）

Windows イベントログ IIS ログ Windows パフォーマンスカウンタ Linux パフォーマンスカウンタ Syslog テキストログ（Windows/Linux）

Operations Manager アラート Active Directory アセスメント結果、同期状況 SQL Server アセスメント結果 Hyper-V 環境のリソース消費状況（SCVMM経由）

Windows アプリケーションの構成変更 Windows サービスの構成変更 Linux デーモンの設定変更

マルウェア対策の適用状況ソフトウェア更新プログラムの適用状況

ネットワーク疎通確認 Office 365 監査ログ


クロスプラットフォームへの対応

Linux 版エージェントの提供（Preview版）

– Syslog ベースのログ監視、パフォーマンスの収集

– MySQL および Apache のパフォーマンスの収集

– Docker Container Host の管理

– Linux デーモンの設定変更

– Linux 上に構築された Zabbix および Nagios 上で生成されたアラートの転送

GitHubよりダウンロード可能

対応ディストリビューション– Amazon Linux 2012.09 --> 2015.09 (x86/x64)

– CentOS Linux 5,6, and 7 (x86/x64)

– Oracle Enterprise Linux 5,6, and 7 (x86/x64)

– Red Hat Enterprise Linux Server 5,6 and 7 (x86/x64)

– Debian GNU/Linux 6, 7, and 8 (x86/x64)

– Ubuntu 12.04 LTS, 14.04 LTS, 15.10 (x86/x64)

– SUSE Linux Enteprise Server 11 and 12 (x86/x64)


Linux で取得可能なパフォーマンスカウンタ

プロセッサ

– % Processor Time

– % Idle Time

– % Nice Time

– % Privileged Time

– %IO Wait Time

– % Interrupt Time

– % DPC Time

メモリー

– Available MBytes Memory

– % Available Memory

論理ディスク

– % Used Inodes

– Free Megabytes

– % Used Space

– Logical Disk Bytes/sec

– Disk Read Bytes/sec

– Disk Write Bytes/sec

– Disk Transfers/sec

– Disk Reads/sec

– Disk Reads/sec


Apache– Total Pct CPU

– Idle Workers

– Busy Workers

– Pct Busy Workers

– Apache Virtual Host

– Request per Second

– KB per Request

– Requests KB per Second

– Errors per Minute - Client

– Errors per Minute - Server

Linux で取得可能なパフォーマンスカウンタ(続き）

My SQL– Database(*)¥Tables

– Database(*)¥Disk Space in Bytes

– Key Cache Hit Pct

– Key Cache Write Pct

– Key Cache Use Pct

– Query Cache Hit Pct

– Query Cache Prunes Pct

– Query Cache Use Pct

– Table Cache Hit Pct

– Table Lock Contention Pct

– Table Cache Use Pct

– InnoDB Buffer Pool Hit Pct

– InnoDB Buffer Pool Use Pct

– Full Table Scan Pct

– InnoDB Buffer Pool Use Pct

– Disk Space Use in Bytes

– Connection Use Pct

– Aborted Connection Pct


収集したデータの抽出と可視化

収集したデータはクエリを使用して抽出

– Solution 毎にサンプルクエリを提供

– 直観的な操作でフィルタやグループ化を行いクエリを自在にカスタマイズ

– リスト形式、テーブル形式、グラフ形式での出力が可能

– 作成したクエリは、お気に入りとして保存

データのエクスポート

– 抽出結果は CSV 形式によるエクスポート

– API 経由でクエリの結果を出力

– 将来的には PowerBI との連携も予定 Solution 毎に提供されるサンプルクエリ


My Dashboard でカスタマイズ

作成したクエリの実行結果を自由に

貼り付けることが可能


管理者への通知と自動化

監視項目が閾値を超えたり、ログ出力の条件が合致した場合、メールによる通知、Azure Automation による Runbook を実行

自動実行したい Runbook を選択

通知先のメールアドレスを記述

自動実行したい Webhook のURL を記述

クエリを実行するスケジュール

定期的に実行するクエリを記述


モニタリングツールとの連携

Log Analytics

System Center

Operations Manager

OMS Log Analytics

Forwarder

Microsoft Monitoring Agent は Log Analytics とSystem Center Operations Manager のマルチホーム構成をサポート

Zabbix / Nagios


Power BI 連携

クエリの実行結果を Power BI のデータセットとして取り込み

– 収集した情報をわかりやすい形で可視化

Log Analytics15 分間隔でクエリの実行結果を転送


料金について（2016年6月現在）

３種類の料金プランを提供

利用状況については Usage で確認することが可能

– 本日のデータ転送量

– 直近30日のデータ転送量

– データの種類別転送量

Free Standard Premium

1GBあたりの月額料金

¥0 ¥ 234.60 ¥357

最大保存期間 7日間 1か月 1年間

１日に転送可能なデータの量

500MB 制限なし制限なし

1日あたりに利用可能な転送量を超えると、データの転送が停止し、翌日から再開されます。1日の終わりは UTC が基準です


本書に記載した情報は、本書各項目に関する発行日現在の Microsoft の見解を表明するものです。Microsoftは絶えず変化する市場に対応しなければならないため、ここに記載した情報に対していかなる責務を負うものではなく、提示された情報の信憑性については保証できません。

本書は情報提供のみを目的としています。 Microsoft は、明示的または暗示的を問わず、本書にいかなる保証も与えるものではありません。

すべての当該著作権法を遵守することはお客様の責務です。Microsoftの書面による明確な許可なく、本書の如何なる部分についても、転載や検索システムへの格納または挿入を行うことは、どのような形式または手段（電子的、機械的、複写、レコーディング、その他）、および目的であっても禁じられています。これらは著作権保護された権利を制限するものではありません。

Microsoftは、本書の内容を保護する特許、特許出願書、商標、著作権、またはその他の知的財産権を保有する場合があります。Microsoftから書面によるライセンス契約が明確に供給される場合を除いて、本書の提供はこれらの特許、商標、著作権、またはその他の知的財産へのライセンスを与えるものではありません。

© 2016 Microsoft Corporation. All rights reserved.

Microsoft, Windows, その他本文中に登場した各製品名は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。

その他、記載されている会社名および製品名は、一般に各社の商標です。

Documents

Azure Log Analyticsmskkazure.blob.core.windows.net/materials/Log_Analytics...Security and Audit – ログ、構成、ネットワークの視点からシステムがセキュアであるかどうかを可視化