複数のクラウド環境にわたるセキュリティ管理では、可視性の断片化や保護の不整合が発生しがちです。Azure 資産を Security Center にオンボードすることで、資産インベントリの一元化、設定リスクチェック (CSPM) の実行、クラウド横断での自動脅威レスポンスの適用を単一のコンソールから実現できます。このソリューションは、読み取り専用アクセス権を持つ Azure アプリケーション資格情報を使用して、資産情報を安全に同期し、統合されたマルチクラウドセキュリティビューを構築します。
仕組み
Azure でアプリケーションを登録し、そのアクセス資格情報としてサービスプリンシパルを作成します。
Security Center はこの資格情報を使用して Azure のパブリック API 経由で指定されたサブスクリプションにアクセスし、サブスクリプションスコープ内の資産および設定情報を同期します。
前提条件
開始する前に、以下を確認してください。
所有者 または ユーザーアクセス管理者 権限を持つ、有効な Azure サブスクリプション。
Security Center (Enterprise edition 以上) が有効化されており、十分なクォータがあること。
ホスト資産、クラウド構成チェック (CSPM)、自動脅威レスポンスなど、オンボードする予定の Azure 機能に関する知識。
操作手順
手順 1:Azure でのアプリケーション資格情報の作成
この手順では、Azure ポータルでアプリケーションとそのサービスプリンシパルを作成し、API 認証用のクライアントシークレットを生成します。次の資格情報を取得してください:アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアントシークレットの 値。
アプリケーションの作成
Azure コンソールにサインインします。
左側メニューで [All services] を選択します。[Identity] サービスカテゴリで [App registrations] をクリックするか、上部の検索バーで [App registrations] を検索します。
[App registrations] ページで [New registration] をクリックします。
アプリケーション登録ページで次のパラメータを設定し、 [Register] をクリックします。
名前: 後で検索や管理がしやすくなるように、
aliyun-sasc-connectorなど、識別しやすい名前を入力します。重要この名前は、後のロール割り当て手順でメンバー名として表示されます。
[Supported account types]: 権限要件に基づいて、このアプリケーションにアクセスできるアカウントスコープを設定します。
アプリケーションの作成後、概要ページにアプリケーション情報が表示されます。[Application (client) ID] と [Directory (tenant) ID] をコピーして保存してください。後続の手順で使用します。
クライアントシークレットの作成
手順 1 で作成したアプリケーションの詳細ページで、左側メニューの [Manage] をクリックし、 [Certificates & secrets] をクリックします。
[Client secrets] タブで [+ New client secret] をクリックし、次のパラメータを設定します。
[Description]: このクライアントシークレットの説明を入力します。
[Expires]: クライアントシークレットの有効期間。180 日に設定することを推奨します。
重要資格情報のローテーション計画を作成し、有効期限が切れる前にシークレットを更新して、資格情報の期限切れによるサービス中断を回避してください。
[Add] をクリックすると、クライアントシークレットの [Value] が表示されます。
警告クライアントシークレットの [Value] は、作成時に一度だけ表示されます。このページを離れた後は再度表示できません。次に進む前に、すぐにコピーして保存してください。
手順 2:アプリケーション資格情報へのサブスクリプションアクセス権の付与
Security Center が資産情報を読み取れるようにするには、前の手順で作成したアプリケーションに対し、Azure サブスクリプションへの読み取り専用権限を割り当てる必要があります。
[Role assignment] ページに移動します。
Azure コンソールにサインインします。
左側メニューで [All services] を選択します。[General] サービスカテゴリで [Subscriptions] をクリックするか、上部の検索バーで [Subscriptions] を検索します。
対象のサブスクリプション名をクリックして、サブスクリプションの詳細ページに移動します。詳細ページで [Access control (IAM)] をクリックします。
説明サブスクリプションを有効化していない場合は、最初にサブスクリプションを作成し、必要なサービスを選択してください。
[Access control (IAM)] ページで、左上の [Add] をクリックし、 [Add role assignment] を選択します。
ロールの割り当て: ロール割り当てページで、対応するロールを選択し、 [Next] をクリックします。
機能
ロール
備考
[ホストアセット]
閲覧者
なし
[Cloud Security Posture Management]
閲覧者
なし
[Agentic SOC]
閲覧者
カスタムロール:
Microsoft.Network権限が必要です。作成手順については、「Azure の高度な設定 (Agentic SOC)」をご参照ください。
自動脅威レスポンス (たとえば、応答オーケストレーション を介して Azure ファイアウォールと統合するなど) を有効にするには、追加で
Microsoft.Network権限を付与する必要があります。 詳細については、「サードパーティクラウドコンポーネント (OpenAPI)」をご参照ください。重要各ロールの割り当ては個別に完了する必要があります。Azure では一度に 1 つのロールしか割り当てできません。
[エージェントレス検出]
閲覧者
ディスクスナップショット共同作成者
なし
Azure ポータルの [Access control (IAM)] ページで [Add role assignment] をクリックし、前述の表に記載されているロールを選択して、割り当てを完了します。
メンバーの追加: [Members] 管理ページに移動し、[Select members] をクリックして、手順 1 で作成したアプリケーションを選択します。
説明アプリケーション名で検索することで、対象のアプリケーションをすばやく見つけることができます。
選択したロール [Reader] に対して、[User, group, or service principal] へのアクセスを割り当てます。
メンバーを確認したら、左下の [Review + assign] をクリックして、承認を完了します。
説明承認には時間がかかる場合があります。しばらくお待ちください。
手順 3:Security Center でのオンボード設定の完了
承認ページに移動します
推奨パス:
Security Center コンソールにサインインします。
左側のナビゲーションペインで、を選択します。 コンソールの左上隅で、保護対象のアセットが配置されているリージョンとしてChinese MainlandまたはOutside Chinese Mainlandを選択します。
タブで、権限の新規付与 をクリックし、Azure を選択します。
代替エントリポイント:
次のページのMulti-cloud Service AccessまたはAdd Multi-cloud Assetセクションで、
アイコンの下にある「オンボード」または「承認」ボタンを探してクリックします:
アクセス資格情報の設定
Add Assets Outside Cloud パネルで、有効化する機能を選択し、次へ をクリックします。
[ホストアセット]:セキュリティセンターが Azure ホスト資産を自動的に検出および同期できるようにします。
[Cloud Security Posture Management]: クラウドセキュリティ態勢管理を使用して、Azure クラウド製品の設定をスキャンし、設定リスクを発見して管理します。
[Agentic SOC]: 応答オーケストレーション の Script オーケストレーション機能と連携して、セキュリティイベントの脅威への対応を自動化します。詳細については、「サードパーティのクラウドコンポーネント (OpenAPI)」をご参照ください。
[ホスト保護] [エージェントレス検出]: スナップショットスキャンを使用してクライアントをインストールすることなく、Azure 仮想マシン上の脆弱性、ベースラインリスク、悪意のあるファイルなどのセキュリティリスクを検出します。
SubscriptionId ページで、先ほど作成した認証情報を入力します。
[Enter an AppID]: Azure アプリの登録から取得したアプリケーション (クライアント) ID を入力します。
[Enter a password]: Azure アプリの登録で取得したクライアントシークレットを入力します。
[tenant]: Azure アプリの登録から取得したディレクトリ (テナント) ID を入力します。
[Domain (Select Chinese Edition for China and International Edition for others)]: 21Vianet ユーザーの場合、Chinese Editionを選択します。
同期ポリシーの設定
Policy Configuration ページで、管理要件に基づいて設定します:
[リージョン選択]: オンボードする Azure アセットが配置されているリージョンを選択します。
説明資産データは、Security Center コンソールの左上で選択したリージョンに対応するデータセンターに自動的に保存されます。
[Chinese Mainland]:中国本土のデータセンター。
[Outside Chinese Mainland]: シンガポールのデータセンター (シンガポール)。
[リージョン管理]: このオプションを選択することをお勧めします。このオプションを選択すると、今後この Azure アカウントに追加される新しいリージョン内のアセットは、手動で設定することなく自動的に同期されます。
[Host Asset Synchronization Frequency]: Azure ホスト資産を自動的に同期する間隔を設定します。同期が不要な場合は、オフに設定できます。
説明このパラメーターは、オンボードされた機能にホストアセットが含まれる場合にのみ必須です。
[クラウドプロダクトの同期頻度]: Azure クラウド製品の構成を自動的に同期する間隔を設定します。同期が不要な場合は、オフに設定できます。
説明このパラメーターは、オンボードされた機能にクラウドプラットフォーム設定のチェックが含まれる場合にのみ必須です。
[AK サービスのステータスチェック]: セキュリティセンターが Azure アカウントの認証情報の有効性を自動的にチェックする間隔を設定します。「オフ」を選択して、チェックを無効にできます。
設定が完了したら、最新のアセットの同期 をクリックします。システムは、Azure アカウントからセキュリティセンターにデータを自動的に同期します。
手順 4:オンボードされた Azure 資産の確認
オンボード設定が完了したら、Azure 資産が Security Center に表示されることを確認します。
初期データ同期が完了するまで待ちます。これには数分かかる場合があります。
に移動し、Azure でフィルタリングして、Azure ホスト資産が表示されることを確認します。
CSPM をオンボードした場合は、に移動し、Azure でフィルタリングして Azure クラウドリソースが表示されることを確認します。
Azure 高度な設定 ([脅威の分析と応答])
詳細については、Azure 公式ドキュメント「Azure permissions for networking」および「Create custom roles in Azure」をご参照ください。
カスタムロール作成ページに移動します
Azure コンソールにサインインします。
左側メニューで [All services] を選択します。[General] サービスカテゴリで [Subscriptions] をクリックします。
説明または、上部の検索バーで [Subscriptions] を検索して移動することもできます。
対象のサブスクリプション名をクリックして、サブスクリプションの詳細ページに移動します。詳細ページで [Access control (IAM)] をクリックします。
[Access control (IAM)] ページで [Add] をクリックし、 [Add custom role] を選択します。
基本情報を入力します
カスタムロール名: 後で検索および管理しやすいように、
aliyun-agentic-soc-roleのような、わかりやすい名前を入力します。[Baseline]:[最初から開始] を選択します。
権限の割り当て
[Permissions] タブで [Add permissions] をクリックします。
上部で
Microsoft.Network権限を検索し、権限名をクリックします。権限ページで、[Actions] の下にあるすべての権限を選択し、[Add] をクリックします。
権限の設定後、[Review + create] をクリックします。情報を確認し、 [Create] をクリックします。
オンボード済み資産の管理
[ホストアセット]
ページに移動します。Add Multi-cloud Asset セクションで、
アイコンをクリックして、オンボードされた Azure ホストを表示します。以下の手順に従って、オンボードされたホストに詳細な保護と管理を適用できます。
詳細については、「サーバーの管理」をご参照ください。
エージェントのインストール:Azure ホストに Security Center エージェントをインストールします。インストールコマンドを実行するときは、サービスプロバイダー に Azure を選択します。詳細については、「エージェントをインストールする」をご参照ください。
アップグレードして完全な保護を取得: デフォルトの Free edition では基本的なセキュリティ検出のみが提供されます。完全なセキュリティ保護機能 (ウイルス対策、脆弱性修正、侵入防止など) を取得するには、Azure ホストに有料エディション (Anti-virus 以上) をバインドしてください。詳細な手順については、「ホストとコンテナセキュリティクォータの管理」をご参照ください。
[Cloud Security Posture Management]
ページに移動します。左側のAll Alibaba Cloud Servicesナビゲーションペインで、Azure をクリックして、オンボードされた Azure アセットを表示します。オンボードされた Azure アセットでは、次の CSPM 機能を使用できます:
詳細については、「クラウドサービス情報の表示」をご参照ください。
設定リスクチェックの実行: Azure 製品の設定リスクをチェックします。 詳細な手順については、「クラウドプラットフォーム設定リスクチェックポリシーを設定して実行する」をご参照ください。
リスク項目の処理: チェック結果に基づいて、失敗したリスクチェック項目を表示して修正し、クラウド資産のコンプライアンスとセキュリティを向上させます。詳細な手順については、「失敗したクラウドプラットフォーム設定リスクチェックの表示と処理」をご参照ください。
[Agentic SOC]
に移動します。 カスタムプレイブックを作成する際に、サードパーティクラウドコンポーネント (OpenAPI) から Azure コンポーネントを選択して、検出された Azure アセットのセキュリティイベントの処理を自動化できます。
[ホスト保護] [エージェントレス検出]
に移動します。Server Check、Server Check、または Custom Image Check タブの Add Multi-cloud Asset セクションで、
アイコンをクリックしてスキャンされたリスク項目を表示します。次の操作が可能です。
検出タスクの実行:Azure サーバーに対し、脆弱性、マルウェア、設定ベースライン、機密ファイル、その他のセキュリティディメンションについて多次元のセキュリティ検出を実行し、潜在的なセキュリティリスクを検出します。
リスクの分析と処理:
脆弱性リスク: ホワイトリストを追加する をサポートしています。
警告エージェントレス検出では、脆弱性の修正はサポートされていません。
ベースラインチェックリスク: ホワイトリストを追加する に対応しています。
悪意のあるサンプルのリスクと機密ファイルのリスク:ホワイトリストを追加する、Manually Handled、Mark as False Positive、およびIgnoreをサポートしています。
コストとリスク
コスト: Security Center のデフォルトの Free edition では、基本的なセキュリティ検出のみが提供されます。ウイルス対策、脆弱性修正、侵入防止などの完全なセキュリティ保護機能を取得するには、オンボード済みの Azure ホストに有料エディション (Anti-virus 以上) のライセンスをバインドする必要があります。
リスク:
クライアントシークレットは、Azure と Security Center を接続するための重要な資格情報です。漏洩すると、資産データへの不正アクセスにつながる可能性があります。
クライアントシークレットの有効期限が切れると、資産の同期とセキュリティ検出が中断されます。資格情報を保護し、定期的なローテーション計画を作成してください。
よくある質問
オンボードした一部の [Azure] リソースが Security Center に表示されないのはなぜですか?
リージョン未選択:Security Center のオンボーディング設定で、リソースが存在する Azure リージョンを選択したかどうかを確認してください。
同期の遅延: 初回のオンボード後または設定変更後、資産の同期が遅延する場合があります。同期が完了するまでお待ちください。
資格情報を入力した後、資格情報と権限の自動検証に失敗した場合はどうすればよいですか?
権限の問題: Azure アプリケーションの クライアントシークレット の有効期限が切れています。クライアントシークレットの作成 を参照して新しい クライアントシークレット を作成して保存し、Security Center で更新してください。
リージョンの問題: 現在選択されているリージョンが利用できません。別の利用可能なリージョンまたは対応するドメインに切り替えてから、再度送信してください。