Azure 資産のオンボード - Security Center - Alibaba Cloud ドキュメントセンター

ご利用の Azure クラウド資産を Security Center にオンボードすることで、クラウド全体の資産インベントリを統合し、構成リスク (CSPM) をスキャンし、自動化されたセキュリティ応答を有効にできます。このソリューションは、Azure アプリケーション認証情報を使用して、資産情報を安全に読み取り、同期し、統合されたマルチクラウドのセキュリティビューを構築します。

仕組み

Azure でアプリケーションを登録し、アクセス認証情報としてサービスプリンシパルを作成します。
Security Center はこの認証情報を使用して Azure のパブリック API を呼び出し、指定されたサブスクリプションへの権限を取得し、そのサブスクリプション内の資産と構成データを同期します。

オンボード手順

ステップ 1：Azure でのアプリケーション認証情報の作成

このステップでは、Azure portal でアプリケーションとそのサービスプリンシパルを作成し、API 認証用のクライアントシークレットを生成します。次の認証情報を取得してください：アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアントシークレットの値。

アプリケーションの作成
1. Azure コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[すべてのサービス] を選択します。[ロゴ] セクションで [アプリケーションの登録] をクリックするか、上部の検索バーで [アプリケーションの登録] を検索して開きます。
3. [アプリケーションの登録] ページで、[新規登録] をクリックします。
4. 登録ページで、以下の設定を完了し、[登録] をクリックします。
  - 名前：将来の検索と管理を容易にするために、aliyun-sasc-connector のような認識しやすい名前を入力します。
    重要
    この名前は、後の「ロールの割り当て」ステップでメンバー名として表示されます。
  - サポートされているアカウントの種類：実際の権限要件に基づいてアカウントの範囲を設定します。
5. 正常に作成されると、概要ページにアプリケーションの詳細が表示されます。[アプリケーション (クライアント) ID] と [ディレクトリ (テナント) ID] をコピーして安全に保管してください。これらは後のステップで必要になります。
証明書とシークレットのダウンロード
1. ステップ 1 で作成したアプリケーション詳細ページで、左側のナビゲーションウィンドウの管理 > AccessKey Leak Detection をクリックします。
2. [クライアントシークレット] タブで、[+ 新しいクライアントシークレット] をクリックし、次のように設定します。
  - 説明：このシークレットの目的を記述します。
  - 有効期限：クライアントシークレットの有効期間を設定します。180 日を推奨します。
    重要
    認証情報のローテーション計画を作成し、有効期限が切れる前に更新して、認証情報の障害によるサービス中断を回避してください。
3. [追加] をクリックすると、クライアントシークレットの値が表示されます。
  警告
  クライアントシークレットの [値] は作成時に一度しか表示されません。このページを離れると二度と表示できなくなります。次に進む前に、すぐにコピーして安全に保管してください。

ステップ 2：アプリケーション認証情報へのサブスクリプションアクセス権限の付与

Security Center が資産情報を読み取れるように、前のステップで作成したアプリケーションに Azure サブスクリプションの読み取り専用権限を割り当てます。

ロールの割り当てページへの移動
1. Azure コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[すべてのサービス] を選択します。[システム設定] セクションで、[サブスクリプション] をクリックするか、上部の検索バーで [サブスクリプション] を検索して開きます。
3. 対象のサブスクリプション名をクリックして詳細ページを開き、[アクセス制御 (IAM)] をクリックします。
  説明
  まだサブスクリプションがない場合は、作成し、ビジネスニーズに基づいてプロダクトを選択してください。
4. [アクセス制御 (IAM)] ページで、左上の [追加] ボタンの下にある [ロールの割り当ての追加] をクリックします。

ロールの割り当て：ロールの割り当てページで、適切なロールを選択し、[次へ] をクリックします。

機能	ロール	注
ホストアセット	閲覧者	なし
Cloud Security Posture Management	閲覧者	なし
Agentic SOC	閲覧者カスタムロール：`Microsoft.Network` 権限を含める必要があります。作成手順については、「Azure の詳細設定 (Agentic SOC)」をご参照ください。	自動化された脅威応答 (たとえば、応答オーケストレーションを介した Cloud Firewall との統合) を有効にするには、追加の `Microsoft.Network` 権限を付与します。詳細については、「外部コンポーネント (OpenAPI)」をご参照ください。重要 Azure では 1 つの割り当てにつき 1 つのロールしか許可されないため、各ロールを個別に割り当てる必要があります。
エージェントレス検出	閲覧者ディスクスナップショット共同作成者	なし

メンバーの追加：[メンバー] 管理ページで、[メンバーの追加] をクリックし、ステップ 1 で作成したアプリケーションを選択します。
説明
アプリケーション名で対象のアプリケーションをすばやく見つけることができます。
メンバーを確認した後、左下の [確認と割り当て] をクリックして権限付与を完了します。
説明
権限付与には時間がかかる場合があります。しばらくお待ちください。

ステップ 3：Security Center でのオンボード設定の完了

権限付与ページへの移動
1. 推奨パス：
  1. Security Center コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、システム設定 > 機能の設定 を選択します。コンソールの左上隅で、保護対象の資産が所在するリージョンを選択します：Chinese Mainland または Outside Chinese Mainland。
  3. マルチクラウドの設定と管理 > マルチクラウドアセット タブで、権限の新規付与 をクリックし、Azure を選択します。
2. その他のエントリポイント：
  以下のページで、Multi-cloud Service Access または Add Multi-cloud Asset セクションのアイコンの下にある [オンボード] または [承認] ボタンを見つけてクリックします。
  - アセットセンター > ホストアセット
  - リスクガバナンス > Cloud Security Posture Management > 設定のチェック
  - 保護設定 > ホスト保護 > エージェントレス検出
オンボード認証情報の設定
1. ［Add Assets Outside Cloud ］パネルで、導入する特徴を選択し、［次へ］をクリックします。
  - ホストアセット：Security Center が Azure ホスト資産を自動的に検出し、同期できるようにします。
  - Cloud Security Posture Management：CSPM を使用して Azure クラウドプロダクトの構成をスキャンし、構成リスクを管理します。
  - Agentic SOC：応答オーケストレーション および Script と連携して、セキュリティインシデントへの応答を自動化します。詳細については、「外部コンポーネント (OpenAPI)」をご参照ください。
  - ホスト保護 > エージェントレス検出：スナップショットスキャンを使用して、クライアントをインストールすることなく、Azure 仮想マシンの脆弱性、ベースラインからの逸脱、悪意のあるファイルなどのセキュリティリスクを検出します。
2. ［SubscriptionId］ページで、前に作成した資格情報を正確に入力します。
  - Enter an AppID：Azure アプリケーション登録からのアプリケーション (クライアント) ID。
  - Enter a password：Azure アプリケーション登録からのクライアントシークレット。
  - tenant：Azure アプリケーション登録からのディレクトリ (テナント) ID。
  - Domain (Select Chinese Edition for China and International Edition for others)：CenturyLink ユーザーは Chinese Edition を選択する必要があります。
同期ポリシーの設定
Policy Configuration ページで、管理ニーズに応じて以下を設定します。
- リージョン選択：資産が存在する Azure リージョンを選択します。
  説明
  資産データは、Security Center コンソールの左上隅で選択されたリージョンに対応するデータセンターに自動的に保存されます。
  - Chinese Mainland：中国本土のデータセンター。
  - Outside Chinese Mainland：シンガポールのデータセンター。
- リージョン管理：このオプションを選択することを推奨します。このオプションを選択すると、この AWS アカウントに追加された新しいリージョンの資産が自動的に同期されます。
- Host Asset Synchronization Frequency：Azure ホスト資産が自動的に同期される頻度を設定します。同期が不要な場合は「オフ」に設定します。
  説明
  このパラメーターは、オンボード時に ホストアセット を選択した場合にのみ設定します。
- クラウドプロダクトの同期頻度：Azure クラウドプロダクトの構成が自動的に同期される頻度を設定します。同期が不要な場合は「オフ」に設定します。
  説明
  このパラメーターは、オンボード時に クラウドプラットフォーム設定のチェック を選択した場合にのみ設定します。
- AK サービスのステータスチェック：Security Center が Azure 認証情報の有効性をチェックする頻度を設定します。このチェックを無効にするには「オフ」を選択します。
設定が完了したら、最新のアセットの同期 をクリックします。システムは自動的に Azure アカウントから Security Center にデータを同期します。

Azure の詳細設定 (脅威の分析と応答)

説明

詳細については、Azure ドキュメント「ネットワーク用の Azure 権限、カスタムロールの作成」をご参照ください。

ロール作成ページへの移動
1. Azure コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[すべてのサービス] を選択します。[システム設定] セクションで、[サブスクリプション] をクリックします。
  説明
  または、上部の検索バーで [サブスクリプション] を検索して直接開くこともできます。
3. 対象のサブスクリプション名をクリックして詳細ページを開き、[アクセス制御 (IAM)] をクリックします。
4. [アクセス制御 (IAM)] ページで、左上の [追加] ボタンの下にある [カスタムロールの追加] をクリックします。
基本情報の入力
1. カスタムロール名：将来の検索と管理を容易にするために、aliyun-agentic-soc-role のような認識しやすい名前を入力します。
2. ベースラインチェック: ゼロから開始します。
権限の割り当て
1. [権限] タブで、[権限の追加] をクリックします。
2. 上部で Microsoft.Network を検索し、権限名をクリックします。
3. 権限リストページで、[アクション] の下のすべての権限を選択し、[追加] をクリックします。
権限を設定した後、[確認 + 作成] をクリックします。情報を確認して、[確定] をクリックします。

オンボードされた資産の管理

ホストアセット

アセットセンター > ホストアセット に移動します。Add Multi-cloud Asset セクションで、アイコンをクリックして、追加された Azure ホストを表示します。以下の手順に従って、高度な保護と管理を適用します：

説明

詳細については、「サーバーの管理」をご参照ください。

クライアントのインストール: Azure ホストに Security Center クライアントをインストールします。インストールコマンドの実行時に、サービスプロバイダーとしてサービスプロバイダーを選択します。詳細な手順については、「クライアントのインストール」をご参照ください。
完全な保護のためのアップグレード：デフォルトの無料版は基本的なセキュリティ検出のみを提供します。完全な保護機能 (ウイルス対策、脆弱性修復、侵入防止など) を利用するには、有料版 (ウイルス対策版以上) を Azure ホストにバインドします。詳細については、「ホストとコンテナーのセキュリティライセンスの管理」をご参照ください。

Cloud Security Posture Management (CSPM)

アセットセンター > クラウドプロダクト ページに移動します。左側のナビゲーションの All Alibaba Cloud Services で、Azure をクリックして統合された Azure 資産を表示します。統合された Azure 資産では、次の CSPM 機能を使用できます。

説明

詳細については、「クラウドプロダクト情報の表示」をご参照ください。

構成リスクチェックの実行：Azure プロダクトの構成リスクをチェックします。詳細については、「クラウドプラットフォーム構成リスクチェックポリシーの設定と実行」をご参照ください。
リスクへの対処：失敗したリスクチェックを確認し修正して、クラウド資産のコンプライアンスとセキュリティを向上させます。詳細については、「失敗したクラウドプラットフォーム構成リスクチェックの表示と対処」をご参照ください。

Agentic SOC

脅威の分析と応答 > 応答オーケストレーション でカスタムプレイブックを作成する際、外部コンポーネント (OpenAPI) から Azure コンポーネントを選択して、検出された Azure 資産のセキュリティイベントへの応答を自動化します。

ホスト保護エージェントレス検出

保護設定 > ホスト保護 > エージェントレス検出 に移動します。Server Check、Server Check、または Custom Image Check タブで、Add Multi-cloud Asset エリアのアイコンをクリックして、インポートスキャンで検知された脅威を表示します。手順は次のとおりです:

検出ジョブの実行：Azure サーバーに対して、脆弱性、マルウェア、ベースラインからの逸脱、機密ファイル、その他の潜在的なセキュリティリスクに関する多次元的なセキュリティチェックを実行します。
リスクの分析と対処：
1. 脆弱性リスク：ホワイトリストを追加する をサポートします。
  警告
  エージェントレス検出は脆弱性の修復をサポートしていません。
2. ベースラインチェックリスク：ホワイトリストを追加する をサポートします。
3. マルウェアおよび機密ファイルのリスク：ホワイトリストを追加する、Manually Handled、Mark as False Positive、および Ignore をサポートします。

コストとリスクに関する考慮事項

コストに関する考慮事項：Security Center のデフォルトの無料版は基本的なセキュリティ検出のみを提供します。ウイルス対策、脆弱性修復、侵入防止などの完全な保護機能を利用するには、オンボードされた Azure ホストに有料版 (ウイルス対策版以上) のライセンスをバインドする必要があります。
リスクに関する考慮事項：
- クライアントシークレットは、Azure と Security Center を連携させるための重大な認証情報です。漏洩した場合、資産データへの不正アクセスを許す可能性があります。
- シークレットの有効期限が切れると、資産の同期とセキュリティチェックが停止します。安全に保管し、定期的なローテーション計画を実施してください。

よくある質問

オンボードした一部の Azure リソースが Security Center に表示されないのはなぜですか？
- リージョンが選択されていない：Security Center のオンボード設定で、リソースが存在する Azure リージョンを選択したか確認してください。
- 同期の遅延：最初のオンボードや設定変更後、資産の同期には時間がかかる場合があります。同期が完了するまでお待ちください。
AK を入力した後の自動的な認証情報と権限の検証に失敗した場合はどうすればよいですか？
- 権限の問題: Azure アプリケーションの クライアントシークレット が期限切れです。証明書とシークレットのダウンロードを参照して、[クライアントシークレット] を再作成して保存し、Alibaba Cloud セキュリティセンターのクラウド構成で更新してください。
- リージョンの問題：現在選択されているリージョンは利用できません。他の利用可能なリージョンまたは対応するドメインに切り替えてから、再送信してください。