セキュリティ監査、脅威の追跡、緊急対応は、集中ログ管理と分析に依存します。ログ分析機能は、ホストログとセキュリティログを収集します。ホストログには、ログイン、プロセス、ネットワーク接続のログが含まれます。Security Center からのセキュリティログには、アラート、脆弱性、ベースラインチェックが含まれます。この機能は、ログの散在、クエリの困難さ、関連分析の欠如といった問題を解決します。セキュリティイベントを迅速に把握し、コンプライアンス監査の要件を満たすのに役立ちます。
ログレポートの表示
Security Center のログ分析機能を有効にすると、システムは自動的にレポートダッシュボードを作成します。これらのダッシュボードには、ホストログとセキュリティログに関連するデータが表示されます。
適用範囲
サポートされているレポートタイプを次の表に示します。詳細については、「付録:ログレポートの詳細」をご参照ください。
ログタイプ | ログレポート | 説明 |
ホストログ | ログインセンター | サーバーのログインアクティビティを分析し、異常なログインを特定します。 |
プロセスセンター | サーバー上のプロセスの起動を監査し、異常なプログラムを検出します。 | |
ネットワーク接続センター | ネットワーク接続を監視し、疑わしいアウトバウンドまたはインバウンドトラフィックを特定します。 | |
セキュリティログ | ベースラインセンター | アセットの構成リスクの分布と修正の傾向を把握します。 |
脆弱性センター | アセットの脆弱性の分布、タイプ、修正状況を表示します。 | |
アラートセンター | すべてのセキュリティイベントのアラートレベル、タイプ、処理状況の概要を提供します。 |
操作手順
コンソールへのログイン
Security Center コンソール - [リスク管理] - [ログ分析] ページに移動します。ページの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
ログ配信の有効化
ログ分析 ページで、Enable スイッチをオンにします。
レポートタブをクリックして、そのダッシュボードを表示します。
クエリの時間範囲の設定
レポートタブの右上隅で時間範囲を選択します。表示されるダイアログボックスで、ログクエリの時間範囲を設定します。
説明この設定は一時的なもので、現在のページにのみ適用されます。次回レポートページを開くと、ダッシュボードはデフォルトの時間範囲に戻ります。
更新頻度の設定 (任意)
レポートタブの右上隅にある [更新] をクリックして、ログレポートの更新頻度を設定します。
[1回]:すぐに更新します。
[自動更新]:レポートを 15 秒、60 秒、5 分、または 15 分ごとに自動的に更新するように設定できます。
ログのエクスポート
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
左上隅で、ドロップダウンリストからログタイプを選択し、ログをクエリします。詳細については、「ログクエリと分析のカスタマイズ」をご参照ください。
[元のログ] タブのログリストの上にある
アイコンをクリックし、[ログのダウンロード] を選択します。[ログのダウンロード] ダイアログボックスで、パラメーターを設定し、[確認] をクリックします。
重要標準クエリでは、最大 2,000 万件のログをダウンロードできます。
時間範囲:(読み取り専用) エクスポートタスクが対象とする期間。
検索文:(読み取り専用) エクスポートタスクに使用される検索文。
タスク名:識別しやすいようにタスクに付けるカスタム名。
ログ数:すべて (最大 2,000 万件) またはカスタム数のログをエクスポートします。
データフォーマット:
CSVまたはjsonを選択します。引用符:CSV フォーマットのみ。エラーを防ぐために、フィールドの内容を引用符で囲みます。オプション:
"または'。不正確な結果を許可:推定クエリに使用されます。
はい:高速ですが、結果が近似値になる場合があります。
いいえ:低速で失敗する可能性がありますが、結果は正確です。
圧縮方法:エクスポートされるファイルの圧縮フォーマット。オプション:なし、
gzip、またはzstd。ソート順:ログを時間でソートする順序。オプション:昇順 (asc) または降順 (desc)。
ファイルのダウンロード
[元のログ] タブのログリストの上にある
アイコンをクリックし、[ダウンロードタスク] を選択します。[ダウンロードタスク] ダイアログボックスで、エクスポートタスクのステータスを確認します。タスクのステータスが成功になったら、[ダウンロード] をクリックします。
Simple Log Service (SLS) コンソールでは、Cloud Shell やコマンドラインによるダウンロードなど、より多くのダウンロード方法が提供されています。詳細については、「ログのダウンロード」をご参照ください。
高度なログ管理
Security Center のログ分析機能は、高度なログ管理機能を提供します。Simple Log Service ページに移動して、アラートと通知方法の設定、データのリアルタイムでのサブスクライブと消費、データシッピングなどの操作を実行できます。
Security Center コンソール - [リスク管理] - [ログ分析] ページに移動します。ページの左上隅で、アセットが配置されているリージョンを選択します: Chinese Mainland または Outside Chinese Mainland。
ログ分析 ページの右上隅にある Log Service の詳細管理 をクリックします。
Simple Log Service コンソールにリダイレクトされ、より多くの操作を実行できます。詳細については、「アラートの設定」、「通知方法」、および「データシッピング」をご参照ください。
説明Simple Log Service は、ログデータの書き込みとクエリ、プロジェクトと Logstore の管理を行うための API も提供しています。詳細については、「Simple Log Service API」をご参照ください。
付録:ログレポートの詳細
ホストログ
ログインセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
ログイン数 | 単一値の比較 | 1 時間 (相対)/前日比 | ログインの総数と、前日の同期間と比較した変化率。 | 10.0、10% |
ログインデバイス数 | 単一値の比較 | 本日 (時間枠)/前日比 | ログインしたユニークホストデバイスの数、および前日全体と比較した増減。 | 10、-10% |
ユニークログイン元 IP 数 | 単一値の比較 | 本日 (時間枠)/前日比 | デバイスログインのユニーク送信元 IP の数、および前日全体と比較した増減。 | 10、10% |
ユニークログインユーザー名数 | 単一値の比較 | 本日 (時間枠)/前日比 | デバイスからログインしたユニークユーザー名の数、および前日全体と比較した増減。 | 10、10% |
エンドポイントログイン監視トレンド | 縦棒と折れ線グラフ | 本日 (時間枠) | ログインイベントがあったデバイス数と 1 時間あたりのログイン数のトレンドチャート。 | なし |
ログイン方法のトレンド | フローチャート | 本日 (時間枠) | RDP や SSH などのログイン方法の 1 時間あたりのトレンドチャート。単位:回/時間。 | なし |
ログイン方法の分布 | 円グラフ | 4 時間 (相対) | RDP や SSH などのログイン方法の分布。 | なし |
デバイスの分布 | マップ (グローバル) | 4 時間 (相対) | ログインイベントが発生したパブリック IP アドレスを持つデバイスの地理的分布。 | なし |
ログイン元の分布 | マップ (グローバル) | 4 時間 (相対) | パブリック IP アドレスを持つデバイスのログイン元の地理的分布。 | なし |
ユニークログイン元の分布 | マップ (グローバル) | 4 時間 (相対) | パブリック IP アドレスを持つデバイスのユニークログイン元の地理的分布。 | なし |
ログイン数トップ 10 ユーザー | 円グラフ | 4 時間 (相対) | ログイン数が最も多い上位 10 のユーザー名。 | なし |
ログイン数トップ 10 ポート | 円グラフ | 4 時間 (相対) | ログイン数が最も多い上位 10 の宛先ポート。 | なし |
各ログインマシンは最大 30 のユーザーとソースをサポートします。 | テーブル | 4 時間 (相対) | マシンへのログインが最も多い上位 30 のユーザーとソース。情報には、ソースネットワーク、ログイン IP、ユーザー名、ログイン方法、ログインしたユニークデバイス数、ログイン数が含まれます。 | なし |
プロセスセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
プロセス起動数 | 単一値の比較 | 1 時間 (相対)/前日比 | プロセス起動イベントの総数と、前日の同期間と比較した変化率。 | 10.0 千、0.01% |
関連デバイス数 | 単一値の比較 | 本日 (時間枠)/前日比 | プロセス起動イベントが発生したユニークホストデバイスの数、および前日と比較した増減。 | 10.0、0.01% |
ユニーク起動プロセス名数 | 単一値の比較 | 本日 (時間枠)/前日比 | ユニーク起動プロセス名の数、および前日全体と比較した増減。 | 10.0、0.01% |
エンドポイントデバイス数 | 縦棒と折れ線グラフ | 本日 (時間枠) | プロセス起動があったデバイス数と 1 時間あたりのユニークプロセス名数のトレンドチャート。単位:数/時間。 | なし |
プロセス起動トレンド | 折れ線グラフ | 本日 (時間枠) | デバイスあたりの 1 時間あたりの平均プロセス起動数。単位:数/時間。 | なし |
パブリックデバイスの分布 | マップ (グローバル) | 本日 (時間枠) | プロセス起動イベントが発生したパブリック IP アドレスを持つデバイスの地理的分布。 | なし |
パブリックデバイス上のプロセス起動数分布 | マップ (グローバル) | 本日 (時間枠) | パブリック IP アドレスを持つデバイス上のプロセス起動イベントの地理的分布。 | なし |
起動数トップ 20 プロセス | テーブル | 本日 (時間枠) | 起動数が最も多い上位 20 のプロセス。情報には、プロセス名、プロセスパス、起動数が含まれます。 | なし |
Bash を最も頻繁にトリガーしたトップ 20 プロセス | テーブル | 本日 (時間枠) | Bash を最も頻繁にトリガーした上位 20 のプロセス。情報には、親プロセス名と合計トリガー数が含まれます。 | なし |
プロセス起動数トップ 30 Java ファイル | テーブル | 本日 (時間枠) | 最も多くのプロセスを起動した上位 30 の Java ファイル。情報には、JAR ファイル名、JAR ファイルパス、合計起動数が含まれます。 | なし |
プロセス起動数トップ 30 クライアント | テーブル | 本日 (時間枠) | 最も多くのプロセスを起動した上位 30 のクライアント。情報には、クライアント、合計起動数、クライアントで最も起動数の多いコマンドライン、対応するプロセス名、数、および割合が含まれます。 | なし |
ネットワーク接続センター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
接続イベント数 | 単一値の比較 | 1 時間 (相対)/前日比 | デバイス上のネットワーク接続変更イベントの総数と、前日の同期間と比較した変化率。 | 10.0、-0.01% |
関連デバイス数 | 単一値の比較 | 本日 (時間枠)/前日比 | 接続変更イベントを経験したユニークホストデバイスの数、および前日と比較した増減。 | 10.0、0.01% |
ユニークプロセス数 | 単一値の比較 | 本日 (時間枠)/前日比 | ネットワーク接続変更イベントに関連するユニークプロセス名の数、および前日と比較した増減。 | 10.0、0.01% |
ユニーク送信元 IP 数 | 単一値の比較 | 本日 (時間枠)/前日比 | ネットワーク接続変更イベントに関与した [ユニーク送信元 IP] の数、および前日全体と比較した増減。 | 10.0、0.01% |
ユニーク宛先 IP 数 | 単一値の比較 | 本日 (時間枠)/前日比 | ネットワーク接続変更イベントに関与したユニーク宛先 IP の数、および前日と比較した増減。 | 1.0 千、0.01% |
ネットワーク接続トレンド | 二重折れ線グラフ | 1 時間 (相対) | ネットワーク接続イベントがあったデバイス数と 1 時間あたりのイベント数のトレンドチャート。単位:数/時間。 | なし |
接続タイプのトレンド | 二重折れ線グラフ | 1 時間 (相対) | ネットワーク接続変更イベントの接続タイプ (アウトバウンド、インバウンド) の 1 時間あたりの分布のトレンドチャート。単位:数/時間。 | なし |
接続タイプの分布 | 円グラフ | 1 時間 (相対) | ネットワーク接続変更イベントの接続タイプ (アウトバウンド、インバウンド) の分布。 | なし |
プロトコルタイプの分布 | 円グラフ | 1 時間 (相対) | ネットワーク接続変更イベントの接続プロトコル (TCP、UDP など) の分布。 | なし |
パブリックデバイスの分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントが発生したデバイスの地理的分布。 | なし |
パブリックデバイスのイベント分布 | マップ (グローバル) | 1 時間 (相対) | パブリック IP アドレスを持つデバイス上のネットワーク接続変更イベントの地理的分布。 | なし |
アウトバウンド接続先の分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントのアウトバウンド接続先の地理的分布。 | なし |
インバウンド接続元の分布 | マップ (グローバル) | 1 時間 (相対) | ネットワーク接続変更イベントのインバウンド接続元の地理的分布。 | なし |
アウトバウンド接続数トップ 30 デバイス | テーブル | 1 時間 (相対) | アウトバウンドネットワーク接続変更イベントが最も多い上位 30 のデバイス。情報には、デバイス、アウトバウンド接続イベント数、ユニーク宛先接続数、および例が含まれます。 | なし |
インバウンド接続数トップ 30 デバイス | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 のデバイス。情報には、デバイス、リスニング IP、インバウンド接続イベント数、リスニングポート数、および例が含まれます。 | なし |
アウトバウンド接続先数トップ 30 デバイス | テーブル | 1 時間 (相対) | アウトバウンドネットワーク接続変更イベントの宛先が最も多い上位 30 のデバイス。情報には、デバイス、アウトバウンド接続イベント数、ユニーク宛先接続数、および例が含まれます。 | なし |
インバウンド接続数トップ 30 リスニングポート | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 のリスニングポート。情報には、リスニングポート、インバウンド接続イベント数、および例が含まれます。 | なし |
アウトバウンド接続数トップ 30 プロセス | テーブル | 1 時間 (相対) | アウトバウンドネットワーク接続変更イベントが最も多い上位 30 のプロセス。情報には、プロセス名、アウトバウンド接続イベント数、関連デバイス数、およびパスの例が含まれます。 | なし |
インバウンド接続数トップ 30 プロセス | テーブル | 1 時間 (相対) | インバウンドネットワーク接続変更イベントが最も多い上位 30 のプロセス。情報には、プロセス名、インバウンド接続イベント数、関連デバイス数、およびパスの例が含まれます。 | なし |
セキュリティログ
ベースラインセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
関連クライアント数 | 単一値の比較 | 本日 (時間枠)/前日比 | ベースラインの問題がある [ユニークホストデバイス] の数、および前日全体と比較した増減。 | 10.0、0.01% |
新規ベースライン数 | 単一値の比較 | 本日 (時間枠)/前日比 | 新規ベースラインイベントの数、および前日と比較した増減。 | 10.0、-0.01% |
検証済みベースライン数 | 単一値の比較 | 本日 (時間枠)/前日比 | ベースライン認証イベントの数、および前日と比較した増減。 | 10.0、-0.01% |
優先度の高いベースライン数 | 単一値の比較 | 本日 (時間枠)/前日比 | 優先度の高いベースラインイベントの数、および前日全体と比較した増減。 | 10.0、0.01% |
ベースライン操作のトレンド | フローチャート | 本日 (時間枠) | さまざまなベースライン操作 (新規、検証済みなど) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
ベースラインサブタイプのトレンド | フローチャート | 本日 (時間枠) | さまざまなベースラインサブタイプ (システムアカウントのセキュリティ、レジストリなど) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
ベースラインステータスのトレンド | フローチャート | 本日 (時間枠) | さまざまなベースラインステータス (未修正、修正済み) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
ベースライン操作の分布 | ドーナツグラフ | 本日 (時間枠) | さまざまなベースライン操作 (新規、検証済みなど) の分布。 | なし |
ベースラインサブタイプの分布 | ドーナツグラフ | 本日 (時間枠) | さまざまなベースラインサブタイプ (システムアカウントのセキュリティ、レジストリなど) の分布。 | なし |
ベースラインステータスの分布 | ドーナツグラフ | 本日 (時間枠) | 最新のベースラインステータス (未修正、修正済み、修正失敗など) の分布。 重要 サーバー上のベースラインに複数のステータス変更がある場合、最新のステータスが分類に使用されます。 | なし |
新規ベースライントップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで新規発生が最も多い上位 10 のベースライン。 | なし |
検証済みベースライントップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで検証が最も多い上位 10 のベースライン。 | なし |
ベースラインイベント数トップ 20 クライアント | テーブル | 本日 (時間枠) | ベースラインイベントが最も多い上位 20 のデバイス。情報には、クライアント、ベースラインイベント数、新規ベースライン数、処理済みベースライン数、および高または中優先度のベースライン数が含まれます。 | なし |
脆弱性センター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
関連クライアント数 | 単一値の比較 | 本日 (時間枠)/前日比 | 脆弱性のある [ユニークホストデバイス] の数、および前日と比較した増減。 | 10.0、0.01% |
新規脆弱性数 | 単一値の比較 | 本日 (時間枠)/前日比 | 新規セキュリティ脆弱性イベントの数、および前日全体と比較した増減。 | 10.0、0.01% |
検証済み脆弱性数 | 単一値の比較 | 本日 (時間枠)/前日比 | 認証済みセキュリティ脆弱性イベントの数、および前日全体と比較した増減。 | 10.0、-0.01% |
修正済み脆弱性数 | 単一値の比較 | 本日 (時間枠)/前日比 | 修正済みセキュリティ脆弱性イベントの数、および前日と比較した増減。 | 10.0、-0.01% |
脆弱性操作のトレンド | フローチャート | 本日 (時間枠) | さまざまな脆弱性操作 (新規、検証済みなど) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
脆弱性タイプのトレンド | フローチャート | 本日 (時間枠) | さまざまな脆弱性タイプ (Windows 脆弱性、Linux 脆弱性、Web-CMS 脆弱性など) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
脆弱性ステータスのトレンド | フローチャート | 本日 (時間枠) | さまざまな脆弱性ステータス (未修正、修正済み) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
脆弱性操作の分布 | ドーナツグラフ | 本日 (時間枠) | さまざまな脆弱性操作 (新規、検証済みなど) の分布。 | なし |
脆弱性タイプの分布 | ドーナツグラフ | 本日 (時間枠) | さまざまな脆弱性タイプ (Windows 脆弱性、Linux 脆弱性、Web 脆弱性など) の分布。 | なし |
脆弱性ステータスの分布 | ドーナツグラフ | 本日 (時間枠) | 最新の脆弱性ステータス (未修正、修正済み、修正失敗など) の分布。 重要 マシン上の脆弱性に複数のステータス変更がある場合、最新のステータスが分類に使用されます。 | なし |
新規脆弱性トップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで新規発生が最も多い上位 10 の脆弱性。 | なし |
検証済み脆弱性トップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで検証が最も多い上位 10 の脆弱性。 | なし |
修正済み脆弱性トップ 10 | ドーナツグラフ | 本日 (時間枠) | 各デバイスで最も一般的な脆弱性の上位 10 件を修正します。 | なし |
脆弱性イベント数トップ 20 クライアント | テーブル | 本日 (時間枠) | 脆弱性が最も多い上位 20 のデバイス。情報には、クライアント、脆弱性イベントの総数、新規脆弱性数、検証済み脆弱性数、修正済み脆弱性数、および各タイプの脆弱性数が含まれます。 | なし |
アラートセンター
チャート名 | チャートタイプ | デフォルトの時間範囲 | 説明 | 例 |
関連クライアント数 | 単一値の比較 | 本日 (時間枠)/前日比 | セキュリティアラートがある [ユニークホストデバイス] の数、および前日と比較した増減。 | 10.0、0.01% |
新規アラート数 | 単一値の比較 | 本日 (時間枠)/前日比 | 新規セキュリティアラートイベントの数、および前日全体と比較した増減。 | 10.0、-0.01% |
処理済みアラート数 | 単一値の比較 | 本日 (時間枠)/前日比 | 処理済みセキュリティアラートイベントの数、および前日と比較した増減。 | 10.0、0.01% |
優先度の高いアラート数 | 単一値の比較 | 本日 (時間枠)/前日比 | 重大なセキュリティアラートイベントの数、および前日と比較した増減。 | 10.0、-0.01% |
アラート操作のトレンド | フローチャート | 本日 (時間枠) | さまざまなアラート操作 (新規、処理済みなど) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
アラートレベルのトレンド | フローチャート | 本日 (時間枠) | さまざまなアラートレベル (重大、疑わしい、参考など) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
アラートステータスのトレンド | フローチャート | 本日 (時間枠) | さまざまなアラートステータス (未処理、処理済み) の 1 時間あたりのトレンドチャート。単位:数。 | なし |
アラート操作の分布 | ドーナツグラフ | 本日 (時間枠) | さまざまなアラート操作 (新規、処理済みなど) の分布。 | なし |
アラートレベルの分布 | ドーナツグラフ | 本日 (時間枠) | さまざまなアラートレベル (重大、疑わしい、参考など) の分布。 | なし |
アラートステータスの分布 | ドーナツグラフ | 本日 (時間枠) | 最新のアラートステータス (未処理、処理済み、処理失敗など) の分布。 重要 マシン上のアラートに複数のステータス変更がある場合、最新のステータスが分類に使用されます。 | なし |
新規アラートトップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで新規発生が最も多い上位 10 のアラート。 | なし |
処理済みアラートトップ 10 | ドーナツグラフ | 本日 (時間枠) | すべてのデバイスで最も頻繁に処理された上位 10 のアラート。 | なし |
アラートイベント数トップ 20 クライアント | テーブル | 本日 (時間枠) | アラートイベントが最も多い上位 20 のデバイス。情報には、クライアント、アラートイベント数、新規または処理済みイベント数、重大または疑わしいイベント数、およびアラートタイプが含まれます。 | なし |
よくある質問
ログのエクスポートタスクが失敗したのはなぜですか。
考えられる原因と解決策は次のとおりです:
クエリ対象のログ数が 2,000 万件の上限を超えています。
検索文が複雑すぎて計算タイムアウトが発生しました。時間範囲を狭めるか、検索文を簡略化してから再試行してください。
レポートにデータが表示されないのはなぜですか。
次の項目を確認してください:
[ログ分析] ページで [有効化] スイッチがオンになっていることを確認します。
正しい時間範囲を選択したことを確認します。
機能を有効にしたばかりの場合、データシッピングと処理に時間がかかります。5〜10 分お待ちください。