Azure Monitor for VMsを使って監視する

2020-09-21

Azure Monitor for VMsの設定から、取得情報確認、実際に取得されたデータを元にAzure Monitorを使った悪意あるIPからの通信についての監視設定まで試してみました。

Azureで取得されるメトリック情報では不足している、Azure VMのメモリ使用率といったリソースの情報から外部との通信情報等なで様々な情報を取得出来ます。

Azure Monitor for VMs(公式サイト)

実際に取得される情報はこういうイメージで確認が可能です。

  • 通信情報

  • リソース使用率

スポンサーリンク

Azure Monitor for VMsの設定を行う

まず、最初にAzure Monitor for VMsの設定を行います。なおAzure Monitor for VMsではLog Analyticsワークスペースが必要になりますので、転送先がない場合は事前に作成しておきます。

※設定段階でLog Analyticsワークスペースを一緒に新規作成することも可能です。

1)仮想マシン(Virtual Machine)のメニューで分析情報(Insights)を選択すると下記画面が表示されますので、有効をクリックします。

2) Insightsのオンボード設定が表示されますので、Log Analyticsワークスペースを指定して有効をクリックします。(Log AnalyticsワークスペースとAzure VMは同じロケーションを指定が推奨です。)

これでAzure Monitor for VMsの設定は完了です。

Azure VMのInsight(Azure Monitor for VMs)のデータ取得をLog Analyticsワークスペースで確認する

先ほど設定した、Log Analyticsワークスペースのメニューでログを選択します。Azure Monitor for VMsの項目が出来ている事が確認出来ました。

実際にクエリをいくつか実行してみます。まずディスク使用率を確認してみます。

#Cドライブのディスク使用率を確認する。

IInsightsMetrics
| where TimeGenerated > ago(1h)
| where Namespace contains “Disk"
| where Tags contains “C:"
| where Name contains “FreeSpacePercentage"
| order by TimeGenerated
| project TimeGenerated,Computer,Va
l

実際にクエリを実行すると以下のような結果が得られます。

2020/9/21 17:20:11.000 Computer Name 91.764
Computer Name 91.764
Computer Name 91.764

Log Analyticsのクエリで確認可能という事は、Azure Monitorを使った監視が可能です。名前がAzure Monitor For VMsなので当たり前なのですが。。。

Azure Monitor で悪意のあるIPとの通信監視を行う

Azure Monitor For VMsで得られたデータをもとに不正アクセス監視を行ってみます。

Azure Monitor For VMsで悪意あるIPとの通信データが取得出来るそうです。

悪意のある IP(公式サイト)

Azure Monitorで悪意あるIPとの通信があった場合にアラート通知するように設定してみました。

1)Log Analyticsワークスペースのメニューで警告を選択すると下記画面が表示されますので、新しいアラートルールをクリックします。

2)アラートルールの作成画面が表示されますので、条件の選択をクリックします。

3)シグナルロジックの構成画面が表示されますので、シグナル名でCustom log searchを選択します。

4)シグナルロジックの構成の画面で以下の通り設定します。今回は15分間隔での監視設定にしています。

  • 検索クエリ

VMConnection
| where TimeGenerated > ago(15m)
| where IndicatorThreatType != “"
| summarize count() by RemoteIp,IndicatorThreatType
| where count_ > 0

  • アラートロジック
    • 基準:結果の数
    • 演算子:次の値より大きい
    • しきい値:0
  • 評価基準
    • 期間;15分
    • 頻度:15分

実際の設定はこのような感じになります。

設定が終わったら完了をクリックします。

後は、アクションルールやアラート名の設定等を行えば、Azure Monitorの設定は完了です。

※今回は実際に試験できなかったのですが、経過観察して試してみたい所です。