AZ700-SEC#37
NSG Flow Logs を Network Watcher で有効化し、Traffic Analytics で異常検知を構成する手順を、正しい順序に並べてください。
- Network Watcher を対象 region で有効化
- NSG Flow Logs を Version 2 で有効化 + Storage Account に保存
- Traffic Analytics を有効化 + Log Analytics Workspace に接続
- Threat Intelligence ベースの異常検知アラートを設定
解説
【正しい順序】
- ステップ 1: Network Watcher 有効化
- ステップ 2: Flow Logs 有効化
- ステップ 3: Traffic Analytics
- ステップ 4: アラート構成
【各ステップの理由】
- ステップ 1 Network Watcher 有効化: 対象 region で Network Watcher を有効化します。多くの場合 region 作成時に自動有効化されますが、要確認です。
- ステップ 2 Flow Logs 有効化: NSG Flow Logs を Version 2 (フロー状態 + バイト数記録対応) で有効化し、Storage Account を保存先に指定します。
- ステップ 3 Traffic Analytics: Log Analytics Workspace を関連付けて Traffic Analytics を有効化します。これで Threat Intelligence ベースの異常検知が始まります。
- ステップ 4 アラート構成: 異常パターン (例: マルウェア通信 / 不審 IP 接続) を KQL クエリ + Log Analytics Alert Rule で構成し、SOC 通知を自動化します。
【誤った順序の問題点】
- Flow Logs を Version 1 で運用: フロー状態 / バイト数記録ができないため、Traffic Analytics の効果が限定的になります。
- Traffic Analytics なしで運用: Threat Intelligence や異常検知が動作せず、Flow Logs を生のままレビューする運用は実用困難です。
コメント