Azure - Cloud App DiscoveryでPCがアクセスしたクラウドサービスを検出する その2
前回Cloud App DiscoveryをPCをにセットアップしてログを見てみましたが、その後1週間ほどログを収集して見たので、その結果をまとめます。
前回の記事 edge.hateblo.jp
目次
なんのログを収集したの?
FacebookやOnedriveなどインターネット上のSNSやストレージサービスなどへのアクセスログを収集しました。
Cloud App Discoveryのデータ収集範囲は、全てのクラウドアプリケーション としました。
全てのクラウドアプリケーションといってもAzureが対応しているものに限られますが、今日時点で1465個のクラウドアプリを認識できるようです。
代表的なものには、[twitter] [Facebook] [youtube]などがありました。
どうやってログを収集するの?
ログを収集したいPCやサーバーにAgentをインストールするだけです。
インストール時の設定は必要ありませんが、AgentをAzureポータルから入手する時に設定が必要になります。
具体的には、以下の3点です。
下記項目を決めた後に、Agentのダウンロードが可能になります。
- ログの収集ポリシー
- Deep Inspection (HTTPS通信もログ収集の対象とするか)
- Agentの自動アップデートを行うか
ログ収集ポリシー | 説明 |
---|---|
No notification or consent required | Web traffic monitoring will begin immediately and without notifying user.(ユーザへ通知せずにログ収集を開始する。) |
Require notification | Upon logon, the user will be notified that web traffic is monitored. The agent will only start collecting web traffic after the user acknowledges the notification.(ログオン後、ユーザにトラフィックが監視されていることを通知し、ユーザが認識した後にログ収集を開始する。) |
Require user consent | Upon logon, the user will be asked to approve data collection. The agent will only start collecting web traffic if the user selects ‘Approve’.(ログイン後、データ収集についてユーザが承認した場合のみ、ログ収集を開始する。) |
私は以下の設定でAgentをダウンロードしました。 Deep Inspectionについては、昨今Google検索やYahoo検索を始め、多くのサービスでHttps通信を強制している状況を鑑みるとHTTPSの通信も監視して降りたほうが良いと考え、設定をONにしました。
設定 | 値 |
---|---|
ログ収集ポリシー | No notification or consent required |
Deep Inspection | ON |
Autoupdate | ON |
収集結果
思った以上の情報が取得できました。
サービスはもとより、誰が、いつ、どこに、どの程度のデータを送受信したかまで詳細に表示されています。
これって結構すごいことなんじゃないかと思います。
Agentを入れるだけで、インターネットに接続されたPCから自動でAzure ADにログが送信され、自動で解析までしてくれる。
管理者が行うことは、Azure ADプレミアムを契約し、AgentをPCに配布/インストールするだけです。
Cloud App DiscveryはAzure ADプレミアムを契約すると、利用することができます。
多くのユーザはADFSなどの機能を使うためにAADプレミアムを契約している人も多いかと思います。
実はAADプレミアムにはいろんな機能がついているのですが、そのうち1−2個しか使っていないのが現状ではないでしょうか。
一人あたり数百円/月でも1000人いれば数十万円/月のコストになり、なんとなく割高感を感じている人も多いかと思います。
そういう人こそAzure ADプレミアムの使っていない機能に目を向けて見てはいかがでしょうか。
役に立つ機能が、すでに利用可能な状態となっていますよ。