AZ-104Azure 仮想ネットワークの実装と管理HARD単一選択

ある企業のセキュリティ監査で、Azure VMがインターネットから予期しないポートで通信を受けていることが判明した。Network WatcherとNSGフローログを使って詳細な調査を行いたい。NSGフローログを有効にするための前提条件として正しいものはどれか。

  1. A. NSGフローログはAzure Security Centerを有効にしたサブスクリプションでのみ利用可能
  2. B. Network Watcherリソースがサブスクリプションレベルで有効になっていること
  3. C. NSGフローログはAzure MonitorのLog Analytics Workspaceに直接書き込まれるため、Storageアカウントは不要
  4. D. Network WatcherリソースがNSGと同じリージョンに存在し、フローログの出力先にAzure Storageアカウントが設定されていること
解答と解説を見る

正解: D

NSGフローログを有効にするには、Network WatcherリソースがそのNSGと同一のリージョンに存在している必要があり(Network Watcherはリージョンごとに存在する)、フローログデータの書き込み先としてAzure Storageアカウントの指定が必要である。また、Storage AccountのNetwork Watcherリソースプロバイダー(Microsoft.Insights)が登録されていることも前提条件となる。フローログはStorageに書き込まれた後、必要に応じてTraffic Analytics経由でLog Analytics Workspaceに転送して分析できる。選択肢BはNetwork Watcherがサブスクリプションレベルで有効という表現が不正確で、正確にはリージョンごとに有効化/作成する。選択肢CはStorageアカウントが不要という記述が誤りで、NSGフローログの一次保存先は必ずStorageアカウントである(Traffic Analyticsを使えばLog Analyticsにも流せるが、Storageは引き続き必要)。選択肢AはAzure Security Center(現Microsoft Defender for Cloud)への依存は存在しない誤りである。

📚 関連サービスの解説: ネットワーク セキュリティ グループ(NSG)
▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題