ある企業のセキュリティチームが、Azure サブスクリプション内で「所有者(Owner)ロールの付与」操作が発生した際に、セキュリティ担当者全員に即時通知したいと考えている。運用負荷を最小限に抑えながら要件を満たす最も適切な構成はどれか。
- A. Log Analytics ワークスペースにアクティビティログを送信し、スケジュール済みのログアラートを 1 分間隔で実行して Owner ロール付与を検出する
- B. Azure Monitor のアクティビティログアラートを作成し、操作名「Microsoft.Authorization/roleAssignments/write」でフィルタリングしてセキュリティチームのアクショングループに通知する
- C. Azure Policy の監査ポリシーを作成し、非準拠リソースが検出された際にメール通知を送信する
- D. Microsoft Defender for Cloud のカスタムアラートポリシーを作成し、RBAC 変更を検出するルールを定義する
解答と解説を見る
正解: B
Azure Monitor のアクティビティログアラートは、コントロールプレーン操作(RBAC の変更を含む)に対してリアルタイムで反応し、アクショングループ経由で即時通知できる。操作名「Microsoft.Authorization/roleAssignments/write」をフィルタ条件に指定することで Owner ロール付与に絞った検出が可能である。選択肢Aはログアラートを定期実行する方式で、検出まで最大 1 分の遅延があり、ログの転送設定も追加で必要になる。選択肢Dの Defender for Cloud はセキュリティ脅威の検出に特化しており、RBAC 変更の即時通知にはアクティビティログアラートの方が直接的で確実である。選択肢Cの Azure Policy は構成の準拠状態を評価するものであり、操作イベントのリアルタイム検出・通知には使用しない。
📚 関連サービスの解説: Azure Monitor