攻撃パスを特定して修復する
Defender for Cloud は、マルチクラウド環境に固有の潜在的な攻撃パスを見つけるために独自のアルゴリズムを使います。 Defender for Cloud は、事前設定された攻撃パスを探す代わりに、そのアルゴリズムを使ってマルチクラウド セキュリティ グラフに基づいて潜在的な攻撃パスを検出します。 攻撃パス分析は、侵害につながる可能性のある最も重大なセキュリティ問題に焦点を当てるのに役立ちます。
ユーザーは、攻撃パス分析を使って、差し迫った脅威をもたらし、環境内で悪用される可能性が最も高いセキュリティの問題に対処できます。 Defender for Cloud では、攻撃者が環境を侵害するために使用する可能性のある攻撃パスの一部になっているセキュリティ問題を分析します。 また、これらの問題を軽減するためにユーザーが解決する必要のあるセキュリティに関する推奨事項もはっきり示します。
既定では、攻撃パスはリスク レベル別に整理されます。 リスク レベルは、各リソースのリスク要因を考慮するコンテキスト対応のリスク優先順位付けエンジンによって決定されます。 Defender for Cloud がセキュリティに関する推奨事項に優先順位を付ける方法について説明します。
前提条件
Defender Cloud Security Posture Management (CSPM) を有効にし、エージェントレス スキャンを有効にする必要があります。
必要なロールとアクセス許可: セキュリティ閲覧者、セキュリティ管理者、閲覧者、共同作成者、または所有者。
コンテナーに関連する攻撃パスを表示するには:
Defender CSPM エージェントレス コンテナーポスチャ拡張機能 を有効にするか
Defender for Containers を有効にし、関連するエージェントをインストールして、コンテナーに関連する攻撃パスを表示できます。 これにより、セキュリティ エクスプローラーでコンテナーのデータ プレーン ワークロードにクエリを実行する機能も提供されます。
必要なロールとアクセス許可: セキュリティ閲覧者、セキュリティ管理者、閲覧者、共同作成者、または所有者。
攻撃パスを特定する
攻撃パス ページには、すべての攻撃パスの概要が表示されます。 また、影響を受けるリソースと、アクティブな攻撃パスの一覧を確認することもできます。
攻撃パス分析を使用して、環境に対する最大のリスクを特定し、修復することができます。
攻撃パスを特定するには:
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
ノードを選択します。
[分析情報] を選択して、そのノードに関連付けられている分析情報を表示します。
![特定のノードの [分析情報] タブのスクリーンショット。](media/how-to-manage-attack-path/insights.png)
[推奨事項] を選択します。
推奨事項を選択します。
![特定のノードの [分析情報] タブのスクリーンショット。](media/how-to-manage-attack-path/insights.png#lightbox)
攻撃パスを修復する
攻撃パスの調査が済み、関連するすべての結果と推奨事項を確認したら、攻撃パスの修復を開始できます。
攻撃パスを修復するには:
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
[修復] を選択します。
推奨事項を選択します。
攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。
攻撃パス内のすべての推奨事項を修復する
攻撃パス分析では、攻撃パスごとにすべての推奨事項を確認できるので、各ノードを個別に調べる必要はありません。 各ノードを個別に表示しなくても、すべてのレコメンデーションを解決できます。
修復パスには、次の 2 種類の推奨事項が含まれています。
- 推奨事項 - 攻撃パスを軽減する推奨事項。
- 追加の推奨事項 - 悪用リスクを軽減するが、攻撃パスを軽減しない推奨事項。
すべてのレコメンデーションを解決するには:
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
[修復] を選択します。
その他の推奨事項を展開します。
推奨事項を選択します。
攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。