非推奨のセキュリティに関する推奨事項
この記事では、Microsoft Defender for Cloud で非推奨とされるすべてのセキュリティに関する推奨事項を示します。
Azure 非推奨の推奨事項
App Services へのアクセスを制限する必要がある
説明と関連ポリシー: ネットワーク構成を変更して App Services へのアクセスを制限し、広すぎる範囲からの受信トラフィックを拒否します。 (関連ポリシー: [プレビュー]: App Services へのアクセスを制限する必要があります)。
重大度: 高
マシンの Endpoint Protection の正常性の問題を解決する必要がある
説明: 仮想マシンのエンドポイント保護の正常性に関する問題を解決して、最新の脅威や脆弱性から保護します。 Defender for Cloud でサポートされている Endpoint Protection ソリューションと Endpoint Protection の評価に関するドキュメントを参照してください。 (関連ポリシーはありません)
重大度: 中
マシンに Endpoint Protection をインストールする必要がある
説明: 脅威や脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 マシンの Endpoint Protection の評価方法の詳細については、「Microsoft Defender for Cloud での Endpoint Protection に関する評価と推奨事項」を参照してください。 (関連ポリシーはありません)
重大度: 高
IoT デバイスの可視性を向上させるために、IoT セキュリティ モジュールの Azure Security Center をインストールする
説明と関連ポリシー: Azure Security Center for IoT セキュリティ モジュールをインストールして、IoT デバイスの可視性を高めます。
重大度: 低
関数アプリ用に Java を最新バージョンに更新する必要がある
説明と関連するポリシー: セキュリティ上の欠陥または追加機能を含めるために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 (関連ポリシー: 関数アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
Web アプリ用に Java を最新バージョンに更新する必要がある
説明と関連するポリシー: セキュリティ上の欠陥または追加機能を含めるために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Java バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: Web アプリの一部として使用する場合は、"Java バージョン" が最新であることを確認します)。
重大度: 中
お使いのマシンに監視エージェントをインストールする必要があります
説明と関連ポリシー: このアクションにより、選択した仮想マシンに監視エージェントがインストールされます。 エージェントが報告する先のワークスペースを選択します。 (関連ポリシーはありません)
重大度: 高
Web アプリ用に PHP を最新バージョンに更新する必要がある
説明と関連するポリシー: セキュリティ上の欠陥または追加機能を含めるために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の PHP バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: WEB アプリの一部として使用する場合は、'PHP バージョン' が最新であることを確認します)。
重大度: 中
Pod Security Policies should be defined to reduce the attack vector by removing unnecessary application privileges(不要なアプリケーション特権を削除してポッドのセキュリティ ポリシーを定義し攻撃ベクトルを減らす必要がある) (プレビュー)
説明と関連ポリシー: ポッド セキュリティ ポリシーを定義して、不要なアプリケーション特権を削除して攻撃ベクトルを減らします。 アクセスが許可されているリソースにのみポッドがアクセスできるようポッドのセキュリティ ポリシーを定義し、構成することが推奨されます。 (関連ポリシー: [プレビュー]: ポッドのセキュリティ ポリシーは Kubernetes Services で定義する必要があります)。
重大度: 中
Cognitive Services アカウントでは公衆ネットワーク アクセスを無効にする必要がある
説明: このポリシーは、パブリック ネットワーク アクセスが有効になっている環境内のすべての Cognitive Services アカウントを監査します。 プライベート エンドポイントからの接続のみが許可されるように、公衆ネットワーク アクセスを無効にする必要があります。 (関連ポリシー: Cognitive Services アカウントではパブリック ネットワーク アクセスを無効にする必要があります)。
重大度: 中
関数アプリ用に Python を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥のため、または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 (関連ポリシー: 関数アプリの一部として使用する場合は、'Python バージョン' が最新であることを確認します)。
重大度: 中
Web アプリ用に Python を最新バージョンに更新する必要がある
説明と関連ポリシー: セキュリティ上の欠陥のため、または追加機能を含めるために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を活用できるように、最新の Python バージョンを Web アプリに使用することをお勧めします。 (関連ポリシー: Web アプリの一部として使用する場合は、'Python バージョン' が最新であることを確認します)。
重大度: 中
IaaS NSG 上の Web アプリケーションに対する規則を強化する必要がある
説明と関連ポリシー: Web アプリケーション ポートに関して過度に制限されている NSG ルールを使用して、Web アプリケーションを実行している仮想マシンのネットワーク セキュリティ グループ (NSG) を強化します。 (関連ポリシー: IaaS 上の Web アプリケーションの NSG ルールを強化する必要があります)。
重大度: 高
システムの更新プログラムを適用するには、マシンを再起動する必要があります
説明と関連ポリシー: コンピューターを再起動してシステム更新プログラムを適用し、コンピューターを脆弱性から保護します。 (関連ポリシー: システム更新プログラムをコンピューターにインストールする必要があります)。
重大度: 中
サブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、所有者アクセス許可を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: サブスクリプションに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります)。
重大度: 高
サブスクリプションに対して読み取りアクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、読み取り特権を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: サブスクリプションに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります)。
重大度: 高
サブスクリプションに対して書き込みアクセス許可があるアカウントでは、MFA を有効にする必要がある
説明: アカウントまたはリソースの侵害を防ぐために、書き込み特権を持つすべてのサブスクリプション アカウントに対して多要素認証 (MFA) を有効にする必要があります。 (関連ポリシー: MFA は、サブスクリプションに対する書き込みアクセス許可を持つアカウント) を有効にする必要があります。
重大度: 高