Defender for Cloud でセキュリティ ポリシーを設定する
Microsoft Defender for Cloud のセキュリティ ポリシーには、クラウドのセキュリティ態勢を改善するセキュリティ標準と推奨事項が含まれています。
セキュリティ標準では、ルール、コンプライアンス条件、および条件が満たされていない場合のアクション (効果) を定義します。 Defender for Cloud では、ご利用の Azure サブスクリプション、Amazon Web Services (AWS) アカウント、Google Cloud Platform (GCP) プロジェクトのセキュリティ標準に照らしてリソースとワークロードが評価されます。 これらの評価に基づき、セキュリティに関する推奨事項では、セキュリティの問題を修復するための実用的な手順を提供します。
セキュリティ標準
Defender for Cloud のセキュリティ標準は、次のソースに基づいています。
Microsoft クラウド セキュリティ ベンチマーク (MCSB): クラウド アカウントを Defender にオンボードすると、既定で MCSB 標準が適用されます。 セキュリティ スコア は、いくつかの MCSB レコメンデーションに対する評価に基づいています。
規制コンプライアンス標準: 1 つ以上の Defender for Cloud プランを有効にすると、さまざまな定義済みの規制コンプライアンス プログラムから標準を追加できます。
カスタム標準: Defender for Cloud でカスタム セキュリティ標準を作成し、必要に応じて組み込み済みの推奨事項やカスタム推奨事項をこれらのカスタム標準に追加できます。
Defender for Cloud のセキュリティ標準は、Azure Policyイニシアチブまたは Defender for Cloud ネイティブ プラットフォームに基づいています。 現在、Azure 標準は Azure Policy に基づいており、AWS 標準と GCP 標準は Defender for Cloud に基づいています。
セキュリティ標準の使用
Defender for Cloud のセキュリティ標準では、次の操作を実行できます。
サブスクリプションの組み込み MCSB を変更する: Defender for Cloud を有効にすると、MCSB は、すべての Defender for Cloud 登録済みサブスクリプションに自動的に割り当てられます。 MCSB 標準の管理についての詳細。
規制コンプライアンス標準を追加する: 1 つ以上の有料プランが有効になっている場合は、組み込みのコンプライアンス標準を割り当てて、Azure、AWS、および GCP のリソースを評価することができます。 規制基準の割り当てに関する詳細情報。
カスタム標準を追加する: 少なくとも 1 つの有料 Defender プランが有効になっている場合は、Defender for Cloud ポータルで新しいカスタム標準またはカスタム推奨事項を定義できます。 その後、推奨事項をそれらの標準に追加できます。
カスタム標準
カスタム標準は、組み込みの標準と共に規制コンプライアンス ダッシュボード内に表示されます。
カスタム標準に対する評価から派生した推奨事項は、組み込みの標準の推奨事項と共に表示されます。 カスタム標準に、組み込みの推奨事項とカスタムの推奨事項を含めることができます。
カスタム推奨事項
Kusto クエリ言語 (KQL) に基づくカスタム推奨事項の使用は、推奨される方法であり、すべてのクラウドでサポートされていますが、Defender CSPM プランを有効にする必要があります。 これらの推奨事項では、一意の名前、説明、修復手順、重大度、および関連する標準を指定します。 KQL を使用して推奨事項のロジックを追加します。 クエリ エディターには、調整可能な組み込みのクエリ テンプレートが用意されており、また、ご自身で KQL クエリを作成することもできます。
あるいは、すべての Azure のお客様は、Azure Policy カスタム イニシアチブをカスタムの推奨事項としてオンボードすることができます (従来の方法)。
詳細については、Microsoft Defender for Cloud でカスタム セキュリティ標準と推奨事項を作成する方法に関するページを参照してください。
セキュリティに関する推奨事項
Defender for Cloud は、定義されたセキュリティ標準に対して保護対象のリソースのセキュリティ状態を継続的に分析および評価し、潜在的なセキュリティ構成ミスと弱点を特定します。 Defender for Cloud から、評価結果に基づいて推奨事項が提供されます。
各推奨事項には次の情報が含まれます。
- 問題の簡単な説明
- 推奨事項を実装するための修復手順
- 影響を受けるリソース
- リスク レベル
- リスク要因
- 攻撃パス
Defender for Cloud のすべての推奨事項には、環境内のセキュリティの問題がどの程度悪用可能で、どの程度影響を及ぼすかを表すリスクレベルが関連付けられています。 リスク評価エンジンは、インターネットへの露出、データの機密性、横移動の可能性、攻撃パスの修復などの要因を考慮します。 リスク レベルに基づいて推奨事項の優先順位を付けることができます。
重要
リスクの優先順位付けは、セキュリティ スコアには影響しません。
例
MCSB 標準は、複数のコンプライアンス制御を含む Azure Policy イニシアチブです。 これらの制御の 1 つは、"ストレージ アカウントは仮想ネットワーク ルールを使ってネットワーク アクセスを制限する必要がある" というものです。
Defender for Cloud は、リソースを継続的に評価します。 このコントロールを満たしていないものが見つかると、非準拠としてマークされ、推奨事項がトリガーされます。 この場合のガイダンスは、仮想ネットワーク規則で保護されていない Azure Storage アカウントを強化することです。
次のステップ
- 規制コンプライアンス標準、MCSB、規制コンプライアンスの改善の詳細について説明します。
- 詳しくは、セキュリティに関する推奨事項についてのページを参照してください。