Microsoft Defender for Cloud について説明する

  • 6 分

Defender for Cloud は、セキュリティ態勢管理と脅威に対する保護のための監視ツールです。 クラウド、オンプレミス、ハイブリッド、マルチクラウド環境を監視して、セキュリティ態勢の強化を目的としたガイダンスと通知を提供します。

Defender for Cloud により、リソースの強化、セキュリティ体制の追跡、サイバー攻撃からの保護、セキュリティ管理の効率化を行うのに必要なツールが提供されます。 Defender for Cloud のデプロイは簡単で、既に Azure にネイティブに統合されています。

デプロイされているすべての場所の保護

Defender for Cloud は Azure ネイティブ サービスなので、多くの Azure サービスは、デプロイを必要とせずに監視および保護されます。 ただし、オンプレミスのデータセンターがある場合や、別のクラウド環境でも動作している場合は、Azure サービスの監視によって、セキュリティ状況の全体像が得られない可能性があります。

必要に応じて、Defender for Cloud で Log Analytics エージェントを自動的にデプロイして、セキュリティ関連のデータを収集できます。 Azure マシンの場合、デプロイは直接処理されます。 ハイブリッドとマルチクラウドの環境の場合、Microsoft Defender プランは Azure Arc を使用して Azure 以外のマシンに拡張されます。クラウド セキュリティ態勢管理 (CSPM) 機能は、エージェントを必要とせずにマルチクラウド マシンに拡張されます。

Azure ネイティブ保護

Defender for Cloud は、次の脅威を検出するのに役立ちます。

  • Azure PaaS サービス - Azure App Service、Azure SQL、Azure Storage アカウント、その他のデータ サービスを含む Azure サービスを対象とした脅威を検出します。 Microsoft Defender for Cloud Apps (旧称: Microsoft Cloud App Security) とのネイティブ統合を使用して、Azure アクティビティ ログで異常検出を実行することもできます。
  • Azure データ サービス - Defender for Cloud には、Azure SQL でデータを自動的に分類するのに役立つ機能が含まれています。 また、Azure SQL と Storage サービス全体の潜在的な脆弱性の評価と、それらを緩和する方法の推奨事項を取得することもできます。
  • Networks - Defender for Cloud は、ブルートフォース攻撃への露出を制限するために役立ちます。 Just-In-Time VM アクセスを使用して仮想マシン ポートへのアクセスを減らすことにより、不要なアクセスを防止してネットワークを強化することができます。 許可されたユーザー、許可されたソース IP アドレスの範囲または IP アドレス、および制限された期間にのみ、選択したポートに対するセキュリティで保護されたアクセス ポリシーを設定することができます。

ハイブリッド リソースを防御する

Azure 環境を保護するだけでなく、Defender for Cloud の機能をハイブリッド クラウド環境に追加して、Azure 以外のサーバーを保護することもできます。 最も重要な問題に専念できるように、特定の環境に応じてカスタマイズされた脅威インテリジェンスと優先順位が付けられたアラートを取得します。

オンプレミスのマシンに保護を拡張するには、Azure Arc をデプロイし、Defender for Cloud の強化されたセキュリティ機能を有効にしてください。

他のクラウドで実行されているリソースを保護する

Defender for Cloud を使用すると、他のクラウド (AWS や GCP など) 内のリソースも保護できます。

たとえば、Azure サブスクリプションにアマゾン ウェブ サービス (AWS) アカウントを接続している場合は、次のいずれかの保護を有効にすることができます。

  • Defender for Cloud の CSPM 機能が、AWS リソースまで拡張されています。 このエージェントレス プランでは、AWS 固有のセキュリティの推奨事項に従って AWS リソースを評価し、結果はセキュア スコアに含まれます。 これらのリソースは、AWS (AWS CIS、AWS PCI DSS、および AWS の基本的なセキュリティのベスト プラクティス) に固有の組み込み標準に準拠しているかについても評価されます。 Defender for Cloud の資産インベントリ ページは、Azure リソースと AWS リソースを共に管理するのに役立つマルチクラウド対応機能です。
  • Microsoft Defender for Containers では、Amazon EKS Linux クラスターまでコンテナーの脅威検出と高度な防御が拡張されます。
  • Microsoft Defender for Servers を使用すると、お使いの Windows と Linux の EC2 インスタンスに脅威検出および高度な防御を利用できます。

評価、セキュリティ保護、防御

クラウドとオンプレミスでリソースとワークロードのセキュリティを管理する場合、Defender for Cloud は 3 つの重要なニーズを満たします。

  • 継続的な評価 – セキュリティ態勢を把握します。 脆弱性を特定して追跡します。
  • セキュリティ保護 – Azure セキュリティ ベンチマークを使用してリソースとサービスを強化します。
  • 防御 - リソース、ワークロード、およびサービスに対する脅威を検出して解決します。

評価、セキュリティ保護、防御を強化するダイアグラム。

継続的な評価

Defender for cloud は、環境を継続的に評価するのに役立ちます。 Defender for Cloud には、仮想マシン、コンテナー レジストリ、SQL サーバーの脆弱性評価ソリューションが含まれています。

Microsoft Defender for servers には、Microsoft Defender for Endpoint との、自動的でネイティブな統合機能が備わっています。 この統合を有効にした場合は、Microsoft の脅威と脆弱性の管理から脆弱性の検出結果にアクセスできるようになります。

これらの評価ツールの間には、コンピューティング、データ、インフラストラクチャをカバーする定期的で詳細な脆弱性スキャンがあります。 Defender for Cloud 内から、これらのスキャンの結果をすべて確認して応答できます。

セキュリティで保護

認証方法からアクセス制御、ゼロ トラストの概念まで、クラウドのセキュリティは適切に行う必要がある重要な基本です。 クラウドでセキュリティを確保するには、ワークロードがセキュリティで保護されていることを確認する必要があります。 ワークロードをセキュリティで保護するには、環境と状況に合わせて調整されたセキュリティ ポリシーが必要です。 Defender for Cloud のポリシーは Azure Policy 制御を基礎にして構築されているため、世界レベルのポリシー ソリューションのすべての範囲と柔軟性を利用できます。 Defender for Cloud では、管理グループ、サブスクリプション全体、さらにはテナント全体に対して実行するようにポリシーを設定できます。

クラウドに移行する利点の 1 つは、必要に応じて拡張およびスケーリングし、必要に応じて新しいサービスとリソースを追加できることです。 Defender for Cloud は、ワークロード全体にデプロイされている新しいリソースを常に監視しています。 Defender for Cloud は、セキュリティのベスト プラクティスに従って新しいリソースが構成されているかどうかを評価します。 フラグが設定されていない場合には、フラグが設定され、修正する必要がある推奨事項の優先順位付きの一覧が表示されます。 推奨事項を利用すると、各リソースの攻撃対象領域を減らすことができます。

推奨事項の一覧は、Azure セキュリティ ベンチマークにより有効になり、サポートされます。 この Microsoft が作成した、Azure 固有のベンチマークは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するガイドラインのセットを提供します。

このように、Defender for Cloud では、セキュリティ ポリシーを設定するだけでなく、セキュリティで保護された構成基準をリソース全体に適用することができます。

Defender for Cloud では、全体的なセキュリティ体制に対する各推奨事項の重要度が理解しやすいよう、推奨事項がセキュリティ コントロールにグループ化され、各コントロールにはセキュア スコア値が追加されます。 セキュア スコアは、セキュリティ態勢の正常性をひとめで確認できる一方で、コントロールには、セキュリティ スコアと全体的なセキュリティ態勢を改善するために考慮すべき事項の作業リストが表示されます。

Microsoft Defender for Cloud セキュア スコアを示すスクリーンショット。

防御

最初の 2 つの領域では、環境の評価、監視、および維持に重点を置いていました。 Defender for Cloud は、セキュリティ アラートと高度な脅威保護機能を提供することで、環境を防御するのにも役立ちます。

セキュリティのアラート

Defender for Cloud では、環境のどの領域でも脅威を検出すると、セキュリティ アラートを生成します。 セキュリティ アラート:

  • 影響を受けるリソースの詳細を説明する
  • 修復手順の提案
  • 場合によっては、ロジック アプリを応答でトリガーするオプションが表示されます。

アラートは Defender for Cloud によって生成されたのか、統合セキュリティ製品から Defender for Cloud によって受信されたかに関係なく、エクスポートできます。 Security Center の脅威の防止機能には、サイバー キルチェーン分析に基づいて環境内のアラートを自動的に相関させるフュージョン キルチェーン分析が含まれており、攻撃キャンペーンの詳細、開始点、リソースに対する影響の種類をよりよく把握することができます。

高度な脅威保護

Defender for Cloud は、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなど、デプロイされた多くのリソースに高度な脅威保護機能を提供します。 保護には、Just-In-Time アクセスと適応型アプリケーション制御を使用した、VM の管理ポートのセキュリティ保護が含まれます。これにより、コンピューターで実行する必要があるアプリや、実行してはならないアプリを示す許可リストが作成されます。