機密データに対する脅威を検出する

  • [アーティクル]

機密データの脅威検出を使用すると、リスクにさらされる可能性のあるデータの機密性を考慮に入れてセキュリティ アラートの優先順位付けと調査を効率的に行えるため、データ侵害の検出と防止の強化につながります。 この機能は、セキュリティ チームが最も重要なリスクを迅速に特定して対処することで、データ侵害の可能性を低減し、機密データを含むリソースに対する露出イベントや疑わしいアクティビティを検出し、機密データの保護を強化することに役立ちます。

これは、新しい Defender for Storage プランの構成可能な機能です。 これは追加コストなしで有効または無効にできます。

詳細については、機密データ スキャンの範囲と制限事項に関するページを参照してください。

前提条件

機密データの脅威検出は、次のような BLOB ストレージ アカウントで使用できます:

  • Standard 汎用 v1
  • Standard 汎用 v2
  • Azure Data Lake Storage Gen2
  • Premium ブロック BLOB

Defender for Storage 機能の可用性について詳細を確認してください。

サブスクリプションとストレージ アカウントのレベルで機密データの脅威検出を有効にするには、サブスクリプション所有者またはストレージ アカウント所有者のロールの該当するデータ関連のアクセス許可を持っている必要があります。

機密データの脅威検出に必要なロールとアクセス許可の詳細を確認してください。

機密データ検出の動作方法

機密データの脅威検出は、スマート サンプリングの手法を使用して機密データを含むリソースを見つけるエージェントレス エンジンである、機密データの検出エンジンを利用しています。

このサービスは、Microsoft Purview の機密情報の種類 (SIT) および分類ラベルと統合されているため、組織の秘密度設定をシームレスに継承できます。 これにより、機密データの検出と保護が、確立済みのポリシーおよび手順に確実に沿ったものとなります。

Defender CSPM と Defender for Storage を組み合わせてデータ対応のセキュリティを提供する方法を示す図。

有効にすると、エンジンが、サポート対象のすべてのストレージ アカウントにわたる自動スキャン プロセスを開始します。 結果は通常、24 時間以内に生成されます。 さらに、保護されているサブスクリプションのもとで新しく作成されたストレージ アカウントは、作成から 6 時間以内にスキャンされます。 有効になった日の後には、定期的なスキャンが毎週実行されるようにスケジュールされます。 これは、Defender CSPM が機密データを検出するために使用するのと同じエンジンです。

機密データの脅威検出の有効化

Defender for Storage を有効にすると、機密データの脅威検出が既定で有効になります。 Azure portal で、または大規模なその他の方法で、これを有効または無効にできます。 この機能は、Defender for Storage の価格に含まれています。

セキュリティ アラートでの秘密度コンテキストの使用

機密データの脅威検出機能は、セキュリティ チームがデータ セキュリティ インシデントを特定して優先順位を付け、応答時間を短縮するのに役立ちます。 Defender for Storage のアラートには、機密度スキャンの結果と、機密データを含むリソースに対して実行されてきた操作を示すものが含まれています。

アラートの拡張プロパティで、BLOB コンテナーに対する機密度スキャンの結果を確認できます。

  • 秘密度スキャン時刻 (UTC) - 最後のスキャンが実行された時刻
  • 最上位の秘密度ラベル - BLOB コンテナーで検出された最も秘密度が高いラベル
  • 機密情報の種類 - 検出された情報の種類と、それらがカスタム ルールに基づいているかどうか
  • 機密ファイルの種類 - 機密データから成るファイルの種類

機密データに関するアラートのスクリーンショット。

Microsoft Purview での組織の秘密度設定と統合する (省略可能)

機密データの脅威検出を有効にすると、機密データ カテゴリに、Microsoft Purview の既定のリストに組み込まれている機密情報の種類 (SIT) が含められます。 これは、Defender for Storage から受け取るアラートに影響を与え、これらの SIT が含まれていることが検出されたストレージやコンテナーに、機密データを含んでいるマークが付けられます。

これらの組み込みの機密情報の種類のうち、Microsoft Purview の既定の一覧には、機密データ検出でサポートされるサブセットがあります。 このサブセットの参照リストを表示できます。これは、既定でサポートされている情報の種類も示します。 これらの既定値は変更できます。

組織のデータ秘密度検出をカスタマイズするには、カスタムの機密情報の種類 (SIT) を作成し、単一手順での統合によって組織の設定に接続します。 こちらをご覧ください。

項目資産やスキーマ化されたデータ資産と、自動ラベル付け規則を含むスコープを使用して、Microsoft Purview でテナントの秘密度ラベルを作成して発行することもできます (推奨)。 Microsoft Purview での秘密度ラベルの詳細を確認してください。

次の手順

この記事では、Microsoft Defender for Storage の機密データのスキャンについて学習しました。

Defender for Storage を有効にする