セキュリティに関する推奨事項を確認する

Microsoft Defender for Cloud では、リソースとワークロードは、Azure サブスクリプション、AWS アカウント、GCP プロジェクトで有効になっている組み込みおよびカスタムのセキュリティ標準に対して評価されます。 これらの評価に基づいて、セキュリティに関するレコメンデーションは、セキュリティの問題を修復し、セキュリティ態勢を改善するための実用的な手順を提供します。

Defender for Cloud では、悪用の可能性と組織への潜在的なビジネスへの影響を考慮しながら、環境内のリスクを評価する動的エンジンを積極的に利用します。 このエンジンは、リソースの構成、ネットワーク接続、セキュリティ態勢など、環境のコンテキストによって決定される各リソースのリスク要因に基づいて、セキュリティに関する推奨事項に優先順位を付けます

前提条件

Note

推奨事項は既定で Defender for Cloud に含まれていますが、お使いの環境で Defender CSPM が有効になっていないと、リスクの優先順位付けを確認できません。

推奨事項の詳細の確認

推奨事項を解決するために必要なプロセスを理解する前に、推奨事項に関連するすべての詳細を確認することが重要です。 推奨事項を解決する前に、すべての推奨事項の詳細が正しいことを確認することをお勧めします。

推奨事項の詳細を確認するには:

  1. Azure portal にサインインします。

  2. Defender for Cloud>[推奨事項] に移動します。

  3. 推奨事項を選択します。

  4. [推奨事項] ページで、次の詳細を確認します。

    • リスク レベル - 環境リソース コンテキスト (インターネットへの露出、機密データ、侵入拡大など) を考慮に入れた、基になるセキュリティ問題の悪用可能性とビジネスへの影響です。
    • リスク要因 - 推奨事項の影響を受けるリソースの環境要因です。これは、基になるセキュリティ問題の悪用可能性とビジネスへの影響に影響を与えます。 インターネットへの露出、機密データ、侵入拡大の可能性などのリスク要因の例です。
    • リソース - 影響を受けるリソースの名前。
    • 状態 - 推奨事項の状態。 たとえば、未割り当て、期限内、期限切れなどです。
    • 説明 - セキュリティの問題に関する短い説明。
    • 攻撃パス - 攻撃パスの数です。
    • スコープ - 影響を受けるサブスクリプションまたはリソースです。
    • 鮮度 - 推奨事項の更新の間隔です。
    • 最終変更日 - この推奨事項が最後に変更された日付です
    • 重大度 - 推奨事項の重大度です (高、中、低)。 詳しくは、以下をご覧ください。
    • 所有者 - この推奨事項に割り当てられているユーザーです。
    • 期限 - 推奨事項を解決する必要がある割り当て日です。
    • 戦術と手法 - MITRE ATT&CK にマップされた戦術と手法です。

推奨事項を調べる

推奨事項を操作するために、多くのアクションを実行できます。 オプションを使用できない場合、推奨事項には関係ありません。

推奨事項を調べるには:

  1. Azure portal にサインインします。

  2. Defender for Cloud>[推奨事項] に移動します。

  3. 推奨事項を選択します。

  4. 推奨事項では、次のアクションを実行できます。

    • [クエリを開く] を選ぶと、Azure Resource Graph Explorer クエリの使用によって影響を受けるリソースに関する詳細情報が表示されます。

    • 基になる推奨事項 (該当する場合) の Azure Policy エントリを表示するには、[ポリシー定義の表示] を選択 します。

  5. [アクションの実行] には以下があります。

    • [修復] - 影響を受けるリソースのセキュリティの問題を修正するために必要な手動の手順の説明です。 [修正] オプションを含む推奨事項の場合は、推奨される修正プログラムをリソースに適用する前に、[修正ロジックを表示] を選択できます。

    • [所有者と期限の割り当て]: 推奨事項に対してガバナンス ルールが有効になっている場合は、所有者と期限を割り当てることができます。

    • [除外]: リソースを推奨事項から除外したり、無効化ルールを使用して特定の結果を無効にしたりできます。

    • [ワークフローの自動化]: この推奨事項を使用してトリガーするロジック アプリを設定します。

    [アクションの実行] タブを選択したときに推奨事項に表示される内容を示すスクリーンショット。

  6. [検出事項] では、関連のある検出事項を重大度別に確認できます。

    推奨事項のすべての攻撃パスが示された、推奨事項の [結果] タブのスクリーンショット。

  7. [Graph] では、攻撃パスを含め、リスクの優先順位付けに使用されるすべてのコンテキストを表示および調査できます。 攻撃パス内のノードを選ぶと、選んだノードの詳細を見ることができます。

    推奨事項のすべての攻撃パスが示された、推奨事項の [グラフ] タブのスクリーンショット。

  8. ノードを選択して、追加の詳細を表示します。

    選択されている [グラフ] タブにあるノードのスクリーンショット。追加の詳細が表示されています。

  9. インサイトを選択します。

  10. [脆弱性] ドロップダウン メニューで、脆弱性を選択して詳細を表示します。

    特定のノードの [分析情報] タブのスクリーンショット。

  11. (省略可能) [脆弱性ページを開く] を選択して、関連する推奨事項ページを表示します。

  12. 推奨事項を修復します

タイトル別に推奨事項をグループ化する

Defender for Cloud の推奨事項ページでは、タイトルごとに推奨事項をグループ化できます。 この機能は、特定のセキュリティの問題によって引き起こされた、複数のリソースに影響を与えている推奨事項を修復する場合に便利です。

タイトル別に推奨事項をグループ化するには次を行います。

  1. Azure portal にサインインします。

  2. Defender for Cloud>[推奨事項] に移動します。

  3. [タイトルでグループ化] を選択 します。

    [タイトルでグループ化] の切り替えが画面のどこにあるかを示す推奨事項ページのスクリーンショット。

割り当てられた推奨事項を管理する

Defender for Cloud では、推奨事項の所有者またはアクションの期限を指定するための推奨事項のガバナンス ルールがサポートされています。 ガバナンス ルールは、アカウンタビリティと推奨事項の SLA を確保するのに役立ちます。

  • 推奨事項は、期限になるまでは [時間どおり] と表示され、それを過ぎると [期限切れ] と表示されます。
  • 期限切れになる前の推奨事項は、セキュリティ スコアに影響しません。
  • 期限切れの推奨事項が引き続きセキュリティ スコアに影響しない猶予期間を適用することもできます。

ガバナンス ルールの構成の詳細について説明します

自分に割り当てられた推奨事項を管理するには:

  1. Azure portal にサインインします。

  2. Defender for Cloud>[推奨事項] に移動します。

  3. [フィルターの追加]>[所有者] を選びます。

  4. ユーザー エントリを選択します。

  5. [適用] を選択します。

  6. 推奨事項の結果で、影響を受けるリソース、リスク要因、攻撃パス、期限、状態などの推奨事項を確認します。

  7. 推奨事項を選択して、さらに確認します。

  8. [アクションの実行]>[所有者と期限の変更][割り当ての編集] を選び、必要に応じて推奨事項の所有者と期限を変更します。

    • 既定では、リソースの所有者は、自分に割り当てられている推奨事項の一覧を含むメールを毎週受け取ります。
    • 新しい修復日を選択した場合は、[妥当性] で、その日付までに修復の理由を指定します。
    • [電子メール通知の設定] で、次のことができます。
      • 既定の所有者への週次メールを上書きします。
      • 開いているタスクまたは期限切れのタスクの一覧を毎週所有者に通知します。
      • タスク リストを開いて所有者の直属の上司に通知します。
  9. [保存] を選択します。

Note

予想される完了日を変更しても推奨事項の期限は変更されませんが、セキュリティ パートナーは、指定した日付までにリソースを更新する予定であることを確認できます。

Azure Resource Graph で推奨事項を確認する

Azure Resource Graph を使って Kusto 照会言語 (KQL) を記述し、複数のサブスクリプションを対象に Defender for Cloud のセキュリティ態勢データのクエリを実行できます。 Azure Resource Graph は、データの表示、フィルター処理、グループ化、並べ替えによって、クラウド環境全体で大規模にクエリを実行する効率的な方法を提供します。

Azure Resource Graph で推奨事項を確認するには:

  1. Azure portal にサインインします。

  2. Defender for Cloud>[推奨事項] に移動します。

  3. 推奨事項を選択します。

  4. [クエリを開く] を選択します。

  5. クエリは、次の 2 つの方法のいずれかで開くことができます。

    • 影響を受けるリソースを返すクエリ - この推奨事項の影響を受けるすべてのリソースの一覧を返します。
    • セキュリティ結果を返すクエリ - 推奨事項によって検出されたすべてのセキュリティの問題の一覧を返します。
  6. [クエリの実行] を選びます。

    前のスクリーンショットで示された推奨事項の結果を表示された Azure Resource Graph Explorerを示すスクリーンショット。

  7. 結果を確認します。

推奨事項はどのように分類されますか?

Defender for Cloud のすべてのセキュリティ推奨事項には、次の 3 つの重大度評価のいずれかが割り当てられます。

  • 重大度: 高: これらの推奨事項は、攻撃者がシステムまたはデータへの不正アクセスを取得する際に悪用される可能性がある重大なセキュリティ脆弱性を示しているため、すぐに対処する必要があります。 重大度が高レベルの推奨事項の例には、マシン上の保護されていないシークレット、過度に制限が少ない受信 NSG 規則、信頼されていないレジストリからのイメージのデプロイを許可するクラスター、ストレージ アカウントまたはデータベースへの無制限のパブリック アクセスが検出された場合などがあります。

  • 重大度: 中: これらの推奨事項は、タイムリーに対処する必要がある潜在的なセキュリティ リスクを示していますが、早急な注意は必要としません。 重大度が中レベルの推奨事項の例には、機密性の高いホストの名前空間を共有するコンテナー、マネージド ID を使用していない Web アプリ、認証中に SSH キーを必要としない Linux マシン、非アクティブ状態が 90 日間続いた後にシステムに残置される未使用の資格情報などがあります。

  • 重大度: 低: これらの推奨事項は、ユーザーの都合に合わせて対処できる比較的軽微なセキュリティの問題を示しています。 重大度が低レベルの推奨事項の例には、Microsoft Entra ID を優先してローカル認証を無効にする必要性、エンドポイント保護ソリューションの正常性の問題、ネットワーク セキュリティ グループに従っていないベスト プラクティス、セキュリティ インシデントの検出と対応が困難になる可能性があるログ設定の誤構成などがあります。

もちろん、組織内の見解は、Microsoft による特定の推奨事項の分類とは異なる場合があります。 そのため、対処方法を決定する前に、常に各推奨事項を慎重に確認し、セキュリティ体制への潜在的な影響を検討することをお勧めします。

Note

Defender CSPM のお客様は、リソースとすべての関連リソースのコンテキストを利用する、より動的なリスク レベルが推奨事項に表示される、より詳細な分類システムにアクセスできます。 リスクの優先順位付けについての理解を深めてください。

たとえば、この推奨事項の詳細ページには、影響を受ける 15 のリソースが表示されます。

推奨事項の詳細ページの [クエリを開く] ボタンのスクリーンショット。

基になるクエリを開いて実行すると、Azure Resource Graph Explorer から、この推奨事項に対するものと同じ影響を受けるリソースが返されます。

次のステップ