セキュリティ スコアを追跡する

次のセクションで説明するように、Azure portal またはプログラムによって、全体的なセキュリティ スコアとサブスクリプションごとのスコアを確認できます。

ヒント

スコア計算方法の詳しい説明については、「計算 - スコアを理解する」を参照してください。

ポータルからセキュリティ スコアを取得する

Defender for Cloud では、ポータルにスコアが目立つように表示されます。 概要ページで [セキュリティ スコア] タイルを選択すると、専用のセキュリティ スコア ページが表示され、サブスクリプション別に分類されたスコアが確認できます。 サブスクリプションを 1 つ選択すると、優先度が設定された推奨事項と、修復によるスコアへの影響を示す詳細な一覧が表示されます。

セキュリティ スコアは、Defender for Cloud のポータル ページの次の場所に表示されます。

  • クラウドの 概要 に関する Defender のタイル (メインダッシュボード):

    クラウドのダッシュボードの Defenderでのセキュリティで保護されたスコア

  • 専用の [セキュリティ スコア] ページで、サブスクリプションと管理グループのセキュリティ スコアを確認できます。

    Security Centerのセキュリティ スコアページのサブスクリプションのセキュリティ スコア

    Defender on Cloudの セキュリティスコア ページの管理グループのセキュリティスコア

    Note

    十分なアクセス許可を持っていない管理グループについては、スコアが "制限付き" として表示されます。

  • [推奨事項] ページの上部:

    クラウドの推奨事項 ページでの Defender のセキュリティスコア

REST API からセキュリティ スコアを取得する

スコアには、Secure Scores API を使用してアクセスできます。 この API メソッドを使用すると、データに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築したりするための柔軟性が得られます。 たとえば、Secure Scores API を使用して、特定のサブスクリプションのスコアを取得できます。 また、Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示できます。

API を使用して 1 つのセキュア スコアを取得する。

Secure Scores API を使用して構築されたツールの例については、GitHub コミュニティのセキュリティ スコアの領域を参照してください。

Azure Resource Graph からセキュア スコアを取得する

Azure Resource Graph を使用すると、堅牢なフィルター処理、グループ化、および並べ替え機能を使用して、クラウド環境全体のリソース情報にすばやくアクセスできます。 これは、Azure サブスクリプション全体の情報を、プログラムから、または Azure portal 内ですばやく効率的に照会する方法です。 Azure Resource Graph の詳細についてさらに学習します

Azure Resource Graph を使用し、複数のサブスクリプションのセキュア スコアにアクセスするには:

  1. Azure portal から Azure Resource Graph Explorer を開きます。

    Azure Resource Graph エクスプローラー起動の推奨ページ。

  2. Kusto クエリを入力します (詳細については、次の例を参照してください)。

    • このクエリによって、サブスクリプション ID、現在のスコア (ポイントおよびパーセント表記)、およびサブスクリプションの最大スコアが返されます。

      SecurityResources 
      | where type == 'microsoft.security/securescores' 
      | extend current = properties.score.current, max = todouble(properties.score.max)
      | project subscriptionId, current, max, percentage = ((current / max)*100)
      
    • このクエリによって、すべてのセキュリティ コントロールの状態が返されます。 各コントロールについて、異常なリソースの数、現在のスコア、および最大スコアを取得します。

      SecurityResources 
      | where type == 'microsoft.security/securescores/securescorecontrols'
      | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max
      | project SecureControl , unhealthy, currentscore, maxscore
      
  3. [クエリの実行] を選択します。

セキュリティ スコアの経時的な追跡

ブック ページのセキュア スコア推移レポート

Defender for Cloud のブックページには、サブスクリプション、セキュリティ制御などのスコアを視覚的に追跡するための既製のレポートが含まれています。 詳細につい ては、「クラウドデータに対して Defender の豊富で対話型のレポートを作成する」を参照してください。

Microsoft Defender for Cloudのブックギャラリーからの一定期間内のセキュリティスコアレポートのセクション

Power BI Pro ダッシュボード

Pro アカウントを使用している Power BI ユーザーの場合は、 [Secure Score Over Time](経時的なセキュリティ スコア) Power BI ダッシュボードを使用して、セキュリティ スコアを経時的に追跡し、変更がないか調査できます。

ヒント

このダッシュボードと、プログラムを使用してセキュリティで保護されたスコアで作業するその他のツールについては、GitHub の Microsoft Defender for Cloudコミュニティの専用領域にあります。 https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score

ダッシュボードには、セキュリティの状態を分析するために役立つ次の 2 つのレポートが含まれています。

  • [リソースの概要] - リソースの正常性に関する概要データが提供されます。

  • [Secure Score Summary](セキュリティ スコアの概要) - スコアの進捗状況に関する集計データが提供されます。 スコアの変化を確認するには、[Secure score over time per subscription](サブスクリプションごとの経時的なセキュリティ スコア) グラフを使用します。 スコアが大幅に変化した場合は、[detected changes that may affect your secure score]\(検出された変更の中でセキュリティ スコアに影響する可能性のあるもの\) の表を調べ、変更の原因となった可能性のある変更を確認します。 この表は、削除されたリソース、新しくデプロイされたリソース、または推奨事項のいずれかについてセキュリティの状態が変化したリソースを示しています。

経時的なセキュア スコアを追跡し、変更を調査するためのオプションの [Secure Score Over Time]\(経時的なセキュア スコア\) Power BI ダッシュボード。

次のステップ

この記事では、セキュア スコアにアクセスし、追跡する方法について説明しました。 関連資料については、次の記事をご覧ください。