Defender for Cloud でセキュリティ ポリシーを設定する

Microsoft Defender for Cloud のセキュリティ ポリシーは、クラウドのセキュリティ態勢の改善に役立つセキュリティ標準とレコメンデーションで構成されています。

セキュリティ標準では、ルール、それらのルールのコンプライアンス条件、および条件が満たされていない場合に実行されるアクション (効果) を定義します。 Defender for Cloud では、ご利用の Azure サブスクリプション、Amazon Web Services (AWS) アカウント、Google Cloud Platform (GCP) プロジェクトで有効になっているセキュリティ標準に照らしてリソースとワークロードが評価されます。 これらの評価に基づいて、セキュリティに関する推奨事項は、セキュリティの問題を修復するための実用的な手順を提供します。

セキュリティ標準

Defender for Cloud のセキュリティ標準は、次のソースから取得されます。

  • Microsoft クラウド セキュリティ ベンチマーク (MCSB): クラウド アカウントを Defender にオンボードすると、MCSB 標準が既定で適用されます。 セキュリティ スコア は、いくつかの MCSB レコメンデーションに対する評価に基づいています。

  • 規制コンプライアンス標準: 1 つ以上の Defender for Cloud プランを有効にすると、さまざまな定義済みの規制コンプライアンス プログラムから標準を追加できます。

  • カスタム標準: Defender for Cloud でカスタム セキュリティ標準を作成し、必要に応じて組み込みおよびカスタムのレコメンデーションをこれらのカスタム標準に追加できます。

Defender for Cloud のセキュリティ標準は、Azure Policy イニシアチブまたは Defender for Cloud ネイティブ プラットフォームに基づいています。 現在、Azure 標準は Azure Policy に基づいています。 AWS と GCP の標準は、Defender for Cloud に基づいています。

セキュリティ標準の使用

Defender for Cloud のセキュリティ標準でできることは次のとおりです:

  • サブスクリプションの組み込み MCSB を変更する: Defender for Cloud を有効にすると、MCSB は、すべての Defender for Cloud 登録済みサブスクリプションに自動的に割り当てられます。 MCSB 標準の管理についての詳細

  • 規制コンプライアンス標準を追加する: 1 つ以上の有料プランが有効になっている場合は、Azure、AWS、および GCP リソースを評価するための組み込みのコンプライアンス標準を割り当てることができます。 規制基準の割り当てに関する詳細情報

  • カスタム標準を追加する: 少なくとも 1 つの有料 Defender プランが有効になっている場合は、Defender for Cloud ポータルで新しいカスタム標準またはカスタム推奨事項を定義できます。 その後、推奨事項をそれらの標準に追加できます。

カスタム標準

カスタム標準は、規制コンプライアンス ダッシュボードに組み込みの標準と共に表示されます。

カスタム標準に対する評価から派生したレコメンデーションは、組み込みの標準からのレコメンデーションと共に表示されます。 カスタム標準には、組み込みのレコメンデーションとカスタムのレコメンデーションを含めることができます。

カスタム推奨事項

Kusto クエリ言語 (KQL) に基づくカスタム推奨事項の使用は、推奨される方法であり、すべてのクラウドでサポートされていますが、Defender CSPM プランを有効にする必要があります。 これらの推奨事項では、一意の名前、説明、修復手順、重大度、および関連する標準を指定します。 KQL を使用して推奨事項のロジックを追加します。 クエリ エディターには、調整可能な組み込みのクエリ テンプレートが用意されており、また、ご自身で KQL クエリを作成することもできます。

あるいは、すべての Azure のお客様は、Azure Policy カスタム イニシアチブをカスタムの推奨事項としてオンボードすることができます (従来の方法)。

詳細については、Microsoft Defender for Cloud でカスタム セキュリティ標準と推奨事項を作成する方法に関するページを参照してください。

セキュリティに関する推奨事項

Defender for Cloud は、定義されたセキュリティ標準に対して保護されたリソースのセキュリティ状態を定期的かつ継続的に分析および評価し、潜在的なセキュリティ構成と弱点を特定します。 その後、Defender for Cloud から、評価結果に基づいて推奨事項が提供されます。

各推奨事項からは次の情報が提供されます。

  • 問題の簡単な説明
  • 推奨事項を実装するための修復手順
  • 影響を受けるリソース
  • リスク レベル
  • リスク要因
  • 攻撃パス

Defender for Cloud のすべてのレコメンデーションには、環境内のセキュリティの問題がどれだけ悪用可能で影響を及ぼすかを表すリスクレベルが関連付けられています。 リスク評価エンジンでは、インターネットへの露出、データの機密性、横移動の可能性、攻撃パスの修復などの要因が考慮されます。 推奨事項は、リスク レベルに基づいて優先順位を付けることができます。

重要

リスクの優先順位付けは、セキュリティ スコアには影響しません。

MCSB 標準は、複数のコンプライアンス制御を含む Azure Policy イニシアチブです。 これらの制御の 1 つは、"ストレージ アカウントは仮想ネットワーク ルールを使ってネットワーク アクセスを制限する必要がある" というものです。

Defender for Cloud は、リソースを継続的に評価します。 このコントロールを満たしていないものが見つかると、非準拠としてマークされ、推奨事項がトリガーされます。 この場合、ガイダンスは、仮想ネットワーク規則で保護されていない Azure Storage アカウントを強化することです。

次のステップ