アダプティブ ネットワークのセキュリティ強化により、ネットワークのセキュリティ体制を向上させる
アダプティブ ネットワークのセキュリティ強化は、Microsoft Defender for Cloud のエージェントレス機能です。このネットワークのセキュリティ強化ツールを利用するために、何かをコンピューターにインストールする必要はありません。
このページでは、Defender for Cloud でアダプティブ ネットワークのセキュリティ強化を構成および管理する方法について説明します。
可用性
側面 | 詳細 |
---|---|
リリース状態: | 一般公開 (GA) |
価格: | Microsoft Defender for Servers Plan 2 が必要 |
必要なロールとアクセス許可: | コンピューターの NSG の書き込みアクセス許可 |
クラウド: | 商用クラウド 国 (Azure Government、21Vianet によって運営される Microsoft Azure) 接続されている AWS アカウント |
アダプティブ ネットワークのセキュリティ強化機能とは
ネットワーク セキュリティ グループ (NSG) を適用してリソースとの間でやり取りされるトラフィックをフィルター処理することにより、ネットワーク セキュリティ ポスチャを向上させることができます。 ただし、NSG を通過する実際のトラフィックが、定義される NSG ルールのサブセットとなる場合もあります。 このような場合は、実際のトラフィック パターンに基づいて NSG ルールを強化することによって、セキュリティ ポスチャをさらに向上させることができます。
アダプティブ ネットワークのセキュリティ強化機能によって、NSG ルールをさらに強化するための推奨事項が提供されます。 実際のトラフィック、既知の信頼された構成、脅威インテリジェンス、および侵害に関するその他のインジケーターを考慮する機械学習アルゴリズムを使用し、特定の IP/ポート タプルからのトラフィックのみを許可する推奨事項を提示します。
たとえば、既存の NSG ルールがポート 22 の 140.20.30.10/24 からのトラフィックを許可するとします。 トラフィック分析に基づき、アダプティブ ネットワークのセキュリティ強化では、140.23.30.10/29 からのトラフィックを許可する範囲を絞り込み、またそのポートへの他のすべてのトラフィックを拒否することを推奨される場合があります。 サポートされているポートの完全な一覧については、一般的な質問のエントリサポートされているポートをご覧ください。
セキュリティ強化に関するアラートおよび推奨されるルールを表示する
Defender for Cloud のメニューで、 [ワークロード保護] ダッシュボードを開きます。
[アダプティブ ネットワーク強化] タイル (1)、またはアダプティブ ネットワークのセキュリティ強化に関連する分析情報パネル項目 (2) を選択します。
ヒント
分析情報パネルには、現在、アダプティブ ネットワークのセキュリティ強化によって保護されている VM の割合が表示されます。
[アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある] 推奨事項の詳細ページが開き、ネットワーク VM が次の 3 つのタブにグループされます。
- 異常なリソース:アダプティブ ネットワークのセキュリティ強化アルゴリズムを実行することによってトリガーされた推奨事項とアラートが存在する VM。
- 正常なリソース:アラートと推奨事項がない VM。
- スキャンされていないリソース: 以下のいずれかの理由でアダプティブ ネットワークのセキュリティ強化アルゴリズムを実行できない VM。
- VM がクラシック VM である:Azure Resource Manager VM のみがサポートされています。
- 使用できる十分なデータがない: トラフィック強化に関する正確な推奨事項を生成するには、Defender for Cloud に少なくとも 30 日間のトラフィック データが必要です。
- VM が Microsoft Defender for Servers によって保護されていない: この機能の対象となるのは、Microsoft Defender for Servers で保護されている VM のみです。
[異常なリソース] タブから、そのアラートと適用する推奨されるセキュリティ強化ルールを表示する VM を選択します。
- [ルール] タブには、アダプティブ ネットワークのセキュリティ強化機能が推奨するルールがリストされます。
- [アラート] タブには、推奨されるルールで許可されている IP 範囲内ではないリソースを通過するトラフィックのために生成されたアラートが一覧表示されます。
必要に応じて、ルールを編集します。
NSG に適用するルールを選択し、 [適用] を選択します。
ヒント
許可されているソース IP の範囲が "なし" である場合は、推奨されるルールが "拒否" ルールであることを意味します。それ以外の場合は、"許可" ルールです。
注意
適用されるルールは、VM を保護する NSG に追加されます。 (VM は、その NIC に関連付けられている NSG、VM が置かれているサブネット、またはその両方によって保護されます)
ルールを変更する
推奨されたルールのパラメーターを変更することもできます。 たとえば、推奨された IP 範囲を変更することができます。
アダプティブ ネットワークのセキュリティ強化機能のルールを変更するための重要なガイドライン:
許可ルールを拒否ルールに変更することはできません。
許可ルールのパラメーターのみを変更できます。
"拒否" ルールの作成と変更は、NSG で直接実行されます。 詳細については、「ネットワーク セキュリティ グループを作成、変更、削除」をご覧ください。
"すべてのトラフィックを拒否" ルールは、ここで表示される唯一の "拒否" ルールのタイプで、変更することはできません。 ただし、そのルールを削除することはできます (「ルールの削除」をご覧ください)。 このルールの種類について詳しくは、一般的な質問のエントリ「"すべてのトラフィックを拒否" のルールはいつ使用する必要がありますか?」をご覧ください。
アダプティブ ネットワークのセキュリティ強化機能ルールを変更するには:
ルールのパラメーターの一部を変更するには、[ルール] タブで、ルールの行の最後にある 3 つのドット (...) を選択し、[編集] を選択します。
[ルールの編集] ウィンドウで、変更する詳細を更新し、 [保存] を選択します。
Note
[保存] を選択すると、ルールは正常に変更されます。 ただし、NSG にはまだ適用されていません。 そのルールを適用するには、一覧でそのルールを選択し、 [適用] を選択する必要があります (次の手順で説明します)。
更新されたルールを適用するには、一覧から更新されたルールを選択し、 [適用] を選択します。
新しいルールの追加
Defender for Cloud によって推奨されていない "許可" ルールを追加することができます。
Note
ここでは、"許可" ルールのみを追加できます。 "拒否" ルールを追加する場合は、NSG で直接行うことができます。 詳細については、「ネットワーク セキュリティ グループを作成、変更、削除」をご覧ください。
アダプティブ ネットワークのセキュリティ強化機能ルールを追加するには:
上部のツール バーで、 [ルールの追加] を選択します。
[新しいルール] ウィンドウで、詳細を入力し、 [追加] を選択します。
Note
[追加] を選択すると、ルールは正常に追加され、その他の推奨されているルールと一緒に一覧表示されます。 ただし、NSG にはまだ "適用" されていません。 そのルールをアクティブにするには、一覧でそのルールを選択し、 [適用] を選択する必要があります (次の手順で説明します)。
新しいルールを適用するには、一覧から新しいルールを選択し、 [適用] を選択します。
規則を削除する
現在のセッションの推奨されるルールが不要な場合は、削除できます。 たとえば、推奨されるルールを適用すると、正当なトラフィックがブロックされると判断することがあるかもしれません。
現在のセッションのアダプティブ ネットワークのセキュリティ強化機能ルールを削除するには:
[ルール] タブで、ルールの行の最後にある 3 つのドット (...) を選択し、 [削除] を選択します。
次のステップ
- アダプティブ ネットワーク強化に関する一般的な質問を表示する