次の方法で共有

セキュリティに関する推奨事項を確認する

Microsoft Defender for Cloud では、リソースとワークロードは、組み込みのカスタム セキュリティ ポリシーと規制コンプライアンス フレームワークに対して評価されます。これらは、クラウド環境 (Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) など) に適用されます。 これらの評価に基づいて、セキュリティに関する推奨事項は、セキュリティの問題を修復し、セキュリティ体制を改善するための実用的な手順を提供します。

Defender for Cloud では、環境内のリスクを事前に評価する動的エンジンが使用されます。 悪用の可能性と、組織に対する潜在的なビジネス上の影響が考慮されます。 エンジンは、各リソースのリスク要因に基づいてセキュリティに関する推奨事項に優先順位を付けます。 環境のコンテキストによって、これらのリスク要因が決まります。

[前提条件]

推奨事項は Defender for Cloud に含まれていますが、環境で Defender CSPM を有効にしない限り 、リスクの優先順位付け は表示されません。

推奨事項ページを確認する

推奨事項を確認し、解決する前にすべての詳細が正しいことを確認します。

  1. Azure portal にサインインします。

  2. Defender for Cloud>Recommendations に移動します。

  3. 推奨事項を選択します。

この機能は現在プレビューの段階です。 現在のギャップと制限の詳細については、「 既知の制限事項」を参照してください。

Exposure Management の [推奨事項] ページには、脆弱性、構成ミス、および公開されたシークレットに対処することで、クラウド のセキュリティ体制を改善するために設計されたセキュリティ アクションの優先順位付けされた一覧が表示されます。 これらの推奨事項は、効果的なリスクによってランク付けされ、セキュリティ チームが最も重要な脅威に最初に焦点を当てるのに役立ちます。

  1. Microsoft Defender ポータルにサインインします。

  2. [エクスポージャー管理]>[推奨事項>に移動します。

    Defender ポータルの [推奨事項] ページのスクリーンショット。

  3. 次のようなフィルターを適用します。

    • 公開された資産: 脅威にさらされている資産でフィルター処理します。
    • 資産リスク要因: 特定のリスク条件でフィルター処理します。
    • 環境: Azure、AWS、または GCP でフィルター処理します。
    • ワークロード: 特定のワークロードの種類でフィルター処理します。
    • 推奨事項の成熟度: 推奨事項の準備レベルでフィルター処理します。

  4. ページの左側で、セキュリティ カテゴリ別に推奨事項を表示することを選択できます。

    • すべての推奨事項: セキュリティに関する推奨事項の完全な一覧。
    • 構成の誤り: 構成に関連するセキュリティの問題。
    • 脆弱性: 修正プログラムを必要とするソフトウェアの脆弱性。
    • 公開されたシークレット: 侵害される可能性のある資格情報とシークレット。

    セキュリティ カテゴリ フィルターを選択すると、推奨事項の一覧と概要カードの両方が更新され、そのカテゴリの推奨事項のみが反映されます。

推奨事項の概要カード

各ビューについて、ページには概要カードが表示され、クラウド セキュリティ体制の概要が一目でわかります。

  • クラウド セキュリティ スコア: 環境内のセキュリティに関する推奨事項に基づいて、全体的なクラウド セキュリティ正常性を表示します。
  • スコア履歴: 過去 7 日間のセキュア スコアの変更を追跡し、傾向を特定し、改善を測定するのに役立ちます。
  • リスク レベル別の推奨事項: アクティブなセキュリティに関する推奨事項の数を、重大度 (重大、高、中、低) ごとに分類して要約します。
  • リスク レベルの計算方法: 重大度評価と資産固有のリスク要因を組み合わせて、各推奨事項の全体的なリスク レベルを決定する方法について説明します。

推奨ビュー

Defender ポータルには、推奨事項を表示および操作するための 2 つの異なる方法が用意されています。

資産ビューごとの推奨事項

このビューには、リスク レベル別に並べ替えられた個々の資産別に整理されたすべての推奨事項の一覧が表示されます。 各行は、特定のリソースに影響を与える 1 つの推奨事項を表します。

推奨行を選択すると、サイド パネルが開き、次の情報が表示されます。

  • 概要: 推奨事項に関する一般的な情報 (その説明、公開されている資産の詳細、その他の関連する推奨事項の詳細など)
  • 修復手順: セキュリティの問題を解決するための実用的なガイダンス
  • マップ プレビュー: 資産を通過するすべての関連する攻撃パスを、ターゲット ノードの種類別に集計して表示します。 次の操作を行います。
    • 集約されたパスを選択して、関連するすべての攻撃と追加のパスを表示します
    • 特定のパスを選択して詳細な視覚化を表示する
  • 関連イニシアチブ: 推奨事項に関連するセキュリティ イニシアチブとコンプライアンス フレームワーク
  • 関連するコンテキスト情報を含む特定の推奨事項に関する追加のタブが表示される場合があります

推奨事項タイトルの表示

このビューでは、タイトルごとに推奨事項が集計され、リスク レベル別に並べ替えられた統合リストが表示されます。 各行は、環境全体の特定の推奨事項のすべてのインスタンスを表します。

集計されたレコメンデーション行を選択すると、サイド パネルが開き、次の情報が表示されます。

  • 概要: 推奨事項の説明、影響を受けるリソース間のリスク レベルの分布、ガバナンスの状態、およびその他の関連する詳細を含む一般的な情報
  • 修復手順: セキュリティの問題を解決するための実用的なガイダンス
  • 公開されている資産: この推奨事項の影響を受けるすべてのリソースの一覧
  • 関連イニシアチブ: 推奨事項に関連するセキュリティ イニシアチブとコンプライアンス フレームワーク
  • 関連するコンテキスト情報を含む特定の推奨事項に関する追加のタブが表示される場合があります

推奨事項のサイド ウィンドウのスクリーンショット。

推奨事項への代替アクセス パス:

  • クラウド インフラストラクチャ>概要>セキュリティ体制>セキュリティに関する推奨事項>推奨事項を表示する
  • 露出管理>>>>] タブ

Azure portal と Defender ポータルの間で異なるリソースが表示される理由:

  • 削除されたリソース: 削除されたリソースが Azure portal に表示されている場合があります。 この状態は、Azure portal に現在、リソースの最後の既知の状態が表示されるために発生します。 製品チームは、削除されたリソースが表示されないように、この条件の修正に取り組んでいます。
  • Azure Policy リソース: Azure Policy から取得された一部のリソースが Defender ポータルに表示されない場合があります。 プレビュー期間中、ポータルには、セキュリティ コンテキストを持ち、意味のあるセキュリティの分析情報に貢献するリソースのみが表示されます。
  • 現在、無料サブスクリプションに関連付けられているリソースは、Defender ポータルには表示されません。

Defender ポータルでのリスクの優先順位付けについて

Defender ポータルの露出管理エクスペリエンスは、セキュリティ チームが最も重要な脅威に集中するのに役立つ高度なリスク優先順位付け機能を提供します。 Microsoft Defender for Cloud の動的リスク評価エンジンは、悪用の可能性と組織への潜在的なビジネスへの影響を考慮しながら、環境内のリスクを評価します。

Defender ポータルの推奨事項は、有効なリスクに基づいて自動的に優先順位が付けられます。これは、各リソースとその環境に関する複数のコンテキスト要因を考慮します。 このリスクベースのアプローチにより、セキュリティ チームは最も重要なセキュリティの問題に最初に対処でき、修復作業がより効率的かつ効果的になります。

リスクベースのフィルター処理と優先順位付け

Defender ポータルには、リスク要因に基づいて推奨事項に集中できる高度なフィルター機能が用意されています。

  • 公開された資産: インターネットに接続されているリソースや脆弱な構成のリソースなど、脅威に直接触れたリソースでフィルター処理します。
  • 資産リスク要因: データの機密性、横移動の可能性、重要なインフラストラクチャの露出などの特定のリスク条件を対象とします。
  • リスク レベルの内訳: 重大、高、中、低のリスク レベル別に分類された推奨事項を表示します。
  • 攻撃パスの統合: 特定された攻撃パスの一部である推奨事項に焦点を当てます。

エクスポージャー管理におけるリスク計算

統合された露出管理エクスペリエンスでは、次のことを考慮するコンテキスト対応エンジンを使用してリスク レベルを計算します。

  • 環境コンテキスト: リソース構成、ネットワーク トポロジ、およびセキュリティ体制。
  • 悪用可能性の要因: 攻撃者がこの脆弱性を悪用する可能性がどのくらい簡単か。
  • ビジネスへの影響: セキュリティの問題が悪用された場合の潜在的な結果。
  • 攻撃対象領域: 潜在的な脅威に対するリソースの露出。
  • チョーク ポイント分析: リソースが潜在的な攻撃パスの重要なジャンクションとして機能するかどうか。

Defender ポータルのリスク レベル

Defender ポータルでは、推奨事項が 5 つのリスク レベルに分類されます。

  • 重大: 緊急の注意が必要な、即時の悪用可能性とビジネスへの影響が大きい、最も深刻なセキュリティ問題。
  • : 迅速に対処する必要があるが、直ちに対処する必要がない可能性がある重大なセキュリティ リスク
  • : 定期的なセキュリティ メンテナンスの一環として対処できる中程度のセキュリティの問題
  • : 日常的な操作中に便利に対処できる小さなセキュリティの問題
  • 評価されない: リスク評価されない推奨事項 。通常はリソース カバレッジの制限が原因です。

推奨事項の詳細の強化

Defender ポータルの各推奨事項は、包括的なリスク コンテキストを提供します。

  • リスク評価の概要: 全体的なリスク計算と要因。
  • 攻撃面マッピング: リソースと潜在的な攻撃シナリオの関係を視覚的に表します。
  • イニシアティブの相関関係: より広範なセキュリティ イニシアチブとコンプライアンス フレームワークへの接続。
  • CVE の関連付け: 該当する場合は、関連する一般的な脆弱性と露出へのリンク。
  • 履歴コンテキスト: 時間の経過に伴うリスク レベルの傾向と変化。

推奨事項ページで、次の詳細を確認します。

  • リスク レベル: インターネットへの露出、機密データ、横移動などの環境リソースコンテキストを考慮した、基になるセキュリティ問題の脆弱性とビジネス効果。
  • リスク要因: 推奨事項の影響を受けるリソースの環境要因。これは、基になるセキュリティ問題の脆弱性とビジネス効果に影響します。 リスク要因の例としては、インターネットへの露出、機密データ、横移動の可能性などがあります。
  • リソース: 影響を受けるリソースの名前。
  • 状態: 推奨事項の状態としては、未割り当て、時間通り、または期限切れがあります。
  • 説明: セキュリティの問題の簡単な説明。
  • 攻撃パス: 攻撃パスの数。
  • スコープ: 影響を受けるサブスクリプションまたはリソース。
  • 鮮度: 推奨事項の鮮度間隔。
  • 最終変更日: この推奨事項が最後に変更された日付。
  • 重大度: 推奨事項の重大度: または低。 詳細については、この記事の後半で説明します。
  • 所有者: 推奨事項に割り当てられたユーザー。
  • 期限: 推奨事項を解決するために割り当てられた期限。
  • 戦術とテクニック: MITRE ATT&CK にマップされた戦術とテクニック。

推奨事項を調べる

推奨事項は複数の方法で操作できます。 オプションを使用できない場合、そのオプションは推奨事項に関連しません。

  1. Azure portal にサインインします。

  2. Defender for Cloud>Recommendations に移動します。

  3. 推奨事項を選択します。

  4. アクションを起こす:

    • 修復: 影響を受けるリソースのセキュリティの問題を解決するために必要な手動の手順の説明。 修正オプションを使用した推奨事項については、推奨される修正プログラムをリソースに適用する前に[修復ロジックの表示]を選択できます。
    • 推奨事項の所有者と期限の設定: 推奨事項の ガバナンス ルール を有効にした場合は、所有者と期限を割り当てることができます。
    • 除外: 無効化ルールを使用して、リソースを推奨事項から除外したり、特定の結果を無効にしたりできます。
    • ワークフローの自動化: 推奨事項を使用してトリガーするロジック アプリを設定します。

    [アクションの実行] タブを選択すると推奨事項に表示される内容を示すスクリーンショット。

  5. [ 結果] で、関連する結果を重大度別に確認します。

    推奨事項の [結果] タブを示すスクリーンショット。その推奨事項のすべての攻撃パスが含まれます。

  6. Graph で、攻撃パスを含め、リスクの優先順位付けに使用されるすべてのコンテキストを表示して調査します。 攻撃パス内のノードを選択して、選択したノードの詳細を表示できます。

    推奨事項のすべての攻撃パスを含む、推奨事項の [グラフ] タブを示すスクリーンショット。

  7. 詳細を表示するには、ノードを選択します。

    ノードが選択された [グラフ] タブを示すスクリーンショット。追加の詳細が表示されています。

  8. インサイトを選択します。

  9. 詳細を表示するには、ドロップダウン メニューから脆弱性を選択します。

    ノードの [分析情報] タブのスクリーンショット。

  10. (省略可能)関連する推奨事項ページを表示するには、[ 脆弱性ページを開く] を選択します。

  11. 推奨事項を修復します

Defender ポータルでは、露出管理エクスペリエンスを通じて複数の方法で推奨事項を操作できます。 [Exposure Management>Recommendations>Cloud タブから推奨事項を選択すると、詳細情報を調べてアクションを実行できます。

公開された資産資産リスク要因環境ワークロード推奨事項の成熟度などのフィルターとフィルター セットを適用します。

左側のナビゲーション ウィンドウで、すべての推奨事項を表示するか、特定のカテゴリ別に表示するかを選択できます。

問題の種類に対して個別のビューが存在します。

  • 構成の誤り
  • 脆弱性
  • 公開されたシークレット

ビューごとに、 クラウド セキュリティ スコアスコア履歴リスク レベル別の推奨事項、およびリスクの計算方法が表示されます。

Defender ポータルでは、以前は 1 つの集計アイテムとして表示されていた推奨事項が、複数の個別の推奨事項として表示されるようになりました。 この変更は、関連する結果を 1 つの推奨事項の下にグループ化して、各推奨事項を個別に一覧表示する移行を反映しています。

  • 以前よりも長い推奨事項の一覧が表示される場合があります。 結合された結果 (脆弱性、漏洩した秘密情報、構成ミスなど) は、親のレコメンデーション下に入れ子にするのではなく、個別のレコメンデーションとして表示されるようになりました。
  • 古いグループ化された推奨事項は、現時点では新しい形式と並べて表示されますが、最終的には非推奨になります。
  • これらの推奨事項はプレビューとしてマークされます。 このタグは、推奨事項が早期状態であり、セキュア スコアにまだ影響しないことを示します。
  • セキュリティ スコアは現在、親の推奨事項にのみ適用され、個々の項目には適用されません。

プレビュー タグを持つ形式または推奨事項の両方が表示される場合は、移行中にこの条件が予想されます。 目標は、明確さを向上させ、特定の推奨事項に対してより簡単に対処できるようにすることです。

Defender ポータルで Defender for Cloud を統合することで、統合インターフェイスを介して強化されたクラウドの推奨事項にアクセスすることもできます。

クラウドの推奨事項エクスペリエンスの主な改善点は次のとおりです。

  • 資産ごとのリスク要因: 情報に基づく意思決定に関する各推奨事項のより広範な公開コンテキストを評価します。
  • リスクベースのスコアリング: 重大度、資産コンテキスト、および潜在的な影響に基づいて推奨事項を重み付けする新しいスコアリング。
  • 拡張データ: Azure Recommendations のコアレコメンデーション データが、Exposure Management の追加のフィールドと機能で強化されました。
  • 重要度によって優先順位を付ける: 組織に最も高いリスクをもたらす重大な問題に重点を置く。

統合されたエクスペリエンスにより、クラウド セキュリティに関する推奨事項が広範なセキュリティ環境内でコンテキスト化され、情報に基づいた意思決定と効率的な修復ワークフローが可能になります。

タイトル別に推奨事項をグループ化する

Defender for Cloud の推奨事項ページを使用して、タイトル別に推奨事項をグループ化できます。 この機能は、特定のセキュリティの問題が原因で複数のリソースに影響する推奨事項を修復する場合に便利です。

  1. Azure portal にサインインします。

  2. Defender for Cloud>Recommendations に移動します。

  3. [タイトルでグループ化] を選択します

    [タイトル別にグループ化] トグルの場所を示す [推奨事項] ページのスクリーンショット。

割り当てられた推奨事項を管理する

Defender for Cloud では、推奨事項のガバナンス 規則がサポートされています。 推奨事項の所有者または期限を割り当てることができます。 ガバナンス 規則を使用してアカウンタビリティを確保できます。このルールでは、推奨事項のサービス レベル アグリーメント (SLA) もサポートされます。

  • 推奨事項は、期限が過ぎるまで オンタイム として表示されます。 その後、期限 切れになります。
  • 推奨事項が 期限切れとして分類されていない場合、Microsoft セキュリティ スコアには影響しません。
  • 期限切れの推奨事項がセキュリティ スコアに影響しないように、猶予期間を適用することもできます。

ガバナンス 規則を構成する方法の詳細について説明します。

割り当てられているすべての推奨事項を表示するには:

  1. Azure portal にサインインします。

  2. Defender for Cloud>Recommendations に移動します。

  3. [>] を選択します。

  4. ユーザー エントリを選択します。

  5. を選択してを適用します。

  6. 推奨事項の結果で、影響を受けるリソース、リスク要因、攻撃パス、期限、状態などの推奨事項を確認します。

  7. 推奨事項を選択して、さらに確認します。

割り当てを変更するには、次の手順を実行します。

  1. アクションを実行>所有者と期限を変更 に移動します。

  2. [ 割り当ての編集] を選択して、推奨事項の所有者または期限を変更します。

  3. 新しい修復日を選択した場合は、[理由] で、その日付までに修復を完了する必要がある理由 指定します。   

  4. 保存 を選択します。

    予想される完了日を変更しても、推奨事項の期限は変更されませんが、セキュリティ パートナーは、指定した日付までにリソースを更新する予定であることを確認できます。

既定では、リソースの所有者は、割り当てられているすべての推奨事項を示す週単位の電子メールを受け取ります。

[ 電子メール通知の設定] オプションを 使用して、次の手順を実行します。

  • 既定の週次メールを所有者に送信する設定を変更します。
  • 開いているタスクまたは期限切れのタスクの一覧を毎週所有者に通知します。
  • タスク リストを開いて所有者のダイレクト マネージャーに通知します。

Azure Resource Graph で推奨事項を確認する

Azure Resource Graph を使用して Kusto クエリ言語 (KQL) クエリを記述し、複数のサブスクリプションにわたって Defender for Cloud のセキュリティ体制データを照会できます。 Azure Resource Graph を使用すると、データの表示、フィルター処理、グループ化、並べ替えによって、クラウド環境全体で大規模なクエリを効率的に実行できます。

  1. Azure portal にサインインします。

  2. Defender for Cloud>Recommendations に移動します。

  3. 推奨事項を選択します。

  4. [クエリを開く] を選択します。

  5. クエリは、次の 2 つの方法のいずれかで開くことができます。

    • 影響を受けるリソースを返すクエリ: 推奨事項が影響を受けるすべてのリソースの一覧を返します。
    • セキュリティの結果を返すクエリ: 推奨事項で検出されたすべてのセキュリティの問題の一覧を返します。

  6. [ クエリの実行] を選択します。

    前のスクリーンショットの推奨事項の結果を示す Azure Resource Graph エクスプローラーのスクリーンショット。

  7. 結果を確認します。

関連コンテンツ

  • Last updated on