次の方法で共有

クラウド資産インベントリ

Microsoft Defender for Cloud の資産インベントリ ページには、Defender for Cloud に接続したリソースのセキュリティ態勢が表示されます。 Azure、AWS、GCP 全体のクラウド インフラストラクチャの統合されたコンテキスト ビューを提供します。 資産はワークロード、重要度、カバレッジの状態別に分類され、正常性データ、デバイス アクション、リスクシグナルが 1 つのインターフェイスに統合されます。 Defender for Cloud は、サブスクリプションに接続されているリソースのセキュリティの状態を定期的に分析して、潜在的なセキュリティの問題を特定し、アクティブな推奨事項を提供します。 アクティブな推奨事項は、解決してセキュリティ態勢を改善するための推奨事項です。

Defender for Cloud では、接続されているリソースのセキュリティ状態の定期的な分析が行われます。 リソースにアクティブなセキュリティに関する推奨事項、またはそれに関連付けられたセキュリティ アラートがある場合は、インベントリに表示されます。

Azure portal で資産インベントリにアクセスする

Azure portal で、 Microsoft Defender for Cloud>Inventory に移動します。

インベントリ ページでは、次のような情報が提供されます。

  • 接続済みリソース。 Defender for Cloud に接続されているリソースをすばやく確認できます。
  • 全体的なセキュリティ状態: 接続されている Azure、AWS、GCP リソースのセキュリティ状態に関する概要が明確に把握できます。これには、Defender for Cloud に接続されているリソースの合計、環境別のリソース、異常なリソースの数などが含まれます。
  • レコメンデーション、アラート: 特定のリソースの状態をドリルダウンして、リソースのアクティブなセキュリティのレコメンデーションとセキュリティ アラートを確認できます。
  • リスクの優先順位付け: リスクベースのレコメンデーションでは、データの機密性、インターネットへの露出、侵入の拡大の可能性、潜在的な攻撃パスなどの要因に基づいて、レコメンデーションにリスク レベルが割り当てられます。
  • リスクの優先順位付けは、Defender CSPM プランが有効になっている場合に使用できます。
  • ソフトウェア。 インストールされているアプリケーション別のリソースを確認できます。 ソフトウェア インベントリを最大限に利用するには、Defender Cloud Security Posture Management (CSPM) プランまたは Defender for Servers プランが有効になっている必要があります。

インベントリでは、Azure Resource Graph (ARG) を使用して、大規模なデータのクエリと取得が行われます。 詳細なカスタム分析情報を得るために、KQL を使用してインベントリをクエリできます。

インベントリを確認する

  1. Azure portal の Defender for Cloud で、[インベントリ] を選択します。 既定では、リソースはアクティブなセキュリティのレコメンデーションの数によって並べ替えられます。
  2. 使用可能な設定を確認する:
    • [検索] で、フリー テキスト検索を使用すると、リソースを検索できます。
    • [リソースの合計] では、Defender for Cloud に接続されているリソース数が表示されます。
    • [異常なリソース] では、アクティブなセキュリティ レコメンデーションとアラートがあるリソース数が表示されます。
    • 環境別のリソース数: Azure リソース、AWS リソース、GCP リソースの合計。
  3. 詳細をドリルダウンするリソースを選択します。
  4. そのリソースの [リソースの正常性] ページで、そのリソースに関する情報を確認します。
    • [レコメンデーション] タブには、アクティブなセキュリティ レコメンデーションがリスク順に表示されます。 各レコメンデーションをドリルダウンすると、詳細と修復オプションを確認できます。
    • [アラート] タブには、関連するセキュリティ アラートが表示されます。

ソフトウェア インベントリを確認する

Microsoft Defender for Cloud の資産インベントリ ページの主な機能を示すスクリーンショット。

  1. [インストールされているアプリケーション] を選択します
  2. [値] で、フィルター処理するアプリを選択します。
  • リソースの合計: Defender for Cloud に接続されているリソースの総数。
  • 異常なリソース: 実装可能でアクティブなセキュリティ レコメンデーションがあるリソース。 セキュリティ レコメンデーションの実装について
  • 環境別のリソースの数: 各環境内のリソースの数。
  • 登録されていないサブスクリプション: Microsoft Defender for Cloud にまだ接続されていない選択したスコープ内のサブスクリプション。
  1. Defender for Cloud に接続され、それらのアプリが実行されているリソースが表示されます。 オプションを空欄にすると、Defender for Servers/Defender for Endpoint が使用できないマシンが表示されます。

インベントリをフィルター処理する

フィルターを適用すると、すぐに概要の値がクエリ結果に関連付けて更新されます。

エクスポート ツール

CSV レポートをダウンロードする - 選択したフィルター オプションの結果を CSV ファイルにエクスポートします。

クエリを開く - クエリ自体を Azure Resource Graph (ARG) にエクスポートし、Kusto 照会言語 (KQL) クエリの検索条件をさらに絞り込む、保存する、または変更します。

資産インベントリのしくみ

定義済みのフィルターだけでなく、Resource Graph Explorer からソフトウェア インベントリ データを調べることができます。

ARG は、大規模なクエリの実行機能によってリソースを効率的に探索できるように設計されています。

資産インベントリで Kusto 照会言語 (KQL) を使用すると、Defender for Cloud データと他のリソースプロパティを相互参照することによって、詳細な洞察を迅速に生み出すことができます。

資産インベントリの使用方法

  1. Defender for Cloud のサイドバーから、 [インベントリ] を選択します。

  2. [名前でフィルターしてください] ボックスを使用して特定のリソースを表示するか、フィルターを使用して特定のリソースにフォーカスします。

    既定では、リソースはアクティブなセキュリティのレコメンデーションの数によって並べ替えられます。

    重要

    各フィルターのオプションは、現在選択されているサブスクリプション内のリソースおよび他のフィルターで選択した項目に固有のものです。

    たとえば、サブスクリプションを 1 つだけ選択していて、そのサブスクリプションに、修復すべき未処理のセキュリティの推奨事項があるリソースがない場合 (異常なリソースが 0 の場合)、 [推奨事項] フィルターにオプションは表示されません。

  3. [セキュリティの調査結果] フィルターを使用するには、脆弱性の検出結果の ID、セキュリティ チェック、または CVE 名からフリー テキストを入力して、影響を受けるリソースをフィルター処理します。

    [セキュリティの調査結果] フィルターを設定する方法を示すスクリーンショット。

    ヒント

    [セキュリティの調査結果][タグ] フィルターには、1 つの値のみ指定できます。 複数のフィルターを使用してフィルター処理を行うには [フィルターの追加] を使用します。

  4. 現在選択されているフィルター オプションを、Resource Graph エクスプローラーでクエリとして表示するには、 [クエリを開く] を選択します。

    ARG でのインベントリ クエリ。

  5. 一部のフィルターを定義し、ページを開いたままにした場合、Defender for Cloud は結果を自動的に更新しません。 ページを手動で再読み込みするか、 [更新] を選択しない限り、リソースを変更しても表示される結果には影響しません。

インベントリをエクスポートする

  1. フィルター処理されたインベントリを CSV 形式で保存するには、[CSV レポートをダウンロード] を選択します。

  2. Resource Graph Explorer でクエリを保存するには、[クエリを開く] を選択します。 クエリを保存する準備ができたら、[名前を付けて保存] を選択し、[クエリを保存] で、クエリ名と説明、およびクエリがプライベートか共有かを指定します。

    ARG でのインベントリ クエリ。

ページを手動で再読み込みするか、[更新] を選択しない限り、リソースを変更しても表示される結果には影響しません。

ソフトウェア インベントリにアクセスする

ソフトウェア インベントリにアクセスするには、次のいずれかのプランが必要です。

Azure Resource Graph Explorer を使用してソフトウェア インベントリ データにアクセスし探索する例

  1. Azure Resource Graph エクスプローラーを開きます。

    Azure Resource Graph Explorer* のレコメンデーション ページを起動する方法を示すスクリーンショット。

  2. securityresources/softwareinventories のサブスクリプション スコープを選択します

  3. 次のいずれかのクエリを入力し (または、それらをカスタマイズしたり、独自に作成して)、 [クエリの実行] を選択します。

クエリのサンプル

インストールされているソフトウェアの基本的な一覧を生成するには:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

バージョン番号でフィルター処理するには:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

ソフトウェア製品の組み合わせでコンピューターを検索するには:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

ソフトウェア製品と別のセキュリティ レコメンデーションを組み合わせる:

(この例では、MySQL がインストールされ、管理ポートが公開されているコンピューター)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

次のステップ

この記事では、Microsoft Defender XDR ポータル内で Microsoft Defender for Cloud の統合クラウド資産インベントリを使用して、マルチクラウド インフラストラクチャを管理および監視する方法について説明します。

この機能は現在プレビューの段階です。 現在のギャップと制限の詳細については、「 既知の制限事項」を参照してください。

概要

クラウド資産インベントリは、Azure、AWS、および GCP 環境全体のクラウド インフラストラクチャの統合されたコンテキスト ビューを提供します。 正常性データ、デバイス アクション、リスクシグナルを 1 つのインターフェイスに統合しながら、資産をワークロード、重要度、カバレッジの状態別に分類します。

Defender ポータルのクラウド資産インベントリのスクリーンショット

主な機能

統合されたマルチクラウドの可視性

  • 包括的なカバレッジ: Azure、AWS、GCP、およびその他のサポートされているプラットフォーム全体のすべてのクラウド資産を表示する
  • 一貫性のあるインターフェイス: マルチクラウド資産管理のための 1 つのウィンドウ
  • リアルタイム同期: 接続されているすべてのクラウド環境にわたる最新の資産情報
  • クロスプラットフォームの関係: 異なるクラウド プロバイダー間の資産間の依存関係と接続を理解する

ワークロード固有の分析情報

インベントリはワークロードの種類別に整理され、それぞれが調整された可視性とデータを提供します。

  • 仮想マシン: セキュリティ体制と脆弱性データを持つクラウド プロバイダー全体のコンピューティング インスタンス
  • データ リソース: コンプライアンスと露出に関する分析情報を使用したデータベース、ストレージ アカウント、データ サービス
  • コンテナー: セキュリティ スキャンの結果を含む Kubernetes クラスター、コンテナー インスタンス、コンテナー レジストリ
  • AI/ML サービス: ガバナンスとセキュリティ コンテキストを備えた人工知能と機械学習リソース
  • API: REST API、サーバーレス関数、および露出分析を使用した統合サービス
  • DevOps リソース: CI/CD パイプライン、リポジトリ、およびセキュリティ分析情報を備えた開発ツール
  • ID リソース: サービス アカウント、マネージド ID、アクセス制御コンポーネント
  • サーバーレス: 関数、ロジック アプリ、イベントドリブン コンピューティング リソース

高度なフィルター処理とスコープ設定

  • 永続的なスコープ: クラウド スコープを活用して、エクスペリエンス全体で一貫したフィルター処理を行う
  • 多次元フィルター処理: 環境、ワークロード、リスク レベル、コンプライアンスの状態などをフィルター処理する
  • 検索機能: 包括的な検索機能を使用した資産の迅速な検出
  • 保存されたビュー: さまざまな運用ニーズに合わせてカスタム のフィルター処理されたビューを作成および維持する

資産の分類とメタデータ

資産の重要度の分類

資産は、次に基づいて自動的に分類されます。

  • ビジネスへの影響: 資産の種類、依存関係、組織の重要度によって決定されます
  • セキュリティ体制: 構成、脆弱性、コンプライアンスの状態に基づく
  • リスク要因: インターネットへの公開、データの機密性、アクセス パターンを含む
  • カスタム分類: ユーザー定義の重要度ルールと手動によるオーバーライド

対象範囲の状態インジケーター

各資産には、カバレッジ情報が表示されます。

  • 保護: 完全な Defender for Cloud 保護が有効
  • 部分: 一部のセキュリティ機能が有効になっており、他の機能はアップグレードに使用できます
  • 保護されていない: Defender for Cloud 保護なし、オンボードが必要
  • 除外: 監視または保護から明示的に除外

正常性とリスクのシグナル

統合リスク インジケーターは、包括的な資産コンテキストを提供します。

  • セキュリティ アラート: アクティブなセキュリティ インシデントと脅威の検出
  • 脆弱性: 既知のセキュリティの弱点と必要なパッチ
  • コンプライアンスの状態: 規制とポリシーのコンプライアンス評価
  • 露出メトリック: インターネット アクセシビリティ、特権アクセス、攻撃対象のデータ

クラウド インベントリへのアクセス

  1. Microsoft Defender ポータルに移動する
  2. メイン ナビゲーションから [Assets>Cloud ] を選択します
  3. フォーカスされたビューにワークロード固有のタブを使用します。
    • すべての資産: すべてのワークロードの種類の包括的なビュー
    • VM: 仮想マシン固有のインベントリと分析情報
    • データ: データベースやストレージを含むデータ リソース
    • コンテナー: コンテナーと Kubernetes リソース
    • AI: 人工知能と機械学習サービス
    • API: API と統合サービス
    • DevOps: 開発とデプロイのパイプライン リソース
    • ID: ID およびアクセス管理コンポーネント
    • サーバーレス: 関数型およびイベント駆動型のコンピューティング リソース

フィルターを効果的に使用する

  • 環境のフィルター処理: 特定のクラウド プロバイダー (Azure、AWS、GCP) を選択するか、すべての環境を表示する
  • スコープのフィルター処理: 組織の境界管理にクラウド スコープを適用する
  • リスクベースのフィルター処理: 直ちに注意が必要なリスクの高い資産または公開された資産に重点を置く
  • ワークロードのフィルター処理: 特定の種類のクラウド リソースに結果を絞り込む
  • 状態のフィルター処理: 保護の状態、コンプライアンス状態、または正常性インジケーターでフィルター処理する

検索と検出

  • テキスト検索: 名前、リソース ID、またはメタデータ属性でアセットを検索する
  • タグベースの検索: クラウド プロバイダーのタグとラベルを使用して資産を検索する
  • 高度なクエリ: 複雑なフィルターの組み合わせを使用して資産を正確に検出する
  • エクスポート機能: レポートと分析のためにフィルター処理された結果をエクスポートする

資産の詳細と分析情報

包括的な資産情報

各資産は、次のような詳細情報を提供します。

  • 基本的なメタデータ: リソース名、ID、場所、作成タイムスタンプ
  • 構成の詳細: 現在の設定、ポリシー、および適用された構成
  • セキュリティ体制: コンプライアンスの状態、脆弱性評価、およびセキュリティに関する推奨事項
  • リスク評価: 露出分析、脅威インテリジェンス、およびリスク スコアリング
  • リレーションシップ: 環境全体の依存関係、接続、および関連リソース

セキュリティに関する推奨事項の統合

資産は、関連するセキュリティに関する推奨事項に直接リンクします。

  • 構成の改善: 構成ミスとセキュリティ強化の機会
  • 脆弱性の修復: パッチ管理とセキュリティ更新プログラム
  • アクセス制御: ID とアクセス許可の最適化
  • ネットワーク セキュリティ: ファイアウォール規則、ネットワークのセグメント化、露出の削減

インシデント対応ワークフロー

インベントリは、次の方法でセキュリティ操作をサポートします。

  • アラートの相関関係: セキュリティ アラートを特定の資産にリンクして調査を高速化する
  • 応答アクション: 修復ワークフローと応答機能への直接アクセス
  • フォレンジクスのサポート: インシデント調査と分析のための詳細な資産コンテキスト
  • 自動化統合: セキュリティ オーケストレーションと自動応答のための API アクセス

露出管理との統合

攻撃パスの視覚化

インベントリ内の資産は、攻撃パス分析と統合されます。

  • パスへの参加: 特定の資産を含む攻撃パスを確認する
  • チョーク ポイント識別: 重要な収束ポイントであるアセットを強調表示する
  • ターゲット分類: 一般的な攻撃対象である資産を特定する
  • エントリ ポイント分析: 最初のアクセス機会を提供する資産を理解する

重要な資産管理

インベントリでは、重要な資産ワークフローがサポートされています。

  • 自動分類: 事前に定義されたルールに基づいて資産をクリティカルとして自動的に分類できます
  • 手動指定: セキュリティ チームは資産をクリティカルとして手動で指定できます
  • 重要度の継承: 資産リレーションシップが重要度の分類に影響を与える可能性があります
  • 保護の優先順位付け: 重要な資産が強化された監視と保護を受ける

脆弱性管理の統合

クラウド資産は、脆弱性管理とシームレスに接続します。

  • 統合された脆弱性ビュー: 統合ダッシュボードでクラウドとエンドポイントの両方の脆弱性を確認する
  • リスクベースの優先順位付け: 脆弱性は資産コンテキストとビジネスへの影響に基づいて優先順位付けされます
  • 修復の追跡: クラウド環境全体の脆弱性修復の進行状況を監視する
  • コンプライアンス レポート: クラウドとエンドポイントのデータを含む脆弱性レポートを生成する

レポートと分析

組み込みのレポート

  • カバレッジ レポート: クラウド資産全体の Defender for Cloud デプロイを評価する
  • リスク評価: マルチクラウド環境全体の包括的なリスク分析
  • コンプライアンス ダッシュボード: すべてのクラウド資産で規制コンプライアンスの状態を追跡する
  • 傾向分析: 時間の経過に伴うセキュリティ体制の変化を監視する

カスタム分析

  • 高度なハンティング: カスタム分析のために KQL を使用してクラウド資産データのクエリを実行する
  • API アクセス: カスタム レポートと統合のためのインベントリ データへのプログラムによるアクセス
  • エクスポート機能: 外部分析のためにさまざまな形式で資産データをエクスポートする
  • ダッシュボード統合: クラウド資産インベントリ データを使用してカスタム ダッシュボードを作成する

制限事項と考慮事項

現在の制限

  • リアルタイム更新: 一部の資産の変更では、インベントリに表示されるまでに若干の遅延が発生する場合があります
  • 履歴データ: 初期ロールアウト期間中の限られた履歴資産情報

パフォーマンスに関する考慮事項

  • 大規模な環境: フィルター処理とスコープ設定は、何千もの資産を持つ環境でのパフォーマンスの管理に役立ちます
  • 更新レート: 資産データは定期的に更新されます。リアルタイム データでは、クラウド プロバイダーコンソールへの直接アクセスが必要になる場合があります
  • ネットワークの依存関係: インベントリ機能には、クラウド プロバイダー API への信頼性の高い接続が必要です

スコープの制限事項

一部の資産は、定義されたクラウド スコープの外部に表示される場合があります。

  • クロススコープ依存関係: 複数のスコープにまたがるリレーションシップを持つ資産
  • フローティング アセット: きめ細かいスコープをサポートしていない特定の資産の種類
  • 継承されたアクセス許可: スコープ外の親リソースからアクセス許可を継承する資産

ベスト プラクティス

在庫管理

  • 定期的なレビュー: 資産インベントリの正確性と完全性を定期的に確認する
  • タグ付け戦略: クラウド環境全体で一貫したタグ付けを実装して組織を改善する
  • スコープの構成: 組織の構造に合わせて適切なクラウド スコープを設定する
  • フィルターの最適化: 効率的な毎日の操作のための便利なフィルターの組み合わせを作成して保存する

セキュリティ操作

  • 重要な資産の焦点: ビジネスクリティカルな資産の監視と保護に優先順位を付ける
  • リスクベースのアプローチ: リスク インジケーターを使用してセキュリティの注意とリソースの割り当てをガイドする
  • 統合ワークフロー: インシデント対応と脆弱性管理プロセスでインベントリ データを活用する
  • 自動化の機会: インベントリ API を使用して自動化できる反復的なタスクを特定する

インベントリを確認する

  1. Microsoft Defender ポータルで、 Assets>Cloud に移動します。

  2. 統合クラウド資産の概要を確認します。

    • 接続されているすべてのクラウド環境全体のリソースの合計
    • 正常なリソースと異常なリソースを示すセキュリティ体制の概要
    • Defender for Cloud 保護の状態を示すカバレッジ メトリック
    • リスク レベル別の資産を示すリスク分布

  3. ワークロード固有のタブを使用して、特定の資産の種類に注目します。

    • 仮想マシンとコンピューティング インスタンスの VM を 選択する
    • データベースとストレージ リソースの データ の選択
    • Kubernetesやコンテナー関連の資産を選択するにはコンテナーを選択してください。
    • AI と機械学習のワークロードに対して AI を選択する
    • API 管理とエンドポイントの API の選択
    • 開発パイプライン用リソースに DevOps を選択する
    • アイデンティティおよびアクセス管理資産を選択する
    • 関数とサーバーレス コンピューティングには サーバーレス を選択する

  4. グローバル スコープ フィルターを適用して、特定のクラウド スコープまたは組織の境界に重点を置く

  5. 資産を選択すると、詳細情報が表示されます。

    • リスク レベルによって優先されるセキュリティに関する推奨事項
    • 脅威検出の分析情報を使用したセキュリティ アラート
    • 攻撃経路への関与 が、可能性のある攻撃シナリオへの参加を示す
    • セキュリティ標準に対するコンプライアンスの状態
    • インターネットへの露出や横移動の可能性を含むリスク要因

次のステップ

  • Last updated on