次の方法で共有

機密データに対するリスクを調べる

機密データを含むリソースを検出した後、Microsoft Defender for Cloud では、次の機能を使用して、これらのリソースの機密データ リスクを調査できます。

  • 攻撃パス: Defender Cloud Security Posture Management (CSPM) プランで機密データ検出が有効になっている場合は、攻撃パスを使用してデータ侵害のリスクを検出できます。 詳細については、「Defender CSPM でのデータ セキュリティ態勢管理」を参照してください。
  • セキュリティ エクスプローラー: Defender CSPM プランで機密データの検出が有効になっている場合は、Cloud Security Explorer を使用して機密データの分析情報を検索できます。 詳細については、「Defender CSPM でのデータ セキュリティ態勢管理」を参照してください。
  • セキュリティ アラート: Defender for Storage プランで機密データ検出が有効になっている場合は、機密フィルターのセキュリティ アラート設定を適用することで、機密データ ストアに対する継続的な脅威に優先順位を付けて調査できます。

攻撃パスを使用してリスクを調べる

次のように、定義済みの攻撃パスを表示してデータ侵害リスクを検出し、修復の推奨事項を取得します。

  1. Defender for Cloud で、 攻撃パス分析を開きます。

  2. リスク要因でフィルター処理し、[機密データ] を選択して、データ関連の攻撃パスをフィルター処理します。

    データ リスクの攻撃パスを示すスクリーンショット。

  3. データ攻撃パスを確認します。

  4. データ リソースで検出された機密情報を表示するには、リソース名 >Insights を選択します。 次に、[ 機密データを含む ] 分析情報を展開します。

  5. リスク軽減の手順については、 アクティブな推奨事項を開きます

機密データの攻撃パスのその他の例を次に示します。

  • "機密データを含むインターネットで公開された Azure Storage コンテナーにパブリックにアクセスできる"
  • "過剰なインターネット露出と機密データを使用したマネージド データベースでは、基本 (ローカル ユーザー/パスワード) 認証が可能です"
  • "VM には重大度の高い脆弱性があり、機密データを含むデータ ストアに対する読み取りアクセス許可があります"
  • "機密データを含むインターネットで公開された AWS S3 バケットはパブリックにアクセス可能です"
  • "インターネットにデータをレプリケートするプライベート AWS S3 バケットが公開され、パブリックにアクセス可能"
  • "RDS スナップショットはすべての AWS アカウントで一般公開されています"

Cloud Security Explorer を使用してリスクを調べる

クエリ テンプレートを使用するか、手動クエリを定義して、クラウド セキュリティ グラフの分析情報のデータ リスクと露出を調べる。

  1. Defender for Cloud で、 Cloud Security Explorer を開きます。

  2. 独自のクエリを作成することも、機密データ クエリ テンプレートのいずれかを選択 >クエリを開き、必要に応じて変更することもできます。 次に例を示します。

    Insights データ クエリを示すスクリーンショット。

クエリ テンプレートを使用する

独自のクエリを作成する代わりに、定義済みのクエリ テンプレートを使用できます。 いくつかの機密データ クエリ テンプレートを使用できます。 例えば次が挙げられます。

  • パブリック アクセスを許可する機密データを含むインターネット公開ストレージ コンテナー。
  • パブリック アクセスを許可する機密データを含むインターネット公開 S3 バケット

定義済みのクエリを開くと、自動的に設定され、必要に応じて調整できます。 たとえば、"パブリック アクセスを許可する機密データを含むインターネット公開ストレージ コンテナー" の事前設定されたフィールドを次に示します。

Insights データ クエリ テンプレートを示すスクリーンショット。

機密データセキュリティアラートを調べる

Defender for Storage プランで機密データ検出が有効になっている場合は、機密データを含むリソースに影響を与えるアラートに優先順位を付け、アラートに集中できます。 Defender for Storage でのデータ セキュリティ アラートの監視の詳細について説明します。

PaaS データベースと S3 バケットの場合、結果は Azure Resource Graph (ARG) に報告され、Defender for Cloud Inventory、Alert、Recommendation ブレードで機密ラベルと機密情報の種類をフィルター処理して並べ替えることができます。

結果をエクスポートする

攻撃パスまたはセキュリティ エクスプローラーで機密データの結果を確認するセキュリティ管理者は、データ ストアに直接アクセスできないのが一般的です。 そのため、データ所有者と結果を共有し、さらに調査を行う必要があります。

そのためには、機密データを含む分析情報内のエクスポートを使用します。

分析情報をエクスポートする方法のスクリーンショット。

生成される CSV ファイルには、次のものが含まれます。

  • サンプル名 – リソースの種類に応じて、データベース列、ファイル名、またはコンテナー名を指定できます。
  • 秘密度ラベル – このリソースで見つかった最も高いランク付けラベル (すべての行に対して同じ値)。
  • に含まれる – サンプルの完全パス (ファイル パスまたは列名)。
  • 機密情報の種類 – サンプルごとに検出された情報の種類。 複数の情報の種類が検出された場合は、情報の種類ごとに新しい行が追加されます。 これは、より簡単なフィルター処理エクスペリエンスを可能にするためです。

Cloud Security Explorer ページで CSV レポートをダウンロードすると、クエリによって取得されたすべての分析情報が生形式 (json) でエクスポートされます。

次のステップ

  • Last updated on