Microsoft Defender for Cloud のセキュリティ ポリシーでは、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) 全体のセキュリティについてクラウド リソースを評価する方法を定義します。 ポリシーは、Defender for Cloud がリソース構成を評価し、潜在的なセキュリティ リスクを特定するために使用する標準、制御、および条件を指定します。
各ポリシーには、環境に適用される制御と評価ロジックを定義する セキュリティ標準が含まれています。 Defender for Cloud は、これらの標準に照らしてリソースを継続的に評価します。 リソースが定義されたコントロールを満たしていない場合、Defender for Cloud は、問題とその修復に必要なアクションを説明するセキュリティの推奨事項を生成します。
これにより、Defender for Cloud はリソースを継続的に評価し、組織のセキュリティ体制を向上させることができます。
セキュリティ標準
Defender for Cloud のセキュリティ ポリシーには、いくつかの種類の標準を含めることができます。
セキュリティ ベンチマーク – Microsoft クラウド セキュリティ ベンチマーク (MCSB) や、基本的なベスト プラクティスを定義するクラウド プロバイダー ベンチマークなどの組み込みのベースライン。
規制コンプライアンス標準 – Defender for Cloud プランを有効にするときに利用できる業界およびコンプライアンス プログラムのフレームワーク。
カスタム標準 – Defender for Cloud の評価を内部セキュリティ ポリシーに合わせて調整するための組み込みまたは カスタムの推奨事項 を含む組織が定義した標準。
Defender for Cloud のセキュリティ標準の詳細について説明します。
セキュリティに関する推奨事項
セキュリティに関する推奨事項は、セキュリティ標準に対する評価から生成される実用的な分析情報です。 各推奨事項には次のものが含まれます。
- 問題の簡単な説明
- 修復の手順
- 影響を受けるリソース
- 重大度とリスク要因
- 攻撃パス コンテキスト (使用可能な場合)
Defender for Cloud リスク モデルは、露出、データの機密性、横移動の可能性、悪用可能性に基づいて推奨事項に優先順位を付けます。
重要
リスクの優先順位付けは、セキュリティ スコアには影響しません。
カスタム推奨事項
Kusto クエリ言語 (KQL) を使用して、独自の評価ロジックを定義するカスタム推奨事項を作成できます。 この機能は、 Defender CSPM プラン が有効になっているすべてのクラウドで使用できます。
カスタム推奨事項はカスタム標準内に作成され、必要に応じて追加の標準にリンクすることもできます。
各推奨事項には、クエリ ロジック、修復手順、重大度、適用可能なリソースの種類が含まれます。
作成後、カスタム推奨事項は、規制コンプライアンス ダッシュボードに組み込みの推奨事項と共に表示され、全体的なセキュリティ体制評価に貢献します。
カスタムレコメンデーションの作成について詳しくは、こちらをご覧ください。
例
MCSB には、想定されるセキュリティ構成を定義する複数のコントロールが含まれています。 これらの制御の 1 つは、"ストレージ アカウントは仮想ネットワーク 規則を使用してネットワーク アクセスを制限する必要があります" です。
Defender for Cloud は、リソースを継続的に評価します。 このコントロールを満たしていないものが見つかると、非準拠としてマークされ、推奨事項がトリガーされます。 この場合のガイダンスは、仮想ネットワーク規則で保護されていない Azure Storage アカウントを強化することです。
次のステップ
- セキュリティ標準と MCSB の詳細を確認します。
- セキュリティに関する推奨事項を確認する方法について説明します。
- クラウド環境の 標準を割り当てて管理する 方法について説明します。
- 規制コンプライアンス ダッシュボードでコンプライアンス体制を監視および改善します。