柱名: 脅威の監視と検出
パターン名: 完全な運用インフラストラクチャ インベントリ
完全な運用インフラストラクチャ インベントリは、Secure Future Initiative (SFI) の脅威を監視および検出する柱の一部です。 この柱は、Microsoft の環境で、進化する脅威を特定して対応するための、忠実度の高いテレメトリ、包括的な可視性、高度な検出機能を提供することに重点を置きます。
すべての運用資産の完全で正確で、リアルタイムのインベントリに近い状態は、この柱を強化するための基礎となります。これにより、一貫したポリシーの適用、信頼されたテレメトリ、脅威の検出と対応の高速化が可能になります。
コンテキストと問題
従来のシステム、クラウド ワークロード、API、ユーザー ID が混在するエンタープライズ環境の複雑化に伴い、運用インフラストラクチャ全体の可視性を維持することはますます困難になっています。
環境に存在するものを完全にリアルタイムで理解する必要はありません。
- テレメトリの死角のために脅威が検出されない可能性があります
- セキュリティ ポリシーが一貫性のない方法で適用される可能性がある
- 正しく構成されていない資産または管理されていない資産では、回避可能な脆弱性が発生する可能性があります
- アプリケーションとサービスは、破棄された後も長く持続し、攻撃対象領域をさらに拡大する可能性があります
不完全な資産インベントリは、次の影響を受けます。
- 遅延した脅威の検出
- ゼロ トラスト ポリシーの一貫性のない適用
- 運用上の非効率性
Microsoft の規模でも、不完全な資産インベントリが、検出の遅延、ゼロ トラスト ポリシーの一貫性のない適用、運用上の非効率性の原因になっていることが明らかになりました。
インフラストラクチャの可視性をコア セキュリティの優先順位として扱することは、盲点を排除し、リスクを軽減するために不可欠になります。
解決策
この課題に対処するために、Microsoft は、セキュリティで保護された未来イニシアチブの下で完全な運用インフラストラクチャ インベントリ目標を立ち上げました。 目標は、クラウド、オンプレミス、ハイブリッド、コンテナー化された環境など、100% の運用インフラストラクチャ資産のリアルタイム インベントリを継続的に維持することです。 この取り組みには、チーム間の調整とスケーラブルな自動化への投資が必要です。
そこから、Microsoft:
- デバイス、サービス、API、ワークロード、サードパーティの統合など、すべての運用資産を定義して検出しました
- ほぼリアルタイムで変化を追跡できるシステムでの一元的な在庫管理
- 監査ログとテレメトリの対象範囲を拡張し、一元管理されたエージェントを介して標準化されたログを出力するすべての資産を確保する
- インベントリ システムを検出プラットフォームと統合し、SIEM と脅威分析をリアルタイムメタデータで強化
- 修復された未使用のアプリケーション - これまでに 730,000 を超えるアプリにフラグが設定され、機密コンテナーでホストされている Azure Kubernetes Service の自動ログ分析を使用して安全に削除されました
- アクティビティやメンテナンスを示せず、安全な削除のフラグが設定および評価された未使用のアプリケーションに対して、アプリケーション修復ワークフローを実装しました
現在までに、Microsoft は 97 を超える% の運用インフラストラクチャ資産を一元的に追跡しています。 さらに、99% のネットワーク デバイスと 95% を超えるノード/マシンには、2 年間の保持ポリシーが適用された中央セキュリティ ログ収集があります。
指導
組織は、次の実用的なプラクティスを使用して、同様のパターンを採用できます。
| 利用シーン | 推奨されるアクション | リソース |
|---|---|---|
| 資産の識別 |
|
重要な資産管理 |
| リアルタイムの資産検出 |
|
重要な資産管理 |
| 一元化されたインベントリ |
|
|
| テレメトリの標準化 |
|
|
| 脅威検出の統合 |
|
|
| 未使用のアプリの修復 |
|
|
| 信頼できる実行環境で機密性の高いワークロードを実行する | 機密性の高いワークロード用に Azure portal で機密 VM を作成する | Azure Portal で機密 VM を作成する |
結果
Microsoft による一元化された包括的なインフラストラクチャ インベントリの実装により、次のことが行われています。
- 信号の明瞭度が向上し、脅威検出とインシデント対応が高速化
- すべての管理対象資産に対するゼロ トラスト ポリシーの一貫した適用
- 古いアプリケーションや孤立したアプリケーションを排除し、攻撃対象領域を減らす
- 信頼されたリアルタイム テレメトリに根ざしたプロアクティブなポスチャ管理
メリット
- 97% 運用環境全体の継続的な追跡カバレッジ
- 信号の明瞭度が向上し、脅威検出とインシデント対応が高速化
- すべての管理対象資産に対する一貫したゼロ トラストの適用
- 古いアプリケーションや孤立したアプリケーションを排除して攻撃対象領域を減らす
- プロアクティブなポスチャ管理のための信頼できるテレメトリ
トレードオフ
- 自動化とテレメトリの標準化に多大なエンジニアリング投資が必要
- チーム間で資産の可視性に優先順位を付けるためにカルチャの変更を要求する
- ドメイン参加済みシステムを優先してアンマネージド デバイスまたは個人用デバイスの使用を制限する
- 非アクティブだが重要なアプリが検証なしで削除された場合に中断のリスクが発生する
主な成功要因
成功を追跡するには、次を測定します。
- 完全な在庫範囲を持つ運用資産の割合
- 修復されたアンマネージド システムまたは孤立したシステムの数
- インフラストラクチャ テレメトリ ログの対象範囲の割合
- インベントリ実装の前後の検出時間と応答時間のメトリック
- 四半期ごとに安全に修復された未使用のアプリケーションの量
概要
完全な運用インフラストラクチャ インベントリは、Microsoft の Secure Future Initiative における Secure by Design、Secure by Default、Secure Operations の基礎となるイネーブラーです。
リアルタイムの資産の可視性とテレメトリの標準化に取り組む組織は、セキュリティ体制を強化し、運用リスクを軽減し、より迅速で効果的な対応を可能にします。 完全なインフラストラクチャ インベントリを構築することは、ベスト プラクティスだけではありません。これは、最新の企業における回復力のあるスケーラブルなサイバーセキュリティにとって重要な要件です。
今すぐインベントリの構築を開始し、明確さ、一貫性、信頼性で機能する脅威検出を有効にします。