Defender for Cloud でセキュリティ ポリシーを設定する

Microsoft Defender for Cloud のセキュリティ ポリシーは、クラウドのセキュリティ態勢の改善に役立つセキュリティ標準とレコメンデーションで構成されています。

セキュリティ標準では、ルール、それらのルールのコンプライアンス条件、および条件が満たされていない場合に実行されるアクション (効果) を定義します。 Defender for Cloud では、ご利用の Azure サブスクリプション、Amazon Web Services (AWS) アカウント、Google Cloud Platform (GCP) プロジェクトで有効になっているセキュリティ標準に照らしてリソースとワークロードが評価されます。 これらの評価に基づいて、セキュリティに関する推奨事項は、セキュリティの問題を修復するための実用的な手順を提供します。

セキュリティ標準

Defender for Cloud のセキュリティ標準は、次のソースから取得されます。

  • Microsoft クラウド セキュリティ ベンチマーク (MCSB): 管理グループまたはサブスクリプションに Defender for Cloud をオンボードすると、MCSB 標準が既定で適用されます。 セキュリティ スコア は、いくつかの MCSB レコメンデーションに対する評価に基づいています。

  • 規制コンプライアンス標準: 1 つ以上の Defender for Cloud プランを有効にすると、さまざまな定義済みの規制コンプライアンス プログラムから標準を追加できます。

  • カスタム標準: Defender for Cloud でカスタム セキュリティ標準を作成し、必要に応じて組み込みおよびカスタムのレコメンデーションをこれらのカスタム標準に追加できます。

Defender for Cloud のセキュリティ標準は、 Azure Policyイニシアチブ または Defender for Cloud ネイティブ プラットフォームに基づいています。 現在、Azure 標準は Azure Policy に基づいています。 AWS と GCP の標準は、Defender for Cloud に基づいています。

Defender for Cloud のセキュリティ標準により、Azure Policy の複雑さが簡素化されます。 ほとんどの場合、セキュリティ標準とレコメンデーションを Defender for Cloud ポータルで直接操作できます。Azure Policy を直接構成する必要はありません。

セキュリティ標準の使用

Defender for Cloud のセキュリティ標準でできることは次のとおりです:

  • サブスクリプションの組み込み MCSB を変更する: Defender for Cloud を有効にすると、MCSB は、すべての Defender for Cloud 登録済みサブスクリプションに自動的に割り当てられます。

  • 規制コンプライアンス標準を追加する: 1 つ以上の有料プランが有効になっている場合は、Azure、AWS、および GCP リソースを評価するための組み込みのコンプライアンス標準を割り当てることができます。 規制基準の割り当てに関する詳細情報

  • カスタム標準を追加する: 少なくとも 1 つの有料 Defender プランが有効になっている場合は、Defender for Cloud ポータルで新しい Azure 標準または AWS/GCP 標準を定義します。 その後、推奨事項をそれらの標準に追加できます。

カスタム標準の使用

カスタム標準は、規制コンプライアンス ダッシュボードに組み込みの標準と共に表示されます。

カスタム標準に対する評価から派生したレコメンデーションは、組み込みの標準からのレコメンデーションと共に表示されます。 カスタム標準には、組み込みのレコメンデーションとカスタムのレコメンデーションを含めることができます。

セキュリティに関する推奨事項

Defender for Cloud は、定義されたセキュリティ標準に対して保護されたリソースのセキュリティ状態を定期的かつ継続的に分析および評価し、潜在的なセキュリティ構成と弱点を特定します。 その後、Defender for Cloud から、評価結果に基づいて推奨事項が提供されます。

各推奨事項からは次の情報が提供されます。

  • 問題の簡単な説明
  • 推奨事項を実装するための修復手順
  • 影響を受けるリソース
  • リスク レベル
  • リスク要因
  • 攻撃パス

Defender for Cloud のすべてのレコメンデーションには、環境内のセキュリティの問題がどれだけ悪用可能で影響を及ぼすかを表すリスクレベルが関連付けられています。 リスク評価エンジンでは、インターネットへの露出、データの機密性、横移動の可能性、攻撃パスの修復などの要因が考慮されます。 推奨事項は、リスク レベルに基づいて優先順位を付けることができます。

Note

現在、リスクの優先順位付けはパブリック プレビュー段階であるため、セキュリティ スコアには影響しません。

MCSB 標準は、複数のコンプライアンス制御を含む Azure Policy イニシアチブです。 これらの制御の 1 つは、"ストレージ アカウントは仮想ネットワーク ルールを使ってネットワーク アクセスを制限する必要がある" というものです。

Defender for Cloud は、この制御を満たしていないリソースを継続的に評価して検出すると、リソースを非準拠としてマークし、レコメンデーションをトリガーします。 この場合、ガイダンスは、仮想ネットワーク規則で保護されていない Azure Storage アカウントを強化することです。

カスタム推奨事項

Azure サブスクリプションをご利用の顧客はすべて、Azure Policy に基づいてカスタムの推奨事項を作成できます。 Azure Policy では、ポリシー定義を作成し、ポリシー イニシアチブに割り当てて、そのイニシアチブとポリシーを Defender for Cloud にマージします。

Kusto 照会言語 (KQL) を基準とするカスタムの推奨事項はあらゆるクラウドで利用できますが、Defender CSPM プランを有効にする必要があります。 これらの推奨事項では、一意の名前、説明、修復手順、重大度、および推奨事項を割り当てる必要がある標準を指定します。 KQL を使用して推奨事項のロジックを追加します。 クエリ エディターには、必要に応じて調整できる組み込みのクエリ テンプレートが用意されています。また、KQL クエリを最初から記述することもできます。

詳細については、Microsoft Defender for Cloud でカスタム セキュリティ標準と推奨事項を作成する方法に関するページを参照してください。

次のステップ