セキュリティに関する推奨事項を確認する

[アーティクル]
04/11/2024

Microsoft Defender for Cloud では、リソースとワークロードは、Azure サブスクリプション、AWS アカウント、GCP プロジェクトで有効になっている組み込みおよびカスタムのセキュリティ標準に対して評価されます。これらの評価に基づいて、セキュリティに関するレコメンデーションは、セキュリティの問題を修復し、セキュリティ態勢を改善するための実用的な手順を提供します。

Defender for Cloud では、悪用の可能性と組織への潜在的なビジネスへの影響を考慮しながら、環境内のリスクを評価する動的エンジンを積極的に利用します。このエンジンは、リソースの構成、ネットワーク接続、セキュリティ態勢など、環境のコンテキストによって決定される各リソースのリスク要因に基づいて、セキュリティに関する推奨事項に優先順位を付けます。

前提条件

お使いの環境で Defender CSPM を有効にする必要があります。

Note

推奨事項は既定で Defender for Cloud に含まれていますが、お使いの環境で Defender CSPM が有効になっていないと、リスクの優先順位付けを確認できません。

推奨事項の詳細の確認

推奨事項を解決するために必要なプロセスを理解する前に、推奨事項に関連するすべての詳細を確認することが重要です。推奨事項を解決する前に、すべての推奨事項の詳細が正しいことを確認することをお勧めします。

推奨事項の詳細を確認するには:

Azure portal にサインインします。
Defender for Cloud>[推奨事項] に移動します。
推奨事項を選択します。
[推奨事項] ページで、次の詳細を確認します。
- リスクレベル - 環境リソースコンテキスト (インターネットへの露出、機密データ、侵入拡大など) を考慮に入れた、基になるセキュリティ問題の悪用可能性とビジネスへの影響です。
- リスク要因 - 推奨事項の影響を受けるリソースの環境要因です。これは、基になるセキュリティ問題の悪用可能性とビジネスへの影響に影響を与えます。インターネットへの露出、機密データ、侵入拡大の可能性などのリスク要因の例です。
- リソース - 影響を受けるリソースの名前。
- 状態 - 推奨事項の状態。たとえば、未割り当て、期限内、期限切れなどです。
- 説明 - セキュリティの問題に関する短い説明。
- 攻撃パス - 攻撃パスの数です。
- スコープ - 影響を受けるサブスクリプションまたはリソースです。
- 鮮度 - 推奨事項の更新の間隔です。
- 最終変更日 - この推奨事項が最後に変更された日付です
- 所有者 - この推奨事項に割り当てられているユーザーです。
- 期限 - 推奨事項を解決する必要がある割り当て日です。
- 戦術と手法 - MITRE ATT&CK にマップされた戦術と手法です。

推奨事項を調べる

推奨事項を操作するために、多くのアクションを実行できます。オプションを使用できない場合、推奨事項には関係ありません。

推奨事項を調べるには:

Azure portal にサインインします。
Defender for Cloud>[推奨事項] に移動します。
推奨事項を選択します。
推奨事項では、次のアクションを実行できます。
- [クエリを開く] を選ぶと、Azure Resource Graph Explorer クエリの使用によって影響を受けるリソースに関する詳細情報が表示されます。
- 基になる推奨事項 (該当する場合) の Azure Policy エントリを表示するには、[ポリシー定義の表示] を選択します。
[アクションの実行] には以下があります。
- [修復] - 影響を受けるリソースのセキュリティの問題を修正するために必要な手動の手順の説明です。 [修正] オプションを含む推奨事項の場合は、推奨される修正プログラムをリソースに適用する前に、[修正ロジックを表示] を選択できます。
- [所有者と期限の割り当て]: 推奨事項に対してガバナンスルールが有効になっている場合は、所有者と期限を割り当てることができます。
- [除外]: リソースを推奨事項から除外したり、無効化ルールを使用して特定の結果を無効にしたりできます。
- [ワークフローの自動化]: この推奨事項を使用してトリガーするロジックアプリを設定します。
[検出事項] では、関連のある検出事項を重大度別に確認できます。
[Graph] では、攻撃パスを含め、リスクの優先順位付けに使用されるすべてのコンテキストを表示および調査できます。攻撃パス内のノードを選ぶと、選んだノードの詳細を見ることができます。
ノードを選択して、追加の詳細を表示します。
インサイトを選択します。
[脆弱性] ドロップダウンメニューで、脆弱性を選択して詳細を表示します。
(省略可能) [脆弱性ページを開く] を選択して、関連する推奨事項ページを表示します。
推奨事項を修復します。

タイトル別に推奨事項をグループ化する

Defender for Cloud の推奨事項ページでは、タイトルごとに推奨事項をグループ化できます。この機能は、特定のセキュリティの問題によって引き起こされた、複数のリソースに影響を与えている推奨事項を修復する場合に便利です。

タイトル別に推奨事項をグループ化するには次を行います。

Azure portal にサインインします。
Defender for Cloud>[推奨事項] に移動します。
[タイトルでグループ化] を選択します。

割り当てられた推奨事項を管理する

Defender for Cloud では、推奨事項の所有者またはアクションの期限を指定するための推奨事項のガバナンスルールがサポートされています。ガバナンスルールは、アカウンタビリティと推奨事項の SLA を確保するのに役立ちます。

推奨事項は、期限になるまでは [時間どおり] と表示され、それを過ぎると [期限切れ] と表示されます。
期限切れになる前の推奨事項は、セキュリティスコアに影響しません。
期限切れの推奨事項が引き続きセキュリティスコアに影響しない猶予期間を適用することもできます。

ガバナンスルールの構成の詳細について説明します。

自分に割り当てられた推奨事項を管理するには:

Azure portal にサインインします。
Defender for Cloud>[推奨事項] に移動します。
[フィルターの追加]>[所有者] を選びます。
ユーザーエントリを選択します。
[適用] を選択します。
推奨事項の結果で、影響を受けるリソース、リスク要因、攻撃パス、期限、状態などの推奨事項を確認します。
推奨事項を選択して、さらに確認します。
[アクションの実行]>[所有者と期限の変更] で [割り当ての編集] を選び、必要に応じて推奨事項の所有者と期限を変更します。
- 既定では、リソースの所有者は、自分に割り当てられている推奨事項の一覧を含むメールを毎週受け取ります。
- 新しい修復日を選択した場合は、[妥当性] で、その日付までに修復の理由を指定します。
- [電子メール通知の設定] で、次のことができます。
  - 既定の所有者への週次メールを上書きします。
  - 開いているタスクまたは期限切れのタスクの一覧を毎週所有者に通知します。
  - タスクリストを開いて所有者の直属の上司に通知します。
[保存] を選択します。

Note

予想される完了日を変更しても推奨事項の期限は変更されませんが、セキュリティパートナーは、指定した日付までにリソースを更新する予定であることを確認できます。

Azure Resource Graph で推奨事項を確認する

Azure Resource Graph を使って Kusto 照会言語 (KQL) を記述し、複数のサブスクリプションを対象に Defender for Cloud のセキュリティ態勢データのクエリを実行できます。 Azure Resource Graph は、データの表示、フィルター処理、グループ化、並べ替えによって、クラウド環境全体で大規模にクエリを実行する効率的な方法を提供します。

Azure Resource Graph で推奨事項を確認するには:

Azure portal にサインインします。
Defender for Cloud>[推奨事項] に移動します。
推奨事項を選択します。
[クエリを開く] を選択します。
クエリは、次の 2 つの方法のいずれかで開くことができます。
- 影響を受けるリソースを返すクエリ - この推奨事項の影響を受けるすべてのリソースの一覧を返します。
- セキュリティ結果を返すクエリ - 推奨事項によって検出されたすべてのセキュリティの問題の一覧を返します。
[クエリの実行] を選びます。
結果を確認します。