攻撃パスを特定して修復する
Defender for Cloud のコンテキスト セキュリティ機能は、セキュリティ チームが影響の大きい侵害のリスクを軽減する場合に役立ちます。 Defender for Cloud では環境コンテキストを使用して、セキュリティ問題のリスク評価を実行します。 Defender for Cloud では最大のセキュリティ リスクの問題を特定し、これをリスクの低い問題と区別します。
攻撃パス分析は、環境内で悪用される可能性が最も高い、直ちに脅威を引き起こすセキュリティ問題への対処に役立ちます。 Defender for Cloud では、攻撃者が環境を侵害するために使用する可能性のある攻撃パスの一部になっているセキュリティ問題を分析します。 また、それを軽減するために解決する必要があるセキュリティに関するレコメンデーションも明らかにします。
既定では、攻撃パスはリスク レベル別に整理されます。 リスク レベルは、各リソースのリスク要因を考慮するコンテキスト対応のリスク優先順位付けエンジンによって決定されます。 Defender for Cloud がセキュリティに関する推奨事項に優先順位を付ける方法について説明します。
前提条件
Defender Cloud Security Posture Management (CSPM) を有効にし、エージェントレス スキャンを有効にする必要があります。
- Defender for Server P1 (MDVM を含む) または Defender for Server P2 (MDVM と Qualys を含む) を有効にする必要があります。
コンテナーに関連する攻撃パスを表示するには:
Defender CSPM エージェントレス コンテナーポスチャ拡張機能 を有効にするか
Defender for Containers を有効にし、関連するエージェントをインストールして、コンテナーに関連する攻撃パスを表示できます。 これにより、セキュリティ エクスプローラーでコンテナーのデータ プレーン ワークロードにクエリを実行する機能も提供されます。
必要なロールとアクセス許可: セキュリティ閲覧者、セキュリティ管理者、閲覧者、共同作成者、または所有者。
攻撃パスを特定する
攻撃パス ページには、すべての攻撃パスの概要が表示されます。 また、影響を受けるリソースと、アクティブな攻撃パスの一覧を確認することもできます。
攻撃パス分析を使用して、環境に対する最大のリスクを特定し、修復することができます。
攻撃パスを特定するには:
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
ノードを選択します。
[分析情報] を選択して、そのノードに関連付けられている分析情報を表示します。
![特定のノードの [分析情報] タブのスクリーンショット。](media/how-to-manage-attack-path/insights.png)
[推奨事項] を選択します。
推奨事項を選択します。
![特定のノードの [分析情報] タブのスクリーンショット。](media/how-to-manage-attack-path/insights.png#lightbox)
攻撃パスを修復する
攻撃パスを調査し、関連するすべての結果と推奨事項を確認したら、攻撃パスの修復を開始できます。
攻撃パスを修復するには:
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
[修復] を選択します。
推奨事項を選択します。
攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。
攻撃パス内のすべての推奨事項を修復する
攻撃パス分析では、攻撃パスごとにすべての推奨事項を確認できるので、各ノードを個別に調べる必要はありません。 各ノードを個別に表示しなくても、すべてのレコメンデーションを解決できます。
修復パスには、次の 2 種類の推奨事項が含まれています。
- 推奨事項 - 攻撃パスを軽減する推奨事項。
- 追加の推奨事項 - 悪用リスクを軽減するが、攻撃パスを軽減しない推奨事項。
すべてのレコメンデーションを解決するには:
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[攻撃パス解析] に移動します。
攻撃パスを選択します。
[修復] を選択します。
その他の推奨事項を展開します。
推奨事項を選択します。
攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。