Permissions Management (CIEM)
Microsoft Defender for Cloud を Microsoft Entra Permissions Management (Permissions Management) と統合すると、組織がクラウド インフラストラクチャ内のユーザー アクセスとエンタイトルメントを管理および制御するのに役立つクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) セキュリティ モデルが提供されます。 CIEM は、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) ソリューションの重要なコンポーネントであり、誰または何が特定のリソースにアクセスできるかを可視化します。 CIEM では、アクセス権は最小限の特権の原則 (PoLP) に確実に従っており、ユーザー ID やワークロード ID (アプリやサービスなど) は、タスクの実行に必要な最小限のアクセス レベルのみを受け取ります。 また、CIEM は、組織が Azure、AWS、GCP を含む複数のクラウド環境でアクセス許可の監視と管理を行うのにも役立ちます。
Permissions Management を Defender for Cloud (CNAPP) と統合すると、過剰なアクセス許可や構成ミスが引き起こすセキュリティ侵害の発生を防ぐことで、クラウド セキュリティが強化されます。 Permissions Management は、クラウド エンタイトルメントの継続的な監視と管理を行い、攻撃対象領域の検出、脅威の検出、アクセス許可の適切なサイズ設定、コンプライアンスの維持に役立ちます。 この統合により、クラウドネイティブ アプリケーションをセキュリティで保護し、機密データを保護する、Defender for Cloud の機能が強化されます。
この統合により、Microsoft Entra Permissions Management スイートから得られる以下の分析情報が、Microsoft Defender for Cloud ポータルに取り込まれます。 詳細については、「機能マトリックス」を参照してください。
一般的なユースケースとシナリオ
Permissions Management の機能は、Defender クラウド セキュリティ態勢管理 (CSPM) プラン内の重要なコンポーネントとして統合されています。 統合される機能は基本となるものであり、Microsoft Defender for Cloud 内で不可欠な機能を提供します。 これらの追加機能を使用することで、アクセス許可の分析、アクティブな ID に対する未使用のアクセス許可、および過剰なアクセス許可を持つ ID を追跡し、それらを軽減して最小特権のベスト プラクティスをサポートできます。
この統合により、Defender for Cloud の [推奨事項] ページにある [アクセスとアクセス許可の管理] セキュリティ制御の下に推奨事項が作成されます。
既知の制限事項
Defender for Cloud にオンボードされる前に Permissions Management にオンボードされた AWS アカウントと GCP アカウントは、Microsoft Defender for Cloud を介して統合することはできません。
機能マトリックス
統合機能は Defender CSPM プランの一部であり、Permissions Management ライセンスは必要ありません。 Permissions Management から受け取ることができるその他の機能の詳細については、機能マトリックスを参照してください。
| カテゴリ | 機能 | Defender for Cloud | 権限管理 |
|---|---|---|---|
| 発見 | Azure、AWS、GCP での危険な ID (未使用の ID、オーバープロビジョニングされたアクティブ ID、スーパー ID を含む) のアクセス許可の検出 | ✓ | ✓ |
| 発見 | マルチクラウド環境 (Azure、AWS、GCP) とすべての ID に対するアクセス許可クリープ インデックス (PCI) | ✓ | ✓ |
| 発見 | Azure、AWS、GCP のすべての ID、グループのアクセス許可の検出 | ❌ | ✓ |
| 発見 | Azure、AWS、GCP でのアクセス許可の使用状況分析、ロール/ポリシーの割り当て | ❌ | ✓ |
| 発見 | ID プロバイダーのサポート (AWS IAM Identity Center、Okta、GSuite を含む) | ❌ | ✓ |
| 修復 | アクセス許可の自動削除 | ❌ | ✓ |
| 修復 | アクセス許可をアタッチまたはデタッチして ID を修復する | ❌ | ✓ |
| 修復 | ID、グループなどのアクティビティに基づくカスタム ロールおよび AWS ポリシーの生成 | ❌ | ✓ |
| 修復 | Microsoft Entra 管理センター、API、ServiceNow アプリを介した人間とワークロードの ID に対するオンデマンド アクセス許可 (期限付きアクセス)。 | ❌ | ✓ |
| モニター | Machine Learning による異常検出 | ❌ | ✓ |
| モニター | アクティビティ ベース、ルール ベースのアラート | ❌ | ✓ |
| モニター | コンテキストの豊富なフォレンジック レポート (PCI 履歴レポート、ユーザー エンタイトルメント、使用状況レポートなど) | ❌ | ✓ |
関連するコンテンツ
Microsoft Defender for Cloud で Permissions Management を有効にする方法について説明します。