Event Hubs 用の Azure セキュリティ ベースライン

このセキュリティ ベースラインにより、Azure セキュリティ ベンチマーク バージョン 2.0 のガイダンスが Event Hubs に適用されます。 Azure セキュリティ ベンチマークには、Azure 上のクラウド ソリューションをセキュリティで保護する方法に関する推奨事項がまとめてあります。 内容は、Event Hubs に適用される Azure セキュリティ ベンチマークと関連ガイダンスで定義されているセキュリティ コントロールによってグループ化されています。

このセキュリティ ベースラインとその推奨事項は、Microsoft Defender for Cloud を使用して監視できます。 Azure Policy定義は、Microsoft Defender for Cloud ダッシュボードの [規制コンプライアンス] セクションに一覧表示されます。

セクションに関連するAzure Policy定義がある場合は、Azure セキュリティ ベンチマークのコントロールと推奨事項への準拠を測定するために、このベースラインに一覧表示されます。 一部の推奨事項では、特定のセキュリティ シナリオを有効にするために有料の Microsoft Defender プランが必要になる場合があります。

Note

Event Hubs に適用されないコントロールと、グローバルなガイダンスが一字一句たがえず推奨されるコントロールは、除外されています。 Event Hubs を完全に Azure セキュリティ ベンチマークにマップする方法については、完全な Event Hubs セキュリティ ベースライン マッピング ファイルを参照してください。

ネットワークのセキュリティ

詳細については、Azure セキュリティ ベンチマークの「ネットワークのセキュリティ」を参照してください。

NS-1: 内部トラフィック用のセキュリティを実装する

ガイダンス: Event Hubs では、仮想ネットワークへの直接デプロイはサポートされていません。 ネットワーク セキュリティ グループ (NSG)、ルート テーブル、その他のネットワーク依存アプライアンス (Azure Firewall など) のようなオファリングのリソースでは、特定のネットワーク機能を使用できません。

Microsoft Sentinel を使用して、次のような従来の安全でないプロトコルの使用を検出します。

  • SSL/TLSv1

  • SMBv1

  • LM/NTLMv1

  • wDigest、署名されていない LDAP バインド

  • Kerberos の脆弱な暗号

詳細については、次のリファレンスを参照してください。

責任: Microsoft

NS-3: Azure サービスへのプライベート ネットワーク アクセスを確立する

ガイダンス: Azure Private Link を使用して、インターネットを経由せずに、仮想ネットワークから Event Hubs へのプライベート アクセスを有効にします。

Azure Virtual Network サービス エンドポイントを使用して、Event Hubs へのセキュリティで保護されたアクセスを提供します。 インターネットを経由しない、Azure のバックボーン ネットワークを介した最適化されたルートを使用します。

プライベート アクセスは、Azure サービスによって提供される認証およびトラフィックのセキュリティに対する、もう 1 つの多層防御手段となります。

責任: Customer

NS-6: ネットワーク セキュリティ規則を簡略化する

ガイダンス: Event Hubs リソース用に構成された NSG または Azure Firewall でのネットワーク アクセス制御を定義するには、Azure Virtual Network サービス タグを使用します。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使うことができます。 ルールの適切な送信元または送信先のフィールドにサービス タグ名を指定します。 そうすることで、対応するサービスのトラフィックを許可または拒否することができます。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。

責任: Customer

NS-7: セキュリティで保護されたドメイン ネーム サービス (DNS)

ガイダンス: DNS セキュリティのベスト プラクティスに従って、次のような一般的な攻撃を軽減します。

  • ダングリング DNS

  • DNS アンプ攻撃

  • DNS ポイズニング

  • スプーフィング

  • その他

権限のある DNS サービスとして Azure DNS を使用する場合は、DNS ゾーンとレコードが、誤った変更または悪意のある変更から保護されていることを確認してください。 Azure ロールベースのアクセス制御 (RBAC) とリソース ロックを使用してください。

責任: Customer

ID 管理

詳細については、Azure セキュリティ ベンチマークの「ID 管理. 」を参照してください。

IM-1:Azure Active Directory を中央 ID および認証システムとして標準化する

ガイダンス: Event Hubs では、Azure Active Directory (Azure AD) を既定の ID 管理とアクセス管理のサービスとして使用します。 Azure AD を標準化して、以下での組織の ID およびアクセス管理を統制します。

  • Microsoft Cloud リソース。 リソースには以下が含まれます。

    • Azure ポータル

    • Azure Storage

    • Azure Linux と Windows VM

    • Azure Key Vault

    • サービスとしてのプラットフォーム (PaaS)

    • サービスとしてのソフトウェア (SaaS) アプリケーション

  • Azure 上のアプリケーションや企業ネットワーク リソースなどの組織のリソース。

Azure AD を保護することは、組織のクラウド セキュリティ プラクティスの中で高い優先順位に位置付ける必要があります。 Azure AD により、ID セキュリティ態勢を Microsoft のベスト プラクティスの推奨事項と比較するのに役立つ ID セキュリティ スコアが提供されます。 スコアを使用して、構成がベスト プラクティスの推奨事項とどの程度一致しているかを測定し、セキュリティ体制を強化します。

注: Azure AD では外部 ID をサポートしています。 Microsoft アカウントのないユーザーは、自分の外部 ID でアプリケーションやリソースにサインインできます。

責任: Customer

IM-2:アプリケーション ID を安全かつ自動的に管理する

ガイダンス: Event Hubs では、Azure リソースのマネージド ID がサポートされています。 サービス プリンシパルを作成する代わりに、Event Hubs でマネージド ID を使用してその他のリソースにアクセスします。 Event Hubs が、Azure AD 認証をサポートする Azure のサービスとリソースに対してネイティブに認証を行うことができます。 認証は、事前に定義されたアクセス許可規則でサポートされています。 ソース コードまたは構成ファイルでハードコーディングされた資格情報は使用しません。

Event Hubs では、証明書の資格情報を使用してサービス プリンシパルを構成し、クライアント シークレットにフォールバックするため、Azure AD を利用してリソース レベルのアクセス許可が制限されたサービス プリンシパルを作成することが推奨されます。 どちらの場合も、Azure Key Vault を Azure マネージド ID と組み合わせて使用すると、ランタイム環境 (Azure 関数など) でキー コンテナーから資格情報を取得できるようになります。

責任: Customer

IM-3:アプリケーションのアクセスに Azure AD シングル サインオン (SSO) を使用する

ガイダンス: Event Hubs では Azure AD の ID とアクセスの管理を、Azure リソース、クラウド アプリケーション、オンプレミス アプリケーションに使用します。 ID には、従業員などのエンタープライズ ID と、パートナー、ベンダー、サプライヤーなどの外部 ID が含まれます。

Azure AD は、組織のオンプレミスとクラウドのデータとリソースへのアクセスを管理して保護するためにシングル サインオン (SSO) を提供します。

すべてのユーザー、アプリケーション、デバイスを Azure AD に接続します。 Azure AD は、セキュリティで保護されたシームレスなアクセスと、優れた可視性および制御を提供します。

責任: Customer

特権アクセス

詳細については、Azure セキュリティ ベンチマークの「特権アクセス」を参照してください。

PA-3:ユーザー アクセスを定期的に確認して調整する

ガイダンス: Event Hubs ではそのリソースの管理に Azure AD アカウントを使用します。 ユーザー アカウントとアクセス割り当てを定期的にレビューして、アカウントとそのアクセス権を適切に保ってください。 Azure AD とアクセスのレビューを使用して、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセス、およびロールの割り当てをレビューすることができます。 Azure AD レポートによって、古いアカウントの検出に役立つログが提供されます。 また、Azure Active Directory Privileged Identity Management (PIM) でアクセス レビュー レポート ワークフローを作成し、レビュー プロセスを容易にすることもできます。

管理者アカウントが多すぎる場合にはアラートを出すように、Azure AD PIM を構成できます。 PIM は、古い管理者アカウントや不適切に構成されている管理者アカウントを特定できます。

注:一部の Azure サービスでは、Azure AD で管理されていないローカル ユーザーとロールがサポートされています。 これらのユーザーは個別に管理する必要があります。

責任: Customer

PA-6:特権アクセス ワークステーションを使用する

ガイダンス: セキュリティで保護された分離したワークステーションは、管理者、開発者、重要なサービス オペレーターのような機密性の高いロールのセキュリティには非常に重要です。 管理タスクには、高度なセキュリティで保護されたユーザー ワークステーションや Azure Bastion を使用します。

Azure AD、Microsoft Defender ATP、または Microsoft Intune を使用して、管理タスクのためにセキュリティで保護されたマネージド ユーザー ワークステーションを展開します。 セキュリティで保護されたワークステーションを一元的に管理することで、次のようなセキュリティ構成を強制できます。

  • 強力な認証

  • ソフトウェアとハードウェアのベースライン

  • 制限付きの論理アクセスとネットワーク アクセス

詳細については、次のリファレンスを参照してください。

責任: Customer

PA-7:Just Enough Administration (最小限の特権の原則) に従う

ガイダンス: Event Hubs は Azure RBAC と統合して、そのリソースを管理します。 RBAC を使用して、ロールの割り当てによって Azure リソースへのアクセスを管理します。 ロールは、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることができます。 特定のリソースには、定義済みの組み込みロールがあります。 Azure CLI、Azure PowerShell、Azure portal などのツールを使用して、これらのロールのインベントリを作成したりクエリを実行できます。

Azure RBAC を使用してリソースに割り当てる特権を、ロールで必要なものに制限します。 この方法は、Azure AD PIM の Just-In-Time (JIT) アプローチを補完します。 ロールと割り当てを定期的に確認します。

組み込みロールを使用してアクセス許可を付与し、必要な場合にのみカスタム ロールを作成します。

責任: Customer

データ保護

詳細については、Azure セキュリティ ベンチマークの「データ保護」を参照してください。

DP-3:機密データの不正転送を監視する

ガイダンス:企業が可視および制御できる範囲外の場所にデータが不正に転送されるのを監視することができます。 これには通常、不正なデータ流出を示す可能性のある異常な活動 (大規模または異常な転送) の監視が含まれます。

Microsoft Defender for Storage および Microsoft Defender for SQL では、機密情報の未承認の転送を示す可能性がある異常な情報転送に関するアラートを生成できます。

Azure Information Protection (AIP) には、分類およびラベル付けされた情報を監視する機能があります。

データ損失防止 (DLP) に準拠する必要がある場合は、データ流出を回避するため、ホスト ベースの DLP ソリューションを使用して検出および予防コントロールを適用できます。

責任: Customer

DP-4:転送中の機密情報を暗号化する

ガイダンス: TLS v1.1 以上を使用することをお勧めします。 Event Hubs では、下位互換性のために弱いプロトコルを使用して業務を運用しているお客様に対し、TLS 1.0 を引き続きサポートしますが、その使用を避けることを強くお勧めします。

責任: Customer

DP-5:保存データを暗号化する

ガイダンス: アクセス制御を補完するため、Event Hubs では保存データを暗号化して、帯域外攻撃 (基になっているストレージへのアクセスなど) から保護します。 暗号化により、攻撃者がデータを簡単に読み取ったり変更したりすることが確実にできなくなります。

既定では Azure によって保存データが暗号化されます。 機密性の高いデータには、保存されている利用可能なすべての Azure リソースに、オプションで暗号化を追加できます。 既定では、Azure は Azure VMware Solution の暗号化キーを管理します。 各自のカスタマー マネージド キーを管理するオプションはありません。

Azure Event Hubs で、Microsoft のマネージド キーまたはカスタマー マネージド キーのいずれかを使用した保存データの暗号化のオプションがサポートされています。 この機能を使用すると、Azure Event Hubs の保存データ暗号化に使用されるカスタマー マネージド キーへのアクセスの作成、ローテーション、無効化、取り消しができます。

責任: 共有

アセット管理

詳細については、Azure セキュリティ ベンチマークの「アセット管理」を参照してください。

AM-1:セキュリティ チームが資産のリスクを確実に可視化できるようにする

ガイダンス: セキュリティ チームに Azure テナントとサブスクリプションのセキュリティ閲覧者アクセス許可を付与して、セキュリティ チームが Microsoft Defender for Cloud を使用してセキュリティ上のリスクを監視できるようにします。

セキュリティ チームの責任がどのように構造化されているかによって、セキュリティ リスクの監視は中央のセキュリティ チームまたはローカル チームの責任になります。 組織内では、常にセキュリティ分析情報とリスクを一元的に集約します。

セキュリティ閲覧者アクセス許可をテナントのルート管理グループ全体に広範に適用するか、アクセス許可を特定の管理グループまたはサブスクリプションに範囲設定できます。

注: ワークロードとサービスを可視化するには、追加のアクセス許可が必要になることがあります。

責任: Customer

AM-2:セキュリティ チームが資産インベントリとメタデータに確実にアクセスできるようにする

ガイダンス: セキュリティ チームが、Event Hubs のような、Azure 上の継続的に更新される資産インベントリに確実にアクセスできるようにします。 セキュリティ チームは、組織が新たなリスクにさらされる可能性を評価するため、および継続的なセキュリティ改善への入力として、このインベントリを必要とすることがよくあります。 組織の認可済みセキュリティ チームを含めるための Azure AD グループを作成します。 すべての Event Hubs リソースへの読み取りアクセスを割り当てます。 サブスクリプション内で 1 つの高レベルのロールの割り当てを使用して、プロセスを簡略化できます。

Azure リソース、リソース グループ、サブスクリプションにタグを適用して、それらを論理的に分類できます。 各タグは、名前と値のペアで構成されます。 たとえば、運用環境のすべてのリソースには名前 "環境" と値 "運用" を適用できます。

Azure VM インベントリを使用して、VM 上のソフトウェアに関する情報の収集を自動化します。 ソフトウェアの名前、バージョン、発行元、および更新時刻は、Azure portal から入手できます。 インストール日やその他の情報にアクセスするには、ゲストレベルの診断を有効にし、Windows イベント ログを Log Analytics ワークスペースに取り込みます。

Event Hubs では、リソースでアプリケーションを実行することも、ソフトウェアをインストールすることもできません。 必要に応じてこの機能を許可またはサポートする、オファリング内のその他の機能について説明します。

責任: Customer

AM-3:承認された Azure サービスのみを使用する

ガイダンス:Azure Policy を使用して、環境内でユーザーがプロビジョニングできるサービスを監査および制限します。 Azure Resource Graph を使用して、サブスクリプション内のリソースのクエリまたは検出を行います。 また、Azure Monitor を使用して、承認されていないサービスが検出されたときにアラートをトリガーする規則を作成することもできます。

責任: Customer

ログと脅威検出

詳細については、Azure セキュリティ ベンチマークの「ログと脅威検出」を参照してください。

LT-1:Azure リソースの脅威検出を有効にする

ガイダンス: Microsoft Defender for Cloud の組み込みの脅威検出機能を使用します。 Event Hubs リソースに対して Microsoft Defender を有効にします。 Microsoft Defender for Event Hubs により、セキュリティ インテリジェンスが強化されます。 Microsoft Defender によって、通常とは異なる、害を及ぼす可能性のある Event Hubs リソースへのアクセスや悪用の試みが検出されます。

Event Hubs から SIEM に、カスタム脅威検出を設定するために使用できるログを転送します。 潜在的な脅威や異常を検出するために、さまざまな種類の Azure 資産を監視していることを確認してください。 アナリストが選別しやすいように、質の高いアラートを取得して誤検知を減らすことに専念します。 アラートは、ログ データ、エージェント、その他のデータを元に生成できます。

責任: Customer

LT-2:Azure ID とアクセスの管理のために脅威検出を有効にする

ガイダンス: Azure AD には、以下のユーザー ログがあります。 ログは Azure AD レポートで確認できます。 Azure Monitor、Microsoft Sentinel などの SIEM および監視ツールとログを統合して、より高度な監視および分析のユース ケースに対応できます。

  • サインイン - マネージド アプリケーションの使用状況とユーザー サインイン アクティビティに関する情報。

  • 監査ログ - Azure AD のさまざまな機能によって行われたすべての変更を、ログにより追跡可能です。 監査ログには、Azure AD 内のすべてのリソースに加えられた変更が含まれます。 変更には、ユーザー、アプリ、グループ、ロール、ポリシーの追加または削除が含まれます。

  • 危険なサインイン - ユーザー アカウントの正当な所有者でない可能性のあるユーザーによるサインイン試行を示します。

  • リスクのフラグ付きユーザー - セキュリティが侵害された可能性のあるユーザー アカウントを示します。

また Microsoft Defender for Cloud は、認証試行の失敗回数が多すぎるなど、特定の不審なアクティビティについても警告することができます。 サブスクリプションの非推奨アカウントも、アラートをトリガーすることがあります。

基本的なセキュリティ検疫監視に加えて、Microsoft Defender for Cloud の脅威保護モジュールは、より詳細なセキュリティ アラートを次の対象から収集できます。

  • VM、コンテナー、App Service などの個別の Azure コンピューティング リソース。

  • Azure SQL Database や Azure Storage などのデータ リソース。

  • Azure サービス レイヤー。

この機能により、個々のリソースにおけるアカウントの異常を可視化できます。

責任: Customer

LT-3:Azure ネットワーク アクティビティのログ記録を有効にする

ガイダンス: Event Hubs は、仮想ネットワークへの展開を想定していません。 NSG フローログを有効にしたり、ファイアウォール経由でトラフィックをルーティングしたり、パケットキャプチャを実行したりすることはできません。

以下を支援するため、セキュリティ分析の目的で、NSG リソース ログ、NSG フロー ログ、Azure Firewall ログ、および Web アプリケーション ファイアウォール (WAF) ログを有効にして収集します。

  • インシデント調査

  • 脅威の捜索

  • セキュリティ アラートの生成

Azure Monitor Log Analytics ワークスペースにフロー ログを送信し、Traffic Analytics を使用して分析情報を提供できます。

Event Hubs は、お客様のアクセスのために処理するすべてのネットワーク トラフィックをログに記録します。 デプロイされているオファリング リソース内でネットワーク フロー機能を有効にします。

Event Hubs では、DNS クエリ ログの生成または処理は行われません。

責任: Customer

LT-4:Azure リソースのログ記録を有効にする

ガイダンス: アクティビティ ログは自動的に使用可能になります。 ログには、Event Hubs リソースに対する PUT、POST、DELET 操作がすべて記録されます。ただし、GET (読み取り操作) は記録されません。 アクティビティ ログを使用して、トラブルシューティング時にエラーを見つけたり、組織内のユーザーがリソースを変更した方法を監視したりできます。

Event Hubs の Azure リソース ログを有効にします。 リソース ログとログ データの収集は、Microsoft Defender for Cloud と Azure Policy を使用して有効にすることができます。 これらのログは、セキュリティ インシデントを調査したり、フォレンジック演習を実施したりするために重要な場合があります。

Event Hubs では、ローカル管理者アカウントに関するセキュリティ監査ログも生成されます。 これらのローカル管理者監査ログを有効にします

責任: Customer

Microsoft Defender for Cloud による監視: Azure セキュリティ ベンチマークは Microsoft Defender for Cloud の既定のポリシー イニシアチブであり、Microsoft Defender for Cloud の推奨事項の基礎となります。 このコントロールに関連する Azure Policy 定義は、Microsoft Defender for Cloud によって自動的に有効になります。 このコントロールに関連するアラートでは、関連するサービスのために Microsoft Defender プランが必要になる場合があります。

Azure Policy 組み込み定義 - Microsoft.EventHub:

名前
(Azure portal)
説明 効果 Version
(GitHub)
イベント ハブのリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

LT-5:セキュリティ ログの管理と分析を一元化する

ガイダンス:ログ記録のストレージと分析を一元化して、相関関係を有効にします。 ログ ソースごとに、以下を確保していることを確認してください。

  • 任命されたデータ所有者

  • アクセス ガイダンス

  • 保存先

  • データの処理とアクセスに使用するツール

  • データ保持の要件

Azure アクティビティ ログを一元的なログ記録に統合してください。

Azure Monitor を介してログを取り込み、エンドポイント デバイス、ネットワーク リソース、およびその他のセキュリティ システムによって生成されるセキュリティ データを集計します。 Azure Monitor で、Log Analytics ワークスペースを使用し、クエリを実行して分析を行います。

長期およびアーカイブ ストレージには Azure Storage アカウントを使用します。

さらに、Microsoft Sentinel またはサード パーティの SIEM に対してデータを有効にしてオンボードします。

多くの組織では、頻繁に使用される "ホット" データに対しては Microsoft Sentinel を、使用頻度の低い "コールド" データに対しては Azure Storage を使用することを選択しています。

Event Hubs で実行される可能性があるアプリケーションの場合、すべてのセキュリティ関連ログが SIEM に転送され、一元的に管理されます。

責任: Customer

LT-6:ログの保持期間を構成する

ガイダンス: Event Hubs ログの保存に使用するストレージ アカウントまたは Log Analytics ワークスペースに、ログ保持期間が設定されていることを確認してください。 ログ保持期間が設定されていない場合は、組織のコンプライアンス規則に従ってログ保持期間を設定してください。

責任: Customer

LT-7:承認された時刻同期ソースを使用する

ガイダンス: 適用不可。 Event Hubs では、独自の時刻同期ソースの構成はサポートされていません。

Event Hubs サービスは Microsoft の時刻同期ソースに依存しており、構成のために顧客に公開されてはいません。

責任: Microsoft

体制と脆弱性の管理

詳細については、Azure セキュリティ ベンチマークの「体制と脆弱性の管理」を参照してください。

PV-1: Azure サービスのセキュリティで保護された構成を確立する

ガイダンス: Azure Blueprints を使用して、サービスとアプリケーション環境のデプロイと構成を自動化します。 1 つのブループリント定義に、Azure Resource Manager テンプレート、RBAC コントロール、およびポリシーを含めることができます。

責任: Customer

PV-2: Azure サービスのセキュリティで保護された構成を維持する

ガイダンス: Microsoft Defender for Cloud を使用して構成基準を監視します。 Azure Policy の [deny] および [deploy if not exist] を使用して、VM やコンテナーなどの Azure コンピューティング リソースにおいてセキュリティで保護された構成を強制します。

責任: Customer

PV-4: コンピューティング リソースに対するセキュリティで保護された構成を維持する

ガイダンス: 適用不可。 この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

PV-5: カスタム オペレーティング システムとコンテナーのイメージを安全に格納する

ガイダンス: 適用不可。 この推奨事項は、コンピューティング リソースを対象にしています。

責任: Customer

PV-6: ソフトウェアの脆弱性評価を実行する

ガイダンス: 適用不可。 Microsoft では、Event Hubs をサポートしている基になるシステムの脆弱性の管理を行っています。

責任: Microsoft

PV-8: 定期的に攻撃シミュレーションを実施する

ガイダンス: 必要に応じて、Azure リソースの侵入テストまたはレッド チーム アクティビティを実施し、セキュリティに関するすべての重大な調査結果が確実に修復されるようにします。

お客様の侵入テストが Microsoft のポリシーに違反しないようにするには、Microsoft Cloud 侵入テストの実施ルールに従ってください。 Microsoft の Red Teaming の戦略と実行を使用します。 Microsoft が管理するクラウド インフラストラクチャ、サービス、およびアプリケーションに対して、ライブ サイト侵入テストを実行します。

責任: Customer

エンドポイント セキュリティ

詳細については、Azure セキュリティ ベンチマークの「エンドポイントのセキュリティ」を参照してください。

ES-2:一元管理された最新のマルウェア対策ソフトウェアを使用する

ガイダンス: Event Hubs とそのリソースを、一元管理された最新のマルウェア対策ソフトウェアで保護します。 リアルタイムスキャンと定期的なスキャンを実行できる、一元管理されたエンドポイントのマルウェア対策ソリューションを使用します

  • Azure Cloud Services 向けの Microsoft Antimalware は、Windows VM の既定のマルウェア対策ソリューションです。

  • Linux VM の場合は、サードパーティのマルウェア対策ソリューションを使用します。

  • Azure Storage アカウントにアップロードされたマルウェアを検出するには、Microsoft Defender for Cloud のデータ サービス向け脅威検出を使用します。

  • Microsoft Defender for Cloud を使用して次の処理を自動的に行います。

    • ご使用の VM に対応した一般的なマルウェア対策ソリューションを特定する

    • エンドポイント保護の実行状態を報告する

    • 推奨を行います

詳細については、次のリファレンスを参照してください。

責任: Customer

ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする

ガイダンス: マルウェア対策の署名を迅速かつ一貫した方法で更新してください。

Microsoft Defender for Cloud の「コンピューティングとアプリ」の推奨事項に従い、すべてのエンドポイントに最新の署名が適用されている状態にします。

Windows の場合、Microsoft Antimalware により、既定で最新の署名とエンジンの更新プログラムが自動的にインストールされます。 Linux 環境で作業している場合は、サードパーティのマルウェア対策ソリューションを使用します。

詳細については、次のリファレンスを参照してください。

責任: Customer

バックアップと回復

詳細については、Azure セキュリティ ベンチマークの「バックアップと回復」を参照してください。

BR-1:定期的な自動バックアップを保証する

ガイダンス: Azure Event Hubs では、Availability Zones によるデータバックアップ (ゾーン冗長性) と、ユーザーにより構成されるマルチリージョン レプリケーション (Geo 冗長性) がサポートされています。

責任: 共有

BR-2:バックアップ データを暗号化する

ガイダンス: Azure Event Hubs では、Azure Storage Service Encryption (Azure SSE) による保存データの暗号化が提供されます。 Event Hubs では、データを格納するために Azure Storage が使用されます。既定では、Azure Storage を使用して格納されるすべてのデータは、Microsoft のマネージド キーを使用して暗号化されます。 カスタマー マネージド キーを格納するために Azure Key Vaultを使用する場合は、キーの定期的な自動バックアップを確認してください。次の PowerShell コマンドを使用して、Key Vault シークレットの定期的な自動バックアップを確認しますBackup-AzKeyVaultSecret

責任: 共有

BR-3:カスタマー マネージド キーを含むすべてのバックアップを検証する

ガイダンス:バックアップされたカスタマー マネージド キーを復元できることを定期的に確認します。

責任: Customer

BR-4:キー紛失のリスクを軽減する

ガイダンス: キーの紛失を回避および回復する手段を設けておきます。 Azure Key Vault で論理的な削除と消去保護を有効にして、キーが偶発的または悪意から削除されないようにします。

責任: Customer

次のステップ