インフラストラクチャ統合

インフラストラクチャは、ハードウェア、ソフトウェア、マイクロ サービス、ネットワーク インフラストラクチャ、および組織の IT サービスをサポートするために必要な設備で構成されます。 ゼロ トラスト インフラストラクチャ ソリューションでは、これらのサービスに対するセキュリティ上の脅威を評価、監視、防止します。

ゼロ トラスト インフラストラクチャ ソリューションでは、インフラストラクチャ リソースへのアクセスが明示的に検証され、最小限の特権アクセスの原則を使用してアクセスが許可され、侵害を想定してインフラストラクチャのセキュリティ脅威を探して修復するメカニズムが整っていることを確認することで、ゼロ トラストの原則がサポートされます。

このガイダンスは、Microsoft 製品との統合によりインフラストラクチャ セキュリティ ソリューションの強化を図るソフトウェア プロバイダーとテクノロジ パートナーを対象にしています。

インフラストラクチャのゼロ トラスト統合ガイド

この統合ガイドには、 Microsoft Defender for Cloud とその統合クラウド ワークロード保護プラットフォーム (CWPP)、 Microsoft Defender for Cloud と統合するための戦略と手順が含まれています。

このガイダンスでは、最も一般的なセキュリティ情報およびイベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、エンドポイントでの検出と対応 (EDR)、IT Service Management (ITSM) ソリューションとの統合について説明します。

ゼロ トラストと Defender for Cloud

ゼロ トラスト インフラストラクチャ デプロイ ガイダンスに関する記事では、インフラストラクチャのゼロ トラスト戦略の主な段階が示されています。 次のとおりです。

  1. 選択した標準とポリシーへのコンプライアンス対応を評価する
  2. ギャップが洗い出された場合に常に構成を強化する
  3. Just-In-Time (JIT) VM アクセス機能などの他の強化ツールを使用する
  4. 脅威の検出と保護を設定する
  5. 危険な動作を自動的にブロックしてフラグを設定し、保護措置を講じる

インフラストラクチャのデプロイ ガイダンスで説明した目標から、Defender for Cloud の主要な側面への明確なマッピングがあります。

ゼロ トラストの目標 Defender for Cloud 機能
コンプライアンスの評価 Defender for Cloud では、すべてのサブスクリプションに Azure セキュリティ ベンチマーク セキュリティ イニシアチブが自動的に割り当てられます
セキュリティ スコア ツール規制コンプライアンス ダッシュボードを使用すると、顧客のセキュリティ体制を深く理解できます。
構成の強化 セキュリティ イニシアチブをサブスクリプションに割り当て、セキュリティ スコアを確認すると、Defender for Cloud に組み込まれている 強化された推奨事項 に導きます。 Defender for Cloud は、リソースのコンプライアンス状態を定期的に分析して、潜在的なセキュリティ構成の誤りや弱点を特定します。 その後、これらの問題を修正する方法に関する推奨事項が提供されます。
強化メカニズムの採用 Defender for Cloud には、セキュリティ構成の誤りに対する 1 回限りの修正と同様に、次のような継続的なセキュリティ強化を保証するツールが用意されています。
Just-in-time (JIT) 仮想マシン (VM) アクセス
アダプティブ ネットワークのセキュリティ強化機能
アダプティブ アプリケーション制御:
脅威検出の設定 Defender for Cloud には、統合されたクラウド ワークロード保護プラットフォーム (CWPP)、Microsoft Defender for Cloud が用意されています。
Microsoft Defender for Cloud は、Azure とハイブリッド リソースとワークロードの高度でインテリジェントな保護を提供します。
Microsoft Defender プランの 1 つである Microsoft Defender for servers には、 Microsoft Defender for Endpoint とのネイティブ統合が含まれています。
詳細については、「 Microsoft Defender for Cloud の概要」を参照してください。
疑わしい動作を自動的に阻止する Defender for Cloud のセキュリティ強化に関する推奨事項の多くは 、拒否 オプションを提供しています。 この機能を使用すると、定義されている強化条件を満たしていないリソースの作成を阻止できます。 詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。
疑わしい動作に自動的にフラグを設定する Microsoft Defender for Cloud のセキュリティ アラートは、高度な検出によってトリガーされます。 Defender for Cloud では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。 Defender for Cloud では、攻撃を修復するための詳細な手順も提供されます。 利用可能なすべてのアラートの一覧については、「セキュリティ アラート - リファレンス ガイド」を参照してください。

Defender for Cloud を使用して Azure PaaS サービスを保護する

サブスクリプションで Defender for Cloud を有効にし、利用可能なすべてのリソースの種類に対して Microsoft Defender for Cloud を有効にすると、 Microsoft Threat Intelligence を利用して、Azure Key Vault、Azure Storage、Azure DNS、およびその他の Azure PaaS サービス内のリソースを保護するインテリジェントな脅威保護のレイヤーが提供されます。 完全な一覧については、「 Microsoft Defender for Cloud でセキュリティで保護できるリソースの種類」を参照してください。

Azure Logic Apps

クラウド サービスとオンプレミス システムの間でアプリとデータを統合するために、Azure Logic Apps を使用して、自動化されたスケーラブルなワークフロー、ビジネス プロセス、エンタープライズ オーケストレーションを構築します。

Defender for Cloud の ワークフロー自動化 機能を使用すると、Defender for Cloud トリガーへの応答を自動化できます。

これは、脅威が検出された場合の応答を、自動化された一貫性のある方法で定義し、実際に応答できる優れた方法です。 たとえば脅威が検出されたときに、直接の利害関係者に通知し、変更管理プロセスを開始し、特定の修復手順を適用します。

Defender for Cloud を SIEM、SOAR、ITSM ソリューションと統合する

Microsoft Defender for Cloud では、セキュリティ アラートを最も一般的なセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、および IT サービス管理 (ITSM) ソリューションにストリーミングできます。

現在使用されている最も一般的なソリューション (以下が含まれます) のすべてでアラート データを表示できるようにする Azure ネイティブ ツールがあります。

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM の QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

Defender for Cloud は、 Microsoft Sentinel、Microsoft のクラウドネイティブ、セキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションとネイティブに統合されます。

Defender for Cloud データが Microsoft Sentinel で表現されるようにするには、次の 2 つの方法があります。

Microsoft Graph Security API を使用してアラートをストリーミングする

Defender for Cloud は、Microsoft Graph Security API とすぐに統合できます。 構成は不要であり、追加のコストは発生しません。

この API を使用して、テナント全体 (およびその他の多くの Microsoft セキュリティ製品のデータ) から、サードパーティ製の SIEM と その他の一般的なプラットフォームにアラートをストリーミングできます。

Microsoft Graph Security API の詳細

Azure Monitor を使用してアラートをストリーミングする

Defender for Cloud の 継続的エクスポート 機能を使用して、Azure Event Hubs を介して Defender for Cloud と Azure Monitor を接続し、 アラートを ArcSightSumoLogic、Syslog サーバー、 LogRhythmLogz.io Cloud Observability Platform、およびその他の監視ソリューションにストリーミングします。

詳細については「Azure Monitor を使用してアラートをストリーミングする.」を参照してください。

Azure Policy を使用して管理グループ レベルでこれを行うこともできます。「連続エクスポートの自動化の構成を大規模に作成する」を参照してください。

ヒント

エクスポートされたデータ型のイベント スキーマを表示するには、イベント ハブのイベント スキーマにアクセスします。

Defender for Cloud とエンドポイントの検出と応答 (EDR) ソリューションの統合

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。

Defender for Cloud のマシン用の統合 CWPP である Microsoft Defender for servers には、 Microsoft Defender for Endpoint の統合ライセンスが含まれています。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。 詳細については、エンドポイントの保護に関する記事をご覧ください。

Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 このアラートは Defender for Cloud に表示されます。 Defender for Cloud から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。 Microsoft Defender for Endpoint の詳細をご確認ください。

その他の EDR ソリューション

Defender for Cloud では、 Azure セキュリティ ベンチマークのガイダンスに従って組織のリソースをセキュリティで保護するための強化に関する推奨事項が提供されます。 ベンチマークのコントロールの 1 つは、エンドポイントのセキュリティに関連しています (「ES-1:エンドポイントでの検出と対応 (EDR) を使用する」)。

Defender for Cloud には、エンドポイント保護を有効にし、適切に動作していることを確認するための 2 つの推奨事項があります。 これらの推奨事項では、以下の製品からの EFR ソリューションの存在と運用状態が確認されます。

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

詳細については、 Microsoft Defender for Cloud の Endpoint Protection の評価と推奨事項に関するページを参照してください。

ハイブリッドおよびマルチクラウド シナリオにゼロ トラスト戦略を適用する

通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。

Microsoft Defender for Cloud では、Azure、オンプレミス、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) など、ワークロードが実行されている場所を問わず、ワークロードが保護されます。

Defender for Cloud とオンプレミス のマシンの統合

ハイブリッド クラウド ワークロードをセキュリティで保護するには、オンプレミスのマシンを Azure Arc 対応サーバーに接続することで、Defender for Cloud の保護を拡張できます。

「Azure 以外のマシンを Defender for Cloud に接続する」でマシンを接続する方法について説明します。

Defender for Cloud を他のクラウド環境と統合する

Defender for Cloud の Amazon Web Services マシンのセキュリティ体制を表示するには、AWS アカウントを Defender for Cloud にオンボードします。 これにより、AWS Security Hub と Microsoft Defender for Cloud が統合され、Defender for Cloud のレコメンデーションと AWS Security Hub の調査結果が統合され、「 AWS アカウントを Microsoft Defender for Cloud に接続する」で説明されているように、さまざまな利点が提供されます。

Defender for Cloud の Google Cloud Platform マシンのセキュリティ体制を表示するには、GCP アカウントを Defender for Cloud にオンボードします。 これにより、GCP セキュリティ コマンドと Microsoft Defender for Cloud が統合され、Defender for Cloud の推奨事項と GCP セキュリティ コマンド センターの結果が統合され、「 GCP アカウントを Microsoft Defender for Cloud に接続する」の説明に従ってさまざまな利点が提供されます。

次の手順

Microsoft Defender for Cloud と Microsoft Defender for Cloud の詳細については、 Defender for Cloud の完全なドキュメントを参照してください。