FIXER cloud.config Tech Blog Show この記事はFIXER Advent Calendar 2021 21日目の記事です。 エンタープライズ事業部の田邊です。 Azureは色々なサービスを作成できるし、簡単にデプロイできて便利! だけど、セキュリティーまで考えるのは、なかなか面倒ですね……。 そこで、今回はマイクロソフト社があなたのリソースを”自動的にセキュリティー評価してくれる”Azureの機能をご紹介します。 その名も『Microsoft Defender for Cloud』といいます。 ※2021年11月2日まで「Azure Security Center」と呼ばれているサービスでしたが、名称が変わりました。 Microsoft Defender for Cloudとは??Microsoft Defender for Cloud(仮にDfCと呼びます)は、マイクロソフト社のセキュリティー部門により開発されているセキュリティー診断機能を、ユーザーのみなさんでご利用のAzureリソースへ適用していきます。 同社でご用意したセキュリティー基準をもとに診断して、その結果と、Azureの観点からご提案できる推奨事項を表示します。 利用者側としては、システムをより堅牢にするために、ご活用していくことを期待できるサービスです。 推奨事項は、必ずしもすべてを対応しなければならないものではなく、ユーザーのみなさんのセキュリティー対応方針に応じて採用していくので大丈夫です。 また推奨事項の中には単に「Azureでご提供しているセキュリティー機能が設定されていないので、有効化を推奨する」というようなものからありますので、「抜け漏れがないかのチェックシート」代わりに使用していただくことも出来ます。 もしくは踏み込んで、「よりシステムを堅牢にするための手段を探す」観点で利用することも可能です。 ※公式情報については、下記をご参照ください。 ※表示例 例えばどうやって利用したか?例えば、「あるところからストレージアカウントへ、多数のアクセスがあったことを検知した」ことをアラートとして表示してくれます。 あるとき推奨項目が1件あがりましたので、その内容を分析したときの状況を載せますね。そのときDfCは、該当ストレージアカウントへの多数のアクセスを脅威として判定し、アラートを通知しました。 このアラートからは、「DfC が今回の事象を攻撃として検知して、どれも失敗していると判断した」と読み取れます。また該当の事象がどのようなものだったか、その結果どうなったか、どのように対策するべきかが以下のように記載されます。 ・DfC は「MITRE ATT&CK」フレームワークで言う「収集」が、該当ストレージアカウントに対して仕掛けられた疑いがあると判定しました。 ・発生元は、(欧州のある国)に割り当てられているIPアドレスでした。そこから xx言語のHTTP エージェントによるHTTPアクセスを150回仕掛けられたと考えられます。 ・発生元は、様々な単語をHTTPリクエストに入れ込んで匿名アクセスを試行しましたが、Blobコンテナまで到達したアクセスは1度もありませんでした。 ・該当ストレージアカウント内にあるデータストレージはコンテナだけで、パブリックアクセスレベルはすべて「プライベート」になっているため、今後同様のアクセスがあっても同様の結果に終わる見込みです。 ・DfCから今後の対策案として、3種類の推奨事項が提案されています。 ・また同様にアラートの[アクションの実行]にて、4件の脅威の軽減方法が提案されています。 ※MITRE ATT&CK については、他社情報で恐縮ですが下記をご参照ください。 ※どのような種類のセキュリティーアラートがあるかについては、下記をご参照ください。 その評価を元にして、どう役に立てたか?・DfC の推奨事項にある対策案については、それぞれ「そもそもストレージアカウントへの不要なアクセスを遮断する」ことを図った対策でした。必要に応じて、該当ストレージアカウントの用途に次第で、適切なものの適用をご検討していきます。 ・[アクションの実行]内の「脅威の軽減」にて、最小特権アクセスの原則など、データ保護のために有用な情報が記載されていたので、それらをご参考にしてどのようにするかを決めていきました。 補足【補足事項】 ・Azure の機能の区分として、「インシデント」と「セキュリティーアラート」があります。インシデントは簡潔に言って、複数のアラートを多面的に分析した結果を、ある1件の事象としてまとめ上げたものです。ASCセキュリティーアラートと
セキュリティーインシデントの概要については、下記をご参照ください。 ・今回のアラートはまだ「プレビュー」扱いですので、まだAzureとして正式にサポートしている診断ではありません。今後廃止になる可能性もあります。 ~~ Microsoft Defender for Cloud に限らず、Microsoft Azure についてのお問い合わせはこちらへ ~~ FIXER Inc. 田邊 啓佑 エンタープライズ事業部所属 [転載元] はじめに先日のIgniteでまたもやMicrosoftのセキュリティ製品の名称が代わりました。今年に入って、2回!! Microsoft Defender + αの一覧Windowsの固有の機能から、独立したエンドポイントセキュリティ製品、サーバサイドの製品までMicrosoft Defender の名前が使われてるので知らないとちょっとややこしいですよね。 個人的なお気に入りは今や必須ともいえるCSPM/CWPPをマルチクラウド/ハイブリッドで展開できるMicrosoft Defender for Cloudです。この手のツール無しで脆弱性の管理とか保護をもうしたくない><
まとめまあ、単にまとめただけでそれ以上でもそれ以下でも無いのですが、やはりたくさんありますね。正直ここに書ききれてないものもたくさんあると思います。もはやAzureやWindowsオマケ機能では無くの完全にセキュリティ製品群としてポートフォリオが出来てる 状態です。 各社のセキュリティ製品を個別に選定して最適なものを入れるのも良いですが、どうせMS365やAzureを使っている、と言うケースならば全部入りのE5等を買って、どうしても差分があるところだけ、追加で買うのでも良いと思います。E5はちと高いですがセキュリティ製品各種を入れてしかもそれを自前で統合するコストを考えれば高なくないですし。 「もう全部あいつ一人でいいんじゃないかな」 と思わせて囲い込むのが最近のMSに限らずセキュリティベンダーの手口の気はしますけれど>< それではHappy Hacking! Microsoft Defender for Cloudの名称変更は?Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 ... . Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。. Microsoft Cloud App Securityの名称は?この記事の内容 Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。
Microsoft Defender for Cloudの機能は?Defender for Cloud は、セキュリティの脆弱性の検出と修正、悪意のあるアクティビティをブロックするためのアクセス制御とアプリケーション制御の適用、分析とインテリジェンスを使用した脅威の検出、攻撃を受けたときのすばやい対応を支援します。 強化されたセキュリティ機能は無料でお試しいただけます。
Defender for Cloudの機能一覧は?Microsoft Defender for Cloudとは. クラウドセキュリティ体制管理(CSPM) ... . クラウドワークロード保護(CWP) ... . セキュリティ評価 ... . セキュリティ保護 ... . 脅威からの防御 ... . Azureネイティブ ... . ハイブリッドリソース ... . マルチリソース. |