Microsoft Defender for Cloudの名称は？

FIXER cloud.config Tech Blog

目次 Show

Microsoft Defender for Cloudとは？？
例えばどうやって利用したか？
その評価を元にして、どう役に立てたか？
はじめに
Microsoft Defender + αの一覧
Microsoft Defender for Cloudの名称変更は？
Microsoft Cloud App Securityの名称は？
Microsoft Defender for Cloudの機能は？
Defender for Cloudの機能一覧は？

この記事はFIXER Advent Calendar 2021 21日目の記事です。

エンタープライズ事業部の田邊です。

Azureは色々なサービスを作成できるし、簡単にデプロイできて便利！

だけど、セキュリティーまで考えるのは、なかなか面倒ですね……。

そこで、今回はマイクロソフト社があなたのリソースを”自動的にセキュリティー評価してくれる”Azureの機能をご紹介します。

その名も『Microsoft Defender for Cloud』といいます。

※2021年11月2日まで「Azure Security Center」と呼ばれているサービスでしたが、名称が変わりました。

Microsoft Defender for Cloudとは？？

Microsoft Defender for Cloud（仮にDfCと呼びます）は、マイクロソフト社のセキュリティー部門により開発されているセキュリティー診断機能を、ユーザーのみなさんでご利用のAzureリソースへ適用していきます。

同社でご用意したセキュリティー基準をもとに診断して、その結果と、Azureの観点からご提案できる推奨事項を表示します。

利用者側としては、システムをより堅牢にするために、ご活用していくことを期待できるサービスです。

推奨事項は、必ずしもすべてを対応しなければならないものではなく、ユーザーのみなさんのセキュリティー対応方針に応じて採用していくので大丈夫です。

また推奨事項の中には単に「Azureでご提供しているセキュリティー機能が設定されていないので、有効化を推奨する」というようなものからありますので、「抜け漏れがないかのチェックシート」代わりに使用していただくことも出来ます。

もしくは踏み込んで、「よりシステムを堅牢にするための手段を探す」観点で利用することも可能です。

※公式情報については、下記をご参照ください。
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction

※表示例

例えばどうやって利用したか？

例えば、「あるところからストレージアカウントへ、多数のアクセスがあったことを検知した」ことをアラートとして表示してくれます。

あるとき推奨項目が1件あがりましたので、その内容を分析したときの状況を載せますね。そのときDfCは、該当ストレージアカウントへの多数のアクセスを脅威として判定し、アラートを通知しました。

このアラートからは、「DfC が今回の事象を攻撃として検知して、どれも失敗していると判断した」と読み取れます。また該当の事象がどのようなものだったか、その結果どうなったか、どのように対策するべきかが以下のように記載されます。

・DfC は「MITRE ATT&CK」フレームワークで言う「収集」が、該当ストレージアカウントに対して仕掛けられた疑いがあると判定しました。

・発生元は、（欧州のある国）に割り当てられているIPアドレスでした。そこから xx言語のHTTP エージェントによるHTTPアクセスを150回仕掛けられたと考えられます。

・発生元は、様々な単語をHTTPリクエストに入れ込んで匿名アクセスを試行しましたが、Blobコンテナまで到達したアクセスは1度もありませんでした。

・該当ストレージアカウント内にあるデータストレージはコンテナだけで、パブリックアクセスレベルはすべて「プライベート」になっているため、今後同様のアクセスがあっても同様の結果に終わる見込みです。

・DfCから今後の対策案として、3種類の推奨事項が提案されています。

・また同様にアラートの[アクションの実行]にて、4件の脅威の軽減方法が提案されています。

※MITRE ATT&CK については、他社情報で恐縮ですが下記をご参照ください。
https://attack.mitre.org/
https://www.intellilink.co.jp/article/column/attack-mitre-sec01.html

※どのような種類のセキュリティーアラートがあるかについては、下記をご参照ください。
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-reference

その評価を元にして、どう役に立てたか？

・DfC の推奨事項にある対策案については、それぞれ「そもそもストレージアカウントへの不要なアクセスを遮断する」ことを図った対策でした。必要に応じて、該当ストレージアカウントの用途に次第で、適切なものの適用をご検討していきます。

・[アクションの実行]内の「脅威の軽減」にて、最小特権アクセスの原則など、データ保護のために有用な情報が記載されていたので、それらをご参考にしてどのようにするかを決めていきました。

補足

【補足事項】
・DfCのセキュリティーアラートの診断項目は、同社により随時追加・または更新・削除されていきますので、今後も過去にはなかった診断項目によりインシデントを検知される可能性があります。その都度、アラート内容を確認していく必要があります。

・Azure の機能の区分として、「インシデント」と「セキュリティーアラート」があります。インシデントは簡潔に言って、複数のアラートを多面的に分析した結果を、ある1件の事象としてまとめ上げたものです。ASCセキュリティーアラートとセキュリティーインシデントの概要については、下記をご参照ください。
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-overview

・今回のアラートはまだ「プレビュー」扱いですので、まだAzureとして正式にサポートしている診断ではありません。今後廃止になる可能性もあります。

～～ Microsoft Defender for Cloud に限らず、Microsoft Azure についてのお問い合わせはこちらへ～～
https://www.fixer.co.jp/ja-jp/contact/

FIXER Inc. 田邊啓佑

エンタープライズ事業部所属
（キャリア）
＊パブクラ分野成長中＊
＊HW/仮想化/OS(Win/Linux)/PowerShell,Bash
＊ﾎﾝﾉﾁｮｯﾄだけ：NW/DB
＊SQLServerとC#習得が目下の目標です。
（個人的興味）
xR/心理学/ボーカロイド/FinalFantasy14/FGO

[転載元]
貴社のAzure セキュリティ確保に！Microsoft Defender for Cloud 評価機能のススメ

はじめに

先日のIgniteでまたもやMicrosoftのセキュリティ製品の名称が代わりました。今年に入って、2回！！
ただ、今回の名称変更はAzureと言う名前をMicrosoftと変える事で 「Azureに限定した製品ではなくハイブリッドクラウド/マルチクラウド対応」 という点を強く押し出した意図も想像できます。最近のMSのセキュリティ製品は例えばEDRもMacやLinux, Android/iOSに対応していますし、マルチクラウドをサポートしているものも多いので、自分の整理を兼ねてまとめてみました。全体的にここ最近名称変更が入ってるので旧名称も入れています。

Microsoft Defender + αの一覧

Windowsの固有の機能から、独立したエンドポイントセキュリティ製品、サーバサイドの製品までMicrosoft Defender の名前が使われてるので知らないとちょっとややこしいですよね。

個人的なお気に入りは今や必須ともいえるCSPM/CWPPをマルチクラウド/ハイブリッドで展開できるMicrosoft Defender for Cloudです。この手のツール無しで脆弱性の管理とか保護をもうしたくない＞＜

Target	Product Name	旧名称	License	対象	サービス内容	参照
Windows	Microsoft Defender AV (Antivirus) (ウィルスと脅威の防止)	Windows Defender	Windows組み込み	Windows 10 Windows 11 Microsoft Server	従来のウイルス対策機能。ノートン先生とかウイルスバスターと類似のソフト	https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-security-center/wdsc-virus-threat-protection
	Microsoft Defender Firewall (ファイアウォールとネットワーク保護)	Windows Firewall	Windows組み込み	Windows 10 Windows 11 Microsoft Server	パーソナルファイウォール。カフェのWiFiとかで外すときっとすごいことに！	https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-security-center/wdsc-firewall-network-protection
	Microsoft Defender SmartScreen (アプリとブラウザーコントロール/評価ベースの保護)	Windows Defender SmartScreen	Windows組み込み	Windows 10 Windows 11 Microsoft Server	フィッシングサイトや怪しいファイルのダウンロードをブロック	https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-security-center/wdsc-app-browser-control
	Microsoft Defender Application Guard (アプリとブラウザーコントロール/分離されたブラウズ)	Windows Defender Application Guard	Windows組み込み	Windows 10 Windows 11 Microsoft Server	仮想ブラウザ	https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview
Endpoint (PC/Server/スマホ)	Microsoft Defender for Endpoint	Microsoft Defender ATP	Windows 10 Enterprise E5 Microsoft 365 E5 Microsoft Defender for Endpoint など	Windows macOS Linux Android iOS	AV + EDR. 流行りのCrowdstrikeみたいなの。Windowsだけでは無くスマホからサーバまで統合管理できる。Windows 10 E5ならライセンスに含まれているので追加料金は無い	https://www.microsoft.com/en-us/security/business/threat-protection/endpoint-defender
	Microsoft Defender for Business	-	Microsoft 365 Business Premium Microsoft Defender for Business など	Windows macOS Linux Android iOS	2021年のIgniteで発表。エンドポイントデバイスに対してデバイス管理やAV/EDR、パッチ管理など総合的なセキュリティを提供する	https://techcommunity.microsoft.com/t5/small-and-medium-business-blog/introducing-microsoft-defender-for-business/ba-p/2898701
Infra (アプリケーション/クラウド)	Microsoft 365 Defender	Microsoft Threat Protection	Microsoft 365 E5 Windows 10 Enterprise E5 など	Microsoft 365	Microsoft 365に対する包括的なアラート/ログの相関分析を行う基盤	https://www.microsoft.com/en-us/security/business/threat-protection/microsoft-365-defender
	Microsoft Defender for Office 365	Office 365 ATP	Microsoft 365 E5 Windows 10 Enterprise E5 など	Microsoft 365 (主にメールとか)	メールメッセージ、リンク (URL)、コラボレーションツールからの脅威保護。Microsoft 365 Defenderの一部。ネーミングセンスよ。。。	https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/defender-for-office-365?view=o365-worldwide
	Microsoft Defender for Identity	Azure ATP	Microsoft 365 E5 Windows 10 Enterprise E5 など	on-prem ActiveDirectory	オンプレミスのActive Directoryの脅威保護	https://docs.microsoft.com/en-us/defender-for-identity/what-is
	Azure AD Identity Protection	-	Microsoft 365 E5 Azure Active Directory Premium P2	Azure AD	Azure ADの脅威保護	https://docs.microsoft.com/ja-jp/azure/security/fundamentals/threat-detection
	Microsoft Defender for Cloud Apps	Microsoft Cloud Apps Security	Azure	SaaS	CASB, DLP/AIPと連携したデータの流出管理も可能。Microsoft 365に限定した Office 365 Cloud App Securityと汎用的なMicrosoft Defender for Cloud Appsがそれぞれあるので注意	https://www.microsoft.com/en-us/security/business/cloud-app-security
	Microsoft Defender for Cloud	Azure Security Center Azure Defender	Azure	AWS Azure GCP オンプレミス	CSPM及びCWPP。サーバやクラウド環境自身に対しての総合的なセキュリティの提供。Firewallなどのセキュリティ設定のスキャンや脆弱性スキャン、振舞い検知等を提供する。Azure Arcと連携する事でAzureのみならずマルチクラウド/ハイブリッドクラウドに対して一元的な管理を提供できる	https://docs.microsoft.com/en-us/azure/security-center/defender-for-cloud-introduction
	Microsoft Defender for IoT	Azure Defender for IoT Azure Security Center for IoT	Azure	IoT/OT	IoTやOTデバイスへの総合的な監視	https://azure.microsoft.com/en-us/services/azure-defender-for-iot/
	Microsoft Defender for SQL, KeyVault, Storage, open-source relational databases	Azure Defnder for SQL Advanced Threat Protection for SQL	Azure	Azure各種プロダクト及びSQLServer	Azureの各種プロダクトに対する高度なセキュリティ機能。特に、Microsoft Defender for SQLは対象がSQLServerであればオンプレミスや別のクラウドにあっても有効に出来る	https://docs.microsoft.com/en-us/azure/security-center/defender-for-sql-introduction
	Microsoft Security Sentinel	Azure Security Sentinel	Azure	AWS Azure GCP オンプレミス	Secuirty Logの相関分析をするためのSEIM及び検知した問題を自動対処するXDR製品。Microsoft Defender for Cloudを始めとしたMicrosoft製品とのシームレスな統合はもちろんsyslog形式など一般的なログ形式を取り込めるのでマルチクラウドはもちろんNW機器やIDS/IPSなどサードパーティのセキュリティ製品の情報も集約が出来る	https://azure.microsoft.com/en-us/services/azure-sentinel/

まとめ

まあ、単にまとめただけでそれ以上でもそれ以下でも無いのですが、やはりたくさんありますね。正直ここに書ききれてないものもたくさんあると思います。もはやAzureやWindowsオマケ機能では無くの完全にセキュリティ製品群としてポートフォリオが出来てる 状態です。

各社のセキュリティ製品を個別に選定して最適なものを入れるのも良いですが、どうせMS365やAzureを使っている、と言うケースならば全部入りのE5等を買って、どうしても差分があるところだけ、追加で買うのでも良いと思います。E5はちと高いですがセキュリティ製品各種を入れてしかもそれを自前で統合するコストを考えれば高なくないですし。

「もう全部あいつ一人でいいんじゃないかな」 と思わせて囲い込むのが最近のMSに限らずセキュリティベンダーの手口の気はしますけれど＞＜

それではHappy Hacking!

Microsoft Defender for Cloudの名称変更は？

Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。 ... .

Microsoft Defender for Cloud Apps は Microsoft 365 Defender に統合されました。.

Microsoft Cloud App Securityの名称は？

この記事の内容 Microsoft Cloud App Security の名前が変更になりました。 Microsoft Defender for Cloud Apps という名前になりました。

Microsoft Defender for Cloudの機能は？

Defender for Cloud は、セキュリティの脆弱性の検出と修正、悪意のあるアクティビティをブロックするためのアクセス制御とアプリケーション制御の適用、分析とインテリジェンスを使用した脅威の検出、攻撃を受けたときのすばやい対応を支援します。強化されたセキュリティ機能は無料でお試しいただけます。