適応型アプリケーション制御を有効にして管理する
Microsoft Defender for Cloud の適応型アプリケーション制御には、データ駆動型のインテリジェントな自動化ソリューションが用意されており、マシンに対して安全であることがわかっているアプリケーションの許可リストを定義してセキュリティを強化できます。 この機能を使うと、組織は同じプロセスを日常的に実行するマシンのコレクションを管理できます。 Microsoft Defender for Cloud では、機械学習を使って、マシン上で実行されているアプリケーションを分析し、安全であることがわかっているソフトウェアの一覧を作成できます。 これらの許可リストは、特定の Azure ワークロードに基づいています。 このページに記載されている手順を使って、推奨事項をさらにカスタマイズできます。
マシンのグループ
Microsoft Defender for Cloud で、同じような一連のアプリケーションを一貫して実行するサブスクリプション内のマシンのグループが特定されている場合は、次の推奨事項が表示されます。安全なアプリケーションを定義するための適応型アプリケーション制御をマシンで有効にする必要 があります。
推奨事項を選択するか、適応型アプリケーション制御ページを開いて、推奨される既知の安全なアプリケーションのリストとマシンのグループを表示します。
ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。
[適応型アプリケーション制御] ページが開き、VM が次のタブにグループ化されます。
構成済み - アプリケーションの許可リストが既に定義されているマシンのグループ。 グループごとに、[構成済み] タブには以下の内容が示されます。
- グループ内のマシンの数
- 最近のアラート
推奨 - 同じアプリケーションを一貫して実行し、許可リストが構成されていないマシンのグループ。 これらのグループに対して適応型アプリケーション制御を有効にすることをお勧めします。
ヒント
REVIEWGROUP というプレフィックスが付いたグループ名が表示される場合は、部分的に一貫性のあるアプリケーションのリストがあるマシンが含まれます。 Microsoft Defender for Cloud でパターンは表示できませんが、このグループを参照し、「グループの適応型アプリケーション制御規則の編集」の説明に従って、いくつかの適応型アプリケーション制御規則を "お客様" が手動で定義できるかどうかを確認することが推奨されます。
「グループ間でマシンを移動する」の説明に従って、このグループから他のグループにマシンを移動することもできます。
推奨なし - アプリケーションの許可リストが定義されておらず、この機能がサポートされていないマシン。 マシンは次の理由により、このタブに表示される場合があります。
- Log Analytics エージェントが欠落している
- Log Analytics エージェントによってイベントが送信されていない
- GPO またはローカル セキュリティ ポリシーによって既存の AppLocker ポリシーが有効になっている Windows マシンである
- AppLocker を使用できない (Windows Server Core のインストール)
ヒント
Defender for Cloudは、マシンのグループごとに固有の推奨事項を定義するために、少なくとも2週間のデータを必要とします。 最近作成されたか、Microsoft Defender for Servers で最近保護されるようになったサブスクリプションに属しているマシンは、[推奨なし] タブの下に表示されます。
[推奨] タブを開きます。推奨される許可リストがあるマシンのグループが表示されます。
グループを選びます。
新しい規則を構成するには、この [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションとその内容を確認します。これは、特定のマシンのグループに固有のものです。
マシンの選択 - 既定では、識別されたグループ内のすべてのマシンが選択されます。 いずれかの選択を解除すると、それらはこの規則から除外されます。
推奨アプリケーション - このグループ内のマシンに共通し、実行を許可することが推奨されるアプリケーションのこのリストを確認します。
その他のアプリケーション - このグループ内のマシンでの表示頻度が低いか、あるいは利用可能であることがわかっているアプリケーションのこのリストを確認します。 警告アイコンは、アプリケーションの許可リストをバイパスするために、特定のアプリケーションが攻撃者によって使用される可能性があることを示します。 これらのアプリケーションを慎重に確認することをお勧めします。
ヒント
どちらのアプリケーション リストにも、特定のアプリケーションを特定のユーザーに制限するオプションが含まれています。 可能な限り、最小限の特権の原則を採用してください。
アプリケーションは発行元が定義します。 アプリケーションに発行元情報がない (署名されていない) 場合、パス規則がその特定のアプリケーションの完全なパス用に作成されます。
規則を適用するには、 [監査] を選択します。
グループの適応型アプリケーション制御規則の編集
組織内の既知の変更により、マシンのグループの許可リストを編集することができます。
マシン グループの規則を編集するには、次のようにします。
ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。
[構成済み] タブから、規則を編集するグループを選択します。
「マシンのグループ」で説明されているように、[アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。
必要に応じて、1 つまたは複数のカスタム規則を追加します。
- [規則の追加] を選択します。
既知の安全なパスを定義する場合は、 [規則の種類] を [パス] に変更して、1 つのパスを入力します。 パスにはワイルドカードを含めることができます。 次の画面は、ワイルドカードの使用方法の例をいくつか示したものです。
ヒント
パスのワイルドカードが役立つ場合があるシナリオには、次のようなものがあります。
- パスの末尾でワイルドカードを使用し、そのフォルダーとサブフォルダー内のすべての実行可能ファイルを許可します。
- パスの途中でワイルドカードを使用し、変化するフォルダー名を持つ既知の実行可能ファイルの名前 (既知の実行可能ファイルを含む個人ユーザー フォルダーや自動生成されたフォルダー名など) を有効にします。
許可されるユーザーと保護されるファイルの種類を定義します。
規則の定義が完了したら、 [追加] を選択します。
変更を適用するには、 [保存] を選択します。
グループの設定を確認して編集する
グループの詳細と設定を表示するには、[グループ設定] を選択します。
このウィンドウには、グループの名前 (変更可能)、OS の種類、場所、およびその他の関連する詳細が表示されます。
必要に応じて、グループの名前やファイルの種類の保護モードを変更します。
[適用] を選択し、 [保存] を選択します。
[適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項への対応
Defender for Cloudの機械学習で、以前は許可されていなかった、正当である可能性のある動作が識別された場合、この推奨事項が表示されます。 誤検知アラートの数を減らすために、推奨事項で既存の定義の新しい規則が提案されます。
問題を修復するには、次のようにします。
推奨事項ページから、 [適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項を選択し、新しく識別された、正当である可能性のある動作のグループを表示します。
規則を編集するグループを選択します。
「マシンのグループ」で説明されているように、[アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。
変更を適用するには、 [監査] を選択します。
アラートと違反の監査
ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。
最近のアラートが示されたマシンのグループを表示するには、 [構成済み] タブに一覧表示されているグループを確認します。
さらに調査するには、グループを選択します。
詳細および影響を受けるマシンのリストを表示するには、アラートを選択します。
セキュリティ アラート ページには、アラートの詳細が表示され、脅威を軽減するためのレコメンデーションと共に [アクションの実行] リンクが表示されます。
Note
適応型アプリケーション制御では、12 時間ごとにイベントが計算されます。 セキュリティ アラート ページに表示される [アクティビティの開始時刻] は、疑わしいプロセスがアクティブだった時間ではなく、適応型アプリケーション制御によってアラートが作成された時刻です。
グループ間でマシンを移動する
グループ間でマシンを移動すると、適用されていたアプリケーション制御ポリシーが移動先のグループの設定に変更されます。 構成されたグループから構成されていないグループにマシンを移動することもできます。これでは、マシンに適用されていたアプリケーション制御規則がすべて削除されます。
ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。
[適応型アプリケーション制御] ページの [構成済み] タブから、移動対象のマシンを含むグループを選択します。
[構成されたマシン] のリストを開きます。
行の末尾にある 3 つの点をクリックしてマシンのメニューを開き、 [移動] を選択します。 [Move machine to a different group](マシンを別のグループに移動する) ペインが開きます。
移動先グループを選び、 [Move machine](マシンを移動) を選択します。
変更を保存するには、 [保存] を選択します。
REST API を使用したアプリケーション制御の管理
適応型アプリケーション制御をプログラムで管理するには、REST API を使用します。
関連する API ドキュメントは、Defender for Cloud の API ドキュメントの「適応型アプリケーション制御」セクションで参照できます。
REST API から使用できる関数をいくつか以下に示します。
List を使用すると、すべてのグループの推奨事項が取得され、各グループのオブジェクトを含む JSON が提供されます。
Get を使用すると、すべての推奨データ (つまり、マシン、発行元またはパスの規則のリスト) を含む JSON が取得されます。
Put を使用すると、規則が構成されます (この要求の本文として、Get で取得した JSON を使用)。
重要
Put 関数には、Get コマンドによって返される JSON に含まれるものより少ない数のパラメーターが必要です。
Put 要求で JSON を使用する前に、recommendationStatus、configurationStatus、issues、location、sourceSystem の各プロパティを削除してください。
関連するコンテンツ
このページでは、Azure と Azure 以外のマシンで実行されるアプリケーションの許可リストを定義するために、Microsoft Defender for Cloud で適応型アプリケーション制御を使用する方法を学習しました。 その他のクラウド ワークロード保護機能の詳細については、次のページを参照してください。