セキュリティ コントロール: エンドポイント セキュリティ
エンドポイント セキュリティでは、クラウド環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR)、マルウェア対策サービスの使用など、エンドポイントの検出および応答でのコントロールを対象とします。
ES-1:エンドポイントでの検出と対応 (EDR) を使用する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 13.7 | SC-3、SI-2、SI-3、SI-16 | 11.5 |
セキュリティ原則: VM に対してエンドポイントでの検出と対応 (EDR) 機能を有効にし、SIEM およびセキュリティ運用プロセスと統合します。
Azure ガイダンス: (Microsoft Defender for Endpoint統合された) サーバーのMicrosoft Defenderは、高度な脅威を防止、検出、調査、対応するための EDR 機能を提供します。
Microsoft Defender for Cloud を使用して、エンドポイント上のサーバーのMicrosoft Defenderをデプロイし、アラートを Microsoft Sentinel などの SIEM ソリューションに統合します。
Azure の実装と追加のコンテキスト:
- Azure Defender for Servers の概要
- Microsoft Defender for Endpoint の概要
- マシンを対象とする Microsoft Defender for Cloud 機能
- Defender for Servers 用コネクタの SIEM への統合
AWS ガイダンス: AWS アカウントをクラウド用のMicrosoft Defenderにオンボードし、EC2 インスタンスにサーバー用のMicrosoft Defenderをデプロイし (Microsoft Defender for Endpoint統合された)、高度な脅威を防止、検出、調査、対応するための EDR 機能を提供します。
または、EC2 インスタンスの監視と保護に、脅威インテリジェンス機能を統合した Amazon GuardDuty を使います。 Amazon GuardDuty は、インスタンスの侵害を示すアクティビティ (暗号化マイニング、ドメイン生成アルゴリズム (DGA) を使用したマルウェア、サービス拒否アクティビティの送信、異常に大量のネットワーク トラフィック、異常なネットワーク プロトコル、既知の悪意のある IP との送信インスタンス通信、外部 IP アドレスによる一時的な Amazon EC2 資格情報の使用、DNS を使用したデータ流出などの異常なアクティビティを検出できます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP プロジェクトをクラウド用のMicrosoft Defenderにオンボードし、仮想マシン インスタンスに (Microsoft Defender for Endpoint統合された) サーバーのMicrosoft Defenderをデプロイして、高度な脅威を防止、検出、調査、対応するための EDR 機能を提供します.
または、統合された脅威インテリジェンスのために Google のセキュリティ コマンド センターを使用して、仮想マシン インスタンスを監視および保護します。 Security Command Center では、漏洩する可能性のある資格情報、暗号化マイニング、潜在的に悪意のあるアプリケーション、悪意のあるネットワーク アクティビティなどの異常なアクティビティを検出できます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
ES-2: 最新のマルウェア対策ソフトウェアを使用する
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.1 | SC-3、SI-2、SI-3、SI-16 | 5.1 |
セキュリティの原則: リアルタイム保護と定期的なスキャンが可能なマルウェア対策ソリューション (エンドポイント保護とも呼ばれます) を使います。
Azure ガイダンス: Microsoft Defender for Cloud では、Azure Arc が構成された仮想マシンとオンプレミス マシンに対する一般的なマルウェア対策ソリューションの使用を自動的に特定し、エンドポイント保護の実行状態を報告し、推奨事項を作成できます。
Microsoft Defender ウイルス対策は、Windows Server 2016 以降の既定のマルウェア対策ソリューションです。 Windows Server 2012 R2 の場合、Microsoft Antimalware 拡張機能を使って SCEP (System Center Endpoint Protection) を有効にします。 Linux VM の場合は、エンドポイント保護機能のために Microsoft Defender for Endpoint on Linux を使います。
Windows と Linux のどちらでも、Microsoft Defender for Cloud を使い、マルウェア対策ソリューションの正常性を検出して評価することができます。
注: Microsoft Defender for Cloud の Defender for Storage を使用して、Azure Storage アカウントにアップロードされたマルウェアを検出することもできます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS アカウントを Microsoft Defender for Cloud にオンボードして、cloud 用Microsoft Defenderが Azure Arc が構成された EC2 インスタンスに対して一般的なマルウェア対策ソリューションの使用を自動的に特定し、エンドポイント保護の実行状態を報告し、推奨事項を作成できるようにします。
Microsoft Defender ウイルス対策を展開します。これは、Windows Server 2016 以降の既定のマルウェア対策ソリューションです。 Windows Server 2012 R2 を実行する EC2 インスタンスの場合、Microsoft Antimalware 拡張機能を使って SCEP (System Center Endpoint Protection) を有効にします。 Linux を実行する EC2 インスタンスの場合、エンドポイント保護機能には Microsoft Defender for Endpoint on Linux を使います。
Windows と Linux のどちらでも、Microsoft Defender for Cloud を使い、マルウェア対策ソリューションの正常性を検出して評価することができます。
注: Microsoft Defender Cloud では、検出と正常性状態の評価のために、特定のサードパーティ製エンドポイント保護製品もサポートされています。
AWS の実装と追加のコンテキスト:
- GuardDuty EC2 の検索
- サポートされているエンドポイント保護ソリューションのMicrosoft Defender
- Microsoft Defender for Cloud での Endpoint Protection に関する推奨事項
GCP ガイダンス: GCP プロジェクトを Microsoft Defender for Cloud にオンボードして、Microsoft Defender for Cloud が Azure Arc を構成した仮想マシン インスタンスに対する一般的なマルウェア対策ソリューションの使用を自動的に識別し、エンドポイント保護の状態を報告し、推奨事項を作成できるようにします。
Microsoft Defender ウイルス対策を展開します。これは、Windows Server 2016 以降の既定のマルウェア対策ソリューションです。 Windows Server 2012 R2 を実行している仮想マシン インスタンスの場合は、Microsoft Antimalware拡張機能を使用して SCEP (System Center Endpoint Protection) を有効にします。 Linux を実行している仮想マシン インスタンスの場合は、エンドポイント保護機能に linux 上のMicrosoft Defender for Endpointを使用します。
Windows と Linux のどちらでも、Microsoft Defender for Cloud を使い、マルウェア対策ソリューションの正常性を検出して評価することができます。
注: Microsoft Defender Cloud では、検出と正常性状態の評価のために、特定のサードパーティ製エンドポイント保護製品もサポートされています。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
ES-3:マルウェア対策ソフトウェアと署名が確実に更新されるようにする
| CIS コントロール v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 10.2 | SI-2、SI-3 | 5.2 |
セキュリティ原則: マルウェア対策ソリューションで、マルウェア対策の署名が迅速かつ一貫して更新されるようにします。
Azure ガイダンス: Microsoft Defender for Cloud の推奨事項に従い、すべてのエンドポイントを最新の署名で最新の状態に保ちます。 Microsoft Antimalware (Windows 用) と Microsoft Defender for Endpoint (Linux 用) を使うと、既定で最新の署名とエンジン更新プログラムが自動的にインストールされます。
サードパーティ ソリューションの場合は、サード パーティのマルウェア対策ソリューションで署名が更新されていることを確認してください。
Azure の実装と追加のコンテキスト:
- Cloud Services および Virtual Machines 向けの Microsoft Antimalware をデプロイする方法
- Microsoft Defender for Cloud での Endpoint Protection に関する評価と推奨事項
AWS ガイダンス: Microsoft Defender for Cloud に AWS アカウントをオンボードして、Microsoft Defender for Cloud の推奨事項に従い、すべてのエンドポイントを最新の署名で最新の状態に保ちます。 Microsoft Antimalware (Windows 用) と Microsoft Defender for Endpoint (Linux 用) を使うと、既定で最新の署名とエンジン更新プログラムが自動的にインストールされます。
サードパーティ ソリューションの場合は、サード パーティのマルウェア対策ソリューションで署名が更新されていることを確認してください。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP プロジェクトを Microsoft Defender for Cloud にオンボードしたら、Microsoft Defender for Cloud の推奨事項に従って、すべての EDR ソリューションを最新の署名で最新の状態に保ちます。 Microsoft Antimalware (Windows 用) と Microsoft Defender for Endpoint (Linux 用) を使うと、既定で最新の署名とエンジン更新プログラムが自動的にインストールされます。
サードパーティ ソリューションの場合は、サード パーティのマルウェア対策ソリューションで署名が更新されていることを確認してください。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):