このガイドでは、Microsoft Defender for Cloud Apps と Microsoft Sentinel を利用して、アマゾン ウェブ サービス (AWS) アカウントのアクセスと環境をセキュリティで保護する方法を示します。
Microsoft 365 またはハイブリッド クラウドの ID とアクセスの保護に Microsoft Entra ID を使用する AWS 組織は、すばやく簡単に AWS アカウント用の Microsoft Entra ID をデプロイすることができます。多くの場合、追加コストは必要ありません。
アーキテクチャ
この図は、Microsoft の主要なセキュリティ コンポーネントが AWS のインストールにどのように役立つかをまとめたものです。
このアーキテクチャの PowerPoint ファイルをダウンロードします。
ワークフロー
Microsoft Entra ID を使用すると、"多要素認証" と "条件付きアクセス" 機能により、一元化された "シングル サインオン (SSO)" と強力な認証が提供されます。 Microsoft Entra ID により、AWS のロールベースの ID と、AWS リソースにアクセスするための承認がサポートされます。 詳細な情報と手順については、「AWS のための Microsoft Entra ID およびアクセス管理」を参照してください。 Microsoft Entra 権限管理は、任意の AWS ID またはリソースのアクセス許可を包括的に可視化および制御できる、"クラウド インフラストラクチャ エンタイトルメント管理 (CIEM)" 製品です。 Microsoft Entra Permissions Management を使用すると、以下の操作が可能です。
- ID、アクセス許可、リソースにアクセスすることで、リスクの多次元ビューを取得します。
- マルチクラウド インフラストラクチャー全体で最小特権ポリシーの適用を自動化します。
- 異常と外れ値の検出機能を使用して、アクセス許可の誤用と悪用によって引き起こされるデータ侵害を防止します。
詳細情報と詳細なオンボード手順については、「アマゾン ウェブ サービス (AWS) アカウントをオンボードする」を参照してください。
Defender for Cloud Apps:
- Microsoft Entra 条件付きアクセス機能と統合して追加の制限を適用する。
- サインイン後のセッションの監視と保護に役立ちます。
- セッションとユーザーを監視し、情報保護をサポートするため、"ユーザー行動分析 (UBA)" とその他の AWS API を使用します。
Microsoft Defender for Cloud は、Azure の推奨事項と一緒に Defender for Cloud ポータルで AWS のセキュリティに関する推奨事項を表示します。 Defender for Cloud は、サービスとしてのインフラストラクチャ (IaaS) とサービスとしてのプラットフォーム (PaaS) サービスに、160 個を超えるすぐに利用できる推奨事項を提供します。 また、Center for Internet Security (CIS) やペイメント カード業界 (PCI) の標準を含む規制標準や、AWS Foundational Security ベスト プラクティス標準もサポートします。 Defender for Cloud は、Amazon EKS クラスター、AWS EC2 インスタンス、および AWS EC2 で実行される SQL サーバーに対するクラウド ワークロード保護 (CWP) も提供します。
Microsoft Sentinel は、Defender for Cloud Apps および AWS と統合されることで、脅威を検出して自動的に対応します。 AWS の ID、デバイス、アプリケーション、データに対する構成の誤り、潜在的なマルウェア、高度な脅威が、Microsoft Sentinel によって AWS 環境で監視されます。
Components
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Entra ID
Defender for Cloud Apps による可視性と制御
複数のユーザーまたはロールが管理上の変更を行うと、意図したセキュリティ アーキテクチャと標準からの "構成のずれ" が発生する可能性があります。 時間が経つとセキュリティ標準が変化することもあります。 セキュリティ担当者は、継続的に一貫して新しいリスクを検出し、軽減策のオプションを評価し、セキュリティ アーキテクチャを更新して、侵害の可能性を防ぐ必要があります。 複数のパブリック クラウドとプライベート インフラストラクチャの環境を対象とするセキュリティ管理は、大きな負担になる場合があります。
Defender for Cloud Apps は、"クラウド セキュリティ態勢管理 (CSPM)" 機能を備えた "クラウド アクセス セキュリティ ブローカー (CASB)" プラットフォームです。 Defender for Cloud Apps から複数のクラウド サービスやアプリケーションに接続して、セキュリティ ログを収集し、ユーザーの行動を監視し、プラットフォーム自体では提供できない制限を適用することができます。
Defender for Cloud Apps には、AWS と統合してすぐに利用できる機能がいくつか用意されています。
- Defender for Cloud Apps アプリ コネクタでは、UBA などの複数の AWS API を使用して、AWS プラットフォームの構成の問題と脅威が検索します。
- AWS のアクセス制御を使用すると、アプリケーション、デバイス、IP アドレス、場所、登録されている ISP、特定のユーザー属性に基づいて、サインインの制限を適用できます。
- AWS 用のセッション制御を使用すると、Microsoft Defender 脅威インテリジェンスまたはリアルタイムのコンテンツ検査に基づいて、潜在的なマルウェアのアップロードやダウンロードがブロックされます。
- セッション制御でリアルタイムのコンテンツ検査と機密データの検出を使用して、切り取り、コピー、貼り付け、または印刷の操作を防止する "データ損失防止 (DLP) " ルールを適用することもできます。
Defender for Cloud Apps は、スタンドアロンで使用することも、Microsoft Entra ID P2 が含まれる Microsoft Enterprise Mobility + Security E5 の一部として使用することもできます。 価格とライセンスについては、「Enterprise Mobility + Security 価格オプション」を参照してください。
CSPM および CWP プラットフォーム (CWPP) 用の Defender for Cloud
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。 Defender for Cloud は、Azure、AWS、および Google Cloud Platform (GCP) のワークロードの保護に役立ちます。
Defender for Cloud は、AWS アカウントへのエージェントレス接続を提供します。 また、Defender for Cloud は、AWS リソースをセキュリティで保護するプランも提供します。
- Defender for Cloud の概要ページには、CSPM メトリック、アラート、分析情報が表示されます。 Defender for Cloud は、AWS 固有のセキュリティの推奨事項に従って AWS リソースを評価し、セキュリティ スコアにセキュリティ体制を組み込みます。 資産インベントリでは、保護されているすべての AWS リソースを一箇所で表示できます。 規制コンプライアンス ダッシュボードは、AWS に固有の組み込み標準への準拠の状態を表します。 例として、AWS CIS 標準、PCI データ セキュリティ標準 (PCI-DSS)、AWS Foundational Security ベスト プラクティス標準などがあります。
- Microsoft Defender for Servers を使用することで、サポートされている Windows と Linux の EC2 インスタンスで脅威検出および高度な防御を利用できるようになります。
- Microsoft Defender for Containers を使用することで、サポートされている Amazon EKS クラスターで脅威検出および高度な防御機能を利用できるようになります。
- Microsoft Defender for SQL を使用することで、AWS EC2、AWS RDS Custom for SQL Server で実行される SQL Server で脅威検出および高度な防御機能を利用できるようになります。
Microsoft Sentinel のよる高度な脅威検出
脅威は、さまざまなデバイス、アプリケーション、場所、ユーザーの種類によって発生する可能性があります。 DLP には、事後分析レビューでは遅すぎる可能性があるため、アップロードまたはダウンロードの間にコンテンツを検査する必要があります。 AWS には、デバイスとアプリケーションの管理、リスクベースの条件付きアクセス、セッションベースの制御、またはインライン UBA に関するネイティブ機能はありません。
リソースがマルチクラウド、オンプレミス、ハイブリッドのいずれの環境にあるかに関係なく、セキュリティ ソリューションが複雑さを軽減し、包括的な保護を提供することが重要です。 Defender for Cloud では CSPM と CWP が提供されます。 Defender for Cloud は、AWS 全体の構成の弱点を特定して、全体的なセキュリティ体制を強化します。 また、Amazon EKS Linux クラスター、AWS EC2 インスタンス、および AWS EC2 における SQL サーバーを脅威から保護します。
Microsoft Sentinel は "セキュリティ情報イベント管理 (SIEM)" および "セキュリティ オーケストレーション、オートメーション、応答 (SOAR)" ソリューションであり、最新のセキュリティ運用のために脅威の検出と応答の自動化が一元化および調整されます。 Microsoft Sentinel を使用して AWS アカウントを監視し、複数のファイアウォール、ネットワーク デバイス、サーバー間でイベントを比較することができます。 Microsoft Sentinel により、監視データと、脅威インテリジェンス、分析ルール、機械学習が組み合わされて、高度な攻撃手法の検出と対応が行われます。
AWS と Defender for Cloud Apps を Microsoft Sentinel と接続できます。 その上で、Defender for Cloud Apps アラートを表示し、複数の Defender 脅威インテリジェンス フィードを使用する追加の脅威チェックを実行できます。 Microsoft Sentinel は、Defender for Cloud Apps の外部にある調整された応答を開始できます。 また、Microsoft Sentinel は、IT サービス マネジメント (ITSM) ソリューションと統合し、コンプライアンスのためにデータを長期的に保持することもできます。
シナリオの詳細
Microsoft からは、AWS のアカウントと環境のセキュリティと保護に役立つ複数のセキュリティ ソリューションが提供されています。
Microsoft の他のセキュリティ コンポーネントを Microsoft Entra ID と統合して、AWS アカウントのセキュリティを強化することができます。
- Defender for Cloud Apps により、セッション保護とユーザーの行動監視を使用して Microsoft Entra ID がバックアップされます。
- Defender for Cloud では、AWS ワークロードに対する脅威の防止が提供されます。 また、AWS 環境のセキュリティを事前に強化するのに役立ち、エージェントレスのアプローチを使用してそれらの環境に接続します。
- AWS 環境に対する脅威を検出して自動的に対応するため、Microsoft Sentinel は Microsoft Entra ID および Defender for Cloud Apps と統合されます。
これらの Microsoft セキュリティ ソリューションは拡張可能であり、複数レベルの保護を備えています。 これらのソリューションの 1 つ以上を、他の種類の保護と共に実装することで、現在および将来の AWS デプロイを保護する完全なセキュリティ アーキテクチャを実現できます。
考えられるユース ケース
この記事では、AWS ID のアーキテクト、管理者、セキュリティ アナリストに対し、複数の Microsoft セキュリティ ソリューションをデプロイするためのすぐに役立つ分析情報と、詳細なガイダンスを提供します。
Recommendations
セキュリティ ソリューションを開発する場合は、次の点に留意してください。
セキュリティに関する推奨事項
すべてのクラウド セキュリティ ソリューションには、以下の原則とガイドラインが重要です。
- クラウド環境へのユーザーおよびプログラムによるアクセスを、組織で監視して検出し、自動的に保護できるようにします。
- 現在のアカウントを継続的に確認して、ID とアクセス許可のガバナンスと制御を確保します。
- 最小限の特権とゼロ トラストの原則に従います。 ユーザーが、信頼されたデバイスと既知の場所から、必要な特定のリソースのみにアクセスできることを確認します。 すべての管理者と開発者のアクセス許可を減らして、実行している役割に必要な権限のみを提供します。 定期的にレビューを行います。
- プラットフォームの構成の変更を継続的に監視します (特に、それによって特権の昇格や攻撃の永続化の機会が提供される場合)。
- コンテンツを積極的に検査および制御することにより、不正なデータ流出を防止します。
- 既に所有している可能性のある、Microsoft Entra ID P2 のような追加費用なしでセキュリティを強化できるソリューションを利用します。
AWS アカウントの基本的なセキュリティ
AWS のアカウントとリソースに対して基本的なセキュリティの検疫を確実に行うには:
- AWS のアカウントとリソースをセキュリティ保護するためのベスト プラクティスに関するページで、AWS のセキュリティ ガイダンスを確認します。
- AWS マネジメント コンソールを使用してすべてのデータ転送を積極的に検査することで、マルウェアやその他の悪意のあるコンテンツをアップロードおよびダウンロードするリスクを軽減します。 Web サーバーやデータベースなど、AWS プラットフォーム内のリソースに直接アップロードまたはダウンロードするコンテンツには、追加の保護が必要になる場合があります。
- 次のような他のリソースへのアクセスを保護することを検討します。
- AWS アカウント内に作成されたリソース。
- Windows Server、Linux Server、コンテナーなどの特定のワークロード プラットフォーム。
- 管理者および開発者が AWS マネジメント コンソールにアクセスするために使用するデバイス。
このシナリオのデプロイ
以下のセクションの手順を実行して、セキュリティ ソリューションを実装します。
計画と準備
Azure セキュリティ ソリューションのデプロイを準備するには、現在の AWS および Microsoft Entra アカウント情報を確認して記録します。 複数の AWS アカウントをデプロイした場合は、アカウントごとにこれらの手順を繰り返します。
AWS Billing Management Console で、現在の AWS アカウントの次の情報を記録します。
- [AWS アカウント ID]。一意の識別子
- [アカウント名] またはルート ユーザー
- [支払い方法]。クレジット カードまたは会社の請求契約に割り当てられているかどうか
- AWS アカウント情報へのアクセス権を持つ [Alternate contacts] (代わりの連絡先)
- 緊急アクセスのために安全に更新および記録されている [セキュリティの質問]
- データ セキュリティ ポリシーに準拠するために有効または無効にされている [AWS リージョン]
Azure portal で Microsoft Entra テナントを確認します。
- テナントの情報を評価して、テナントに Microsoft Entra ID P1 または P2 のライセンスがあるかどうかを確認します。 P2 ライセンスでは、高度な Microsoft Entra ID 管理の機能が提供されます。
- エンタープライズ アプリケーションを評価して、AWS アプリケーションの種類を使用している既存のアプリケーションがあるかどうかを確認します ( [ホームページ URL] 列の
http://aws.amazon.com/)。
Defender for Cloud Apps をデプロイする
最新の ID およびアクセスの管理に必要な、集中管理と強力な認証をデプロイした後は、Defender for Cloud Apps を実装して次のことを行うことができます。
- セキュリティ データを収集し、AWS アカウントの脅威検出を実行します。
- 高度な制御を実装して、リスクを軽減し、データ損失を防止します。
Defender for Cloud Apps をデプロイするには、以下の手順を実行します。
- AWS 用の Defender for Cloud Apps アプリ コネクタを追加します。
- AWS アクティビティ用の Defender for Cloud Apps 監視ポリシーを構成します。
- AWS への SSO 用エンタープライズ アプリケーションを作成します。
- Defender for Cloud Apps でアプリの条件付きアクセス制御アプリケーションを作成します。
- AWS アクティビティに関する Microsoft Entra セッション ポリシーを構成します。
- AWS の Defender for Cloud Apps ポリシーをテストします。
AWS アプリ コネクタを追加する
Defender for Cloud Apps ポータルで [調査] を展開し、[接続アプリ] を選択します。
[アプリ コネクタ] ページで [正符号 (+)] を選択し、一覧から [アマゾン ウェブ サービス] を選択します。
コネクタの一意の名前を使用します。 その名前には、会社および特定の AWS アカウントの識別子を含みます (例: Contoso-AWS-Account1)。
「AWS を Microsoft Defender for Cloud Apps に接続する」の手順に従って、適切な AWS ID およびアクセス管理 (IAM) ユーザーを作成します。
- 制限されたアクセス許可のためのポリシーを定義します。
- Defender for Cloud Apps サービスの代わりにそれらのアクセス許可を使用するためのサービス アカウントを作成します。
- アプリ コネクタの資格情報を指定します。
初期の接続を確立するのに要する時間は、AWS アカウント ログのサイズによって異なります。 接続が完了すると、接続の確認が表示されます。
AWS アクティビティ用の Defender for Cloud Apps 監視ポリシーを構成する
アプリ コネクタがオンになると、Defender for Cloud Apps のポリシー構成ビルダーに新しいテンプレートとオプションが表示されます。 テンプレートから直接ポリシーを作成し、ニーズに合わせて変更することができます。 また、テンプレートを使用せずにポリシーを開発することもできます。
テンプレートを使用してポリシーを実装するには、以下の手順を実行します。
Defender for Cloud Apps の左側のナビゲーション ウィンドウで、[制御] を展開して [テンプレート] を選択します。
「aws」を検索し、AWS の使用可能なポリシー テンプレートを確認します。
テンプレートを使用するには、テンプレート項目の右側にある [正符号 (+)] を選択します。
各ポリシーの種類にはさまざまなオプションがあります。 構成設定を確認し、ポリシーを保存します。 テンプレートごとにこの手順を繰り返します。
ファイル ポリシーを使用するには、Defender for Cloud Apps の設定でファイル監視設定がオンになっていることを確認します。
Defender for Cloud Apps によってアラートが検出されると、Defender for Cloud Apps ポータルの [アラート] ページにアラートが表示されます。
AWS への SSO 用エンタープライズ アプリケーションを作成する
「チュートリアル: Microsoft Entra シングル サインオン (SSO) と AWS シングル サインオンの統合」の手順に従って、AWS への SSO 用エンタープライズ アプリケーションを作成します。 手順の概要を次に示します。
- ギャラリーから AWS SSO を追加します。
- AWS SSO 用に Microsoft Entra SSO を構成してテストします。
- Microsoft Entra SSO を構成します。
- AWS SSO を構成します。
- AWS SSO テスト ユーザーを作成します。
- SSO をテストします。
Defender for Cloud Apps でアプリの条件付きアクセス制御アプリケーションを作成する
Defender for Cloud Apps ポータルに移動し、[調査] を選択し、[接続アプリ] を選択します。
[アプリの条件付きアクセス制御アプリ] を選択し、[追加] を選択します。
[アプリを検索] ボックスに「アマゾン ウェブ サービス」と入力し、アプリケーションを選択します。 [ウィザードの開始] を選択します。
[手動でデータを入力する] を選択します。 次のスクリーンショットに表示されている [Assertion Consumer Service URL] 値を入力し、[次へ] を選択します。
次のページで、[外部構成] の手順を無視します。 [次へ] を選択します。
[手動でデータを入力する] を選択し、データを入力する以下の手順を実行します。
- [シングル サインオン サービスの URL] で、AWS 用に作成したエンタープライズ アプリケーションの [ログイン URL] 値を入力します。
- [ID プロバイダーの SAML 証明書をアップロードします] で、[参照] を選択します。
- 作成したエンタープライズ アプリケーションの証明書を見つけます。
- 証明書をローカル デバイスにダウンロードしてから、ウィザードにアップロードします。
- [次へ] を選択します。
次のページで、[外部構成] の手順を無視します。 [次へ] を選択します。
次のページで、[外部構成] の手順を無視します。 [完了] を選択します。
次のページで、[設定を検証する] の手順を無視します。 [閉じる] を選びます。
AWS アクティビティに関する Microsoft Entra セッション ポリシーを構成する
セッション ポリシーは、Microsoft Entra の条件付きアクセス ポリシーと Defender for Cloud Apps のリバース プロキシ機能の強力な組み合わせです。 これらのポリシーは、疑わしい動作をリアルタイムで監視および制御します。
Microsoft Entra ID で、次の設定を使用して新しい条件付きアクセス ポリシーを作成します。
- [名前] の下に、「AWS Console – Session Controls」と入力します。
- [ユーザーとグループ] で、以前に作成した 2 つのロール グループを選択します。
- AWS-Account1-Administrators
- AWS-Account1-Developers
- [クラウド アプリまたはアクション] で、以前に作成したエンタープライズ アプリケーション (Contoso-AWS-Account 1 など) を選択します。
- [セッション] の下で、[アプリの条件付きアクセス制御を使用する] を選択します。
[ポリシーの有効化] で、 [オン] を選択します。
[作成] を選択します
Microsoft Entra の条件付きアクセス ポリシーを作成した後、AWS セッションの間のユーザーの行動を制御するための Defender for Cloud Apps セッション ポリシーを設定します。
Defender for Cloud Apps ポータルで、[制御] を展開して [ポリシー] を選択します。
[ポリシー] ページで、 [ポリシーの作成] を選択し、一覧から [セッション ポリシー] を選択します。
[セッション ポリシーの作成] ページの [ポリシー テンプレート] で、 [潜在的なマルウェアのアップロードをブロックする (Microsoft 脅威インテリジェンスに基づく)] を選択します。
[Activities matching all of the following] (以下のすべてと一致するアクティビティ) の下で、[アプリ]、[等しい]、[アマゾン ウェブ サービス] を含むようにアクティビティ フィルターを変更します。 既定のデバイスの選択を削除します。
他の設定を確認し、 [作成] を選択します。
AWS の Defender for Cloud Apps ポリシーをテストする
すべてのポリシーを定期的にテストして、それらがまだ有効で関連性があることを確認します。 推奨されるテストをいくつか次に示します。
IAM ポリシーの変更: このポリシーは、AWS IAM 内の設定を変更しようとするたびにトリガーされます。 たとえば、このデプロイ セクションの後の手順に従って新しい IAM ポリシーとアカウントを作成すると、アラートが表示されます。
コンソールのサインイン エラー: テスト アカウントのいずれかへのサインインの試みが失敗すると常に、このポリシーがトリガーされます。 アラートの詳細には、Azure リージョンのデータセンターのいずれかから試行されたことが示されます。
S3 バケット アクティビティ ポリシー: 新しい AWS S3 ストレージ アカウントを作成し、一般公開されるように設定しようとするときに、このポリシーがトリガーされます。
マルウェアの検出ポリシー: マルウェアの検出をセッション ポリシーとして構成する場合、以下の手順を実行してテストできます。
- European Institute for Computer Anti-Virus Research (EICAR) から安全なテスト ファイルをダウンロードします。
- そのファイルを AWS S3 ストレージ アカウントにアップロードを試みます。
このポリシーは、アップロードの試行を即時にブロックし、Defender for Cloud Apps ポータルにアラートが表示されます。
Defender for Cloud Apps をデプロイする
ネイティブ クラウド コネクタを使用して AWS アカウントを Defender for Cloud に接続できます。 このコネクタは、AWS アカウントへのエージェントレス接続を提供します。 この接続を使用して、CSPM の推奨事項を収集できます。 Defender for Cloud プランを使用すると、AWS リソースを CWP で保護できます。
AWS ベースのリソースを保護するには、以下の手順を実行します。これらの手順は、後続のセクションで詳しく説明します。
- AWS アカウントを接続します。
- AWS を監視します。
AWS アカウントを接続する
ネイティブ コネクタを使用して AWS アカウントを Defender for Cloud に接続するには、以下の手順を実行します。
AWS アカウントを接続するための前提条件を確認します。 次に進む前に、前提条件が満たされていることを確実にします。
クラシック コネクタを使用している場合は、「クラシック コネクタを削除する」の手順に従って削除します。 クラシックとネイティブ コネクタの両方を使用すると、重複する推奨事項が生成される可能性があります。
Azure portal にサインインします。
[Microsoft Defender for Cloud] を選択してから、[環境設定] を選択します。
[環境の追加]>[アマゾン ウェブ サービス] を選択します。
コネクタ リソースの保存場所を含め、AWS アカウントの詳細を入力します。 必要に応じて、[管理アカウント] を選択して、管理アカウントへのコネクタを作成します。 コネクタは、指定された管理アカウントで検出されたメンバー アカウントごとに作成されます。 新たにオンボードされたすべてのアカウントに対して、自動プロビジョニングがオンになります。
[次へ: プランの選択] を選択します。
既定では、[サーバー] プランがオンに設定されています。 この設定は、Defender for server の適用範囲を AWS ES2 まで拡大するために必要です。 Azure Arc のネットワーク要件を満たしていることを確認します。必要に応じて、構成を編集するために、[構成] を選択します。
既定では、[コンテナー] プランがオンに設定されています。 この設定は、Defender for Containers が AWS EKS クラスターを保護するために必要です。 Defender for Containers プランのネットワーク要件を満たしていることを確認します。 必要に応じて構成を編集するには、[構成] を選択します。 この設定を無効にすると、コントロール プレーンの脅威の検出機能が無効になります。 機能の一覧を表示するには、「Defender for Containers の機能の可用性」を参照してください。
既定では、[データベース] プランがオンに設定されています。 この設定は、Defender for SQL の対象範囲を AWS EC2 と RDS Custom for SQL Server に拡張するために必要です。 必要に応じて構成を編集するには、[構成] を選択します。 既定の構成を使用することをお勧めします。
[次: アクセスの構成] を選択します。
CloudFormation テンプレートをダウンロードします。
画面上の指示に従って、ダウンロードした CloudFormation テンプレートを使用して AWS にスタックを作成します。 管理アカウントをオンボードする場合は、Stack および StackSet として CloudFormation テンプレートを実行する必要があります。 オンボードから 24 時間以内にメンバー アカウントのコネクタが作成されます。
[Next : Review and update](次: 確認と生成) を選択します。
[作成] を選択します
Defender for Cloud は、AWS リソースのスキャンを即時に開始します。 数時間以内に、セキュリティに関する推奨事項が表示されます。 AWS リソースに対して Defender for Cloud が提供できるすべてのレコメンデーションのリストについては、「AWS リソースのセキュリティに関する推奨事項 - リファレンス ガイド」を参照してください。
AWS リソースを監視する
Defender for Cloud のセキュリティに関する推奨事項のページには、AWS リソースが表示されます。 環境フィルターを使用して、Defender for Cloud のマルチクラウド機能を利用できます。たとえば、Azure、AWS、および GCP リソースの推奨事項がまとめて表示されます。
リソースの種類別に、リソースのアクティブな推奨事項をすべて表示するには、Defender for Cloud の資産インベントリ ページを使用します。 フィルターを設定して、関心のある AWS リソースの種類を表示します。
Microsoft Sentinel をデプロイする
AWS アカウントと Defender for Cloud Apps を Microsoft Sentinel に接続すると、複数のファイアウォール、ネットワーク デバイス、サーバー間でイベントを比較する監視機能を使用できます。
Microsoft Sentinel AWS コネクタを有効にする
AWS 用の Microsoft Sentinel コネクタを有効にすると、AWS のインシデントとデータ インジェストを監視できます。
Defender for Cloud Apps の構成と同様に、この接続には、資格情報とアクセス許可を提供するために AWS IAM を構成する必要があります。
AWS IAM で、AWS CloudTrail への Microsoft Sentinel の接続に関するページの手順に従います。
Azure portal で構成を完了するには、[Microsoft Sentinel]>[データ コネクタ] の下にある [アマゾン ウェブ サービス] コネクタを選択します。
[Open connector page](コネクタ ページを開く) を選択します。
[構成] で、[追加するロール] フィールドに AWS IAM の構成の [ロール ARN] 値を入力して、[追加] を選択します。
[次の手順] を選択し、監視する [AWS Network Activities] (AWS ネットワーク アクティビティ) および [AWS User Activities] (AWS ユーザー アクティビティ) のアクティビティを選択します。
[Relevant analytic templates] (関連する分析テンプレート) で、オンにする AWS 分析テンプレートの横にある [ルールの作成] を選択します。
各ルールを設定して、 [作成] を選択します。
次の表に、AWS エンティティの行動と脅威インジケーターを調べるために使用できるルール テンプレートを示します。 ルールの名前でその目的が説明されており、可能性のあるデータ ソースには各ルールで使用できるデータ ソースの一覧が示されています。
| 分析テンプレートの名前 | データ ソース |
|---|---|
| Known IRIDIUM IP (既知の IRIDIUM IP) | DNS、Azure Monitor、Cisco ASA、Palo Alto Networks、Microsoft Entra ID、Azure Activity、AWS |
| Full Admin policy created and then attached to Roles, Users, or Groups (完全な管理者ポリシーが作成されてからロール、ユーザー、またはグループにアタッチされた) | AWS |
| Failed AzureAD logons but success logon to AWS Console (AzureAD のログオンは失敗したが、AWS Console へのログオンは成功した) | Microsoft Entra ID、AWS |
| Failed AWS Console logons but success logon to AzureAD (AWS Console へのログオンは失敗したが、AzureAD へのログオンは成功した) | Microsoft Entra ID、AWS |
| Multifactor authentication disabled for a user (ユーザーに対して多要素認証が無効にされた) | Microsoft Entra ID、AWS |
| Changes to AWS Security Group ingress and egress settings (AWS セキュリティ グループのイングレスとエグレスの設定の変更) | AWS |
| Monitor AWS Credential abuse or hijacking (AWS の資格情報の誤用またはハイジャックを監視する) | AWS |
| Changes to AWS Elastic Load Balancer security groups (AWS エラスティック ロード バランサー セキュリティ グループの変更) | AWS |
| Changes to Amazon VPC settings (Amazon VPC の設定の変更) | AWS |
| New UserAgent observed in last 24 hours (過去 24 時間に観察された新しい UserAgent) | Microsoft 365、Azure Monitor、AWS |
| Login to AWS Management Console without multifactor authentication (多要素認証を使用しない AWS マネジメント コンソールへのログイン) | AWS |
| Changes to internet facing AWS RDS Database instances (インターネットに接続された AWS RDS データベース インスタンスの変更) | AWS |
| Changes made to AWS CloudTrail logs (AWS CloudTrail ログに対して行われた変更) | AWS |
| Defender Threat Intelligence map IP entity to AWS CloudTrail (Defender 脅威インテリジェンスによる AWS CloudTrail への IP エンティティのマップ) | Defender 脅威インテリジェンス プラットフォーム、AWS |
有効になっているテンプレートには、コネクタ詳細ページで [IN USE] (使用中) インジケーターが表示されます。
AWS のインシデントを監視する
Microsoft Sentinel により、オンになっている分析と検出に基づいてインシデントが作成されます。 各インシデントには 1 つまたは複数のイベントを含めることができ、これにより潜在的な脅威を検出して対応するために必要な調査の全体的な数が減ります。
Microsoft Sentinel には、Defender for Cloud Apps によって生成されたインシデント (接続されている場合) と、Microsoft Sentinel によって作成されたインシデントが表示されます。 [製品名] 列には、インシデントのソースが表示されます。
データ インジェストを調べる
コネクタの詳細を定期的に見ることで、データが Microsoft Sentinel に継続的に取り込まれていることを確認します。 次のグラフには、新しい接続が示されています。
コネクタがデータの取り込みを停止し、折れ線グラフの値が下がる場合は、AWS アカウントへの接続に使用する資格情報を確認してください。 また、AWS CloudTrail が引き続きイベントを収集できることも確認してください。
共同作成者
この記事は、Microsoft によって保守されています。 当初の寄稿者は次のとおりです。
プリンシパル作成者:
- Lavanya Murthy | シニア クラウド ソリューション アーキテクト
パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。
次の手順
- AWS からのセキュリティ ガイダンスについては、AWS のアカウントとリソースをセキュリティ保護するためのベスト プラクティスに関するページを参照してください。
- Microsoft の最新のセキュリティ情報については、Microsoft Security を参照してください。
- Microsoft Entra ID を実装および管理する方法の詳細については、Microsoft Entra ID を使った Azure 環境のセキュリティ保護に関する記事を参照してください。
- AWS 資産の脅威と対応する保護対策の概要については、「Defender for Cloud Apps でアマゾン ウェブ サービス (AWS) 環境を保護する方法」を参照してください。
- コネクタおよび接続の確立方法については、以下のリソースを参照してください。
関連リソース
- Azure と AWS の機能の詳細な範囲と比較については、「AWS プロフェッショナルのための Azure」のコンテンツ セットを参照してください。
- AWS 用の Microsoft Entra ID とアクセス ソリューションのデプロイのガイダンスについては、「AWS に対する Microsoft Entra の ID 管理とアクセス管理」を参照してください。