適応型アプリケーション制御を使用して、マシンの攻撃対象領域を減らす

Microsoft Defender for Cloud の適応型アプリケーション制御の利点と、このデータ駆動型のインテリジェント機能を使用してセキュリティを強化する方法について説明します。

適応型アプリケーション制御とは

適応型アプリケーション制御とは、マシンに対して既知の安全なアプリケーションの許可リストを定義するためのインテリジェントで自動化されたソリューションです。

多くの場合、組織には、同じプロセスを定期的に実行するマシンのコレクションがあります。 Microsoft Defender for Cloud によって機械学習が使用され、マシン上で実行されているアプリケーションが分析され、既知の安全なソフトウェアのリストが作成されます。 許可リストは具体的な Azure ワークロードに基づいています。また、以下の手順を使用して、推奨事項をさらにカスタマイズすることができます。

適応型アプリケーション制御を有効にして構成した場合、安全なものとして定義したもの以外のアプリケーションが実行されると、セキュリティ アラートが表示されます。

適応型アプリケーション制御の利点とは

既知の安全なアプリケーションのリストを定義し、それ以外のものが実行されたときにアラートを生成すると、次のような複数の監視とコンプライアンスの目標を達成できます。

  • 潜在的なマルウェア (マルウェア対策ソリューションでは見逃される可能性のあるものを含む) を識別する
  • ライセンスのあるソフトウェアのみの使用を規定するローカル セキュリティ ポリシーのコンプライアンスを強化する
  • 古くなったかサポートされていないバージョンのアプリケーションを特定する
  • 組織によって禁止されているが、コンピューターで実行されているソフトウェアを特定する
  • 機密データにアクセスするアプリの監視を強化する

現時点では、利用できる強制オプションはありません。 適応型アプリケーション制御では、安全なものとして定義したもの以外のアプリケーションが実行されると、セキュリティ アラートが表示されることを想定しています。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
価格: Microsoft Defender for Servers Plan 2 が必要
サポートされているマシン: Windows および Linux が実行されている Azure および Azure 以外のマシン
Azure Arc マシン
必要なロールとアクセス許可: セキュリティ閲覧者および閲覧者のいずれのロールでも、グループと、既知の安全なアプリケーションのリストを表示できます
共同作成者およびセキュリティ管理者のいずれのロールでも、グループと、既知の安全なアプリケーションのリストを編集できます
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)
接続されている AWS アカウント

マシンのグループに対してアプリケーション制御を有効にする

Microsoft Defender for Cloud で、同じような一連のアプリケーションを一貫して実行するサブスクリプション内のマシンのグループが特定されている場合は、次の推奨事項が表示されます。安全なアプリケーションを定義するための適応型アプリケーション制御をマシンで有効にする必要 があります

推奨事項を選択するか、適応型アプリケーション制御ページを開いて、推奨される既知の安全なアプリケーションのリストとマシンのグループを表示します。

  1. ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。

    Azure ダッシュボードから適応型アプリケーション制御を開きます。

    [適応型アプリケーション制御] ページが開き、VM が次のタブにグループ化されます。

    • 構成済み - アプリケーションの許可リストが既に定義されているマシンのグループ。 グループごとに、[構成済み] タブには以下の内容が示されます。

      • グループ内のマシンの数
      • 最近のアラート
    • 推奨 - 同じアプリケーションを一貫して実行し、許可リストが構成されていないマシンのグループ。 これらのグループに対して適応型アプリケーション制御を有効にすることをお勧めします。

      ヒント

      "REVIEWGROUP" というプレフィックスが付いたグループ名が表示される場合は、部分的に一貫性のあるアプリケーションのリストがあるマシンが含まれます。 Microsoft Defender for Cloudでパターンは表示できませんが、このグループを参照し、「グループの適応型アプリケーション制御規則の編集」の説明に従って、いくつかの適応型アプリケーション制御規則を "お客様" が手動で定義できるかどうかを確認することが推奨されます。

      グループ間でマシンを移動する」の説明に従って、このグループから他のグループにマシンを移動することもできます。

    • 推奨なし - アプリケーションの許可リストが定義されておらず、この機能がサポートされていないマシン。 マシンは次の理由により、このタブに表示される場合があります。

      • Log Analytics エージェントが欠落している
      • Log Analytics エージェントによってイベントが送信されていない
      • GPO またはローカル セキュリティ ポリシーによって既存の AppLocker ポリシーが有効になっている Windows マシンである
      • AppLocker を使用できない (Windows Server Core のインストール)

      ヒント

      Defender for Cloudは、マシンのグループごとに固有の推奨事項を定義するために、少なくとも2週間のデータを必要とします。 最近作成されたか、Microsoft Defender for Servers で最近保護されるようになったサブスクリプションに属しているマシンは、[推奨なし] タブの下に表示されます。

  2. [推奨] タブを開きます。推奨される許可リストがあるマシンのグループが表示されます。

    [推奨] タブ。

  3. グループを選びます。

  4. 新しい規則を構成するには、この [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションとその内容を確認します。これは、特定のマシンのグループに固有のものです。

    新しい規則を構成します。

    1. マシンの選択 - 既定では、識別されたグループ内のすべてのマシンが選択されます。 いずれかの選択を解除すると、それらはこの規則から除外されます。

    2. 推奨アプリケーション - このグループ内のマシンに共通し、実行を許可することが推奨されるアプリケーションのこのリストを確認します。

    3. その他のアプリケーション - このグループ内のマシンでの表示頻度が低いか、あるいは利用可能であることがわかっているアプリケーションのこのリストを確認します。 警告アイコンは、アプリケーションの許可リストをバイパスするために、特定のアプリケーションが攻撃者によって使用される可能性があることを示します。 これらのアプリケーションを慎重に確認することをお勧めします。

      ヒント

      どちらのアプリケーション リストにも、特定のアプリケーションを特定のユーザーに制限するオプションが含まれています。 可能な限り、最小限の特権の原則を採用してください。

      アプリケーションは、発行元によって定義されます。アプリケーションに発行元情報がない (署名されていない) 場合、特定のアプリケーションの完全なパスに対してパス規則が作成されます。

    4. 規則を適用するには、 [監査] を選択します。

グループの適応型アプリケーション制御規則の編集

組織内の既知の変更により、マシンのグループの許可リストを編集することができます。

マシン グループの規則を編集するには、次のようにします。

  1. ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。

  2. [構成済み] タブから、規則を編集するグループを選択します。

  3. マシンのグループに対する適応型アプリケーション制御の有効化に関する説明に従って、 [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。

  4. 必要に応じて、1 つまたは複数のカスタム規則を追加します。

    1. [規則の追加] を選択します。

      カスタム規則を追加します。

    2. 既知の安全なパスを定義する場合は、 [規則の種類] を [パス] に変更して、1 つのパスを入力します。 パスにはワイルドカードを含めることができます。

      ヒント

      パスのワイルドカードが役立つ場合があるシナリオには、次のようなものがあります。

      • パスの末尾でワイルドカードを使用し、そのフォルダーとサブフォルダー内のすべての実行可能ファイルを許可します。
      • パスの途中でワイルドカードを使用し、変化するフォルダー名を持つ既知の実行可能ファイルの名前 (既知の実行可能ファイルを含む個人ユーザー フォルダーや自動生成されたフォルダー名など) を有効にします。
    3. 許可されるユーザーと保護されるファイルの種類を定義します。

    4. 規則の定義が完了したら、 [追加] を選択します。

  5. 変更を適用するには、 [保存] を選択します。

グループの設定を確認して編集する

  1. グループの詳細と設定を表示するには、 [グループ設定] を選択します

    このウィンドウには、グループの名前 (変更可能)、OS の種類、場所、およびその他の関連する詳細が表示されます。

    適応型アプリケーション制御の [グループ設定] ページ。

  2. 必要に応じて、グループの名前やファイルの種類の保護モードを変更します。

  3. [適用] を選択し、 [保存] を選択します。

[適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項への対応

Defender for Cloudの機械学習で、以前は許可されていなかった、正当である可能性のある動作が識別された場合、この推奨事項が表示されます。 誤検知アラートの数を減らすために、推奨事項で既存の定義の新しい規則が提案されます。

問題を修復するには、次のようにします。

  1. 推奨事項ページから、 [適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項を選択し、新しく識別された、正当である可能性のある動作のグループを表示します。

  2. 規則を編集するグループを選択します。

  3. マシンのグループに対する適応型アプリケーション制御の有効化に関する説明に従って、 [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。

  4. 変更を適用するには、 [監査] を選択します。

アラートと違反の監査

  1. ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。

  2. 最近のアラートが示されたマシンのグループを表示するには、 [構成済み] タブに一覧表示されているグループを確認します。

  3. さらに調査するには、グループを選択します。

    最近のアラート。

  4. 詳細および影響を受けるマシンのリストを表示するには、アラートを選択します。

    アラート ページには、アラートの詳細が表示され、脅威を軽減するための推奨事項と共に [アクションの実行] リンクが表示されます。

    適応型アプリケーション制御アラートの開始時刻は、適応型アプリケーション制御によってアラートが作成された時刻です。

    注意

    適応型アプリケーション制御では、12 時間ごとにイベントが計算されます。 アラート ページに表示される [アクティビティの開始時刻] は、疑わしいプロセスがアクティブだった時間ではなく、適応型アプリケーション制御によってアラートが作成された時刻です。

グループ間でマシンを移動する

グループ間でマシンを移動すると、適用されていたアプリケーション制御ポリシーが移動先のグループの設定に変更されます。 構成されたグループから構成されていないグループにマシンを移動することもできます。これにより、マシンに適用されていたアプリケーション制御規則がすべて削除されます。

  1. ワークロード保護ダッシュボードを開き、高度な保護領域から適応型アプリケーション制御を選択します。

  2. [適応型アプリケーション制御] ページの [構成済み] タブから、移動対象のマシンを含むグループを選択します。

  3. [構成されたマシン] のリストを開きます。

  4. 行の末尾にある 3 つの点をクリックしてマシンのメニューを開き、 [移動] を選択します。 [Move machine to a different group](マシンを別のグループに移動する) ペインが開きます。

  5. 移動先グループを選び、 [Move machine](マシンを移動) を選択します。

  6. 変更を保存するには、 [保存] を選択します。

REST API を使用したアプリケーション制御の管理

適応型アプリケーション制御をプログラムで管理するには、REST API を使用します。

関連する API ドキュメントは、Defender for Cloud の API ドキュメントの「適応型アプリケーション制御」セクションで参照できます。

REST API から使用できる関数をいくつか以下に示します。

  • List を使用すると、すべてのグループの推奨事項が取得され、各グループのオブジェクトを含む JSON が提供されます。

  • Get を使用すると、すべての推奨データ (つまり、マシン、発行元またはパスの規則のリスト) を含む JSON が取得されます。

  • Put を使用すると、規則が構成されます (この要求の本文として、Get で取得した JSON を使用)。

    重要

    Put 関数には、Get コマンドによって返される JSON に含まれるものより少ない数のパラメーターが必要です。

    Put 要求で JSON を使用する前に、recommendationStatus、configurationStatus、issues、location、sourceSystem の各プロパティを削除してください。

FAQ - 適応型アプリケーション制御

アプリケーション制御を強制するためのオプションはありますか。

現時点では、利用できる強制オプションはありません。 適応型アプリケーション制御では、安全なものとして定義したもの以外のアプリケーションが実行されると、セキュリティ アラートが表示されることを想定しています。 これらにはさまざまな利点があり (「適応型アプリケーション制御の利点とは」)、このページに示すように高度なカスタマイズが可能です。

Microsoft Defender for Servers には、お使いのマシンの脆弱性スキャンが追加費用なしで含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。 このスキャナーの詳細およびデプロイ方法の手順については、Defender for Cloud の統合された Qualys 脆弱性評価ソリューションに関する記事を参照してください。

Defender for Cloud でスキャナーをデプロイするときにアラートが生成されないようにするには、適応型アプリケーション制御の推奨許可リストに、すべてのコンピューターのスキャナーが含まれるようにします。

次のステップ

このページでは、Azure と Azure 以外のマシンで実行されるアプリケーションの許可リストを定義するために、Microsoft Defender for Cloud で適応型アプリケーション制御を使用する方法を学習しました。 その他のクラウド ワークロード保護機能の詳細については、次のページを参照してください。