データセキュリティ態勢管理を有効にする

この記事では、Microsoft Defender for Cloud でデータセキュリティ体制管理を有効にする方法について説明します。

開始する前に

データセキュリティ体制管理を有効にする前に、サポートと前提条件を確認してください。
Defender CSPM または Defender for Storage プランを有効にすると、機密データ検出拡張機能が自動的に有効になります。データセキュリティ体制管理を使用しない場合は、この設定を無効にすることができますが、この機能を使用して Defender for Cloud から最大限の価値を得ることをお勧めします。
機密データは、Defender for Cloud のデータ秘密度設定に基づいて識別されます。データの秘密度設定をカスタマイズして、組織が機密と見なすデータを特定できます。
機能を有効にした後、最初の検出の結果が表示されるまでに最大 24 時間かかります。

データセキュリティ体制管理を有効にするには、次の手順に従います。開始する前に、必ず必要なアクセス許可を確認してください。

[Microsoft Defender for Cloud]>[Environment settings](環境設定) に移動します。
適切な Azure サブスクリプションを選択します。
Defender CSPM プランの場合は、[ オン ] 状態を選択します。

Defender CSPM が既にオンになっている場合は、Defender CSPM プランの [監視範囲] 列の [設定] を選択し、 機密データ検出 コンポーネントが [オン] 状態に設定されていることを確認します。
Defender CSPM で機密データ検出がオンになると、サポートされているリソースの種類の範囲が広がるにつれて、追加のリソースの種類のサポートが自動的に組み込まれます。

AWS アカウント内の S3 バケットの自動検出が自動的に開始されます。

S3 バケットの場合、Defender for Cloud スキャナーは AWS アカウントで実行され、S3 バケットに接続されます。

RDS インスタンスの場合、 機密データ 検出が有効になると検出がトリガーされます。スキャナーは、インスタンスの最新の自動スナップショットを取得し、ソースアカウント内に手動スナップショットを作成し、同じリージョン内の分離された Microsoft 所有環境にコピーします。

スナップショットは、スピンアップされ、スキャンされ、(コピーされたスナップショットと共に) 直ちに破棄されるライブインスタンスを作成するために使用されます。

スキャン結果のみがスキャンプラットフォームによって報告されます。

ポリシーがブロックされているために有効化プロセスが機能しなかった場合は、次の項目を確認してください。

S3 バケットポリシーが接続をブロックしていないことを確認します。 AWS S3 バケットで、バケットポリシー>アクセス許可タブを選択します。ポリシーの詳細を確認して、AWS の Microsoft アカウントで実行されている Microsoft Defender for Cloud スキャナーサービスがブロックされていないことを確認します。
S3 バケットへの接続をブロックする SCP ポリシーがないことを確認します。たとえば、SCP ポリシーによって、S3 バケットがホストされている AWS リージョンへの読み取り API 呼び出しがブロックされる場合があります。
SCP ポリシーで必要な API 呼び出しが許可されていることを確認します。AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
SCP ポリシーで、API 呼び出しの既定のリージョンである us-east-1 AWS リージョンへの呼び出しが許可されていることを確認します。

Defender for Storage プランで機密データ検出コンポーネントが有効になっている場合、機密データの脅威検出は既定で有効になります。詳細については、こちらを参照してください。

Defender CSPM プランがオフになっている場合は、Azure Storage リソースのみがスキャンされます。