この記事では、Microsoft Defender for Cloud でデータ セキュリティ体制管理を有効にする方法について説明します。
開始する前に
- データ セキュリティ体制管理を有効にする前に、 サポートと前提条件を確認してください。
- Defender CSPM または Defender for Storage プランを有効にすると、機密データ検出拡張機能が自動的に有効になります。 データ セキュリティ体制管理を使用しない場合は、この設定を無効にすることができますが、この機能を使用して Defender for Cloud から最大限の価値を得ることをお勧めします。
- 機密データは、Defender for Cloud のデータ秘密度設定に基づいて識別されます。 データの秘密度設定をカスタマイズして、組織が機密と見なすデータを特定できます。
- 機能を有効にした後、最初の検出の結果が表示されるまでに最大 24 時間かかります。
Defender CSPM で有効にする (Azure)
データ セキュリティ体制管理を有効にするには、次の手順に従います。 開始する前に 、必ず必要なアクセス許可 を確認してください。
[Microsoft Defender for Cloud]>[Environment settings](環境設定) に移動します。
適切な Azure サブスクリプションを選択します。
Defender CSPM プランの場合は、[ オン ] 状態を選択します。
Defender CSPM が既にオンになっている場合は、Defender CSPM プランの [監視範囲] 列の [設定] を選択し、 機密データ検出 コンポーネントが [オン] 状態に設定されていることを確認します。
Defender CSPM で機密データ検出が オン になると、サポートされているリソースの種類の範囲が広がるにつれて、追加のリソースの種類のサポートが自動的に組み込まれます。
Defender CSPM で有効にする (AWS)
AWS で開始する前に
- 必ず、AWS 検出 の要件 と 必要なアクセス許可を確認してください。
- Amazon S3 バケットへの接続をブロックするポリシーがないことを確認します。
- RDS インスタンスの場合: クロスアカウント KMS 暗号化がサポートされていますが、KMS アクセスに関する追加のポリシーによってアクセスが妨げられます。
AWS リソースに対して有効にする
S3 バケットと RDS インスタンス
- 上記のようにデータ セキュリティ体制を有効にする
- CloudFormation テンプレートをダウンロードし、AWS で実行する手順に進みます。
AWS アカウント内の S3 バケットの自動検出が自動的に開始されます。
S3 バケットの場合、Defender for Cloud スキャナーは AWS アカウントで実行され、S3 バケットに接続されます。
RDS インスタンスの場合、 機密データ 検出が有効になると検出がトリガーされます。 スキャナーは、インスタンスの最新の自動スナップショットを取得し、ソース アカウント内に手動スナップショットを作成し、同じリージョン内の分離された Microsoft 所有環境にコピーします。
スナップショットは、スピンアップされ、スキャンされ、(コピーされたスナップショットと共に) 直ちに破棄されるライブ インスタンスを作成するために使用されます。
スキャン結果のみがスキャン プラットフォームによって報告されます。
S3 ブロック ポリシーを確認する
ポリシーがブロックされているために有効化プロセスが機能しなかった場合は、次の項目を確認してください。
- S3 バケット ポリシーが接続をブロックしていないことを確認します。 AWS S3 バケットで、バケットポリシー>アクセス許可タブを選択します。 ポリシーの詳細を確認して、AWS の Microsoft アカウントで実行されている Microsoft Defender for Cloud スキャナー サービスがブロックされていないことを確認します。
- S3 バケットへの接続をブロックする SCP ポリシーがないことを確認します。 たとえば、SCP ポリシーによって、S3 バケットがホストされている AWS リージョンへの読み取り API 呼び出しがブロックされる場合があります。
- SCP ポリシーで必要な API 呼び出しが許可されていることを確認します。AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
- SCP ポリシーで、API 呼び出しの既定のリージョンである us-east-1 AWS リージョンへの呼び出しが許可されていることを確認します。
Defender for Storage でデータ対応の監視を有効にする
Defender for Storage プランで機密データ検出コンポーネントが有効になっている場合、機密データの脅威検出は既定で有効になります。 詳細については、こちらを参照してください。
Defender CSPM プランがオフになっている場合は、Azure Storage リソースのみがスキャンされます。