このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Microsoft Defender for Cloud においてインターネット露出分析を使用すると、どのマルチクラウド リソースがインターネットに公開されているかを把握できます。 Defender for Cloud では、インターネットへの露出を用いて、構成ミス、脆弱性、その他の問題のリスク レベルを判断します。
Defender for Cloud は、接続されているクラウド リソースを評価して、インターネットに露出するように構成されてしまっているかを確認します。 インターネットへの露出の検出は、仮想マシン (VM) にパブリック インターネット プロトコル (IP) アドレスがあるかどうかを確認するのと同じくらい単純です。 ただし、そのプロセスは複雑になる場合があります。 Defender for Cloud は、複雑なマルチクラウド アーキテクチャにおいてインターネットに公開されているリソースの検索を試みます。 たとえば、ある VM はインターネットに直接公開されていないかもしれませんが、(ネットワーク トラフィックを複数のサーバーに分散して、1 つのサーバーが過負荷にならないようにする) ロード バランサーの背後に配置されている場合があります。
次の表に、Defender for Cloud でインターネットへの露出を評価するリソースを示します。
| カテゴリ | サービス/リソース |
|---|---|
| 仮想マシン | Azure VM アマゾン ウェブ サービス (AWS) EC2 Google Cloud Platform (GCP) コンピューティング インスタンス |
| 仮想マシン クラスター | Azure 仮想マシン スケール セット GCP インスタンス グループ |
| データベース (DB) | Azure SQL Azure PostgreSQL Azure MySQL Azure SQL Managed Instance Azure MariaDB Azure Cosmos DB Azure Synapse AWS Relational Database Service (RDS) DB GCP SQL 管理者インスタンス |
| Storage | Azure Storage AWS S3 バケット GCP ストレージ バケット |
| AI | Azure OpenAI Service Azure AI サービス Azure Cognitive Search |
| コンテナー | Azure Kubernetes Service (AKS) AWS EKS GCP GKE |
| API | Azure API Management Operations |
次の表に、Defender for Cloud がインターネットへの露出を評価するネットワーク コンポーネントを示します。
| カテゴリ | サービス/リソース |
|---|---|
| Azure | Application gateway Load Balancer Azure Firewall ネットワーク セキュリティ グループ |
| AWS | Elastic Load Balancer |
| GCP | Load Balancer |
Defender for Cloud には、インターネットに公開されているリソースを表示するための方法がいくつか用意されています。
クラウド セキュリティ エクスプローラー - クラウド セキュリティ エクスプローラーを使用すると、クラウド セキュリティ グラフに対してグラフベースのクエリを実行できます。 クラウド セキュリティ エクスプローラー ページ上で、インターネットに公開されているリソースを検索するクエリを実行できます。 このクエリは、インターネットに公開されているすべてのアタッチ状態のリソースを返し、関連付けられている詳細を表示できます。
攻撃パス分析 - [攻撃パス分析] ページでは、攻撃者が特定のリソースに到達するために実行できる攻撃パスを表示できます。 攻撃パス分析を使用すると、攻撃パスを視覚的に表示し、インターネットに公開されているリソースを確認できます。 インターネットへの露出は、多くの場合、特にリソースに脆弱性がある場合に、攻撃パスのエントリ ポイントとして機能します。 インターネットで公開されるリソースは、多くの場合、機密データを含んだターゲットにつながります。
推奨事項 - Defender for Cloud は、インターネットへの露出に基づいて推奨事項に優先順位を付けます。
また、Defender for Cloud は Defender 外部攻撃面管理と統合して、外部ソースからリソースにアクセスを試みて応答するかどうかを確認することで、リソースのインターネットへの露出を評価します。
詳細については Defender 外部攻撃面管理を参照してください。
トレーニング
モジュール
Microsoft Defender for Cloud を設定する - Training
Azure portal を使用して Microsoft Defender for Cloud を活用して、Azure サービスとワークロードのセキュリティを確保し、継続的な脅威の検出と防止を提供する方法について説明します。
認定資格
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel、Microsoft Defender for Cloud、Microsoft 365 Defender を使って、脅威の調査、検索、軽減を行います。
ドキュメント
Defender for Cloud での外部攻撃面の管理 - Microsoft Defender for Cloud
セキュリティを強化し、攻撃のリスクを軽減するための、Defender for Cloud と Defender 外部攻撃面管理の統合について説明します。
Microsoft Defender for Cloud でセキュリティ エクスプローラーと攻撃パスを使用してリスクを調査する - Microsoft Defender for Cloud
Microsoft Defender for Cloud でセキュリティ エクスプローラーまたは攻撃パスを使用してリスクを調査する方法について説明します。
クラウド セキュリティ エクスプローラーを使用してクエリを作成する - Microsoft Defender for Cloud
Microsoft Defender for Cloud でクラウド セキュリティ エクスプローラーを使用してクエリを作成し、クラウド環境のセキュリティ リスクを事前に特定する方法について説明します。