Defender for Cloud で MCSB に関する推奨事項を管理する
Microsoft Defender for Cloud は、セキュリティ標準に照らしてリソースを評価します。 既定では、クラウド アカウントを Defender for Cloud にオンボードすると、Microsoft クラウド セキュリティ ベンチマーク (MCSB) 標準が有効になります。 Defender for Cloud は、MCSB 標準の制御に対するリソースのセキュリティ体制の評価を開始し、評価に基づいてセキュリティ推奨事項を発行します。
この記事では、MCSB から提供された推奨事項を管理する方法について説明します。
開始する前に
Defender for Cloud には、セキュリティ要素を表示および管理できる次の 2 つの特定のロールがあります。
- セキュリティ閲覧者: 推奨事項、アラート、ポリシー、正常性などのクラウド項目の Defender を表示する権限があります。 変更は行えません。
- セキュリティ管理者:セキュリティ閲覧者と同じ表示権利を持っています。 また、セキュリティ ポリシーを更新し、アラートを無視することもできます。
推奨事項の拒否と適用
拒否は、MCSB に準拠しないリソースのデプロイを防ぐために使用されます。 たとえば、新しいストレージ アカウントが特定の基準を満たす必要があることを指定する [拒否] 制御がある場合、その基準を満たさないストレージ アカウントは作成できません。
適用を使用すると、Azure Policy の DeployIfNotExist 効果を利用して、作成時に非対応リソースを自動的に修復できます。
Note
強制と拒否は Azure の推奨事項に適用され、推奨事項のサブセットでサポートされています。
拒否および適用できる推奨事項を確認するには、[セキュリティ ポリシー] ページの [標準] タブで [Microsoft クラウド セキュリティ ベンチマーク] を選択し、推奨事項の詳細を表示して拒否/適用アクションが使用可能かどうかを確認します。
推奨事項の管理設定
Note
- ある推奨事項を無効にすると、そのサブ推奨事項はすべて除外されます。
- 無効と拒否の効果は、Azure 環境でのみ使用できます。
[Defender for Cloud] ポータルで、[環境設定] ページを開きます。
MCSB 推奨設定を管理するクラウド アカウントまたは管理アカウントを選択します。
[セキュリティ ポリシー] ページを開き、MCSB 標準を選択します。 標準はオンにする必要があります。
省略記号 >[推奨事項の管理] を選択します。
![特定の推奨事項の [効果とパラメーターの管理] 画面を示すスクリーンショット。](media/manage-mcsb/select-benchmark.png)
関連する推奨事項の横で、省略記号メニューを選択し、[効果とパラメーターの管理] を選択します。
![特定の推奨事項の [効果とパラメーターの管理] 画面を示すスクリーンショット。](media/manage-mcsb/select-benchmark.png#lightbox)
- 推奨事項をオンにするには、[監査] を選択します。
- 推奨事項をオフにするには、[無効] を選択します。
- 推奨事項を拒否または適用するには、[拒否] を選択します。
推奨事項の適用
推奨事項の詳細ページからのみ、推奨事項を適用できます。
Defender for Cloud ポータルで [推奨事項] ページを開き、関連する推奨事項を選択します。
上部のメニューで [適用] を選びます。
[保存] を選択します。
設定はすぐに有効になりますが、推奨事項は更新間隔 (最大 12 時間) に基づいて更新されます。
追加パラメーターの変更
一部の推奨事項に対して追加のパラメーターを構成することが必要な場合があります。 たとえば、診断ログの推奨事項での既定の保持期間は 1 日です。 既定値は変更できます。
推奨事項の詳細ページで、[追加パラメーター] 列は、推奨事項に追加のパラメーターが関連付けられているかどうかを示します。
- 既定値 – 推奨事項は既定の構成で実行されています
- 構成済み – 推奨事項の構成は既定値から変更されます
- なし – 推奨事項には追加の構成は必要ありません
MCSB 推奨事項の横で、省略記号メニューを選択し、[効果とパラメーターの管理] を選択します。
[追加のパラメーター] で、使用可能なパラメーターを新しい値で構成します。
[保存] を選択します。
![[効果とパラメーターの管理] 画面で追加のパラメーターを構成する方法を示すスクリーンショット。](media/manage-mcsb/additional-parameters.png)
![[効果とパラメーターの管理] 画面で追加のパラメーターを構成する方法を示すスクリーンショット。](media/manage-mcsb/additional-parameters.png#lightbox)
変更を元に戻す場合は、[既定値にリセット] を選択して、推奨事項の既定値を復元します。
潜在的な競合の特定
異なる値を持つ標準を複数割り当てた場合は、競合の可能性が生じます。
効果アクションの競合を特定するには、[追加] で、[効果の競合]>[競合あり] を選択して競合を特定します。
追加パラメーターの競合を特定するには、[追加] で、[追加パラメーターの競合]>[競合あり] を選択して競合を特定します。
競合が見つかった場合は、[推奨事項設定] で必要な値を選択し、保存します。
スコープ上のすべての割り当ては新しい設定に調整され、競合は解決されます。
次のステップ
このページでは、セキュリティ ポリシーについて説明しました。 関連情報については、次のページを参照してください。