Defender for Cloud で MCSB に関する推奨事項を管理する

  • [アーティクル]

Microsoft Defender for Cloud は、セキュリティ標準に照らしてリソースを評価します。 既定では、Azure サブスクリプションを Defender for Cloud にオンボードすると、Microsoft クラウド セキュリティ ベンチマーク (MCSB) 標準が有効になります。 Defender for Cloud は、MCSB 標準の制御に対するリソースのセキュリティ体制の評価を開始し、評価に基づいてセキュリティ推奨事項を発行します。

この記事では、MCSB から提供された推奨事項を管理する方法について説明します。

開始する前に

Defender for Cloud には、セキュリティ要素を表示および管理できる次の 2 つの特定のロールがあります。

  • セキュリティ閲覧者: 推奨事項、アラート、ポリシー、正常性などのクラウド項目の Defender を表示する権限があります。 変更は行えません。
  • セキュリティ管理者:セキュリティ閲覧者と同じ表示権利を持っています。 また、セキュリティ ポリシーを更新し、アラートを無視することもできます。

推奨事項の拒否と適用

  • 拒否は、MCSB に準拠しないリソースのデプロイを防ぐために使用されます。 たとえば、新しいストレージ アカウントが特定の基準を満たす必要があることを指定する [拒否] 制御がある場合、その基準を満たさないストレージ アカウントは作成できません。

  • Enforce を使用すると、Azure Policy で DeployIfNotExist 効果を利用し、作成時に非準拠リソースを自動的に修復できます。

    Note

    強制と拒否は Azure の推奨事項に適用され、推奨事項のサブセットでサポートされています。

拒否および適用できる推奨事項を確認するには、[セキュリティ ポリシー] ページの [標準] タブで [Microsoft クラウド セキュリティ ベンチマーク] を選択し、推奨事項の詳細を表示して拒否/適用アクションが使用可能かどうかを確認します。

推奨事項の管理設定

推奨事項の有効化/無効化や、拒否および適用できます。

Note

推奨事項が無効になっている場合、そのすべてのサブコミットは除外されます。

  1. [Defender for Cloud] ポータルで、[環境設定] ページを開きます。

  2. MCSB 推奨設定を管理するサブスクリプションまたは管理グループを選択します。

  3. [セキュリティ ポリシー] ページを開き、MCSB 標準を選択します。 標準はオンにする必要があります。

  4. 省略記号 >[推奨事項の管理] を選択します。

    Screenshot showing the manage effect and parameters screen for a given recommendation.

  5. 関連する推奨事項の横で、省略記号メニューを選択し、[効果とパラメーターの管理] を選択します。

  • 推奨事項をオンにするには、[監査] を選択します。
  • 推奨事項をオフにするには、[無効] を選択します。
  • 推奨事項を拒否または適用するには、[拒否] を選択します。

推奨事項の適用

推奨事項の詳細ページからのみ、推奨事項を適用できます。

  1. Defender for Cloud ポータルで [推奨事項] ページを開き、関連する推奨事項を選択します。

  2. 上部のメニューで [適用] を選びます。

    Screenshot showing how to enforce a given recommendation.

  3. [保存] を選択します。

設定はすぐに有効になりますが、推奨事項は鮮度間隔 (最大 12 時間) に基づいて更新されます。

追加パラメーターの変更

一部の推奨事項に対して追加のパラメーターを構成することが必要な場合があります。 たとえば、診断ログの推奨事項の既定の保持期間は 1 日です。 既定値は変更できます。

推奨事項の詳細ページで、[追加パラメーター] 列は、推奨事項に追加のパラメーターが関連付けられているかどうかを示します。

  • 既定値 – 推奨事項は既定の構成で実行されています
  • 構成済み – 推奨事項の構成は既定値から変更されます
  • なし – 推奨事項には追加の構成は必要ありません

  1. MCSB 推奨事項の横で、省略記号メニューを選択し、[効果とパラメーターの管理] を選択します。

  2. [追加のパラメーター] で、使用可能なパラメーターを新しい値で構成します。

  3. [保存] を選択します。

    Screenshot showing how to configure additional parameters on the manage effect and parameters screen.

変更を元に戻す場合は、[既定値にリセット] を選択して、推奨事項の既定値を復元します。

潜在的な競合の特定

異なる値を持つ標準を複数割り当てた場合は、競合の可能性が生じます。

  1. 効果アクションの競合を特定するには、[追加] で、[効果の競合]>[競合あり] を選択して競合を特定します。

    Screenshot showing how to manage assignment of standards with different values.

  2. 追加パラメーターの競合を特定するには、[追加] で、[追加パラメーターの競合]>[競合あり] を選択して競合を特定します。

  3. 競合が見つかった場合は、[推奨事項設定] で必要な値を選択し、保存します。

スコープ上のすべての割り当ては新しい設定に調整され、競合は解決されます。

次のステップ

このページでは、セキュリティ ポリシーについて説明しました。 関連情報については、次のページを参照してください。