Microsoft Defender for Cloudの新機能

Defender for Cloud はアクティブな開発中であり、継続的に改善を受けています。 常に最新の開発情報を把握していただけるよう、このページでは新しい機能、バグの修正、非推奨になった機能に関する情報を提供します。

このページは頻繁に更新されるため、定期的にアクセスしてご確認ください。

Defender for Cloud に間もなく公開される計画中の変更については、Microsoft Defender for Cloud の今後の重要な変更を参照してください。

ヒント

6 か月以上前の項目をお探しの場合は、「Microsoft Defender for Cloud の最新情報のアーカイブ」を参照してください。

2022 年 9 月

9 月の更新プログラムには次のものが含まれます。

コンテナーと Kubernetes のエンティティに基づくアラートを抑制する

これで、これらの Kubernetes エンティティに基づくアラートを抑制できるようになり、コンテナー環境の詳細を使用して、組織のポリシーに合わせてアラートを調整し、不要なアラートの受信を停止できるようになりました。

  • コンテナー イメージ
  • Container Registry
  • Kubernetes 名前空間
  • Kubernetes ポッド
  • Kubernetes Service
  • Kubernetes シークレット
  • Kubernetes ServiceAccount
  • Kubernetes デプロイ
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes ジョブ
  • Kubernetes CronJob

詳しくは、アラート抑制ルールに関する記事を参照してください。

Defender for Servers で、Azure Monitor エージェントを使用したファイルの整合性の監視がサポートされます

ファイルの整合性の監視 (FIM) では、攻撃を示すおそれがある変更について、オペレーティング システムのファイルとレジストリを調べます。

FIM が、Defender for Cloud を使用してデプロイできる Azure Monitor エージェント (AMA) に基づく新しいバージョンで利用できるようになりました。

詳細については、Azure Monitor エージェントを使用したファイルの整合性の監視に関する記事を参照してください。

レガシ評価 API の非推奨化

次の API は非推奨に設定されます。

  • セキュリティ タスク
  • セキュリティ ステータス
  • セキュリティの概要

これら 3 つの API では、評価が古い形式で公開されていたため、Assessments APISubAssessments API に置き換えられます。 これらのレガシ API によって公開されるすべてのデータは、新しい API でも使用できます。

ID に追加された追加の推奨事項

Defender for Cloud には、ユーザーとアカウントの管理を向上させるための複数の推奨事項が含まれています。

新しい推奨事項

新しいリリースでは、次の機能が提供されます。

  • 評価スコープの拡張 - (サブスクリプションだけでなく) Azure リソース上の MFA アカウントや外部アカウントを持たない ID アカウントにまでカバー範囲が広がり、セキュリティ管理者はアカウント単位でロールの割り当てを表示できます。

  • 更新間隔の改善 - 現在、ID の推奨事項の更新間隔は 24 時間です。

  • アカウント除外機能 - Defender for Cloud には、エクスペリエンスをカスタマイズし、セキュリティ スコアが組織のセキュリティの優先順位を反映していることを確認するために使用できる多くの機能があります。 たとえば、セキュリティ スコアからリソースと推奨事項を除外することができます。

    この更新により、次の表に示されている 6 つの推奨事項による評価から特定のアカウントを除外できるようになります。

    通常、緊急アクセス用の "break glass" アカウントは、MFA の推奨事項から除外されます。これは、そのようなアカウントは組織の MFA 要件から意図的に除外されることが多いためです。 または、アクセスを許可したいが MFA が有効になっていない外部アカウントがある場合があります。

    ヒント

    アカウントを除外すると、そのアカウントは異常と表示されなくなり、サブスクリプションが異常と表示されることもなくなります。

    推奨 評価キー
    サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある 94290b00-4d0c-d7b4-7cea-064a9554e681
    サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
    サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある 57e98606-6b1e-6193-0e3d-fe621387c16b
    所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
    読み取りアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
    書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 04e7147b-0deb-9796-2e5c-0336343ceb3d

推奨事項はプレビュー段階ですが、現在 GA に含まれている推奨事項の横に表示されます。

2022 年 8 月

8 月の更新プログラムには次のものが含まれます。

Windows コンテナー上の Defender for Containers で、実行中のイメージの脆弱性が表示されるようになりました

Defender for Containers に、実行中の Windows コンテナーの脆弱性が表示されるようになりました。

脆弱性が検出されると、Defender for Cloud によって、検出された問題をリストした以下のセキュリティ推奨事項が生成されます: 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある

詳細については、「実行中のイメージの脆弱性の表示」を参照してください。

Azure Monitor エージェントの統合がプレビュー段階になりました

Defender for Cloud に、Azure Monitor エージェント (AMA) のプレビュー サポートが含まれるようになりました。 AMA は、非推奨へのパス上にある従来の Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれる) を置き換えることを目的としています。 AMA には、レガシ エージェントよりも多くの利点があります

Defender for Cloud では、AMA の自動プロビジョニングを有効にすると、サブスクリプションで検出された既存および新しい VM と Azure Arc 対応マシンにエージェントがデプロイされます。 Defender for Cloud プランが有効になっている場合、AMA は Azure VM と Azure Arc マシンから構成情報とイベント ログを収集します。 AMA 統合はプレビュー段階であるため、運用環境ではなくテスト環境で使用することをお勧めします。

次の表に、非推奨となったアラートを示します。

アラート名 説明 方針 重大度
Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました)
(VM_ImageBuildOnNode)
マシンのログが、Kubernetes ノード上でのコンテナー イメージのビルド操作を示しています。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。 防御回避
Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求)
(VM_KubernetesAPI)
マシンのログは、Kubernetes API に対して疑わしい要求が行われたことを示しています。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。 横移動 Medium
SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています)
(VM_ContainerSSH)
マシンのログは、Docker コンテナー内で SSH サーバーが実行されていることを示しています。 この動作が意図的である場合もありますが、多くの場合は、コンテナーの構成が正しくないか違反していることを示しています。 実行 Medium

これらのアラートは、Kubernetes クラスターに接続されている疑わしいアクティビティについてユーザーに通知するために使用されます。 これらのアラートは、Microsoft Defender for Cloud Container アラートに含まれる同様のアラート (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPI および K8S.NODE_ ContainerSSH) によって置き換えられます。これにより、忠実性が向上し、アラートの調査や対処のために包括的なコンテキストが提供されます アラートの詳細については、「Kubernetes クラスター」を参照してください。

コンテナーの脆弱性に詳細なパッケージ情報が含まれるようになりました

コンテナーの脆弱性評価 (VA) 用の Defender に、パッケージ名、パッケージの種類、パス、インストールされているバージョン、修正済みのバージョンなど、各検索結果に対する詳細なパッケージ情報が含まれるようになりました。 パッケージ情報を使用すると、脆弱なパッケージを見つけて、その脆弱性を修復したり、パッケージを削除したりすることができます。

この詳細なパッケージ情報は、イメージの新しいスキャンに使用できます。

コンテナーの脆弱性のためのパッケージ情報のスクリーンショット。

2021 年 7 月

7 月の更新プログラムには次のものが含まれます。

Kubernetes ランタイム保護のためのクラウドネイティブ セキュリティ エージェントの一般提供 (GA)

Kubernetes ランタイム保護用のクラウドネイティブ セキュリティ エージェントが一般提供 (GA) されたことをお知らせします。

Kubernetes クラスターの本番環境への導入は、アプリケーションのコンテナ化が進むにつれて増加し続けています。 この増加を支援するために、Defender for Containers チームは、Kubernetes 指向のクラウドネイティブのセキュリティ エージェントを開発しました。

この新しいセキュリティ エージェントは、eBPF 技術に基づく Kubernetes DaemonSet であり、AKS セキュリティ プロファイルの一部として AKS クラスターに完全に統合されています。

セキュリティ エージェントは、自動プロビジョニング、レコメンデーション フロー、AKS RP を使用するか、大規模に行う場合は Azure Policy を使用して有効化することができます。

Defender プロファイルは、今日から AKS クラスターに導入することができます。

今回の発表をもって、ランタイム保護 - 脅威検出 (ワークロード) の一般提供も開始されました。

Defender for Container の機能の可用性の詳細についてご確認ください。

使用可能なすべてのアラートを確認することもできます。

プレビュー バージョンを使用している場合、AKS-AzureDefender 機能フラグは不要であることに注意してください。

Defender for Container の VA で、言語固有のパッケージの検出のサポートが追加されました (プレビュー)

Defender for Container の脆弱性評価 (VA) では、OS パッケージ マネージャーを介してデプロイされた OS パッケージの脆弱性を検出できます。 VA の機能が拡張され、言語固有のパッケージに含まれる脆弱性を検出できるようになりました。

この機能は preview 段階であり、Linux イメージに対してのみ使用できます。

追加されたすべての言語固有パッケージを確認するには、Defender for Container の機能とそれらの可用性の完全な一覧を確認してください。

Operations Management インフラストラクチャの脆弱性 CVE-2022-29149 からの保護

Operations Management インフラストラクチャ (OMI) は、オンプレミス環境とクラウド環境を 1 つの場所から管理するためのクラウドベース サービスの集合体です。 オンプレミスのリソースのデプロイと管理は行わず、OMI コンポーネント全体が Azure でホストされます。

OMI バージョン 13 を実行している Azure HDInsight と統合された Log Analytics では、CVE-2022-29149 を修復するためのパッチが必要です。 この脆弱性の影響を受けるリソースの特定方法と修復手順については、Microsoft セキュリティ更新プログラム ガイドでこの脆弱性に関するレポートを参照してください。

Defender for Servers と脆弱性評価が有効になっている場合は、こちらのブックを使用して、影響を受けるリソースを特定できます。

Entra Permissions Management との統合

Defender for Cloud は、Microsoft Entra 権限管理と統合されています。Microsoft Entra 権限管理は、Azure、AWS、GCP 内の任意の ID と任意のリソースのアクセス許可を包括的に可視化および制御できる、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。

オンボードした各 Azure サブスクリプション、AWS アカウント、および GCP プロジェクトについて、アクセス許可クリープ インデックス (PCI) が表示されます。

Entra 権限管理 (旧称 Cloudknox) の詳細情報

Key Vault 推奨事項が "監査" に変更されました

ここに記載されている Key Vault 推奨事項の効果が "監査" に変更されました。

推奨事項の名前 推奨事項 ID
Azure Key Vault に保存されている証明書の有効期間は 12 か月以内にする必要がある fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault シークレットには有効期限が必要である 14257785-9437-97fa-11ae-898cfb24302b
Key Vault キーには有効期限が必要である 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

App Service の API アプリ ポリシーの非推奨化

API アプリを含めるために既に存在する対応するポリシーに対して、次のポリシーを非推奨化しました。

廃止予定 変更後
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest 'Python version
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022 年 6 月

6 月の更新プログラムには次のものが含まれます。

Microsoft Defender for Azure Cosmos DB の一般提供 (GA)

Microsoft Defender for Azure Cosmos DB が一般提供 (GA) となり、SQL (コア) API アカウントの種類がサポートされるようになりました。

GA となるこの新しいリリースは、Microsoft Defender for Cloud データベース保護スイート (さまざまな種類のSQL データベースと MariaDB を含みます) に含まれています。 Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。

このプランを有効にすると、潜在的な SQL インジェクション、悪意のある既知のアクター、疑わしいアクセス パターン、侵害された ID や悪意のある内部関係者を利用したデータベースの探索のおそれに対し、アラートが表示されます。

悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細を、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に示します。

Microsoft Defender for Azure Cosmos DB では、Azure Cosmos DB サービスによって生成されたテレメトリ ストリームを継続的に分析し、Microsoft 脅威インテリジェンスと行動モデルを使用してそれらを調べ、疑わしいアクティビティを検出します。 Defender for Azure Cosmos DB は、Azure Cosmos DB のアカウント データにアクセスせず、データベースのパフォーマンスに影響を与えません。

Microsoft Defender for Azure Cosmos DB の詳細を確認してください。

Azure Cosmos DB のサポートが追加されたことで、Defender for Cloud ではクラウドベースのデータベース向けの最も包括的なワークロード保護オファリングの 1 つを提供するようになりました。 セキュリティ チームとデータベース所有者は、一元的なエクスペリエンスで、自分の環境のデータベース セキュリティを管理できるようになりました。

データベースの保護を有効にする方法について説明します。

AWS および GCP 環境のマシンでの Defender for SQL の一般提供 (GA)

Microsoft Defender for Cloud によって提供されるデータベース保護機能により、AWS または GCP 環境でホストされている SQL サーバーのサポートが強化されました。

Defender for SQL により、企業がAzure、AWS、GCP、オンプレミスのマシンでホストされているデータベース資産全体を保護できるようになりました。

Microsoft Defender for SQL では統合されたマルチクラウド エクスペリエンスを実現し、SQL サーバーと基になる Windows OS の両方に関するセキュリティの推奨事項、セキュリティ アラート、脆弱性評価の結果を表示できます。

マルチクラウド オンボード エクスペリエンスを使用して、AWS EC2、RDS Custom for SQL Server、GCP コンピューティング エンジンで実行されている SQL サーバーに対するデータベース保護を有効にし、適用できます。 これらのプランのいずれかを有効にすると、サブスクリプション内に存在するすべてのサポート対象リソースが保護されます。 同じサブスクリプションで作成された今後のリソースも保護されます。

AWS 環境GCP 組織を、Microsoft Defender for Cloud で保護および接続する方法を参照してください。

セキュリティ態勢を強化するためのセキュリティに関する推奨事項の実装を推進する

現在、組織に対する脅威が高まっていることで、拡大するワークロードを保護するためにセキュリティ担当者が過酷な労働を強いられています。 セキュリティ チームには、セキュリティ ポリシーで定義された保護を実装することが求められています。

この段階で、セキュリティ チームはガバナンス エクスペリエンスを駆使して、セキュリティに関する推奨事項に沿った修復をリソース所有者に割り当て、修復スケジュールを求めることができます。 修復の進行状況を完全に把握し、タスクの期限が過ぎると通知を受け取ることができます。

この機能は、プレビュー段階の間は無料です。

ガバナンス エクスペリエンスの詳細については、組織で推奨ガバナンスを使ってセキュリティに関する問題を修正することに関する記事を参照してください。

IP アドレスでセキュリティ アラートをフィルター処理する

多くの攻撃では、その攻撃に関係するエンティティの IP アドレスに基づいてアラートを追跡できます。 これまで IP は、単一のアラート ウィンドウの [関連するエンティティ] セクションにのみ表示されていました。 現在では、セキュリティ アラート ページでアラートをフィルター処理して IP アドレスに関連するアラートを表示でき、特定の IP アドレスを検索できます。

Defender for Cloud アラートにおける IP アドレスのフィルターを示すスクリーンショット。

リソース グループ別のアラート

リソース グループ別にフィルター処理、並べ替え、グループ化する機能が [セキュリティ警告] ページに追加されました。

リソース グループ列がアラート グリッドに追加されました。

新しく追加されたリソース グループ列を示すスクリーンショット。

特定のリソース グループのすべてのアラートを表示できる、新しいフィルターが追加されました。

新しいリソース グループ フィルターを示すスクリーンショット。

また、リソース グループ別にアラートをグループ化し、各リソース グループのすべてのアラートを表示することもできるようになりました。

アラートがリソース グループごとにグループ化された場合の表示方法を示すスクリーンショット。

Microsoft Defender for Endpoint 統合ソリューションの自動プロビジョニング

これまで、Microsoft Defender for Endpoint (MDE) との統合には、Defender for Servers プラン 1 が有効になっているマシン (Azure サブスクリプションとマルチクラウド コネクタ) と、Defender for Servers プラン 2 が有効になっているマルチクラウド コネクタ用の新しい MDE 統合ソリューションの自動インストールが含まれていました。 Azure サブスクリプションのプラン 2 では、Linux マシンと Windows 2019 および 2022 サーバーのみで統合ソリューションが有効でした。 Windows サーバー 2012R2 および 2016 では、Log Analytics エージェントに依存する MDE レガシ ソリューションが使用されていました。

現在では、Azure サブスクリプションとマルチクラウド コネクタの両方について、両方のプランのすべてのマシンで新しい統合ソリューションを利用できるようになりました。 2022 年 6 月 20 日 "以降" に MDE 統合を有効にするサーバー プラン 2 の Azure サブスクリプションの場合、統合ソリューションはすべてのマシンで既定で有効になっています。2022 年 6 月 20 日 "より前" の MDE 統合が有効な Defender for Servers プラン 2 の Azure サブスクリプションの場合、[統合] ページの専用ボタンを使用して、Windows サーバー 2012R2 と 2016 での統合ソリューションのインストールを有効にできるようになりました。

Microsoft Defender for Cloud と Microsoft の EDR ソリューションである Microsoft Defender for Endpoint の間の統合が有効になる。

MDE と Defender for Servers の統合に関するページを覧ください。

"API アプリには HTTPS を介してのみアクセスできるようにする"ポリシーの非推奨化

ポリシー API App should only be accessible over HTTPS は非推奨になりました。 このポリシーは Web Application should only be accessible over HTTPS ポリシーに置き換えられます。このポリシーの名前は App Service apps should only be accessible over HTTPS に変わりました。

Azure App Service のポリシー定義の詳細については、「Azure App Service 用の Azure Policy 組み込み定義」を参照してください。

新しい Key Vault のアラート

Microsoft Defender for Key Vault で提供される脅威の保護を拡張するために、2 つの新しいアラートを追加しました。

これらのアラートは、アクセスが拒否された異常を通知します。どのキー コンテナーでも検出されます。

アラート (アラートの種類) 説明 MITRE の方針 重大度
異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました
(KV_DeniedAccountVolumeAnomaly)
ユーザーまたはサービス プリンシパルが過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 検出
異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました
(KV_UserAccessDeniedAnomaly)
通常はアクセスしないユーザーがキー コンテナーへのアクセスを試みましたが、この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 初期アクセス、探索

2022 年 5 月

5 月の更新プログラムには次のものが含まれます。

サーバー プランのマルチクラウド設定がコネクタ レベルで使用できるようになりました

マルチクラウドの Defender for Servers に対して、コネクタ レベルの設定が追加されました。

新しいコネクタ レベルの設定には、サブスクリプションとは別に、コネクタごとに価格と自動プロビジョニング構成を細かく設定できます。

コネクタ レベルで使用できるすべての自動プロビジョニング コンポーネント (Azure Arc、MDE、脆弱性評価) は既定で有効になり、新しい構成では プラン 1 とプラン 2 の両方の価格レベルがサポートされます。

UI の更新には、選択した価格レベルと構成されている必要なコンポーネントの反映が含まれます。

サーバー プランのマルチクラウド設定を行っているメイン プラン ページのスクリーンショット。

マルチクラウド コネクターが有効になっている自動プロビジョニング ページのスクリーンショット。

脆弱性評価への変更

Defender for Containers に、パッチを適用できない、重大度が中と低の脆弱性が表示されるようになりました。

この更新プログラムの一環として、パッチが利用可能かどうかに関係なく、重大度が中と低の脆弱性が表示されるようになりました。 この更新によって、表示が最大化されますが、提供されている無効化ルールを使用して不要な脆弱性を引き続きフィルター処理で除外できます。

無効化ルール画面のスクリーンショット。

脆弱性評価について詳しく学習する

VM の JIT (Just-In-Time) アクセスが AWS EC2 インスタンスで使用できるようになりました (プレビュー)

AWS アカウントを接続すると、JIT によってインスタンスのセキュリティ グループのネットワーク構成が自動的に評価され、公開されている管理ポートのうちで保護が必要なインスタンスが推奨されます。 これは、Azure での JIT の動作と似ています。 保護されていない EC2 インスタンスをオンボードすると、JIT によって管理ポートへのパブリック アクセスがブロックされ、限られた期間の承認された要求でのみ開きます。

JIT が AWS EC2 インスタンスを保護する方法を参照してください

CLI を使用して AKS クラスターの Defender プロファイルを追加および削除する

Defender for Containers がランタイム保護を提供し、ノードからシグナルを収集するには、Defender プロファイル (プレビュー) が必要です。 Azure CLI を使用して、AKS クラスターの Defender プロファイルを追加および削除できるようになりました。

注意

このオプションは、Azure CLI 3.7 以上に含まれています。

2022 年 4 月

4 月の更新プログラムには次のものが含まれます。

新しい Defender for Servers プラン

Microsoft Defender for Servers は、2 つの増分プランで提供されるようになりました。

  • Defender for Servers プラン 2 (旧称 Defender for Servers)
  • Defender for Servers プラン 1 (Microsoft Defender for Endpoint のみのサポートを提供)

Defender for Servers プラン 2 では、脅威や脆弱性からの保護だけでなく、クラウドとオンプレミスのワークロードの保護も引き続き提供されますが、Defender for Servers プラン 1 では、ネイティブに統合された Defender for Endpoint によるエンドポイント保護のみが提供されます。 Defender for Servers プランの詳細を参照してください。

これまで Defender for Servers を使用していた場合は、アクションは必要ありません。

さらに、Defender for Cloud では、Windows Server 2012 R2 および 2016 用の Defender for Endpoint 統合エージェントの段階的なサポートも開始されます。 Defender for Servers プラン 1 では、新しい統合エージェントを Windows Server 2012 R2 および 2016 ワークロードにデプロイします。

カスタムの推奨事項の再配置

カスタムの推奨事項は、ユーザーによって作成されるものであり、セキュリティ スコアに影響を与えません。 カスタムの推奨事項は、 [すべての推奨事項] タブにあります。

新しい "推奨事項の種類" フィルターを使用して、カスタムの推奨事項を見つけます。

詳細については、カスタム セキュリティ イニシアチブとポリシーを作成するを参照してください。

Splunk と IBM QRadar にアラートをストリーミングする PowerShell スクリプト

Event Hubs と組み込みコネクタを使用して、セキュリティ アラートを Splunk と IBM QRadar にエクスポートすることをお勧めします。 PowerShell スクリプトを使用して、サブスクリプションまたはテナントのセキュリティ アラートをエクスポートするために必要な Azure リソースを設定できるようになりました。

PowerShell スクリプトをダウンロードして実行するだけです。 環境の詳細をいくつか指定すると、スクリプトによってリソースが構成されます。 次に、このスクリプトは、統合を完了するために SIEM プラットフォームで使用する出力を生成します。

詳細については、「Splunk と QRadar へのアラートのストリーム」を参照してください。

Azure Cache for Redis の推奨事項を非推奨にしました

推奨事項 Azure Cache for Redis should reside within a virtual network (プレビュー) は非推奨になりました。 Azure Cache for Redis インスタンスをセキュリティで保護するためのガイダンスが変更されました。 仮想ネットワークではなく、プライベート エンドポイントを使用して、 Azure Cache for Redis インスタンスへのアクセスを制限することをお勧めします。

機密データの露出を検出するための Microsoft Defender for Storage (プレビュー) の新しいアラート バリアント

Microsoft Defender for Storage のアラートは、脅威アクターが機密情報の流出を試みるために、正しく構成されずに公開されているストレージ コンテナーをスキャンして公開しようとしたときに、その成否にかかわらず通知します。

トリアージと応答時間を短縮するために、潜在的に機密性の高いデータの流出が発生した可能性がある場合は、既存 Publicly accessible storage containers have been exposed のアラートに新しいバリエーションをリリースしました。

新しいアラート Publicly accessible storage containers with potentially sensitive data have been exposed は、機密情報を保持している可能性があることが示唆される、統計的に公開されることがほとんどない名前で公開されているストレージ コンテナーの検出に成功した後に、重大度レベル High でトリガーされます。

アラート (アラートの種類) 説明 MITRE の方針 重大度
プレビュー - 機密性の高い可能性があるデータを含むパブリックにアクセス可能なストレージ コンテナーが公開されている
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
だれかが Azure Storage アカウントをスキャンし、パブリック アクセスを許可する公開コンテナーを公開しました。 1 つ以上の公開コンテナーには、機密データが含まれている可能性があることを示す名前があります。

これは通常、機密データを含む可能性がある、誤って構成されたパブリックにアクセス可能なストレージ コンテナーをスキャンしている脅威アクターによる偵察を示します。

脅威アクターがコンテナーを正常に検出した後、データの流出を続行する可能性があります。
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
コレクション

IP アドレスの評判で拡張されたコンテナー スキャン アラート のタイトル

IP アドレスの評判は、スキャン アクティビティが既知の脅威アクターからのものか、 Tor ネットワークを使用して ID を非表示にしているアクターからのものかを示すことができます。 これらの両方のインジケーターは、悪意のある意図があることを示唆しています。 IP アドレスの評判は、 Microsoft Threat Intelligence によって提供されます。

アラート タイトルに IP アドレスの評判を追加すると、アクターの意図と脅威の重大度をすばやく評価する方法が提供されます。

次のアラートには、この情報が含まれます。

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

たとえば、アラート Publicly accessible storage containers have been exposed のタイトルに追加された情報は次のようになります。

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Microsoft Defender for Storage のすべてのアラートには、アラートの [関連エンティティ] セクションの下の IP エンティティに脅威インテリジェンス情報が引き続き含まれます。

セキュリティ アラートに関連するアクティビティ ログの確認

セキュリティ アラートを評価するために実行できるアクションの一環として、関連するプラットフォーム ログを [リソース コンテキストの検査] から見つけて、影響を受けるリソースに関するコンテキストを取得できます。 Microsoft Defender for Cloud では、アラートから 1 日以内のプラットフォーム ログを識別します。

プラットフォーム ログは、セキュリティの脅威を評価し、識別されたリスクを軽減するために実行できる手順を特定するために役立ちます。