クラウドの Defender の新機能のアーカイブ
このページでは、6 か月より前の機能、修正、および非推奨に関する情報を提供します。 最新の更新プログラムについては、「Defender for Cloud の新機能」を参照 してください。
2023 年 9 月
パブリック プレビューで利用可能なデータ セキュリティ ダッシュボード
2023 年 9 月 27 日
データ セキュリティ ダッシュボードは、Defender CSPM プランの一部としてパブリック プレビューで使用できるようになりました。 データ セキュリティ ダッシュボードは、機密データに対する重大なリスクを明るみに出し、ハイブリッド クラウド ワークロード全体のデータに対するアラートと潜在的な攻撃パスに優先順位を付ける、対話型でデータ中心のダッシュボードです。 詳細については、 データ セキュリティ ダッシュボードに関するページを参照してください。
プレビュー リリース: 新しい SQL Server on machines 向け自動プロビジョニング プロセス プラン
2023 年 9 月 21 日
Azure Monitor エージェント (MMA) は、2024 年 8 月に非推奨とされます。 Defender for Cloud の戦略が更新され、MMA が、SQL Server を対象とする Azure Monitoring Agent 自動プロビジョニング プロセスのリリースに置き換えられます。
プレビュー期間中に、Azure Monitor エージェント (プレビュー) オプションで MMA 自動プロビジョニング プロセスを使用しているお客様は、新しい Azure Monitoring Agent for SQL server on machines (プレビュー) 自動プロビジョニング プロセスへの移行が要求されます。 移行プロセスはシームレスであり、すべてのマシンに継続的な保護を提供します。
詳細については、SQL Server を対象とする Azure Monitoring Agent 自動プロビジョニング プロセスへの移行に関するページを参照してください。
Defender for Cloud の GitHub Advanced Security for Azure DevOps アラート
2023 年 9 月 20 日
Defender for Cloud で CodeQL、シークレット、依存関係に関連する GitHub Advanced Security for Azure DevOps (GHAzDO) アラートを表示できるようになりました。 結果は DevOps ページと推奨事項に表示されます。 これらの結果を表示するには、GHAzDO 対応リポジトリを Defender for Cloud にオンボードします。
詳細については、GitHub Advanced Security for Azure DevOps に関するページを参照してください。
Defender for API の推奨事項で現在使用できる除外機能
2023 年 9 月 11 日
次の Defender for API のセキュリティに関する推奨事項を除外できるようになりました。
| 推奨事項 | 説明および関連するポリシー | 重要度 |
|---|---|---|
| (プレビュー) 使用されていない API エンドポイントは無効にし、Azure API Management サービスから削除する必要がある | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは使用されていないと見なされるため、Azure API Management サービスから削除する必要があります。 使用されていない API エンドポイントを保持しておくと、セキュリティ リスクが発生するおそれがあります。 これらは、Azure API Management サービスで非推奨になっているはずが、誤ってアクティブなままになっている API である可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | 低 |
| (プレビュー) Azure API Management の API エンドポイントは認証する必要がある | Azure API Management 内で公開されている API エンドポイントでは、セキュリティ リスクを最小限に抑えるために認証を実施する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 Azure API Management で公開されている API では、この推奨事項を適用すると、Azure API Management 内で構成されたサブスクリプション キー、JWT、クライアント証明書を使用して認証の実行が評価されます。 API 呼び出し中にこれらの認証メカニズムがどれも実行されない場合は、API にこの推奨事項が適用されます。 | 高 |
Defender for Cloud での推奨事項の除外に関する詳細をご確認ください。
Defender for API 検出のサンプル アラートを作成する
2023 年 9 月 11 日
Defender for API パブリック プレビューの一部としてリリースされたセキュリティ検出のサンプル アラートを生成できるようになりました。 Defender for Cloud でのサンプル アラートの作成に関する詳細をご確認ください。
プレビュー リリース: Microsoft Defender 脆弱性の管理を利用したコンテナー脆弱性評価でプル時のスキャンがサポートされるようになりました
2023 年 9 月 6 日
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価で、ACR からプルされたイメージをスキャンするための追加のトリガーがサポートされるようになりました。 このトリガーが新たに追加されたため、過去 90 日間に ACR にプッシュされたイメージと AKS で現在実行されているイメージをスキャンする既存のトリガーに加え、アクティブなイメージがスキャン対象として加えられました。
新しいトリガーは本日ロールアウトが開始され、9 月末までにすべてのお客様が利用できるようになる予定です。
規制コンプライアンスの Center for Internet Security (CIS) 標準の名前付け形式を更新しました
2023 年 9 月 6 日
コンプライアンス ダッシュボードの CIS (Center for Internet Security) Foundations ベンチマークの名前付け形式は、[Cloud] CIS [version number] から CIS [Cloud] Foundations v[version number] に変更されています。 次の表を参照してください。
| 現在の名前 | New Name |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
規制コンプライアンスを向上させる方法について確認します。
PaaS データベースの機密データ検出 (プレビュー)
2023 年 9 月 5 日
PaaS データベース (Azure SQL Database と任意の種類の Amazon RDS インスタンス) の摩擦のない機密データ検出のためのデータ対応セキュリティ態勢機能がパブリック プレビューになりました。 このパブリック プレビューでは、重要なデータが存在する場所に関係なく、そのデータと、それらのデータベース内にあるデータの種類のマップを作成できます。
Azure および AWS データベースの機密データ検出が、クラウド オブジェクト ストレージ リソース (Azure Blob Storage、AWS S3 バケットおよび GCP ストレージ バケット) で既に公開されている共有分類と構成に追加され、構成と有効化の単一エクスペリエンスを実現しています。
データベースは毎週スキャンされます。 sensitive data discovery を有効にすると、24 時間以内に検出が実行されます。 結果の表示は、クラウド セキュリティ エクスプローラーで行うことも、機密データを含むマネージド データベースの新しい攻撃パスを確認することで行うこともできます。
データベースのデータ対応セキュリティ態勢は、Defender CSPM プランを通じて使用でき、sensitive data discovery オプションが有効になっているサブスクリプションで自動的に有効になります。
データ対応のセキュリティ態勢の詳細については、次の記事を参照してください。
一般提供 (GA): Defender for Storage でのマルウェア スキャン
2023 年 9 月 1 日
マルウェア スキャンが Defender for Storage のアドオンとして一般提供 (GA) されるようになりました。 Defender for Storage でのマルウェア スキャンは、Microsoft Defender Antivirus 機能を使用して、アップロードされたコンテンツに対してほぼリアルタイムでマルウェアのフルスキャンを実行し、悪意のあるコンテンツからストレージ アカウントを保護するのに役立ちます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たすように設計されています。 マルウェア スキャン機能は、大規模なセットアップを可能にし、大規模な応答の自動化をサポートするエージェントレス SaaS ソリューションです。
詳細については、「Defender for Storage でのマルウェア スキャン」を参照してください。
マルウェア スキャンは、データの使用状況と予算に応じて価格が設定されます。 課金は 2023 年 9 月 3 日に開始されます。 詳細については、価格に関するページを参照してください。
前のプランを使用している場合は、マルウェアスキャンを有効にするために、新しいプランに事前に移行する必要があります。
Microsoft Defender for Cloud に関するお知らせブログ記事をお読みください。
2023 年 8 月
8 月の更新プログラムには次のものが含まれます。
Defender for Containers: Kubernetes のエージェントレス検出
2023 年 8 月 30 日
Defender For Containers: Kubernetes のエージェントレス検出について紹介します。 このリリースは、コンテナーのセキュリティにおいて大きな一歩となり、Kubernetes 環境用の高度な分析情報と包括的なインベントリ機能が提供されます。 新しいコンテナー オファリングには、Defender for Cloud コンテキスト セキュリティ グラフが利用されています。 この最新の更新プログラムに期待できることは次のとおりです。
- Kubernetes のエージェントレス検出
- 包括的なインベントリ機能
- Kubernetes 固有のセキュリティ分析情報
- クラウド セキュリティ エクスプローラーを使用したリスク ハンティングの強化
Kubernetes のエージェントレス検出は、すべての Defender For Containers のお客様が利用できるようになりました。 今すぐこれらの高度な機能の使用を開始できます。 サブスクリプションを更新して、拡張機能の完全なセットを有効にし、最新の追加機能を利用することをお勧めします。 拡張機能を有効にするには、Defender for Containers サブスクリプションの [環境と設定] ペインにアクセスします。
Note
最新の追加機能を有効にしても、アクティブな Defender for Containers のお客様に新しいコストは発生しません。
詳しくは、「Microsoft Defender for Containers のコンテナー セキュリティの概要」をご覧ください。
推奨事項のリリース: マルウェア スキャンと機密データの脅威検出を使用して Microsoft Defender for Storage を有効にする必要があります
2023 年 8 月 22 日
Defender for Storage の新しい推奨事項がリリースされました。 この推奨事項は、マルウェア スキャン機能と機密データ脅威検出機能を備えている Defender for Storage をサブスクリプション レベルで有効にするためのものです。
| 推奨 | 説明 |
|---|---|
| マルウェア スキャンと機密データの脅威検出を使用して Microsoft Defender for Storage を有効にする必要があります | Microsoft Defender for Storage では、お使いのストレージ アカウントに対する潜在的脅威が検出されます。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 新しい Defender for Storage プランには、マルウェア スキャンと機密データの脅威検出機能が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 大規模な簡易エージェントレス セットアップにより、サブスクリプション レベルで有効にすると、そのサブスクリプションの既存および新しく作成されたすべてのストレージ アカウントが自動的に保護されます。 保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。 |
この新しい推奨事項により、現在の推奨事項 Microsoft Defender for Storage should be enabled (評価キー 1be22853-8ed1-4005-9907-ddad64cb1417) が置き換えられます。 しかし、この推奨事項は引き続き Azure Government クラウドで使用できます。
Microsoft Defender for Storage に関する詳細をご覧ください。
Defender for Cloud セキュリティ アラートの拡張プロパティは、アクティビティ ログからマスクされます
2023 年 8 月 17 日
最近、セキュリティ アラートとアクティビティ ログの統合方法が変更されました。 機密性の高い顧客情報をより適切に保護するために、この情報はアクティビティ ログに含まれなくなりました。 代わりに、アスタリスクでマスクされます。 しかし、この情報は、アラート API、連続エクスポート、Defender for Cloud ポータルを通じて引き続き使用できます。
アクティビティ ログに依存して SIEM ソリューションにアラートをエクスポートするお客様は、Defender for Cloud セキュリティ アラートをエクスポートするための推奨される方法ではないので、別のソリューションの使用を検討する必要があります。
Defender for Cloud セキュリティ アラートを SIEM、SOAR、およびその他のサード パーティのアプリケーションにエクスポートする方法については、「SIEM、SOAR、または IT サービス管理ソリューションへのアラートのストリーム配信」を参照してください。
Defender CSPM での GCP サポートのプレビュー リリース
2023 年 8 月 15 日
GCP リソースをサポートする Defender CSPM コンテキスト クラウド セキュリティ グラフと攻撃パス分析のプレビュー リリースについてお知らせします。 Defender CSPM の機能を適用して、GCP リソース全体の包括的な可視性とインテリジェントなクラウド セキュリティを実現できます。
GCP サポートの主な機能は次のとおりです。
- 攻撃パス分析 - 攻撃者が通る可能性のある潜在的なルートについて理解します。
- クラウド セキュリティ エクスプローラー - セキュリティ グラフに対してグラフベースのクエリを実行して、セキュリティ リスクを事前に特定します。
- エージェントレス スキャン - エージェントをインストールせずにサーバーをスキャンし、シークレットと脆弱性を特定します。
- データ対応のセキュリティ態勢 - Google Cloud Storage バケット内の機密データに対するリスクを検出して修復します。
詳細については、「Defender CSPM プランのオプション」を参照してください。
Defender for Servers プラン 2 の新しいセキュリティ アラート: Azure 仮想マシン拡張機能を悪用する潜在的な攻撃を検出する
2023 年 8 月 7 日
この新しい一連のアラートでは、Azure 仮想マシン拡張機能の疑わしいアクティビティの検出に焦点を当て、仮想マシンに対する攻撃者の侵害と悪意のあるアクティビティの実行の試みに関する分析情報を提供します。
Microsoft Defender for Servers では、仮想マシン拡張機能の疑わしいアクティビティを検出できるようになりました。これにより、ワークロードのセキュリティをより適切にカバーできます。
Azure 仮想マシン拡張機能は、仮想マシンでデプロイ後に実行され、構成、自動化、監視、セキュリティなどの機能を提供する小規模なアプリケーションです。 拡張機能は強力なツールですが、次のようなさまざまな悪意のある意図で脅威アクターに使用される可能性があります。
- データの収集と監視用。
- 高い特権を持つコードの実行と構成のデプロイ。
- 資格情報をリセットし、管理ユーザーを作成する場合。
- ディスクを暗号化する場合。
新しいアラートの表を次に示します。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重要度 |
|---|---|---|---|
| サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー) (VM_GPUExtensionSuspiciousFailure) |
サポートされていない VM に GPU 拡張機能をインストールしようとする不審な意図。 この拡張機能は、グラフィック プロセッサを搭載した仮想マシンにインストールする必要があります。この場合、仮想マシンにはそのようなものが搭載されていません。 これらのエラーは、悪意のある攻撃者が暗号化マイニングを目的としてそのような拡張機能の複数のインストールを実行するときに発生する可能性があります。 | 影響 | 中 |
| 仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー) (VM_GPUDriverExtensionUnusualExecution) ''このアラートは 2023 年 7 月にリリースされました。'' |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で GPU 拡張機能の不審なインストールが検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 プリンシパルの動作が通常のパターンから逸脱しているため、この行為は不審であると考えられます。 | 影響 | 低 |
| 仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー) (VM_RunCommandSuspiciousScript) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で不審なスクリプトを含む Run Command が検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | 実行 | 高 |
| 仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー) (VM_RunCommandSuspiciousFailure) |
Run Command の不審な不正使用が失敗し、サブスクリプション内の Azure Resource Manager 操作を分析することによって仮想マシン上で検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードの実行を試みる可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 | 実行 | 中 |
| 仮想マシン上で不審な Run Command の使用が検出されました (プレビュー) (VM_RunCommandSuspiciousUsage) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で Run Command の不審な使用が検出されました。 攻撃者は実行コマンドを使って、Azure Resource Manager から仮想マシンに対して高い特権で悪意のあるコードを実行する可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 | 実行 | 低 |
| 複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー) (VM_SuspiciousMultiExtensionUsage) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で複数の監視拡張機能またはデータ収集拡張機能の不審な使用が検出されました。 攻撃者は、データの収集やネットワーク トラフィックの監視などのために、サブスクリプション内でこのような拡張機能を悪用する可能性があります。 この使用はこれまで一般的に見られたことがないため、疑わしいと考えられます。 | 偵察 | 中 |
| 仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー) (VM_DiskEncryptionSuspiciousUsage) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました。 攻撃者はディスク暗号化拡張機能を悪用し、Azure Resource Manager 経由で仮想マシンにフルディスク暗号化を展開し、ランサムウェア アクティビティを実行する可能性があります。 このアクティビティは、これまで一般的に見られたことがなく、拡張機能のインストール数が多いため、疑わしいと考えられます。 | 影響 | 中 |
| VM アクセス拡張機能の不審な使用が仮想マシンで検出されました (プレビュー) (VM_VMAccessSuspiciousUsage) |
VM アクセス拡張機能の不審な使用が仮想マシンで検出されました。 攻撃者は、VM アクセス拡張機能を悪用してアクセスを取得し、アクセスをリセットしたり管理ユーザーを管理したりして、高い特権を使って仮想マシンを侵害するおそれがあります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 | 永続化 | 中 |
| 不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシン上で検出されました (プレビュー) (VM_DSCExtensionSuspiciousScript) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で不審なスクリプトを含む Desired State Configuration (DSC) 拡張機能が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | 実行 | 高 |
| Desired State Configuration (DSC) 拡張機能の不審な使用が仮想マシンで検出されました (プレビュー) (VM_DSCExtensionSuspiciousUsage) |
サブスクリプション内の Azure Resource Manager 操作を分析することにより、仮想マシン上で Desired State Configuration (DSC) 拡張機能の不審な使用が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズムや悪意のあるスクリプトなどの悪意のある構成を高い特権で仮想マシンに展開する可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 | 影響 | 低 |
| 不審なスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました (プレビュー) (VM_CustomScriptExtensionSuspiciousCmd) ''(このアラートは既に存在し、より強化されたロジックと検出方法で改善されています)。'' |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、疑わしいスクリプトを使用したカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者はカスタム スクリプト拡張機能を使用し、Azure Resource Manager 経由で仮想マシン上で高い特権で悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | 実行 | 高 |
Defender for Servers の拡張機能ベースのアラートに関する記述を参照してください。
アラートの完全な一覧については、「Microsoft Defender for Cloud のすべてのセキュリティ アラートのリファレンス表」を参照してください。
Defender for Cloud プランのビジネス モデルと価格の更新
2023 年 8 月 1 日
Microsoft Defender for Cloud には、サービス レイヤー保護を提供する次の 3 つのプランがあります。
Defender for Key Vault
Defender for Resource Manager
Defender for DNS
これらのプランは、支出の予測可能性と全体的なコスト構造の簡素化に関するお客様のフィードバックに対処するために、価格とパッケージ化が異なる新しいビジネス モデルに移行されました。
ビジネス モデルと価格の変更の概要:
Defender for Key-Vault、Defender for Resource Manager、Defender for DNS の既存のお客様は、新しいビジネス モデルと価格に積極的に切り替えることを選ぶ場合を除き、現在のビジネス モデルと価格を維持できます。
- Defender for Resource Manager: このプランには、1 か月あたりのサブスクリプションあたりの固定価格が適用されます。 お客様は、Defender for Resource Manager の新しいサブスクリプションごとのモデルを選ぶことで、新しいビジネス モデルに切り替えることができます。
Defender for Key-Vault、Defender for Resource Manager、Defender for DNS の既存のお客様は、新しいビジネス モデルと価格に積極的に切り替えることを選ぶ場合を除き、現在のビジネス モデルと価格を維持できます。
- Defender for Resource Manager: このプランには、1 か月あたりのサブスクリプションあたりの固定価格が適用されます。 お客様は、Defender for Resource Manager の新しいサブスクリプションごとのモデルを選ぶことで、新しいビジネス モデルに切り替えることができます。
- Defender for Key Vault: このプランでは、1 か月あたりのコンテナーあたりの固定価格が適用され、超過分の料金は発生しません。 お客様は、Defender for Key Vault の新しいコンテナーごとのモデルを選ぶことで、新しいビジネス モデルに切り替えることができます
- Defender for DNS: Defender for Servers プラン 2 のお客様は、追加コストなしで Defender for Servers プラン 2 の一部として Defender for DNS の価値へのアクセスを手に入れます。 Defender for Server プラン 2 と Defender for DNS の両方を持つお客様は、Defender for DNS に対しては課金されなくなりました。 Defender for DNS は、スタンドアロン プランとして利用できなくなりました。
これらのプランの価格の詳細については、Defender for Cloud の価格に関するページを参照してください。
2023 年 7 月
7 月の更新プログラムには次のものが含まれます。
Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価のプレビュー リリース
2023 年 7 月 31 日
Defender for Containers と Defender for Container Registries のMicrosoft Defender 脆弱性の管理を利用した Azure コンテナー レジストリの Linux コンテナー イメージに対する脆弱性評価 (VA) のリリースを発表します。 新しいコンテナー VA オファリングは、Defender for Containers と Defender for Container Registries の両方で Qualys を利用した既存の Container VA オファリングと共に提供され、コンテナー イメージの毎日の再スキャン、悪用可能性情報、OS とプログラミング言語 (SCA) のサポートなどが含まれます。
この新しいオファリングは本日ロールアウトが開始され、8 月 7 日までにすべてのお客様が利用できるようになる予定です。
Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価の詳細について説明します。
Defender CSPM での Agentless Container Posture が一般公開されました
2023 年 7 月 30 日
Agentless Container Posture の機能が、Defender CSPM (クラウド セキュリティ態勢管理) プランの一部として一般提供 (GA) されるようになりました。
Defender CSPM での Agentless Containers Posture についての詳細を確認してください。
Linux 用 Defender for Endpoint への自動更新の管理
2023 年 7 月 20 日
Defender for Cloud では、既定で、MDE.Linux 拡張機能を使用してオンボードされた Linux エージェント用の Defender for Endpoint の更新が試行されます。 このリリースでは、この設定を管理し、既定の構成からオプトアウトして、更新サイクルを手動で管理できます。
Linux の自動更新の構成を管理する方法を確認してください。
Defender for servers P2 および Defender CSPM で仮想マシンをスキャンするエージェントレス シークレット
2023 年 7 月 18 日
Defender for Servers P2 および Defender CSPM. のエージェントレス スキャンの一部としてシークレット スキャンを使用できるようになりました。 この機能は、仮想マシン上の Azure または AWS リソースに保存されているアンマネージド シークレットと安全でないシークレットを検出するのに役立ちます。これは、ネットワーク内を横断的に移動するために使われる可能性があります。 シークレットが検出された場合、Defender for Cloud は、ラテラル ムーブメントのリスクを最小限に抑えるために実行可能な修復手順を優先順位を付けて実行するのに役立ちます。これらはすべてマシンのパフォーマンスに影響を与えません。
シークレットスキャンを使用してシークレットを保護する方法の詳細については、「エージェントレス シークレットスキャンを使用してシークレットを管理する」を参照してください。
Defender for Servers プラン 2 の新しいセキュリティ アラート: Azure VM GPU ドライバー拡張機能を活用した潜在的な攻撃の検出
2023 年 7 月 12 日
このアラートは、Azure 仮想マシンの GPU ドライバー拡張機能を利用する疑わしいアクティビティを特定することに焦点を当て、仮想マシンを侵害しようとする攻撃者の試みに関する分析情報を提供します。 このアラートは、GPU ドライバー拡張機能の疑わしいデプロイを対象とします。このような拡張機能は、しばしば、GPU カードのフル パワーを利用しクリプトジャッキングを実行するために脅威アクターによって悪用されます。
| アラートの表示名 (アラートの種類) |
説明 | 重大度 | MITRE の方針 |
|---|---|---|---|
| 仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー) (VM_GPUDriverExtensionUnusualExecution) |
サブスクリプションでの Azure Resource Manager の操作を分析することによって、GPU 拡張機能の疑わしいインストールが仮想マシンで検出されました。 攻撃者はクリプトジャッキングを実行するために、GPU ドライバー拡張機能を使用して、Azure Resource Manager 経由で仮想マシンに GPU ドライバーをインストールする可能性があります。 | 低 | 影響 |
アラートの完全な一覧については、「Microsoft Defender for Cloud のすべてのセキュリティ アラートのリファレンス表」を参照してください。
特定の脆弱性の結果を無効にするためのサポート
2023 年 7 月 9 日
コンテナー レジストリ イメージの脆弱性の検出結果を無効にしたり、エージェントレス コンテナー態勢の一部としてイメージを実行したりするためのサポートがリリースされました。 組織のニーズとして、コンテナー レジストリ イメージの脆弱性の検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 検出結果を無効にすると、セキュリティ スコアが影響を受けることも、不要なノイズが生成されることもなくなります。
コンテナー レジストリ イメージの脆弱性評価の結果を無効にする方法について学習します。
データ対応セキュリティ態勢が一般提供になった
2023 年 7 月 1 日
Microsoft Defender for Cloud でのデータ対応セキュリティ態勢が、一般提供されるようになりました。 これは、お客様がデータのリスクを軽減し、データ侵害に対応するのに役立ちます。 データ対応セキュリティ態勢を使用すると、以下のことができます。
- Azure と AWS で機密データ リソースを自動的に検出します。
- データ秘密度やデータ露出について評価し、組織全体でデータがどのように流れるかを評価します。
- データ侵害につながる可能性のあるリスクを予防的かつ継続的に明らかにします。
- 機密データ リソースに対する継続的な脅威を示している可能性がある疑わしいアクティビティを検出します
詳しくは、Microsoft Defender for Cloud でのデータ対応セキュリティ態勢に関する記事をご覧ください。
2023 年 6 月
6 月の更新プログラムには次のものが含まれます。
強化された設定による合理化されたマルチクラウド アカウントのオンボード
2023 年 6 月 26 日
Defender for Cloud はオンボード エクスペリエンスを改善し、新しい合理化されたユーザー インターフェイスと手順だけでなく、高度なオンボード機能へのアクセスを提供し、AWS と GCP 環境をオンボードすることを可能にする新機能を含むようになりました。
自動化に Hashicorp Terraform を採用している組織のために、Defender for Cloud にはデプロイ方法として AWS CloudFormation または GCP Cloud Shell に加えて Terraform を使用する機能が含まれるようになりました。 統合の作成時に必要なロール名をカスタマイズできるようになりました。 また、次の中から選択することもできます。
既定のアクセス - Defender for Cloud がリソースをスキャンし、将来の機能を自動的に組み込むことを可能にします。
最小権限アクセス - Defender for Cloud に、選択されているプランに現在必要なアクセス許可のみを付与します。
最小権限のアクセス許可を選択すると、コネクタ正常性の完全な機能を取得するのに必要な新しいロールとアクセス許可に関する通知だけを受け取ります。
Defender for Cloud を使用すると、クラウド ベンダーからのネイティブ名でクラウド アカウントを区別できます。 たとえば、AWS アカウント エイリアスや GCP プロジェクト名などです。
Defender for Storage でのマルウェア スキャンのプライベート エンドポイントのサポート
2023 年 6 月 25 日
プライベート エンドポイントのサポートは、Defender for Storage のマルウェア スキャン パブリック プレビューの一部として使用できるようになりました。 この機能を使用すると、プライベート エンドポイントを使用しているストレージ アカウントでマルウェア スキャンを有効にできます。 その他の構成は必要ありません。
Defender for Storage のマルウェア スキャン (プレビュー) は、Microsoft Defender ウイルス対策機能を使用して、アップロードされたコンテンツに対してほぼリアルタイムでマルウェアのフルスキャンを実行することで、悪意のあるコンテンツからストレージ アカウントを保護することに役立ちます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たすように設計されています。 これは、大規模な簡易セットアップを可能とし、メンテナンスが不要で、大規模な応答の自動化をサポートするエージェントレス SaaS ソリューションです。
プライベート エンドポイントは、Azure Storage サービスへセキュリティで保護された接続を提供し、実質的にパブリック インターネットへの露出をなくすので、セキュリティのベスト プラクティスと見なされています。
マルウェア スキャンが既に有効になっているプライベート エンドポイントを持つストレージ アカウントの場合、これを機能させるには、マルウェア スキャンを持つプランを無効にして有効にする必要があります。
Defender for Storage でのプライベート エンドポイントの使用と、ストレージ サービスをさらにセキュリティで保護する方法についての詳細を確認してください。
プレビューのためにリリースされた推奨事項: 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Microsoft Defender 脆弱性管理)
2023 年 6 月 21 日
Microsoft Defender 脆弱性の管理を利用した Defender CSPM の新しいコンテナーの推奨事項が、プレビュー用にリリースされます。
| 推奨 | Description | 評価キー |
|---|---|---|
| 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Microsoft Defender 脆弱性の管理) (プレビュー) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
この新しい推奨事項により、Defender CSPM でのみ、Qualys を利用した同じ名前の現在の推奨事項 (評価キー 41503391-efa5-47ee-9282-4eff6131462c) が置き換えられます。
規制コンプライアンスにおける NIST 800-53 標準に対する制御の更新が行われました
2023 年 6 月 15 日
最近、NIST 800-53 標準 (R4 と R5 の両方) が、Microsoft Defender for Cloud 規制コンプライアンスの制御変更で更新されました。 Microsoft が管理するコントロールは標準から削除され、Microsoft の責任実装に関する情報 (クラウド共有責任モデルの一部として) は、Microsoft Actions の下にあるコントロールの詳細ウィンドウでのみ使用できるようになりました。
これらのコントロールは以前に渡されたコントロールとして計算されているため、2023 年 4 月から 2023 年 5 月の間に NIST 標準のコンプライアンス スコアが大幅に低下する可能性があります。
コンプライアンス制御の詳細については、「チュートリアル: 規制コンプライアンス チェック - Microsoft Defender for Cloud」をご覧ください。
Azure Migrate ビジネス ケースを使用したクラウド移行計画に Defender for Cloud が含まれるようになりました
2023 年 6 月 11 日
Azure Migrate ビジネス ケースのコンテキスト内で Defender for Cloud を適用することで、セキュリティのコスト削減の可能性を見出せるようになりました。
Defender for SQL の脆弱性評価の高速構成が一般提供開始
2023 年 6 月 7 日
Defender for SQL の脆弱性評価の高速構成が一般提供されるようになりました。 高速構成では、ワンクリック構成 (または API 呼び出し) を使用して、SQL 脆弱性評価の合理化されたオンボード エクスペリエンスが提供されます。 マネージド ストレージ アカウントに対する追加の設定や依存関係は必要ありません。
高速構成の詳細については、こちらのブログをご覧ください。
高速構成とクラシック構成の違いについて学習できます。
既存の Azure DevOps コネクタに追加されたスコープ
2023 年 6 月 6 日
Defender for DevOps により、Azure DevOps (ADO) アプリケーションに次のスコープがさらに追加されました。
高度なセキュリティ管理:
vso.advsec_manage。 これは、ADO の GitHub Advanced Security の有効化、無効化、管理に必要です。コンテナー マッピング:
vso.extension_manage、vso.gallery_manager。これは、デコレーター拡張機能を ADO 組織と共有できるようにするために必要です。
Microsoft Defender for Cloud に ADO リソースをオンボードしようとしている新しい Defender for DevOps のお客様のみがこの変更による影響を受けます。
Defender for Servers への直接 (Azure Arc なし) のオンボードが一般提供開始
2023 年 6 月 5 日
以前は、Azure 以外のサーバーを Defender for Servers にオンボードするために Azure Arc が必要でした。 ただし、最新のリリースでは、Microsoft Defender for Endpoint エージェントのみを使用して、オンプレミス サーバーを Defender for Servers にオンボードすることもできます。
この新しい方法により、コア エンドポイントの保護に重点を置いたお客様のオンボード プロセスが簡素化され、クラウド資産と非クラウド資産の両方に対する Defender for Servers の使用量ベースの課金が利用できるようになります。 Defender for Endpoint を介した直接オンボード オプションが利用可能になり、オンボードされたマシンへの課金は 7 月 1 日から開始されます。
詳細については、Defender for Endpoint を利用した Microsoft Defender for Cloud への Azure 以外のマシンの接続に関するページをご覧ください。
エージェントベースの検出を、Defender CSPMのコンテナー機能のエージェントレス検出に置き換える
2023 年 6 月 4 日
Defender CSPM で使用できるエージェントレス コンテナー態勢機能により、エージェントベースの検出機能は廃止されました。 現在、Defender CSPM 内でコンテナー機能を使用している場合は、コンテナー関連の攻撃パス、分析情報、インベントリなどの新しいエージェントレス機能のコンテナー関連の値を引き続き受け取るために、関連する拡張機能が有効になっていることを確認してください。 (拡張機能を有効にした場合の影響を確認するには、最大 24 時間かかる場合があります)。
詳細については、「エージェントレス コンテナー態勢」をご覧ください。
2023 年 5 月
3 月の更新プログラムには次のものが含まれます。
- Defender for Key Vault の新しいアラート。
- AWS での暗号化されたディスクのエージェントレス スキャンのサポート。
- Defender for Cloud での JIT (Just-In-Time) 規則の名前付け規則の変更。
- 選択した AWS リージョンのオンボード。
- ID に関する推奨事項の変更。
- コンプライアンス ダッシュボードでのレガシ標準の廃止。
- Azure DevOps スキャン結果を含むように、2 つの Defender for DevOps の推奨事項を更新しました。
- Defender for Servers 脆弱性評価ソリューションの新しい既定の設定。
- クラウド セキュリティ エクスプローラーのクエリ結果 (プレビュー) の CSV レポートをダウンロードする機能。
- Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価のリリース。
- Qualys を利用したコンテナーの推奨事項の名前変更。
- Defender for DevOps GitHub アプリケーションの更新。
- コード構成にインフラストラクチャが含まれるようになった Azure DevOps リポジトリの Defender for DevOps Pull Request 注釈に変更します。
Defender for Key Vault の新しいアラート
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| 疑わしい IP (Microsoft 以外または外部) からのキー コンテナーへの異常なアクセス (KV_UnusualAccessSuspiciousIP) |
ユーザーまたはサービス プリンシパルが過去 24 時間以内に Microsoft 以外の IP からキー コンテナーに異常なアクセスを試みました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
使用可能なすべてのアラートについては、「Azure Key Vault のアラート」を参照してください。
エージェントレス スキャンで、AWS で暗号化されたディスクがサポートされるようになりました
VM のエージェントレス スキャンでは、CMK と PMK の両方を使用した、AWS の暗号化されたディスクを持つインスタンスの処理がサポートされるようになりました。
この延長サポートにより、実行中のワークロードに影響を与えることなく、クラウド資産のカバレッジと可視性が向上します。 暗号化ディスクのサポートにより、実行中のインスタンスに対して同じ影響ゼロのメソッドが維持されます。
- AWS でエージェントレス スキャンを有効にする新規の顧客の場合 - 暗号化されたディスク カバレッジが既定で組み込まれており、サポートされています。
- エージェントレス スキャンが有効になっている AWS コネクタが既にある既存の顧客の場合は、CloudFormation スタックをオンボードされた AWS アカウントに再適用して、暗号化されたディスクを処理するために必要な新しいアクセス許可を更新して追加する必要があります。 更新された CloudFormation テンプレートには、Defender for Cloud が暗号化されたディスクを処理できるようにする新しい割り当てが含まれています。
AWS インスタンスのスキャンに使用されるアクセス許可の詳細を確認できます。
CloudFormation スタックを再適用するには:
- Defender for Cloud の環境設定に移動し、AWS コネクタを開きます。
- [アクセスの構成] タブに移動します。
- [クリックして CloudFormation テンプレートをダウンロードする] を選択します。
- AWS 環境に移動し、更新されたテンプレートを適用します。
AWS でのエージェントレス スキャンとエージェントレス スキャンの有効化の詳細については、こちらを参照してください。
Defender for Cloud で JIT (Just-In-Time) 規則の名前付け規則が改訂されました
Microsoft Defender for Cloud ブランドに合わせて JIT (Just-In-Time) 規則を改訂しました。 Azure Firewall および NSG (ネットワーク セキュリティ グループ) 規則の名前付け規則を変更しました。
変更の一覧は次のとおりです。
| 説明 | 古い名前 | New Name |
|---|---|---|
| NSG (ネットワーク セキュリティ グループ) の JIT ルール名 (許可と拒否) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| NSG での JIT ルールの説明 | ASC JIT ネットワーク アクセス規則 | MDC JIT ネットワーク アクセス規則 |
| JIT ファイアウォール規則のコレクション名 | ASC-JIT | MDC-JIT |
| JIT ファイアウォール規則の名前 | ASC-JIT | MDC-JIT |
Just-In-Time アクセスを使用して管理ポートをセキュリティで保護する方法を参照してください。
選択した AWS リージョンをオンボードする
AWS CloudTrail のコストとコンプライアンスのニーズを管理するために、クラウド コネクタを追加または編集するときにスキャンする AWS リージョンを選択できるようになりました。 AWS アカウントを Defender for Cloud にオンボードするときに、選択した特定の AWS リージョンまたは使用可能なすべてのリージョン (既定値) をスキャンできるようになりました。 詳細については、「AWS アカウントを Microsoft Defender for Cloud に接続する」を参照してください。
ID の推奨事項に対する複数の変更
次のレコメンデーションは、一般提供 (GA) としてリリースされ、現在非推奨になっている V1 レコメンデーションに置き換わるものです。
ID レコメンデーション V2 の一般提供 (GA) リリース
ID レコメンデーションの V2 リリースでは、次の機能強化が導入されています。
- スキャンのスコープは、サブスクリプションだけでなく、すべての Azure リソースを含むように拡張されています。 これにより、セキュリティ管理者はアカウントごとにロールの割り当てを表示できます。
- 特定のアカウントを評価から除外できるようになりました。 セキュリティ管理者は、非常用などのアカウントやサービス アカウントを除外できます。
- スキャン頻度が 24 時間から 12 時間に増加したため、ID のレコメンデーションがより最新かつ正確になります。
次のセキュリティ レコメンデーションは GA として使用できます。V1 のレコメンデーションはこれらのレコメンデーションに置き換えられます。
| 推奨 | 評価キー |
|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
ID レコメンデーション V1 は非推奨に設定
次のセキュリティに関するレコメンデーションは廃止されました。
| 推奨 | 評価キー |
|---|---|
| サブスクリプションに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| サブスクリプションに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| サブスクリプションに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| 所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| 書き込みアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| 読み取りアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| 所有者のアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 | e52064aa-6853-e252-a11e-dffc675689c2 |
| 非推奨のアカウントはサブスクリプションから削除する必要がある | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
V2 のレコメンデーションに対応するように、カスタム スクリプト、ワークフロー、ガバナンス ルールを更新することをお勧めします。
コンプライアンス ダッシュボードでのレガシ標準の廃止
レガシ PCI DSS v3.2.1 およびレガシ SOC TSP は、Defender for Cloud コンプライアンス ダッシュボードで完全に非推奨となり、SOC 2 Type 2イニシアチブおよび PCI DSS v4 イニシアチブベースのコンプライアンス標準に置き換えられました。 21Vianet によって運営される Microsoft Azure での PCI DSS 標準/イニシアティブのサポートは完全に非推奨になりました。
方法については、「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」を参照してください。
2 つの Defender for DevOps のレコメンデーションに、Azure DevOps スキャンの結果が含まれるようになりました
Defender for DevOps Code と IaC では、Microsoft Defender for Cloud のレコメンデーションの範囲が拡張され、次の 2 つのレコメンデーションに関する Azure DevOps セキュリティの調査結果が含められるようになりました。
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
以前は、Azure DevOps セキュリティ スキャンの対象範囲には、シークレットのレコメンデーションのみが含まれていました。
Defender for DevOps についてさらに学習します。
Defender for Servers 脆弱性評価ソリューションの新しい既定の設定
脆弱性評価 (VA) ソリューションは、サイバー攻撃やデータ侵害からマシンを保護するために不可欠です。
Microsoft Defender 脆弱性の管理は、まだ VA ソリューションが選択されていない Defender for Servers によって保護されているすべてのサブスクリプションに対して、既定の組み込みソリューションとして有効になりました。
サブスクリプションの VM で VA ソリューションが有効になっている場合、変更は行われず、Microsoft Defender 脆弱性の管理は、そのサブスクリプション内の再メイン VM では既定では有効になりません。 サブスクリプションの残りの VM で VA ソリューションを有効にすることを選択できます。
エージェントレス スキャンで脆弱性を見つけてソフトウェア インベントリを収集する (プレビュー) 方法について説明します。
クラウド セキュリティ エクスプローラーのクエリ結果の CSV レポートをダウンロードする (プレビュー)
Defender for Cloud では、クラウド セキュリティ エクスプローラーのクエリ結果の CSV レポートをダウンロードする機能が追加されました。
クエリの検索を実行した後、Defender for Cloud の [クラウド セキュリティ エクスプローラー] ページから [Download CSV report (Preview)] (CSV レポートのダウンロード (プレビュー)) ボタンを選択できます。
クラウド セキュリティ エクスプローラーを使用してクエリを作成する方法を確認します
Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価のリリース
Defender CSPM のMicrosoft Defender 脆弱性の管理を利用した Azure コンテナー レジストリの Linux イメージに対する脆弱性評価のリリースが発表されます。 このリリースには、イメージの日次スキャンが含まれます。 セキュリティ エクスプローラーと攻撃パスで使用される結果は、Qualys スキャナーではなく、Microsoft Defender 脆弱性評価に依存します。
既存の推奨事項 Container registry images should have vulnerability findings resolved は、新しい推奨事項に置き換えられます。
| 推奨 | Description | 評価キー |
|---|---|---|
| コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Microsoft Defender 脆弱性の管理) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | dbd0cb49-b563-45e7-9724-889e799fa648 は c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 に置き換えられます。 |
Defender CSPM でのエージェントレス コンテナーの体制の詳細について説明します。
詳細については、Microsoft Defender 脆弱性の管理を参照してください。
Qualys を利用したコンテナー推奨事項の名称変更
Defender for Containers における現在のコンテナー推奨事項の名称が次のように変更されます。
| 推奨 | Description | 評価キー |
|---|---|---|
| コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | 41503391-efa5-47ee-9282-4eff6131462c |
Defender for DevOps GitHub アプリケーションの更新
Microsoft Defender for DevOps では変更や更新を絶えず行っており、これにより、Defender for Cloud で GitHub 環境をオンボードした Defender for DevOps のお客様は、GitHub 組織にデプロイされたアプリケーションの一部としてアクセス許可を提供する必要があります。 これらのアクセス許可は、Defender for DevOps のすべてのセキュリティ機能が正常に問題なく動作するために必要です。
Defender for DevOps の使用可能な全機能への継続的なアクセスを確保するために、できるだけ早くアクセス許可を更新することをお勧めします。
アクセス許可は、次の 2 つの異なる方法で付与できます。
自分の組織で、[GitHub アプリ] を選択します。 自分の組織を見つけて、[Review request] (要求の確認) を選択します。
GitHub サポートから自動メールが届きます。 電子メールで、[Review permission request to accept or reject this change] (この変更を承認または却下するためにアクセス許可要求を確認する) を選択しします。
これらのオプションのいずれかに従うと、確認画面に移動し、そこで要求を確認する必要があります。 [Accept new permissions] (新しいアクセス許可を受け入れる) を選択して要求を承認します。
アクセス許可の更新に関するサポートが必要な場合は、Azure サポート リクエストを作成できます。
Defender for DevOps について詳細を確認することもできます。 サブスクリプションの VM で VA ソリューションが有効になっている場合、変更は行われず、Microsoft Defender 脆弱性の管理は、そのサブスクリプション内の再メイン VM では既定では有効になりません。 サブスクリプションの残りの VM で VA ソリューションを有効にすることを選択できます。
エージェントレス スキャンで脆弱性を見つけてソフトウェア インベントリを収集する (プレビュー) 方法について説明します。
Azure DevOps リポジトリの Defender for DevOps の pull request 注釈に、コードとしてのインフラストラクチャの構成ミスが含まれるようになりました
Defender for DevOps では、Azure DevOps の pull request (PR) 注釈のカバレッジが拡張され、Azure Resource Manager および Bicep テンプレートで検出されたコードとしてのインフラストラクチャ (IaC) の構成ミスが含まれるようになりました。
開発者は、IaC の構成ミスの注釈を PR で直接確認できるようになりました。 開発者は、インフラストラクチャがクラウド ワークロードにプロビジョニングされる前に、重大なセキュリティの問題を修復することもできます。 修復を簡略化するため、開発者には、重大度レベル、構成ミスの説明、各注釈内の修復手順が用意されています。
以前は、Azure DevOps の Defender for DevOps PR 注釈のカバレッジにはシークレットのみが含まれていました。
詳細については、Defender for DevOps と pull request 注釈に関する各ページをご覧ください。
2023 年 4 月
4 月の更新プログラムには次のものが含まれます。
- Defender CSPM のエージェントレス コンテナー態勢 (プレビュー)
- 統合ディスク暗号化に関する推奨事項 (新しいプレビュー機能)
- 推奨事項 "マシンを安全に構成する必要がある" の変更
- App Service 言語監視ポリシーの非推奨
- Resource Manager 用 Defender の新しいアラート
- Resource Manager 用 Defender プランの 3 つのアラートが非推奨になりました
- Log Analytics ワークスペースへのアラートの自動エクスポートが非推奨になりました
- Windows および Linux サーバー用に選択したアラートの非推奨と改善
- Azure Data Services の新しい Azure Active Directory 認証関連のレコメンデーション
- 不足しているオペレーティング システム (OS) 更新プログラムに関連する 2 つの推奨事項が GA にリリースされました
- Defender for API (プレビュー)
Defender CSPM のエージェントレス コンテナー態勢 (プレビュー)
新しいエージェントレス コンテナー態勢 (プレビュー) の機能は、Defender CSPM (クラウド セキュリティ態勢管理) プランの一部として使用できます。
エージェントレス コンテナー態勢を使用すると、セキュリティ チームはコンテナーと Kubernetes 領域のセキュリティ リスクを特定できます。 エージェントレスのアプローチにより、セキュリティ チームは、SDLC とランタイム全体で Kubernetes とコンテナーのレジストリを可視化し、ワークロードから摩擦とフットプリントを排除できます。
エージェントレス コンテナー態勢では、コンテナーの脆弱性評価が提供され、攻撃パス分析と組み合わせることで、セキュリティ チームが特定のコンテナーの脆弱性に優先順位を付けて集中することができます。 また、クラウド セキュリティ エクスプローラーを使用して、リスクを明らかにし、脆弱なイメージを実行しているアプリケーションやインターネットに公開されているアプリケーションの検出など、コンテナー態勢の分析情報を追求することもできます。
「エージェントレス コンテナー態勢 (プレビュー)」で詳細をご覧ください。
統合ディスク暗号化に関する推奨事項 (プレビュー)
プレビューでは、新しい統合ディスク暗号化の推奨事項があります。
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
これらの推奨事項により、Azure Disk Encryption を検出した Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources と、EncryptionAtHost を検出したポリシー Virtual machines and virtual machine scale sets should have encryption at host enabled が置き換えられます。 ADE と EncryptionAtHost は、同等の保存時の暗号化を提供するため、すべての仮想マシンでこれらの 1 つを有効にすることをお勧めします。 新しい推奨事項では、ADE と EncryptionAtHost のどちらか一方が有効かどうかを検出し、どちらも有効でない場合にのみ警告します。 また、ADE が VM のすべてのディスクではなく、一部で有効になっている場合も警告します (この条件は EncryptionAtHost には適用されません)。
新しい推奨事項には、Azure Automanage マシン構成が必要です。
これらの推奨事項は、次のポリシーに基づいています。
- (プレビュー) Windows 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります
- (プレビュー) Linux 仮想マシンでは、Azure Disk Encryption か EncryptionAtHost を有効にする必要があります
詳しくは、ADE および EncryptionAtHost の概要と、そのうちの 1 つを有効にする方法に関する記事を参照してください。
推奨事項 "マシンを安全に構成する必要がある" の変更
推奨事項 Machines should be configured securely が更新されました。 この更新プログラムにより、推奨事項のパフォーマンスと安定性が向上し、そのエクスペリエンスが Defender for Cloud の推奨事項の一般的な動作と揃うようになります。
この更新プログラムの一環として、推奨事項の ID が 181ac480-f7c4-544b-9865-11b8ffe87f47 から c476dc48-8110-4139-91af-c8d940896b98 に変更されました。
お客様側でのアクションは必要ありません。また、セキュリティ スコアへの予期される影響はありません。
App Service 言語監視ポリシーの非推奨
次の App Service 言語監視ポリシーは、偽陰性が生成され、セキュリティの向上につながらないため、非推奨になりました。 必ず、既知の脆弱性がない言語バージョンを使用してください。
| ポリシー名 | ポリシー ID |
|---|---|
| Java を使用する App Service アプリでは最新の 'Java バージョン' を使用する必要がある | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Python を使用する App Service アプリでは、最新の 'Python バージョン' を使用する必要がある | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Java を使用する関数アプリは最新の 'Java バージョン' を使用する必要がある | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Python を使用する関数アプリでは、最新の 'Python バージョン' を使用する必要がある | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| PHP を使用する App Service アプリでは、最新の 'PHP バージョン' を使用する必要がある | 7261b898-8a84-4db8-9e04-18527132abb3 |
お客様は、代わりの組み込みポリシーを使用して、App Services 用に指定されたどの言語バージョンでも監視できます。
これらのポリシーは、Defender for Cloud の組み込みの推奨事項では使用できなくなりました。 これらをカスタムの推奨事項として追加し、Defender for Cloud に監視させることができます。
Resource Manager 用 Defender の新しいアラート
Resource Manager 用 Defender には、次の新しいアラートが含まれます。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| プレビュー - 検出されたコンピューティング リソースの疑わしい作成 (ARM_SuspiciousComputeCreation) |
Microsoft Defender for Resource Manager によって、Virtual Machines/Azure スケール セットを使用しているサブスクリプション内で疑わしい方法で作成されたコンピューティング リソースが特定されました。 特定された操作は、必要に応じて新しいリソースをデプロイすることで管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターがこのような操作を利用して、暗号資産マイニングを行う可能性があります。 コンピューティング リソースのスケールは、サブスクリプションで以前に確認されたよりも高いため、アクティビティは疑わしいと見なされます。 これは、プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 |
影響 | Medium |
Resource Manager で使用可能なすべてのアラートの一覧を確認できます。
Resource Manager 用 Defender プランの 3 つのアラートが非推奨になりました
Resource Manager 用 Defender プランの次の 3 つのアラートが非推奨になりました。
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
疑わしい IP アドレスからのアクティビティが検出されたシナリオでは、Resource Manager 用 Defender プランのアラート Azure Resource Manager operation from suspicious IP address または Azure Resource Manager operation from suspicious proxy IP address のいずれかが存在します。
Log Analytics ワークスペースへのアラートの自動エクスポートが非推奨になりました
Defender for Cloud のセキュリティ アラートは、リソース レベルで既定の Log Analytics ワークスペースに自動的にエクスポートされます。 これにより、不確定な動作が発生するため、この機能は非推奨になりました。
代わりに、連続エクスポートを使用して、セキュリティ アラートを専用の Log Analytics ワークスペースにエクスポートできます。
Log Analytics ワークスペースへのアラートの連続エクスポートを既に構成している場合、追加の操作は必要ありません。
Windows および Linux サーバー用に選択したアラートの非推奨と改善
Defender for Servers のセキュリティ アラート品質向上プロセスには、Windows と Linux の両方のサーバーに対する一部のアラートの非推奨が含まれています。 非推奨になったアラートは、Defender for Endpoint の脅威アラートから提供され、カバーされるようになります。
Defender for Endpoint 統合が既に有効になっている場合は、それ以上の操作は必要ありません。 2023 年 4 月にアラートの量が減少する可能性があります。
Defender for Servers で Defender for Endpoint 統合を有効にしていない場合は、Defender for Endpoint 統合を有効にして、アラート対象を維持および改善する必要があります。
すべての Defender for Servers のお客様は、Defender for Servers プランの一部として Defender for Endpoint の統合へのフル アクセス権を持ちます。
Microsoft Defender for Endpoint オンボード オプションの詳細をご確認ください。
非推奨に設定されているアラートの全一覧を表示することもできます。
Microsoft Defender for Cloud ブログを参照してください。
Azure Data Services の新しい Azure Active Directory 認証関連のレコメンデーション
Azure Data Services についての 4 つの新しい Azure Active Directory 認証の推奨事項を追加しました。
| レコメンデーションの名前 | レコメンデーションの説明 | ポリシー |
|---|---|---|
| Azure SQL Managed Instance で Azure Active Directory 専用認証を有効にする必要がある | ローカル認証方法を無効にし、Azure Active Directory 認証のみを許可すると、Azure SQL Managed Instances に Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。 | Azure SQL Managed Instance で Azure Active Directory 専用認証を有効にする必要がある |
| Azure Synapse Analytics ワークスペースで Azure Active Directory 専用認証を有効にする必要がある | 認証方法として Azure Active Directory のみ使用すると、Synapse ワークスペースで、認証に Azure AD ID のみが要求されるようになるため、セキュリティが向上します。 詳細については、こちらを参照してください。 | Synapse ワークスペースでは、認証に Azure Active Directory identities のみを使用する必要がある |
| Azure Database for MySQL に対して Azure Active Directory の管理者をプロビジョニングする必要がある | 自分の SQL データベースに Azure AD 管理者をプロビジョニングして、Azure AD 認証を有効にします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | MySQL サーバーに対して Azure Active Directory 管理者をプロビジョニングする必要がある |
| Microsoft Azure Active Directory 管理者がプロビジョニングされている必要があるAzure Database for PostgreSQL | Azure Database for PostgreSQL に Azure AD 管理者をプロビジョニングして、Azure AD 認証を有効にします。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます | PostgreSQL サーバーに対して Azure Active Directory 管理者をプロビジョニングする必要がある |
不足しているオペレーティング システム (OS) 更新プログラムに関連する 2 つの推奨事項が GA にリリースされました
System updates should be installed on your machines (powered by Azure Update Manager) と Machines should be configured to periodically check for missing system updates の推奨事項が一般提供向けにリリースされました。
新しい推奨事項を使うには、次のようにする必要があります。
- Azure 以外のマシンを Arc に接続します。
- 定期評価プロパティを有効にします。 [修正] ボタンを使用できます。
新しい推奨事項
Machines should be configured to periodically check for missing system updatesで、推奨事項を修正できます。
これらの手順を完了したら、Azure ポリシーで Defender for Cloud の組み込みイニシアチブから無効にすることで、古い推奨事項 System updates should be installed on your machines を削除できます。
推奨事項の 2 つのバージョン:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
どちらも、2024 年 8 月 31 日に Log Analytics エージェントが非推奨になるまで使用できます。この場合、以前のバージョン (System updates should be installed on your machines) の推奨事項も非推奨になります。 どちらの推奨事項も同じ結果を返し、同じ制御下 Apply system updates で使用できます。
新しい推奨事項 System updates should be installed on your machines (powered by Azure Update Manager) には、[修正] ボタンを使って使用できる修復フローがあります。これを使うと、Update Manager (プレビュー) を通じて結果を修復できます。 この修復プロセスはまだプレビュー段階です。
新しい推奨事項 System updates should be installed on your machines (powered by Azure Update Manager) は、古い推奨事項 System updates should be installed on your machines と同じ結果になるため、セキュリティ スコアには影響しません。
前提条件のレコメンデーション (定期評価プロパティを有効にする) は、セキュリティ スコアに悪影響を及ぼします。 使用可能な [修正] ボタンで、その悪影響を修復できます。
Defender for API (プレビュー)
Microsoft の Defender for Cloud は、新しい Defender for API がプレビューで利用可能になったと発表しています。
Defender for API は、API のライフサイクル保護、検出、応答の完全なカバレッジを提供します。
Defender for APIs は、ビジネスクリティカルな API を可視化するのに役立ちます。 API のセキュリティ態勢の調査と改善、脆弱性の修正の優先度付け、アクティブなリアルタイムの脅威のすばやい検出を可能にします。
Defender for API の詳細について確認してください。
2023 年 3 月
3 月の更新プログラムには次のものが含まれます。
- ほぼリアルタイムのマルウェア スキャンや機密データの脅威検出を含む、新しい Defender for Storage プランを利用できます
- データ対応セキュリティ態勢 (プレビュー)
- 既定の Azure セキュリティ ポリシー管理のエクスペリエンス向上
- Defender CSPM (クラウド セキュリティ態勢管理) が一般提供 (GA) になりました
- Microsoft Defender for Cloud でカスタムの推奨事項とセキュリティ標準を作成するオプション
- Microsoft クラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般提供 (GA) になりました
- 一部の規制コンプライアンス標準が政府機関のクラウドで利用可能に
- Azure SQL Server の新しいプレビューに関するレコメンデーション
- Defender for Key Vault の新しいアラート
ほぼリアルタイムのマルウェア スキャンや機密データの脅威検出を含む、新しい Defender for Storage プランを利用できます
クラウド ストレージは組織で重要な役割を果たし、大量の貴重で機密性の高いデータを保存します。 本日、新しい Defender for Storage のプランをお知らせします。 以前のプラン (名前が "Defender for Storage (クラシック)" に変更されました) を使用している場合は、新しい機能と利点を使用するために、明示的に新しいプランに移行する必要があります。
新しいプランには、悪意のあるファイルのアップロード、機密データの流出、データの破損からの保護に役立つ高度なセキュリティ機能が含まれています。 また、対象とコストをより適切に管理するための、より予測可能で柔軟性の高い価格構造が備わっています。
新しいプランには、現在パブリック プレビュー段階の新機能があります。
機密データの露出および流出イベントの検出
すべてのファイルの種類でほぼリアルタイムの BLOB アップロード時マルウェア スキャン
SAS トークンを使用した、ID のないエンティティの検出
これらの機能を使用すると、侵害の早期兆候を特定するためのコントロールおよびデータ プレーンのログ分析と行動モデリングに基づいて、既存のアクティビティ監視機能が強化されます。
これらの機能はすべて、サブスクリプションとリソースの両方のレベルでデータ保護をきめ細かく制御できる新しい予測可能で柔軟な価格プランで利用できます。
詳細については、「Microsoft Defender for Storage の概要」を参照してください。
データ対応セキュリティ態勢 (プレビュー)
Microsoft Defender for Cloud は、セキュリティ チームがクラウド内のリスクを軽減し、データ侵害に対応する際により成果を上げるのに役立ちます。 これにより、データ コンテキストを使用してノイズをカットし、最も重要なセキュリティ リスクを優先することができ、損害の大きいデータ侵害を防止できます。
- クラウド資産全体でデータ リソースを自動的に検出し、それらのアクセシビリティ、データの機密性、構成されたデータ フローを評価します。 - 機密データ リソースのデータ侵害や、横移動手法を使用してデータ リソースにつながる可能性がある露出または攻撃パスに対するリスクを継続的に明らかにします。
- 機密データ リソースに対する進行中の脅威を示しているおそれがある疑わしいアクティビティを検出します。
データ対応セキュリティ態勢の詳細について確認してください。
既定の Azure セキュリティ ポリシー管理のエクスペリエンス向上
Defender for Cloud のお客様がセキュリティ要件を微調整する方法を簡略化する組み込みの推奨事項い対して、改善された Azure セキュリティ ポリシー管理エクスペリエンスを導入します。 新しいエクスペリエンスには、次の新機能が含まれています。
- シンプルなインターフェイスにより、Defender for Cloud 内で既定のセキュリティ ポリシーを管理するときのパフォーマンスとエクスペリエンスが向上します。
- Microsoft クラウド セキュリティ ベンチマーク (旧称 Azure セキュリティ ベンチマーク) によって提供されるすべての組み込みのセキュリティに関する推奨事項の単一ビュー。 推奨事項は論理グループにまとめられているので、対象となるリソースの種類と、パラメーターと推奨事項の関係が理解しやすくなります。
- フィルターや検索などの新機能が追加されました。
セキュリティ ポリシーを管理する方法について確認してください。
Microsoft Defender for Cloud ブログを参照してください。
Defender CSPM (クラウド セキュリティ態勢管理) が一般提供 (GA) になりました
Defender CSPM が一般提供 (GA) になったことをお知らせします。 Defender CSPM は、基本的な CSPM 機能の下で利用できるすべてのサービスを提供し、次の利点をもたらします。
- 攻撃パス分析と ARG API - 攻撃パス分析は、グラフ ベースのアルゴリズムを使用します。これは、クラウド セキュリティ グラフをスキャンして、攻撃パスを明らかにし、攻撃パスを遮断して侵害の成功を防ぐための最適な問題修復方法に関する推奨事項を提案します。 Azure Resource Graph (ARG) API に対してクエリを実行して、攻撃パスをプログラムで使用することもできます。 攻撃パス分析を使用する方法について確認してください
- クラウド セキュリティ エクスプローラー - クラウド セキュリティ エクスプローラーを使用して、クラウド セキュリティ グラフでグラフ ベースのクエリを実行し、マルチクラウド環境のセキュリティ リスクを事前に特定します。 クラウド セキュリティ エクスプローラーの詳細について確認してください。
Defender CSPM の詳細を確認してください。
Microsoft Defender for Cloud でカスタムの推奨事項とセキュリティ標準を作成するオプション
Microsoft Defender for Cloud には、KQL クエリを使用して AWS や GCP 用のカスタム推奨事項と標準を作成するオプションが用意されています。 クエリ エディターを使用して、データに対するクエリの作成とテストを行えます。 この機能は、Defender CSPM (クラウド セキュリティ態勢管理) プランの一部です。 カスタムの推奨事項と標準を作成する方法について確認してください。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般提供 (GA) になりました
Microsoft Defender for Cloud で、Microsoft クラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般公開 (GA) になったことをお知らせします。
MCSB バージョン 1.0 は、Azure セキュリティ ベンチマーク (ASB) バージョン 3 を Defender for Cloud の既定のセキュリティ ポリシーとして置き換えます。 MCSB バージョン 1.0 は、コンプライアンス ダッシュボードの既定のコンプライアンス標準として表示され、すべての Defender for Cloud のお客様に対して既定で有効になっています。
また、クラウド セキュリティの取り組みで成果を出すために Microsoft クラウド セキュリティ ベンチマーク (MCSB) を役立てる方法を知ることもできます。
MCSB の詳細について確認してください。
一部の規制コンプライアンス標準が政府機関のクラウドで利用可能に
21Vianet が運営する Azure Government および Microsoft Azure のお客様向けに、これらの標準を更新しています。
Azure Government:
21Vianet によって運営される Microsoft Azure:
方法については、「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」を参照してください。
Azure SQL Server の新しいプレビューに関するレコメンデーション
Azure SQL Server 向けに新しい推奨事項 Azure SQL Server authentication mode should be Azure Active Directory Only (Preview) が追加されました。
レコメンデーションは、既存のポリシー Azure SQL Database should have Azure Active Directory Only Authentication enabled に基づいています
この推奨事項では、ローカルの認証方法を無効にし、Azure Active Directory 認証のみを許可します。これにより、Azure SQL Database に Azure Active Directory ID で排他的にアクセスできるようになるため、セキュリティが強化されます。
Azure SQL で Azure AD のみの認証を有効にしたサーバーを作成する方法について説明します。
Defender for Key Vault の新しいアラート
Defender for Key Vault には、次の新しいアラートが含まれます。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| 疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました (KV_SuspiciousIPAccessDenied) |
Microsoft 脅威インテリジェンスによって不審な IP アドレスとして識別された IP からキー コンテナーへのアクセスが試行され失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | 低 |
Key Vault で使用可能なすべてのアラートの一覧を確認できます。
2023 年 2 月
2 月の更新プログラムには次のものが含まれます。
- 強化されたクラウド セキュリティ エクスプローラー
- 実行中の Linux イメージの Defender for Containers の脆弱性スキャンが GA になりました
- AWS CIS 1.5.0 コンプライアンス標準のサポートの発表
- Microsoft Defender for DevOps (プレビュー) が他のリージョンで利用できるようになりました
- 組み込みのポリシー "[プレビュー]: キー コンテナーにはプライベート エンドポイントを構成する必要がある" は、非推奨です
強化されたクラウド セキュリティ エクスプローラー
クラウド セキュリティ エクスプローラーの改良版には、クエリの摩擦が劇的に解消され、マルチクラウドおよびマルチリソース クエリを実行する機能が追加され、各クエリ オプションのドキュメントが埋め込まれた、一新されたユーザー エクスペリエンスが含まれています。
クラウド セキュリティ エクスプローラーを使用して、リソース間でクラウド抽象クエリを実行できるようになりました。 事前に構築されたクエリ テンプレートを使用することも、カスタム検索を使用してフィルターを適用してクエリを作成することもできます。 クラウド セキュリティ エクスプローラーを管理する方法について説明します。
実行中の Linux イメージの Defender for Containers の脆弱性スキャンが GA になりました
Defender for Containers は、実行中のコンテナーの脆弱性を検出します。 Windows と Linux の両方のコンテナーがサポートされます。
2022 年 8 月に、この機能は Windows と Linux 向けにプレビューでリリースされました。 Linux の一般提供 (GA) 用にリリースする予定です。
脆弱性が検出されると、Defender for Cloud によって、スキャンの検出内容をリストした以下のセキュリティ推奨事項が生成されます (実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある)。
詳細については、「実行中のイメージの脆弱性の表示」を参照してください。
AWS CIS 1.5.0 コンプライアンス標準のサポートの発表
Defender for Cloud で、CIS Amazon Web Services Foundations v1.5.0 コンプライアンス標準がサポートされるようになりました。 この標準は規制コンプライアンス ダッシュボードに追加でき、マルチクラウドの推奨事項と標準に関する MDC の既存のオファリングに基づいています。
この新しい標準には、Defender for Cloud のカバレッジを新しい AWS サービスとリソースに拡張する既存の推奨事項と新しい推奨事項の両方が含まれています。
AWS の評価と標準を管理する方法について確認してください。
Microsoft Defender for DevOps (プレビュー) が他のリージョンで利用できるようになりました
Microsoft Defender for DevOps のプレビューが拡張され、Azure DevOps と GitHub リソースをオンボードするときに、西ヨーロッパと東オーストラリアの各リージョンで使用できるようになりました。
Microsoft Defender for DevOps の詳細を確認してください。
組み込みのポリシー "[プレビュー]: キー コンテナーにはプライベート エンドポイントを構成する必要がある" は、非推奨です
組み込みポリシー [Preview]: Private endpoint should be configured for Key Vault は非推奨となり、ポリシーに [Preview]: Azure Key Vaults should use private link 置き換えられます。
Azure Key Vault と Azure Policy の統合について説明します。
2023 年 1 月
1 月の更新プログラムには次のものが含まれます。
- Endpoint Protection (Microsoft Defender for Endpoint) コンポーネントに [Settings and monitoring] (設定と監視) ページでアクセスできるようになった
- システムの更新プログラムの不足を検索するための推奨事項の新しいバージョン (プレビュー)
- 接続された AWS および GCP アカウントで削除された Azure Arc マシンのクリーンアップ
- ファイアウォールの内側にある Event Hubs への連続エクスポートを許可する
- セキュリティ スコア コントロール Azure の高度なネットワーク ソリューションを使用したアプリケーションの保護の名前が変更されました
- ポリシー "SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある" が非推奨になりました
- Virtual Machine Scale Sets の診断ログの有効化に関する推奨事項が非推奨になりました
Endpoint Protection (Microsoft Defender for Endpoint) コンポーネントに [Settings and monitoring] (設定と監視) ページでアクセスできるようになった
エンドポイント保護にアクセスするには、[環境設定]>[Defender プラン]>[設定と監視] に移動します。 ここから、[エンドポイント保護] を [オン] に設定できます。 また、管理されている他のコンポーネントを表示することもできます。
Defender for Servers を使用したサーバーでの Microsoft Defender for Endpoint の有効化の詳細を確認してください。
システムの更新プログラムの不足を検索するための推奨事項の新しいバージョン (プレビュー)
マシンに最新のセキュリティまたは重要なシステム更新プログラムがすべて含まれていることを確認するために、Azure VM と Azure Arc マシンにエージェントを配置する必要はなくなりました。
Apply system updates コントロールでのシステム更新プログラムの新しい推奨事項 System updates should be installed on your machines (powered by Azure Update Manager) は、Update Manager (プレビュー) に基づいています。 この推奨事項は、インストールされているエージェントではなく、すべての Azure VM と Azure Arc マシンに埋め込まれたネイティブ エージェントに依存しています。 新しい推奨事項のクイック修正では、Update Manager ポータルで、不足している更新プログラムを 1 回限りインストールできます。
新しい推奨事項を使うには、次のようにする必要があります。
- Azure 以外のマシンを Arc に接続する
- 定期評価プロパティを有効にします。 新しい推奨事項
Machines should be configured to periodically check for missing system updatesのクイック修正を使って、推奨事項を修正できます。
Log Analytics エージェントに依存する既存の [システム更新プログラムをマシンにインストールする必要がある] という推奨事項は、引き続き同じ制御下で使用できます。
接続された AWS および GCP アカウントで削除された Azure Arc マシンのクリーンアップ
マシン上の Defender for Servers または Defender for SQL によってカバーされる AWS および GCP アカウントに接続されているマシンは、Defender for Cloud で Azure Arc マシンとして表されます。 これまで、マシンが AWS または GCP アカウントから削除されたとき、そのマシンはインベントリから削除されませんでした。 そのため、削除されたマシンを表す不要な Azure Arc リソースが Defender for Cloud に残ります。
接続されている AWS または GCP アカウントで Azure Arc マシンが削除されると、Defender for Cloud によってそれらのマシンが自動的に削除されるようになりました。
ファイアウォールの内側にある Event Hubs への連続エクスポートを許可する
Azure ファイアウォールによって保護されている Event Hubs への信頼されたサービスとして、アラートと推奨事項の連続エクスポートを有効にできるようになりました。
アラートまたは推奨事項が生成されたときの連続エクスポートを有効にすることができます。 また、すべての新しいデータの定期的なスナップショットを送信するスケジュールを定義できます。
Azure ファイアウォールの内側にある Event Hubs への連続エクスポートを有効にする方法を確認してください。
セキュリティ スコア コントロール Azure の高度なネットワーク ソリューションを使用したアプリケーションの保護の名前が変更されました
セキュリティ スコア コントロールが Protect your applications with Azure advanced networking solutions から Protect applications against DDoS attacks に変更されました。
更新された名前は、Azure Resource Graph (ARG)、Secure Score Controls API、Download CSV report に反映されています。
ポリシー "SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある" が非推奨になりました
ポリシー Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports は非推奨です。
Defender for SQL の脆弱性評価のメール レポートは引き続き利用でき、既存のメール構成は変更されていません。
Virtual Machine Scale Sets の診断ログの有効化に関する推奨事項が非推奨になりました
推奨事項 Diagnostic logs in Virtual Machine Scale Sets should be enabled は非推奨です。
関連するポリシー定義も、規制コンプライアンス ダッシュボードに表示されるすべての標準で非推奨になりました。
| 推奨 | Description | 重大度 |
|---|---|---|
| 仮想マシン スケール セットの診断ログを有効にする必要がある | ログを有効にし、ログを最大 1 年間保持します。これにより、セキュリティ インシデントが発生したり、ネットワークが侵害されたりした場合、調査のためにアクティビティ証跡を再作成できます。 | 低 |
2022 年 12 月
12 月の更新プログラムには次のものが含まれます。
Defender for SQL での脆弱性評価の高速構成の発表
Microsoft Defender for SQL の脆弱性評価の高速構成により、セキュリティ チームは Synapse ワークスペースの外部にある Azure SQL データベースと専用 SQL プールに対する合理化された構成エクスペリエンスが提供されます。
脆弱性評価の高速構成エクスペリエンスにより、セキュリティ チームは次のことができます。
- 顧客が管理するストレージ アカウントに対する別の設定や依存関係なしで、SQL リソースのセキュリティ構成で脆弱性評価の構成を完了します。
- データベースを再スキャンすることなく、結果の状態が異常から正常に変わるように、すぐにスキャン結果をベースラインに追加します。
- 複数のルールをベースラインに一度に追加し、最新のスキャン結果を使用します。
- サブスクリプション レベルでデータベースの Microsoft Defender をオンにして、すべての Azure SQL Server の脆弱性評価を有効にします。
Defender for SQL の脆弱性評価の詳細を確認してください。
2022 年 11 月
11 月の更新プログラムには次のものが含まれます。
- Defender for Containers を使用して GCP 組織全体でコンテナーを保護する
- サンプル アラートを使用して Defender for Containers の保護を検証する
- 大規模なガバナンス ルール (プレビュー)
- AWS と GCP (プレビュー) に関するカスタム評価を作成する機能が非推奨になりました
- Lambda 関数に対する配信不能キューの構成に関する推奨事項が非推奨になりました
Defender for Containers を使用して GCP 組織全体でコンテナーを保護する
GCP 環境で Defender for Containers を有効にして、GCP 組織全体で標準 GKE クラスターを保護できるようになりました。 Defender for Containers を有効にして新しい GCP コネクタを作成するか、既存の組織レベルの GCP コネクタで Defender for Containers を有効にします。
Defender for Cloud への GCP プロジェクトと組織の接続に関する詳細を確認してください。
サンプル アラートを使用して Defender for Containers の保護を検証する
Defender for Containers プランのサンプル アラートも作成できるようになりました。 新しいサンプル アラートは、異なる重大度と MITRE 戦術で、AKS、Arc 接続クラスター、EKS、GKE リソースからのものとして提供されます。 サンプル アラートを使って、SIEM 統合、ワークフローの自動化、メール通知などのセキュリティ アラートの構成を検証できます。
アラートの検証に関する詳細を確認してください。
大規模なガバナンス ルール (プレビュー)
Defender for Cloud で大規模なガバナンス ルール (プレビュー) を適用する新しい機能をお知らせします。
この新しいエクスペリエンスにより、セキュリティ チームではさまざまなスコープ (サブスクリプションとコネクタ) に対してガバナンス ルールを一括で定義できます。 セキュリティ チームは、Azure 管理グループ、AWS の最上位アカウント、GCP 組織などの管理スコープを使って、このタスクを実行できます。
さらに、ガバナンス ルール (プレビュー) のページには、組織の環境で有効な、すべての利用可能なガバナンス ルールが表示されます。
詳細については、新しい大規模なガバナンス ルール エクスペリエンスに関するページを参照してください。
注意
2023 年 1 月 1 日の時点で、ガバナンスによって提供される機能を体験するには、サブスクリプションまたはコネクタで Defender CSPM プランが有効になっている必要があります。
AWS と GCP (プレビュー) に関するカスタム評価を作成する機能が非推奨になりました
プレビュー機能であった、AWS アカウントと GCP プロジェクトに関するカスタム評価を作成する機能が非推奨になりました。
Lambda 関数に対する配信不能キューの構成に関する推奨事項が非推奨になりました
推奨事項 Lambda functions should have a dead-letter queue configured は非推奨です。
| 推奨 | Description | 重大度 |
|---|---|---|
| Lambda 関数には、配信不能キューが構成されている必要がある | このコントロールを使用すると、Lambda 関数に配信不能キューが構成されているかどうかをチェックできます。 このコントロールは、Lambda 関数に配信不能キューが構成されていない場合に失敗します。 失敗した場合の代替の宛先には、配信不能キューを含む関数を構成して、破棄されたイベントを保存して、さらに処理を行います。 配信不能キューは、失敗した場合の宛先での役割と同じ役割を果たします。 これは、イベントがすべての処理試行に失敗した場合、または処理されることなく期限切れになった場合に使用されます。 配信不能キューを使用すると、Lambda 関数のエラーまたは失敗した要求を振り返り、異常な動作をデバッグまたは特定することができます。 セキュリティの観点からは、関数が失敗した理由を把握することや、関数によってデータが削除されたり、データ セキュリティの侵害が発生したりする結果とならないようにすることが重要です。 たとえば、関数で、基になるリソースと通信できない場合は、ネットワークのどこかでサービス拒否 (DoS) 攻撃が発生している兆候を示している可能性があります。 | Medium |
2022 年 10 月
10 月の更新プログラムには次のものが含まれます。
- Microsoft クラウド セキュリティ ベンチマークの発表
- Defender for Cloud での攻撃パス分析とコンテキスト セキュリティ機能 (プレビュー)
- Azure および AWS マシンのエージェントレス スキャン (プレビュー)
- Defender for DevOps (プレビュー)
- 規制コンプライアンス ダッシュボードで、Microsoft のコンプライアンスの状態に関する手動のコントロール管理と詳細情報がサポートされるようになりました
- 自動プロビジョニングの名前が 設定 > 監視に変更され、エクスペリエンスが更新されました
- Defender クラウド セキュリティ態勢管理 (CSPM) (プレビュー)
- MITRE ATT&CK フレームワーク マッピングは、AWS と GCP のセキュリティに関する推奨事項でも使用できるようになりました
- Defender for Containers で Elastic Container Registry の脆弱性評価がサポートされるようになりました (プレビュー)
Microsoft クラウド セキュリティ ベンチマークの発表
Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、一般的な業界標準とコンプライアンス フレームワークに基づく基本的なクラウド セキュリティ原則が定義されている新しいフレームワークです。 それと共に、クラウド プラットフォーム間でこれらのベスト プラクティスを実装するための詳細な技術ガイダンスです。 MCSB は、Azure セキュリティ ベンチマークを置き換えます。 MCSB は、クラウドに依存しないセキュリティの推奨事項を複数のクラウド サービス プラットフォームに実装する方法について、規範的な詳細を提供するもので、最初は Azure と AWS を対象とします。
1 つの統合ダッシュボードで、クラウドごとのクラウド セキュリティ コンプライアンス態勢を監視できるようになりました。 Defender for Cloud の規制コンプライアンス ダッシュボードに移動すると、MCSB が既定のコンプライアンス標準として表示されます。
Defender for Cloud をオンボードすると、Microsoft クラウド セキュリティ ベンチマークが Azure サブスクリプションと AWS アカウントに自動的に割り当てられます。
Microsoft クラウド セキュリティ ベンチマークの詳細をご覧ください。
Defender for Cloud での攻撃パス分析とコンテキスト セキュリティ機能 (プレビュー)
Defender for Cloud でプレビューで、新しいクラウド セキュリティ グラフ、攻撃パス分析、コンテキストに応じたクラウド セキュリティ機能を利用できるようになりました。
セキュリティ チームが現在直面している最大の課題の 1 つは、日常的に直面するセキュリティ問題の数です。 解決する必要がある多くのセキュリティ問題があり、それらすべてに対処するのに十分なリソースはありません。
Defender for Cloud の新しいクラウド セキュリティ グラフと攻撃パス分析機能により、セキュリティ チームは各セキュリティ問題の背後にあるリスクを評価できます。 セキュリティ チームは、最も早く解決する必要がある最も高リスクの問題を特定することもできます。 Defender for Cloud は、セキュリティ チームと連携して、環境に影響を与える侵害のリスクを最も効果的な方法で軽減します。
新しいクラウド セキュリティ グラフ、攻撃パス分析、クラウド セキュリティ エクスプローラーの詳細をご覧ください。
Azure および AWS マシンのエージェントレス スキャン (プレビュー)
これまで、Defender for Cloud による VM の態勢評価は、エージェント ベースのソリューションに基づいていました。 お客様が対象範囲を最大化し、オンボードと管理の摩擦を軽減できるように、VM を対象にしたエージェントレス スキャンをプレビュー用にリリースします。
VM のエージェントレス スキャンを使用すると、インストールされているソフトウェアとソフトウェアの CVE を広範囲にわたって把握できます。 エージェントのインストールとメンテナンス、ネットワーク接続の要件、ワークロードに対するパフォーマンスの影響の課題なしで、可視性を得られます。 分析はMicrosoft Defender 脆弱性の管理によって行われます。
エージェントレス脆弱性スキャンは、Defender のクラウド セキュリティ態勢管理 (CSPM) と Defender for Servers P2 の両方で使用でき、AWS と Azure VM のネイティブ サポートが提供されます。
Defender for DevOps (プレビュー)
Microsoft Defender for Cloud を使うと、Azure、AWS、Google、オンプレミスのリソースなど、ハイブリッドとマルチクラウドの環境全体で、包括的な可視性、態勢管理、脅威保護を実現できます。
新しい Defender for DevOps プランでは、GitHub や Azure DevOps などのソース コード管理システムが Defender for Cloud に統合されます。 この新しい統合により、セキュリティ チームはコードからクラウドまでのリソースを保護できます。
Defender for DevOps を使用すると、接続されている開発環境とコード リソースを可視化して管理できます。 現時点では、Azure DevOps と GitHub システムを Defender for Cloud に接続し、DevOps リポジトリをインベントリと新しい DevOps セキュリティ ページにオンボードできます。 統合された DevOps セキュリティ ページに存在する検出されたセキュリティの問題の大まかな概要が、セキュリティ チームに提供されます。
プル要求に注釈を構成して、開発者がプル要求で直接 Azure DevOps の結果をスキャンするシークレットに対処できるようにすることができます。
Azure Pipelines と GitHub ワークフローで Microsoft Security DevOps ツールを構成して、次のセキュリティ スキャンを有効にできます。
| 名前 | Language | ライセンス |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | バイナリ – Windows、ELF | MIT ライセンス |
| ESlint | JavaScript | MIT ライセンス |
| CredScan (Azure DevOps のみ) | Credential Scanner (CredScan とも呼ばれます) は、Microsoft によって開発および管理されているツールであり、ソース コードや構成ファイルなどでの一般的な種類の資格情報 (既定のパスワード、SQL 接続文字列、秘密キーを含む証明書) の漏洩を識別します。 | オープンソースではない |
| テンプレート分析 | ARM テンプレート、Bicep ファイル | MIT ライセンス |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation | Apache License 2.0 |
| Trivy | コンテナー イメージ、ファイル システム、Git リポジトリ | Apache License 2.0 |
DevOps で次の新しい推奨事項を利用できるようになりました。
| 推奨 | Description | 重大度 |
|---|---|---|
| (プレビュー) コード リポジトリでコード スキャンの検出結果を解決する必要がある | Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) | Medium |
| (プレビュー) コード リポジトリでシークレット スキャンの検出結果を解決する必要がある | Defender for DevOps によって、コード リポジトリでシークレットが検出されました。 セキュリティ侵害を防ぐために、ただちにこれを修復する必要があります。 リポジトリで検出されたシークレットは、漏洩する可能性や、敵対者が見つける可能性があり、それによってアプリケーションやサービスが侵害される可能性があります。 Azure DevOps では、Microsoft Security DevOps CredScan ツールによって、このツールが実行されるように構成されているビルドのみがスキャンされます。 そのため、リポジトリ内のシークレットの完全な状態が結果に反映されていない場合があります。 (関連ポリシーはありません) | 高 |
| (プレビュー) コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある | Defender for DevOps によって、コード リポジトリで脆弱性が検出されました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) | Medium |
| (プレビュー) コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある | (プレビュー) コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある | Medium |
| (プレビュー) GitHub リポジトリでコード スキャンを有効にする必要がある | GitHub では、コード内のセキュリティの脆弱性とエラーを検出するために、コード スキャンを使用してコードが分析されます。 コード スキャンを使用すると、コード内の既存の問題を検出、トリアージして、その修正に優先度を付けることができます。 また、コード スキャンによって、開発者が新しい問題を混入するのを防ぐことができます。 特定の日時にスキャンを実行するようにスケジュールすることや、リポジトリで特定のイベント (プッシュなど) が発生した場合にスキャンをトリガーすることができます。 コード スキャンによって、コード内で潜在的な脆弱性やエラーが検出された場合、GitHub では、リポジトリにアラートが表示されます。 脆弱性とは、プロジェクトの秘密性、一貫性、または可用性を損なうために悪用される可能性のある、プロジェクトのコードの問題です。 (関連ポリシーはありません) | Medium |
| (プレビュー) GitHub リポジトリでシークレット スキャンを有効にする必要がある | GitHub では、リポジトリに誤ってコミットされたシークレットの不正使用を防ぐために、リポジトリで既知の種類のシークレットがスキャンされます。 シークレット スキャンでは、GitHub リポジトリ内に存在するすべてのブランチで Git 履歴全体がスキャンされ、シークレットが探されます。 シークレットの例として、サービス プロバイダーが認証のために発行する場合があるトークンと秘密キーがあります。 シークレットがリポジトリにチェックインされると、リポジトリへの読み取りアクセス権を持つすべてのユーザーは、そのシークレットを使用して、それらの権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外部にある専用の安全な場所に保存する必要があります。 (関連ポリシーはありません) | 高 |
| (プレビュー) GitHub リポジトリで Dependabot スキャンを有効にする必要がある | GitHub では、リポジトリに影響するコード依存関係の脆弱性が検出されると、Dependabot アラートが送信されます。 脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。 セキュリティの脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係が原因で、さまざまな問題が発生する可能性があります。 (関連ポリシーはありません) | Medium |
Defender for Containers に含まれていた CI/CD ワークフローの非推奨の脆弱性スキャナーは、Defender for DevOps の推奨事項に置き換えられました。
Defender for DevOps の詳細については、こちらを参照してください
規制コンプライアンス ダッシュボードで、Microsoft のコンプライアンスの状態に関する手動のコントロール管理と詳細情報がサポートされるようになりました
Defender for Cloud のコンプライアンス ダッシュボードは、お客様がコンプライアンスの状態を理解して追跡するのに役立つ重要なツールです。 お客様は、さまざまな標準や規制の要件に従って環境を継続的に監視できます。
運用およびその他のコントロールを手動で証明することによって、コンプライアンス体制を完全に管理できるようになりました。 自動化されていないコントロールについて、コンプライアンスの証拠を提供できるようになりました。 自動化された評価と共に、選択したスコープ内でコンプライアンスの完全なレポートを生成し、特定の標準に関するコントロール セット全体に対処できるようになりました。
それに加えて、より豊富なコントロール情報と、Microsoft のコンプライアンス状態に関する掘り下げた詳細と証拠によって、監査に必要なすべての情報をすぐに入手できるようになりました。
新たな利点のいくつかを次に示します。
手動の顧客アクションにより、自動化されていないコントロールでのコンプライアンスを手動で証明するためのメカニズムが提供されます。 証拠をリンクする機能を含め、コンプライアンスの日付と有効期限を設定します。
既存の自動化された顧客アクションに加えて、Microsoft アクションと手動の顧客アクションを紹介する、サポートされている標準に関する、より豊富なコントロールの詳細。
Microsoft アクションにより、監査評価手順、テスト結果、逸脱に対する Microsoft の対応など、Microsoft のコンプライアンス状態に対する透明性が提供されます。
コンプライアンス オファリングにより、Azure、Dynamics 365、Power Platform の各製品と、それぞれの規制コンプライアンス認定を確認するための中心的な場所が提供されます。
Defender for Cloud での規制コンプライアンスを改善する方法の詳細については、こちらを参照してください。
自動プロビジョニングの名前が 設定 > 監視に変更され、エクスペリエンスが更新されました
[自動プロビジョニング] ページの名前が [設定と監視] に変更されています。
自動プロビジョニングは、Defender for Cloud の高度な機能に必要な前提条件を大規模に有効にできるようにすることを目的としていました。 拡張された機能をより適切にサポートするために、次の変更によって新しいエクスペリエンスを開始します。
Defender for Cloud のプラン ページには、次のものが含まれるようになりました。
- 監視コンポーネントを必要とする Defender プランを有効にすると、それらのコンポーネントが既定の設定での自動プロビジョニングで有効になります。 これらの設定は、必要に応じていつでも編集できます。
- Defender プラン ページから、各 Defender プランの監視コンポーネント設定にアクセスできます。
- Defender プラン ページには、すべての監視コンポーネントが各 Defender プランの対象として設定されているかどうか、または監視対象範囲が不完全でないかが明確に示されます。
[設定と監視] ページ:
- 各監視コンポーネントは、それが関連する Defender プランを示します。
監視設定の管理の詳細については、こちらを参照してください。
Defender クラウド セキュリティ態勢管理 (CSPM)
Microsoft Defender for Cloud のクラウド セキュリティの主な柱の 1 つは、クラウド セキュリティ態勢管理 (CSPM) です。 CSPM により、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが得られます。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。
Defender CSPM という新しい Defender プランが発表されています。 このプランは、Defender for Cloud のセキュリティ機能を強化し、次の新機能と拡張された機能を備えています。
- クラウド リソースのセキュリティ構成の継続的な評価
- 構成の誤りと弱点を修正するためのセキュリティに関する推奨事項
- セキュリティ スコア
- ガバナンス
- 規制に対するコンプライアンス
- クラウド セキュリティ グラフ
- 攻撃パス分析
- マシンのエージェントレス スキャン
Defender CSPM プランについての詳細を確認してください。
MITRE ATT&CK フレームワーク マッピングは、AWS と GCP のセキュリティに関する推奨事項でも使用できるようになりました
セキュリティ アナリストにとって、セキュリティに関する推奨事項に関連する潜在的なリスクを特定し、攻撃ベクトルを理解して、より効果的にタスクを優先順位付けできることが重要です。
Defender for Cloud では、AZURE、AWS、GCP のセキュリティに関する推奨事項を MITRE ATT&CK フレームワークにマッピングすることで、優先順位付けが容易になります。 MITRE ATT&CKフレームワークは、現実世界の観測に基づく敵対者の戦術と技術のグローバルにアクセス可能なサポート情報であり、お客様は環境の安全な構成を強化することができます。
MITRE ATT&CK フレームワークは、次の 3 つの方法で統合されています。
- おすすめ MITRE ATT&CK の戦術とテクニックにマップします。
- Azure Resource Graph を使用して、MITRE ATT&CK の戦術と推奨事項に関する手法を照会します。
Defender for Containers で Elastic Container Registry の脆弱性評価がサポートされるようになりました (プレビュー)
Microsoft Defender for Containers で、Amazon AWS の Elastic Container Registry (ECR) のエージェントレス脆弱性評価スキャンが提供されるようになりました。 これにより、AWS と Google GCP 向けの、脅威に対する高度な保護と Kubernetes 環境の強化の今年初めのリリースに基づいて、マルチクラウド環境の対象範囲が拡大されます。 エージェントレス モデルの場合、アカウント内に AWS リソースを作成して、AWS アカウントからイメージを抽出することなくイメージをスキャンし、ワークロードに対する占有領域もありません。
ECR リポジトリ内のイメージのエージェントレス脆弱性評価スキャンは、イメージを継続的にスキャンしてコンテナーの脆弱性を特定および管理することにより、コンテナー化された資産の攻撃面の減少に役立ちます。 この新しいリリースの Defender for Cloud では、コンテナー イメージはリポジトリにプッシュされた後にスキャンされ、レジストリ内の ECR コンテナー イメージが継続的に再評価されます。 検出結果は Microsoft Defender for Cloud で推奨事項として利用でき、Defender for Cloud に組み込まれた自動ワークフローを使用して、イメージ内の重大度の高い脆弱性を修正するためのチケットを開くなど、検出結果に対するアクションを実行できます。
Amazon ECR イメージの脆弱性評価の詳細については、こちらを参照してください。
2022 年 9 月
9 月の更新プログラムには次のものが含まれます。
- コンテナーと Kubernetes のエンティティに基づくアラートを抑制する
- Defender for Servers で、Azure Monitor エージェントを使用したファイルの整合性の監視がサポートされます
- レガシ評価 API の非推奨化
- ID に加えられた追加の推奨事項
- テナント間の Log Analytics ワークスペースにレポートするマシンのセキュリティ アラートを削除
コンテナーと Kubernetes のエンティティに基づくアラートを抑制する
- Kubernetes 名前空間
- Kubernetes ポッド
- Kubernetes シークレット
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes ジョブ
- Kubernetes CronJob
詳しくは、アラート抑制ルールに関する記事を参照してください。
Defender for Servers で、Azure Monitor エージェントを使用したファイルの整合性の監視がサポートされます
ファイルの整合性の監視 (FIM) では、攻撃を示すおそれがある変更について、オペレーティング システムのファイルとレジストリを調べます。
FIM が、Defender for Cloud を使用してデプロイできる Azure Monitor エージェント (AMA) に基づく新しいバージョンで利用できるようになりました。
詳細については、Azure Monitor エージェントを使用したファイルの整合性の監視に関する記事を参照してください。
レガシ評価 API の非推奨化
次の API は非推奨です。
- セキュリティ タスク
- セキュリティ ステータス
- セキュリティの概要
これら 3 つの API では、評価が古い形式で公開されていたため、Assessments API と SubAssessments API に置き換えられます。 これらのレガシ API によって公開されるすべてのデータは、新しい API でも使用できます。
ID に加えられた追加の推奨事項
ユーザーとアカウントの管理を向上させるための Defender for Cloud の推奨事項。
新しい推奨事項
新しいリリースには、次の機能が含まれています。
評価スコープの拡張 – (サブスクリプションだけでなく) Azure リソースに対して、MFA を使用していない ID アカウントと外部アカウントにまでカバー範囲が改善され、セキュリティ管理者はアカウント単位でロールの割り当てを表示できます。
更新間隔の改善 - ID の推奨事項の更新間隔が 12 時間になりました。
アカウント除外機能 - Defender for Cloud には、エクスペリエンスをカスタマイズし、セキュリティ スコアが組織のセキュリティの優先順位を反映していることを確認するために使用できる多くの機能があります。 たとえば、セキュリティ スコアからリソースと推奨事項を除外することができます。
この更新により、次の表に示されている 6 つの推奨事項による評価から特定のアカウントを除外できます。
通常、このようなアカウントは組織の MFA 要件から意図的に除外されることが多いため、緊急の "重大な" アカウントを MFA の推奨事項から除外します。 または、アクセスを許可したい、MFA が有効になっていない外部アカウントがある場合があります。
ヒント
アカウントを除外すると、そのアカウントは異常と表示されなくなり、サブスクリプションが異常と表示されることもなくなります。
推奨 評価キー Azure リソースに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 6240402e-f77c-46fa-9060-a7ce53997754 Azure リソースに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 c0cb17b2-0607-48a7-b0e0-903ed22de39b Azure リソースに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要があります。 20606e75-05c4-48c0-9d97-add6daa2109a Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要があります。 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要があります。 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要があります。 050ac097-3dda-4d24-ab6d-82568e7a50cf Azure リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントを削除する必要があります。 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
推奨事項はプレビュー段階ですが、現在 GA になっている推奨事項の横に表示されます。
テナント間の Log Analytics ワークスペースにレポートするマシンのセキュリティ アラートを削除
以前の Defender for Cloud では、Log Analytics エージェントがレポートするワークスペースを選択できました。 マシンが 1 つのテナント (テナント A) に属しているが、その Log Analytics エージェントが別のテナント ("テナント B") のワークスペースに報告された場合、マシンに関するセキュリティ アラートが最初のテナント (テナント A) に報告されました。
この変更により、別のテナントの Log Analytics ワークスペースに接続されているマシンに対するアラートは、Defender for Cloud に表示されなくなります。
Defender for Cloud で引き続きアラートを受信する場合は、関連するマシンの Log Analytics エージェントを、マシンと同じテナント内のワークスペースに接続してください。
セキュリティ アラートの詳細を参照してください。
2022 年 8 月
8 月の更新プログラムには次のものが含まれます。
- Windows コンテナー上の Defender for Containers で、実行中のイメージの脆弱性が表示されるようになりました
- Azure Monitor エージェントの統合がプレビュー段階になりました
- Kubernetes クラスターに関連する疑わしいアクティビティに関する非推奨の VM アラート
Windows コンテナー上の Defender for Containers で、実行中のイメージの脆弱性が表示されるようになりました
Defender for Containers に、実行中の Windows コンテナーの脆弱性が表示されるようになりました。
脆弱性が検出されると、Defender for Cloud によって、検出された問題をリストした以下のセキュリティ推奨事項が生成されます: 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある。
詳細については、「実行中のイメージの脆弱性の表示」を参照してください。
Azure Monitor エージェントの統合がプレビュー段階になりました
Defender for Cloud に、Azure Monitor エージェント (AMA) のプレビュー サポートが含まれるようになりました。 AMA は、非推奨へのパス上にある従来の Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれる) を置き換えることを目的としています。 AMA には、レガシ エージェントよりも多くの利点があります。
Defender for Cloud では、AMA の自動プロビジョニングを有効にすると、サブスクリプションで検出された既存および新しい VM と Azure Arc 対応マシンにエージェントがデプロイされます。 Defender for Cloud プランが有効になっている場合、AMA により Azure VM と Azure Arc マシンから構成情報とイベント ログが収集されます。 AMA 統合はプレビュー段階であるため、運用環境ではなくテスト環境で使用することをお勧めします。
Kubernetes クラスターに関連する疑わしいアクティビティに関する非推奨の VM アラート
次の表に、非推奨となったアラートを示します。
| アラート名 | 説明 | 方針 | 重大度 |
|---|---|---|---|
| Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました) (VM_ImageBuildOnNode) |
マシンのログが、Kubernetes ノード上でのコンテナー イメージのビルド操作を示しています。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。 | 防御回避 | 低 |
| Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求) (VM_KubernetesAPI) |
マシンのログは、Kubernetes API に対して疑わしい要求が行われたことを示しています。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。 | 横移動 | Medium |
| SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています) (VM_ContainerSSH) |
マシンのログは、Docker コンテナー内で SSH サーバーが実行されていることを示しています。 この動作が意図的である場合もありますが、多くの場合は、コンテナーの構成が正しくないか違反していることを示しています。 | 実行 | Medium |
これらのアラートは、Kubernetes クラスターに接続されている疑わしいアクティビティについてユーザーに通知するために使用されます。 これらのアラートは、Microsoft Defender for Cloud Container アラートに含まれる同様のアラート (K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI および K8S.NODE_ ContainerSSH) によって置き換えられます。これにより、忠実性が向上し、アラートの調査や対処のために包括的なコンテキストが提供されます アラートの詳細については、「Kubernetes クラスター」を参照してください。
コンテナーの脆弱性に詳細なパッケージ情報が含まれるようになりました
コンテナーの脆弱性評価 (VA) 用の Defender に、パッケージ名、パッケージの種類、パス、インストールされているバージョン、修正済みのバージョンなど、各検索結果に対する詳細なパッケージ情報が含まれるようになりました。 パッケージ情報を使用すると、脆弱なパッケージを見つけて、その脆弱性を修復したり、パッケージを削除したりすることができます。
この詳細なパッケージ情報は、イメージの新しいスキャンに使用できます。
2021 年 7 月
7 月の更新プログラムには次のものが含まれます。
- Kubernetes ランタイム保護のためのクラウドネイティブ セキュリティ エージェントの一般提供 (GA)
- Defender for Container の VA で、言語固有のパッケージの検出のサポートが追加されました (プレビュー)
- Operations Management インフラストラクチャの脆弱性 CVE-2022-29149 からの保護
- Entra Permissions Management との統合
- Key Vault 推奨事項が "監査" に変更されました
- App Service の API アプリ ポリシーの非推奨化
Kubernetes ランタイム保護のためのクラウドネイティブ セキュリティ エージェントの一般提供 (GA)
Kubernetes ランタイム保護用のクラウドネイティブ セキュリティ エージェントが一般提供 (GA) されたことをお知らせします。
Kubernetes クラスターの本番環境への導入は、アプリケーションのコンテナ化が進むにつれて増加し続けています。 この増加を支援するために、Defender for Containers チームは、Kubernetes 指向のクラウドネイティブのセキュリティ エージェントを開発しました。
この新しいセキュリティ エージェントは、eBPF 技術に基づく Kubernetes DaemonSet であり、AKS セキュリティ プロファイルの一部として AKS クラスターに完全に統合されています。
セキュリティ エージェントは、自動プロビジョニング、レコメンデーション フロー、AKS RP を使用するか、大規模に行う場合は Azure Policy を使用して有効化することができます。
お使いの AKS クラスターに、今すぐ Defender エージェントをデプロイできます。
今回の発表をもって、ランタイム保護 - 脅威検出 (ワークロード) の一般提供も開始されました。
Defender for Container の機能の可用性の詳細についてご確認ください。
使用可能なすべてのアラートを確認することもできます。
プレビュー バージョンを使用している場合、AKS-AzureDefender 機能フラグは不要であることに注意してください。
Defender for Container の VA で、言語固有のパッケージの検出のサポートが追加されました (プレビュー)
Defender for Container の脆弱性評価 (VA) では、OS パッケージ マネージャーを介してデプロイされた OS パッケージの脆弱性を検出できます。 VA の機能が拡張され、言語固有のパッケージに含まれる脆弱性を検出できるようになりました。
この機能はプレビュー段階であり、Linux イメージでのみ使用できます。
追加されたすべての言語固有パッケージを確認するには、Defender for Container の機能とそれらの可用性の完全な一覧を確認してください。
Operations Management インフラストラクチャの脆弱性 CVE-2022-29149 からの保護
Operations Management インフラストラクチャ (OMI) は、オンプレミス環境とクラウド環境を 1 つの場所から管理するためのクラウドベース サービスの集合体です。 オンプレミスのリソースのデプロイと管理は行わず、OMI コンポーネント全体が Azure でホストされます。
OMI バージョン 13 を実行している Azure HDInsight と統合された Log Analytics では、CVE-2022-29149 を修復するためのパッチが必要です。 この脆弱性の影響を受けるリソースの特定方法と修復手順については、Microsoft セキュリティ更新プログラム ガイドでこの脆弱性に関するレポートを参照してください。
Defender for Servers と脆弱性評価が有効になっている場合は、こちらのブックを使用して、影響を受けるリソースを特定できます。
Entra Permissions Management との統合
Defender for Cloud は、Microsoft Entra 権限管理と統合されています。Microsoft Entra 権限管理は、Azure、AWS、GCP 内の任意の ID と任意のリソースのアクセス許可を包括的に可視化および制御できる、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションです。
オンボードした各 Azure サブスクリプション、AWS アカウント、および GCP プロジェクトについて、アクセス許可クリープ インデックス (PCI) が表示されます。
Entra 権限管理 (旧称 Cloudknox) の詳細情報
Key Vault 推奨事項が "監査" に変更されました
ここに記載されている Key Vault 推奨事項の効果が "監査" に変更されました。
| 推奨事項の名前 | 推奨事項 ID |
|---|---|
| Azure Key Vault に保存されている証明書の有効期間は 12 か月以内にする必要がある | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault シークレットには有効期限が必要である | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault キーには有効期限が必要である | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
App Service の API アプリ ポリシーの非推奨化
API アプリを含めるために既に存在する対応するポリシーに対して、次のポリシーを非推奨化しました。
| 廃止予定 | 変更後 |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
2022 年 6 月
6 月の更新プログラムには次のものが含まれます。
- Microsoft Defender for Azure Cosmos DB の一般提供 (GA)
- AWS および GCP 環境のマシンでの Defender for SQL の一般提供 (GA)
- セキュリティ態勢を強化するためのセキュリティに関する推奨事項の実装を推進する
- IP アドレスでセキュリティ アラートをフィルター処理する
- リソース グループ別のアラート
- Microsoft Defender for Endpoint 統合ソリューションの自動プロビジョニング
- "API アプリには HTTPS を介してのみアクセスできるようにする"ポリシーの非推奨化
- 新しい Key Vault のアラート
Microsoft Defender for Azure Cosmos DB の一般提供 (GA)
Microsoft Defender for Azure Cosmos DB が一般提供 (GA) となり、SQL (コア) API アカウントの種類がサポートされるようになりました。
GA となるこの新しいリリースは、Microsoft Defender for Cloud データベース保護スイート (さまざまな種類のSQL データベースと MariaDB を含みます) に含まれています。 Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、ここでは Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みが検出されます。
このプランを有効にすると、潜在的な SQL インジェクション、悪意のある既知のアクター、疑わしいアクセス パターン、侵害された ID や悪意のある内部関係者を利用したデータベースの探索のおそれに対し、アラートが表示されます。
悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細を、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に示します。
Microsoft Defender for Azure Cosmos DB では、Azure Cosmos DB サービスによって生成されたテレメトリ ストリームを継続的に分析し、Microsoft 脅威インテリジェンスと行動モデルを使用してそれらを調べ、疑わしいアクティビティを検出します。 Defender for Azure Cosmos DB は、Azure Cosmos DB のアカウント データにアクセスせず、データベースのパフォーマンスに影響を与えません。
Microsoft Defender for Azure Cosmos DB の詳細を確認してください。
Azure Cosmos DB のサポートが追加されたことで、Defender for Cloud ではクラウドベースのデータベース向けの最も包括的なワークロード保護オファリングの 1 つを提供するようになりました。 セキュリティ チームとデータベース所有者は、一元的なエクスペリエンスで、自分の環境のデータベース セキュリティを管理できるようになりました。
データベースの保護を有効にする方法について説明します。
AWS および GCP 環境のマシンでの Defender for SQL の一般提供 (GA)
Microsoft Defender for Cloud によって提供されるデータベース保護機能により、AWS または GCP 環境でホストされている SQL サーバーのサポートが強化されました。
Defender for SQL により、企業がAzure、AWS、GCP、オンプレミスのマシンでホストされているデータベース資産全体を保護できるようになりました。
Microsoft Defender for SQL では統合されたマルチクラウド エクスペリエンスを実現し、SQL サーバーと基になる Windows OS の両方に関するセキュリティの推奨事項、セキュリティ アラート、脆弱性評価の結果を表示できます。
マルチクラウド オンボード エクスペリエンスを使用して、AWS EC2、RDS Custom for SQL Server、GCP コンピューティング エンジンで実行されている SQL サーバーに対するデータベース保護を有効にし、適用できます。 これらのプランのいずれかを有効にすると、サブスクリプション内に存在するすべてのサポート対象リソースが保護されます。 同じサブスクリプションで作成された今後のリソースも保護されます。
AWS 環境と GCP 組織を、Microsoft Defender for Cloud で保護および接続する方法を参照してください。
セキュリティ態勢を強化するためのセキュリティに関する推奨事項の実装を推進する
現在、組織に対する脅威が高まっていることで、拡大するワークロードを保護するためにセキュリティ担当者が過酷な労働を強いられています。 セキュリティ チームには、セキュリティ ポリシーで定義された保護を実装することが求められています。
この段階で、セキュリティ チームはプレビュー段階のガバナンス エクスペリエンスを駆使して、セキュリティに関する推奨事項に沿った修復をリソース所有者に割り当て、修復スケジュールを求めることができます。 修復の進行状況を完全に把握し、タスクの期限が過ぎると通知を受け取ることができます。
ガバナンス エクスペリエンスの詳細については、組織で推奨ガバナンスを使ってセキュリティに関する問題を修正することに関する記事を参照してください。
IP アドレスでセキュリティ アラートをフィルター処理する
多くの攻撃では、その攻撃に関係するエンティティの IP アドレスに基づいてアラートを追跡できます。 これまで IP は、単一のアラート ウィンドウの [関連するエンティティ] セクションにのみ表示されていました。 現在では、セキュリティ アラート ページでアラートをフィルター処理して IP アドレスに関連するアラートを表示でき、特定の IP アドレスを検索できます。
リソース グループ別のアラート
リソース グループ別にフィルター処理、並べ替え、グループ化する機能が [セキュリティ警告] ページに追加されました。
リソース グループ列がアラート グリッドに追加されました。
特定のリソース グループのすべてのアラートを表示できる、新しいフィルターが追加されました。
また、リソース グループ別にアラートをグループ化し、各リソース グループのすべてのアラートを表示することもできるようになりました。
Microsoft Defender for Endpoint 統合ソリューションの自動プロビジョニング
これまで、Microsoft Defender for Endpoint (MDE) との統合には、Defender for Servers プラン 1 が有効になっているマシン (Azure サブスクリプションとマルチクラウド コネクタ) と、Defender for Servers プラン 2 が有効になっているマルチクラウド コネクタ用の新しい MDE 統合ソリューションの自動インストールが含まれていました。 Azure サブスクリプションのプラン 2 では、Linux マシンと Windows 2019 および 2022 サーバーのみで統合ソリューションが有効でした。 Windows サーバー 2012R2 および 2016 では、Log Analytics エージェントに依存する MDE レガシ ソリューションが使用されていました。
現在では、Azure サブスクリプションとマルチクラウド コネクタの両方について、両方のプランのすべてのマシンで新しい統合ソリューションを利用できるようになりました。 2022 年 6 月 20 日 "以降" に MDE 統合を有効にするサーバー プラン 2 の Azure サブスクリプションの場合、統合ソリューションはすべてのマシンで既定で有効になっています。2022 年 6 月 20 日 "より前" の MDE 統合が有効な Defender for Servers プラン 2 の Azure サブスクリプションの場合、[統合] ページの専用ボタンを使用して、Windows サーバー 2012R2 と 2016 での統合ソリューションのインストールを有効にできるようになりました。
MDE と Defender for Servers の統合に関するページを覧ください。
"API アプリには HTTPS を介してのみアクセスできるようにする"ポリシーの非推奨化
ポリシー API App should only be accessible over HTTPS は非推奨です。 このポリシーは Web Application should only be accessible over HTTPS ポリシーに置き換えられ、名前は App Service apps should only be accessible over HTTPS に変わりました。
Azure App Service のポリシー定義の詳細については、「Azure App Service 用の Azure Policy 組み込み定義」を参照してください。
新しい Key Vault のアラート
Microsoft Defender for Key Vault で提供される脅威の保護を拡張するために、2 つの新しいアラートを追加しました。
これらのアラートは、アクセスが拒否された異常を通知します。どのキー コンテナーでも検出されます。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| 異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました (KV_DeniedAccountVolumeAnomaly) |
ユーザーまたはサービス プリンシパルが過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 | 探索 | 低 |
| Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました) (KV_UserAccessDeniedAnomaly) |
通常はアクセスしないユーザーがキー コンテナーへのアクセスを試みましたが、この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 | 初期アクセス、検出 | 低 |
2022 年 5 月
5 月の更新プログラムには次のものが含まれます。
- サーバー プランのマルチクラウド設定がコネクタ レベルで使用できるようになりました
- VM の JIT (Just-In-Time) アクセスが AWS EC2 インスタンスで使用できるようになりました (プレビュー)
- CLI を使用して AKS クラスターの Defender センサーを追加および削除する
サーバー プランのマルチクラウド設定がコネクタ レベルで使用できるようになりました
マルチクラウドの Defender for Servers に対して、コネクタ レベルの設定が追加されました。
新しいコネクタ レベルの設定には、サブスクリプションとは別に、コネクタごとに価格と自動プロビジョニング構成を細かく設定できます。
コネクタ レベルで使用できるすべての自動プロビジョニング コンポーネント (Azure Arc、MDE、脆弱性評価) は既定で有効になり、新しい構成ではプラン 1 とプラン 2 の価格レベルの両方がサポートされます。
UI の更新には、選択した価格レベルと構成されている必要なコンポーネントの反映が含まれます。
脆弱性評価への変更
Defender for Containers に、パッチを適用できない、重大度が中と低の脆弱性が表示されるようになりました。
この更新プログラムの一環として、パッチが利用可能かどうかに関係なく、重大度が中と低の脆弱性が表示されるようになりました。 この更新によって、表示が最大化されますが、提供されている無効化ルールを使用して不要な脆弱性を引き続きフィルター処理で除外できます。
脆弱性評価について詳しく学習する
VM の JIT (Just-In-Time) アクセスが AWS EC2 インスタンスで使用できるようになりました (プレビュー)
AWS アカウントを接続すると、JIT によってインスタンスのセキュリティ グループのネットワーク構成が自動的に評価され、公開されている管理ポートのうちで保護が必要なインスタンスが推奨されます。 これは、Azure での JIT の動作と似ています。 保護されていない EC2 インスタンスをオンボードすると、JIT によって管理ポートへのパブリック アクセスがブロックされ、限られた期間の承認された要求でのみ開きます。
JIT が AWS EC2 インスタンスを保護する方法を参照してください
CLI を使用して AKS クラスターの Defender センサーを追加および削除する
Defender for Containers によるランタイム保護とノードからのシグナル収集が機能するためには、Defender エージェントが必要です。 Azure CLI を使用して AKS クラスターの Defender エージェントを追加および削除できるようになりました。
Note
このオプションは、Azure CLI 3.7 以上に含まれています。
2022 年 4 月
4 月の更新プログラムには次のものが含まれます。
- 新しい Defender for Servers プラン
- カスタム推奨事項の再配置
- Splunk と QRadar にアラートをストリーミングする PowerShell スクリプト
- Azure Cache for Redis の推奨事項を非推奨にしました
- 機密データの露出を検出するための Microsoft Defender for Storage (プレビュー) の新しいアラート バリアント
- IP アドレスの評判で拡張されたコンテナー スキャン アラート のタイトル
- セキュリティ アラートに関連するアクティビティ ログの確認
新しい Defender for Servers プラン
Microsoft Defender for Servers は、2 つの増分プランで提供されるようになりました。
- Defender for Servers プラン 2 (旧称 Defender for Servers)
- Defender for Servers プラン 1 (Microsoft Defender for Endpoint のみのサポートを提供)
Defender for Servers プラン 2 では、脅威や脆弱性からの保護だけでなく、クラウドとオンプレミスのワークロードの保護も引き続き提供されますが、Defender for Servers プラン 1 では、ネイティブに統合された Defender for Endpoint によるエンドポイント保護のみが提供されます。 Defender for Servers プランの詳細を参照してください。
これまで Defender for Servers を使用していた場合は、アクションは必要ありません。
さらに、Defender for Cloud では、Windows Server 2012 R2 および 2016 用の Defender for Endpoint 統合エージェントの段階的なサポートも開始されます。 Defender for Servers プラン 1 では、新しい統合エージェントを Windows Server 2012 R2 および 2016 ワークロードにデプロイします。
カスタムの推奨事項の再配置
カスタムの推奨事項は、ユーザーによって作成されるものであり、セキュリティ スコアに影響を与えません。 カスタムの推奨事項は、 [すべての推奨事項] タブにあります。
新しい "推奨事項の種類" フィルターを使用して、カスタムの推奨事項を見つけます。
詳細については、カスタム セキュリティ イニシアチブとポリシーを作成するを参照してください。
Splunk と IBM QRadar にアラートをストリーミングする PowerShell スクリプト
Event Hubs と組み込みコネクタを使用して、セキュリティ アラートを Splunk と IBM QRadar にエクスポートすることをお勧めします。 PowerShell スクリプトを使用して、サブスクリプションまたはテナントのセキュリティ アラートをエクスポートするために必要な Azure リソースを設定できるようになりました。
PowerShell スクリプトをダウンロードして実行するだけです。 環境の詳細をいくつか指定すると、スクリプトによってリソースが構成されます。 次に、このスクリプトは、統合を完了するために SIEM プラットフォームで使用する出力を生成します。
詳細については、「Splunk と QRadar へのアラートのストリーム」を参照してください。
Azure Cache for Redis の推奨事項を非推奨にしました
推奨事項 Azure Cache for Redis should reside within a virtual network (プレビュー) は非推奨です。 Azure Cache for Redis インスタンスをセキュリティで保護するためのガイダンスが変更されました。 仮想ネットワークではなく、プライベート エンドポイントを使用して、 Azure Cache for Redis インスタンスへのアクセスを制限することをお勧めします。
機密データの露出を検出するための Microsoft Defender for Storage (プレビュー) の新しいアラート バリアント
Microsoft Defender for Storage のアラートは、脅威アクターが機密情報の流出を試みるために、正しく構成されずに公開されているストレージ コンテナーをスキャンして公開しようとしたときに、その成否にかかわらず通知します。
トリアージと応答時間を短縮するために、潜在的に機密性の高いデータの流出が発生した可能性がある場合は、既存 Publicly accessible storage containers have been exposed のアラートに新しいバリエーションをリリースしました。
新しいアラート Publicly accessible storage containers with potentially sensitive data have been exposed は、機密情報を保持している可能性があることが示唆される、統計的に公開されることがほとんどない名前で公開されているストレージ コンテナーの検出に成功した後に、重大度レベル High でトリガーされます。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| プレビュー - 機密性の高い可能性があるデータを含むパブリックにアクセス可能なストレージ コンテナーが公開されている (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
だれかが Azure Storage アカウントをスキャンし、パブリック アクセスを許可する公開コンテナーを公開しました。 1 つ以上の公開コンテナーには、機密データが含まれている可能性があることを示す名前があります。 これは通常、機密データを含む可能性がある、誤って構成されたパブリックにアクセス可能なストレージ コンテナーをスキャンしている脅威アクターによる偵察を示します。 脅威アクターがコンテナーを正常に検出した後、データの流出を続行する可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
コレクション | 高 |
IP アドレスの評判で拡張されたコンテナー スキャン アラート のタイトル
IP アドレスの評判は、スキャン アクティビティが既知の脅威アクターからのものか、 Tor ネットワークを使用して ID を非表示にしているアクターからのものかを示すことができます。 これらの両方のインジケーターは、悪意のある意図があることを示唆しています。 IP アドレスの評判は、 Microsoft Threat Intelligence によって提供されます。
アラート タイトルに IP アドレスの評判を追加すると、アクターの意図と脅威の重大度をすばやく評価する方法が提供されます。
次のアラートには、この情報が含まれます。
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
たとえば、アラート Publicly accessible storage containers have been exposed のタイトルに追加された情報は次のようになります。
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Microsoft Defender for Storage のすべてのアラートには、アラートの [関連エンティティ] セクションの下の IP エンティティに脅威インテリジェンス情報が引き続き含まれます。
セキュリティ アラートに関連するアクティビティ ログの確認
セキュリティ アラートを評価するために実行できるアクションの一環として、関連するプラットフォーム ログを [リソース コンテキストの検査] から見つけて、影響を受けるリソースに関するコンテキストを取得できます。 Microsoft Defender for Cloud では、アラートから 1 日以内のプラットフォーム ログを識別します。
プラットフォーム ログは、セキュリティの脅威を評価し、識別されたリスクを軽減するために実行できる手順を特定するために役立ちます。
2022 年 3 月
3 月の更新プログラムには次のものが含まれます。
- AWS および GCP 環境のセキュリティ スコアのグローバルな可用性
- ネットワーク トラフィック データ収集エージェントのインストール推奨が廃止されました
- Defender for Containers で Windows イメージの脆弱性をスキャンできるようになりました (プレビュー)
- Microsoft Defender for Storage の新しいアラート (プレビュー)
- アラートからの電子メール通知設定の構成
- プレビュー アラートを廃止しました: ARM.MCAS_ActivityFromAnonymousIPAddresses
- 「コンテナーのセキュリティ構成の脆弱性を修復する必要がある」という推奨事項をセキュリティ スコアからベスト プラクティスへ移動しました
- サブスクリプションを保護するためにサービス プリンシパルを使用する推奨が廃止されました
- ISO 27001 のレガシ実装が新しい ISO 27001:2013 イニシアチブに置き換えられました
- Microsoft Defender for IoT デバイスの推奨事項を廃止しました
- Microsoft Defender for IoT デバイスのアラートを廃止しました
- 一般提供 (GA) のためにリリースされた AWS と GCP の体制管理と脅威の防止
- ACR 内の Windows イメージのレジストリ スキャンで、国内クラウドのサポートが追加されました
AWS および GCP 環境のセキュリティ スコアのグローバルな可用性
Microsoft Defender for Cloud によって提供されるクラウド セキュリティ体制管理機能では、セキュリティ スコア内での AWS および GCP 環境のサポートが追加されました。
企業は、Azure、AWS、GCP などのさまざまな環境にわたって、全体的なセキュリティ体制を確認できるようになりました。
[セキュリティ スコア] ページは、[セキュリティ体制] ダッシュボードに置き換えられました。 [セキュリティ体制] ダッシュボードを使用すると、すべての環境の全体的な組み合わせスコア、または選択した環境の任意の組み合わせに基づくセキュリティ体制の内訳を表示できます。
[推奨事項] ページも再設計され、クラウド環境の選択、コンテンツに基づく高度なフィルター (リソース グループ、AWS アカウント、GCP プロジェクトなど)、低解像度でのユーザー インターフェイスの向上、リソース グラフでのオープン クエリのサポートなど、新しい機能が提供されています。 全体的なセキュリティ体制とセキュリティに関する推奨事項の詳細を確認できます。
ネットワーク トラフィック データ収集エージェントのインストール推奨が廃止されました
ロードマップと優先順位の変更により、ネットワーク トラフィック データ コレクション エージェントの必要性が取り除かれました。 次の 2 つの推奨事項とその関連ポリシーは非推奨となりました。
| 推奨 | Description | 重大度 |
|---|---|---|
| ネットワーク トラフィック データ収集エージェントを、Linux 仮想マシンにインストールする必要がある | Defender for Cloud では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | 中 |
| ネットワーク トラフィック データ収集エージェントを、Windows 仮想マシンにインストールする必要がある | Defender for Cloud では Microsoft Dependency Agent を使用して Azure 仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワークの脅威などの高度なネットワーク保護機能を有効にします。 | Medium |
Defender for Containers で Windows イメージの脆弱性をスキャンできるようになりました (プレビュー)
Defender for Container のイメージ スキャンが、Azure Container Registry でホストされている Windows イメージのサポートを開始しました。 この機能はプレビュー中は無料であり、一般提供されるようになると料金が発生します。
詳細については、「Microsoft Defender for container を使用してイメージの脆弱性をスキャンする」を参照してください。
Microsoft Defender for Storage の新しいアラート (プレビュー)
Microsoft Defender for Storage によって提供される脅威の防止を拡張するために、新しいプレビュー アラートを追加しました。
脅威アクターは、アプリケーションとツールを使用してストレージ アカウントを検出し、アクセスします。 Microsoft Defender for Storage はこれらのアプリケーションとツールを検出することで、それらをブロックし、状態を修復することができるようにします。
このプレビュー アラートは Access from a suspicious application と呼ばれます。 このアラートは Azure Blob Storage と ADLS Gen2 のみに関連します。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| プレビュー - 疑わしいアプリケーションからのアクセス (Storage.Blob_SuspiciousApp) |
不審なアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。 これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。 適用対象:Azure Blob Storage、Azure Data Lake Storage Gen2 |
初期アクセス | Medium |
アラートからの電子メール通知設定の構成
アラートのユーザー インターフェイス (UI) に新しいセクションが追加されされ、現在のサブスクリプションでトリガーされたアラートの電子メール通知を受け取るユーザーを表示および編集できるようになりました。
「セキュリティ アラートの電子メール通知を構成する」方法を確認します。
プレビュー アラートを廃止しました: ARM.MCAS_ActivityFromAnonymousIPAddresses
次のプレビュー アラートは非推奨です。
| アラート名 | 説明 |
|---|---|
(ARM.MCAS_ActivityFromAnonymousIPAddresses) |
匿名プロキシ IP アドレスとして識別されている IP アドレスからのユーザー アクティビティが検出されました。 このようなプロキシは、自分のデバイスの IP アドレスを隠したいユーザーによって使用され、悪意のある目的で使用される恐れがあります。 この検出では、組織内の他のユーザーがよく使用する IP アドレスのタグ付けが間違っているなどの誤検知を低減する機械学習アルゴリズムが活用されます。 アクティブな Microsoft Defender for Cloud Apps ライセンスが必要です。 |
この情報を提供して追加する新しいアラートが作成されました。 また、新しいアラート (ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP) には、Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security) のライセンスは必要ありません。
Resource Manager のアラートを参照してください。
「コンテナーのセキュリティ構成の脆弱性を修復する必要がある」という推奨事項をセキュリティ スコアからベスト プラクティスへ移動しました
この推奨事項 Vulnerabilities in container security configurations should be remediated は、「セキュリティ スコア」セクションから「ベストプラクティス」セクションに移動しました。
現在のユーザー エクスペリエンスでは、すべてのコンプライアンス検査に合格した場合にのみ、スコアが提供されます。 ほとんどのお客様が、必要な検査項目をすべて満たすことが困難です。 現在、この推奨事項の改善に取り組んでおり、リリース後は、この推奨事項は元のセキュリティ スコアに戻される予定です。
サブスクリプションを保護するためにサービス プリンシパルを使用する推奨が廃止されました
組織がサブスクリプションの管理に管理証明書を使用しなくなり、クラウドサービス (クラシック) のデプロイ モデルを廃止するという最近の発表 に伴い、以下の Defender for Cloud の推奨事項とその関連ポリシーを廃止しました。
| 推奨 | Description | 重大度 |
|---|---|---|
| 管理証明書の代わりにサブスクリプションを保護するために、サービス プリンシパルを使用する必要がある | 管理証明書を使用すると、それを使用して認証するすべてのユーザーが、証明書に関連付けられているサブスクリプションを管理できます。 サブスクリプションをより安全に管理するには、証明書が侵害された場合に損害が及ぶ範囲を限定するため、Resource Manager でサービス プリンシパルを使用することをお勧めします。 これによってリソース管理も自動化されます。 (関連ポリシー:サブスクリプションを保護するために、管理証明書の代わりにサービス プリンシパルを使用する必要がある) |
中 |
詳細情報:
- Cloud Services (クラシック) のデプロイ モデルが 2024 年 8 月 31 日に廃止される
- Azure Cloud Services (クラシック) の概要
- Microsoft Azure classic VM アーキテクチャのワークフロー - RDFE ワークフローの基礎を含む
ISO 27001 のレガシ実装が新しい ISO 27001:2013 イニシアチブに置き換えられました
ISO 27001 のレガシ実装は Defender for Cloud の規制コンプライアンス ダッシュボードから削除されました。 Defender for Cloud で ISO 27001 へのコンプライアンスを追跡している場合は、関連するすべての管理グループまたはサブスクリプションに対して新しい ISO 27001:2013 標準をオンボードします。
Microsoft Defender for IoT デバイスの推奨事項を廃止しました
Microsoft Defender for IoT デバイスの推奨事項は、Microsoft Defender for Cloud に表示されなくなりました。 これらの推奨事項は、Microsoft Defender for IoT の [推奨事項] ページで引き続き使用できます。
次の推奨事項は非推奨です。
| 評価キー | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT Devices | デバイスで開いているポート |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT Devices | 入力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT Devices | いずれかのチェーンに、制限の緩すぎるファイアウォール ポリシーが見つかりました |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT Devices | 出力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT Devices | オペレーティング システム (OS) のベースライン検証の失敗 |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT Devices | エージェントで低使用率のメッセージが送信されている |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT Devices | TLS 暗号スイートのアップグレードが必要です |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT Devices | Auditd プロセスがイベントの送信を停止しました |
Microsoft Defender for IoT デバイスのアラートを廃止しました
Microsoft の Defender for IoT デバイスのすべてのアラートは、Microsoft Defender for Cloud に表示されなくなりました。 これらのアラートは、Microsoft Defender for IoT の [アラート] ページと Microsoft Sentinel で引き続き使用できます。
一般提供 (GA) のためにリリースされた AWS と GCP の体制管理と脅威の防止
Defender for Cloud の CSPM 機能が、AWS と GCP リソースにまで拡張されています。 このエージェントレス プランでは、セキュリティ スコアに含まれているクラウド固有のセキュリティの推奨事項に従ってマルチクラウド リソースを評価します。 これらのリソースは、組み込み標準を使用してコンプライアンスが評価されます。 Defender for Cloud の [資産インベントリ] ページは、Azure リソースと AWS リソースをともに管理することを可能にするマルチクラウド対応機能です。
Microsoft Defender for Servers を使用することで、お使いの AWS および GCP のコンピューティング インスタンスに脅威検出および高度な防御を利用できるようになります。 Defender for Servers プランは、 Microsoft Defender for Endpoint、脆弱性評価スキャンなどの統合ライセンスを含んでいます。 すべての仮想マシンとサーバーでサポートされている機能を参照してください。 自動オンボーディング機能を使用すると、ご利用の環境で検出された既存の、または新しいコンピューティング インスタンスを簡単に接続できます。
AWS 環境と GCP 組織を、Microsoft Defender for Cloud で保護および接続する方法を参照してください。
ACR 内の Windows イメージのレジストリ スキャンで、国内クラウドのサポートが追加されました
Windows イメージのレジストリ スキャンが Azure Government と 21Vianet によって運営される Microsoft Azure でサポートされるようになりました。 この追加は、現在プレビュー段階です。
機能の可用性の詳細をご覧ください。
2022 年 2 月
2 月の更新プログラムには次のものが含まれます。
- Arc 対応 Kubernetes クラスターの Kubernetes ワークロード保護
- GCP のネイティブ CSPM と GCP コンピューティング インスタンスの脅威に対する保護
- プレビュー用にリリースされた Microsoft Defender for Azure Cosmos DB プラン
- Google Kubernetes Engine (GKE) クラスターの脅威保護
Arc 対応 Kubernetes クラスターの Kubernetes ワークロード保護
これまで、Defender for Containers では、Azure Kubernetes Service で動作する Kubernetes ワークロードのみが保護されていました。 現在では、保護の範囲が拡大され、Azure Arc 対応 Kubernetes クラスターも対象に含まれています。
AKS と Azure Arc 対応 Kubernetes クラスターに対して Kubernetes ワークロード保護を設定する方法に関するセクションを参照してください。
GCP のネイティブ CSPM と GCP コンピューティング インスタンスの脅威に対する保護
新しく自動化された GCP 環境のオンボーディングにより、Microsoft Defender for Cloud で GCP ワークロードを保護できるようになりました。 Defender for Cloud は、次のプランを使用してリソースを保護します。
Defender for Cloud の CSPM 機能が、GCP リソースにまで拡張されています。 このエージェントレス プランは、セキュリティに関して Defender for Cloud が備えている GCP 固有の推奨事項に従って GCP リソースを評価します。 GCP の推奨情報はセキュア スコアに含まれており、組み込みの GCP CIS 標準と照らして、リソースの遵守状況が評価されます。 Defender for Cloud の [資産インベントリ] ページは、Azure、AWS、GCP にまたがってリソースを管理するのに役立つマルチクラウド対応機能です。
Microsoft Defender for Servers を使用すると、お使いの GCP コンピューティング インスタンスで脅威検出および高度な防御を利用できるようになります。 このプランは、Microsoft Defender for Endpoint、脆弱性評価スキャンなどの統合ライセンスを含んでいます。
使用できる機能を網羅した一覧については、「仮想マシンとサーバーでサポートされている機能」を参照してください。 自動オンボーディング機能を使用すると、ご利用の環境で検出された既存の、および新しいコンピューティング インスタンスを簡単に接続できます。
GCP プロジェクトを保護し、Microsoft Defender for Cloud に接続する方法を参照してください。
プレビュー用にリリースされた Microsoft Defender for Azure Cosmos DB プラン
Microsoft Defender for Cloud のデータベース カバレッジを拡張しました。 Azure Cosmos DB データベースの保護を有効にすることができるようになりました。
Microsoft Defender for Azure Cosmos DB は、Azure ネイティブのセキュリティ層であり、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出します。 Microsoft Defender for Azure Cosmos DB は、潜在的な SQL インジェクション、Microsoft 脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、侵害された ID を介したデータベースの悪用の可能性、または悪意のある内部関係者を検出します。
Azure Cosmos DB サービスによって生成される顧客データ ストリームを継続的に分析します。
悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に、Microsoft Defender for Cloud に表示されます。
Defender for Azure Cosmos DB は Azure Cosmos DB アカウント データにアクセスしないので、このサービスを有効にしてもデータベースのパフォーマンスに影響はありません。
詳細については、「Microsoft Defender for Azure Cosmos DB の概要」をご覧ください。
また、データベース セキュリティの新しい有効化エクスペリエンスも導入しています。 サブスクリプションで Microsoft Defender for Cloud による保護を有効にすることで、Azure Cosmos DB、Azure SQL Database、マシン上の Azure SQL サーバー、オープンソース リレーショナル データベース用 Microsoft Defender など、あらゆるデータベースの種類を 1 つの有効化プロセスで保護できます。 プランを構成することで、特定のリソースの種類を含めたり、除外したりすることができます。
サブスクリプション レベルでデータベース セキュリティを有効にする方法を確認してください。
Google Kubernetes Engine (GKE) クラスターの脅威保護
GCP 用のネイティブ CSPM と GCP コンピューティング インスタンスの脅威保護に関する最近の発表に従って、Microsoft Defender for Containers は Kubernetes の脅威保護、動作分析、および組み込みのアドミッション制御ポリシーを Google の Kubernetes Engine (GKE) Standard クラスターに拡張しました。 自動オンボード機能を使用すると、既存または新規の GKE Standard クラスターを簡単に環境にオンボードできます。 使用可能な機能の完全な一覧については、「Microsoft Defender for Cloud でのコンテナーのセキュリティ」を参照してください。
2022 年 1 月
1 月の更新プログラムには次のものが含まれます。
- Microsoft Defender for Resource Manager が新しいアラートで更新され、MITRE ATT&CK® マトリックスにマップされたリスクの高い操作に重点が置かれています
- ワークスペースでの Microsoft Defender プランの有効化に関する推奨事項 (プレビュー)
- Log Analytics エージェントを Azure Arc マシンに自動プロビジョニングする (プレビュー)
- SQL データベースで機密データを分類するための推奨事項が非推奨になった
- 疑わしいドメインとの通信アラートが、既知の Log4Shell 関連ドメインを含むように拡張された
- [セキュリティ アラートの詳細] ウィンドウに [アラート JSON のコピー] ボタンが追加された
- 2 つの推奨事項の名前が変更された
- Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要があることが非推奨になった
- [アクティブなアラート] ブックが追加された
- 政府機関向けクラウドに追加された "システム更新プログラム" 推奨事項
Microsoft Defender for Resource Manager が新しいアラートで更新され、MITRE ATT&CK® マトリックスにマップされたリスクの高い操作に重点が置かれています
このクラウド管理レイヤーは、すべてのクラウド リソースに接続される非常に重要なサービスです。 それだけに攻撃者の標的になるリスクもはらんでいます。 セキュリティ運用チームでリソース管理レイヤーを厳しく監視することをお勧めします。
組織内のリソース管理操作は、その手段が Azure portal や Azure REST API、Azure CLI であれ、その他 Azure のプログラマティック クライアントであれ、Microsoft Defender for Resource Manager によって自動的に監視されます。 Defender for Cloud は高度なセキュリティ分析を実行して脅威を検出し、不審なアクティビティについてアラートを生成します。
このプランの保護により、脅威アクターからの攻撃に対する組織の回復性が強化され、Defender for Cloud によって保護される Azure リソースの数が大幅に増加します。
2020 年 12 月に、Defender for Resource Manager のプレビューが導入され、2021 年 5 月に一般提供のプランがリリースされました。
この更新では、Microsoft Defender for Resource Manager プランにおける重点を包括的に変更しました。 更新されたプランには、リスクの高い操作の疑わしい呼び出しの特定に重点を置いた新しいアラートが多数含まれています。 これらの新しいアラートは、クラウドベースの手法のための完全なMITRE ATT&CK® マトリックス全体の攻撃を広範に監視します。
このマトリックスは、組織のリソースをターゲットにしている可能性がある脅威アクターの潜在的な意図の範囲として、初期アクセス、実行、永続化、特権エスカレーション、防御回避、資格情報のアクセス、検出、侵入拡大、収集、窃盗、影響を対象としています。
この Defender プランの新しいアラートでは、次の表に示すように、これらの意図がカバーされています。
ヒント
これらのアラートは、アラートのリファレンス ページにも表示されます。
| アラート (アラートの種類) | 説明 | MITRE の方針 (意図) | 重大度 |
|---|---|---|---|
| 高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender for Resource Manager により、制限されたリソースへのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内の制限されたリソースへの初期アクセスを獲得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 初期アクセス | Medium |
| Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (高リスクの "実行" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Execution) |
Microsoft Defender for Resource Manager により、コード実行の試行を示す可能性がある、マシン上での高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 実行 | Medium |
| Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (高リスクの "永続化" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender for Resource Manager により、永続化確立の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 永続化 | Medium |
| Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender for Resource Manager により、特権エスカレーションの試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用し、特権エスカレーションと並行して環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Privilege Escalation (特権昇格) | Medium |
| Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender for Resource Manager により、防御回避の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、検出を免れつつ環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 防御回避 | Medium |
| 高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender for Resource Manager により、資格情報へのアクセス試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 資格情報アクセス | Medium |
| Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender for Resource Manager により、侵入拡大の実行の試みを示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソースをさらに侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 侵入の拡大 | Medium |
| Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Collection) |
Microsoft Defender for Resource Manager により、データ収集の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、環境内のリソース上の機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | コレクション | Medium |
| Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (高リスクの "影響" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Impact) |
Microsoft Defender for Resource Manager により、構成変更の試行を示す可能性がある高リスク操作の発動疑いがお客様のサブスクリプションで特定されました。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターはこのような操作を利用して、制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 影響 | Medium |
さらに、このプランからこれら 2 つのアラートがプレビューで出されています。
| アラート (アラートの種類) | 説明 | MITRE の方針 (意図) | 重大度 |
|---|---|---|---|
| Azure Resource Manager operation from suspicious IP address (不審な IP アドレスからの Azure Resource Manager の操作) (ARM_OperationFromSuspiciousIP) |
Microsoft Defender for Resource Manager によって、脅威インテリジェンス フィードで不審とマークされている IP アドレスからの操作が検出されました。 | 実行 | Medium |
| Azure Resource Manager operation from suspicious proxy IP address (不審なプロキシ IP アドレスからの Azure Resource Manager の操作) (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられた IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 | 防御回避 | Medium |
ワークスペースでの Microsoft Defender プランの有効化に関する推奨事項 (プレビュー)
Microsoft Defender for Servers および Microsoft Defender for SQL on machines から利用できるすべてのセキュリティ機能を利用するには、サブスクリプションとワークスペースの両方のレベルでプランを有効にする必要があります。
これらのプランのいずれかが有効な状態でマシンがサブスクリプションに入っている場合は、完全な保護に対して請求されます。 ただし、そのマシンがプランが有効になっていないワークスペースにレポートしている場合、実際にこれらのメリットがあるわけではありません。
これらのプランは有効になっていないがプランが有効になっているサブスクリプションからレポートしているマシンがあるワークスペースを強調する 2 つの推奨事項を追加しました。
2 つの推奨事項は次のとおりです。どちらも自動修復 ([修正プログラム] アクション) が提供されます。
| 推奨 | Description | 重大度 |
|---|---|---|
| Microsoft Defender for Servers をワークスペース上で有効にする必要がある | Microsoft Defender for Servers を使用すると、お使いの Windows マシンと Linux マシンを対象とした脅威検出および高度な防御が追加されます。 この Defender プランをサブスクリプションで有効にし、ワークスペースで有効にしないと、 Microsoft Defender for Servers の全機能に対する料金がかかりますが、一部のメリットが得られません。 ワークスペースで Microsoft Defender for Servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for Servers の料金が発生します (Defender プランを有効にしていないサブスクリプションでも同様です)。 サブスクリプションで Microsoft Defender for Servers も有効にしない限り、それらのマシンでは、 Just-In-Time VM アクセス、適応型アプリケーション制御、 Azure リソースのネットワーク検出を利用することができません。 詳細については、「Microsoft Defender for Servers の概要」を参照してください。 (関連ポリシーはありません) |
Medium |
| Microsoft Defender for SQL on machines をワークスペース上で有効にする必要がある | Microsoft Defender for Servers を使用すると、お使いの Windows マシンと Linux マシンを対象とした脅威検出および高度な防御が追加されます。 この Defender プランをサブスクリプションで有効にし、ワークスペースで有効にしないと、 Microsoft Defender for Servers の全機能に対する料金がかかりますが、一部のメリットが得られません。 ワークスペースで Microsoft Defender for Servers を有効にすると、そのワークスペースに対して報告を行うすべてのマシンに対して Microsoft Defender for Servers の料金が発生します (Defender プランを有効にしていないサブスクリプションでも同様です)。 サブスクリプションで Microsoft Defender for Servers も有効にしない限り、それらのマシンでは、 Just-In-Time VM アクセス、適応型アプリケーション制御、 Azure リソースのネットワーク検出を利用することができません。 詳細については、「Microsoft Defender for Servers の概要」を参照してください。 (関連ポリシーはありません) |
中 |
Log Analytics エージェントを Azure Arc マシンに自動プロビジョニングする (プレビュー)
Defender for Cloud では、Log Analytics エージェントを使用して、マシンからセキュリティ関連のデータを収集します。 エージェントでは、さまざまなセキュリティ関連の構成とイベント ログを読み取り、分析のためにデータをワークスペースにコピーします。
Defender for Cloud の自動プロビジョニング設定は、サポートされている拡張機能 (Log Analytics エージェントを含む) の種類ごとに切り替えることができます。
ハイブリッド クラウドの機能をさらに拡張するために、Log Analytics エージェントを Azure Arc に接続されているマシンに自動プロビジョニングするオプションが追加されました。
他の自動プロビジョニング オプションと同様に、これはサブスクリプション レベルで構成されます。
このオプションを有効にすると、ワークスペースを求めるメッセージが表示されます。
Note
このプレビューでは、Defender for Cloud によって作成された既定のワークスペースを選択できません。 Azure Arc 対応サーバーで使用できるセキュリティ機能の完全なセットを確実に受け取る場合は、関連するセキュリティ ソリューションが選択したワークスペースにインストールされていることを確認します。
SQL データベースで機密データを分類するための推奨事項が非推奨になった
クラウド リソース内の機密性の高い日付を Defender for Cloud で識別して保護する方法に関するオーバーホールの一環として、[SQL データベースの機密データを分類する必要がある] という推奨事項を削除しました。
この変更の事前通知は、「Microsoft Defender for Cloud に対する今後の重要な変更」ページに過去 6 か月間表示されました。
疑わしいドメインとの通信アラートが、既知の Log4Shell 関連ドメインを含むように拡張された
次のアラートは、以前は Microsoft Defender for DNS プランを有効にした組織でのみ使用できました。
この更新では、アラートは Microsoft Defender for Servers または Defender for App Service プランが有効になっているサブスクリプションでも表示されます。
さらに、Microsoft 脅威インテリジェンスでは、Log4j に関連して広く公開されている脆弱性の悪用に関するドメインを含む、既知の悪意のあるドメインの一覧を拡張しました。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス/永続化/実行/コマンド アンド コントロール/悪用 | Medium |
[セキュリティ アラートの詳細] ウィンドウに [アラート JSON のコピー] ボタンが追加された
ユーザーが他のユーザー (SOC アナリスト、リソース所有者、開発者など) とアラートの詳細をすばやく共有できるように、[セキュリティ アラートの詳細] ウィンドウから 1 つのボタンで特定のアラートの詳細すべてを簡単に抽出する機能を追加しました。
新しい [アラート JSON のコピー] ボタンをクリックすると、アラートの詳細が JSON 形式でユーザーのクリップボードに格納されます。
![アラートの結果ペインにある [アラート JSON のコピー] ボタンのスクリーンショット。](media/release-notes/copy-alert-json.png#lightbox)
2 つの推奨事項の名前が変更された
他の推奨事項名との一貫性を保つため、次の 2 つの推奨事項の名前を変更しました。
実行中のコンテナー イメージで検出された脆弱性を解決するための推奨事項
- 以前の名前: 実行中のコンテナー イメージの脆弱性を修復する必要がある (Qualys を利用)
- 新しい名前: 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある
Azure App Service の診断ログを有効にするための推奨事項
- 以前の名前: App Service の診断ログを有効にする必要がある
- 新しい名前: App Service における診断ログを有効にする必要があります
Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要があることが非推奨になった
[Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある] 推奨事項が非推奨になりました。
| ポリシー名 | 説明 | 効果 | Version |
|---|---|---|---|
| Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにコンテナーを制限します。 このポリシーは、Kubernetes Service (AKS)、AKS Engine のプレビュー、および Azure Arc 対応 Kubernetes で一般提供されています。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、deny、disabled | 6.1.2 |
アプリケーションがインターネットに公開するポートを制限するには、[サービスは許可されたポートでのみリッスンする必要がある] 推奨事項を使用する必要があります。
[アクティブなアラート] ブックが追加された
ユーザーが自分の環境に対するアクティブな脅威を理解し、修復プロセス中にアクティブなアラート間の優先順位を付けることができるように、[アクティブなアラート] ブックを追加しました。
アクティブなアラート ブックを使用すると、ユーザーは、重大度、種類、タグ、MITRE ATT&CK の戦術、場所別に集計されたアラートの統合ダッシュボードを表示できます。 詳細については、[アクティブなアラート] ブックの使用に関するページを参照してください。
政府機関向けクラウドに追加された "システム更新プログラム" 推奨事項
[システム更新プログラムをマシンにインストールする必要がある] 推奨事項が、すべての政府機関向けクラウドで利用できるようになりました。
この変更は、政府機関向けクラウド サブスクリプションのセキュリティ スコアに影響を与える可能性があります。 この変更によってスコアが低下することが想定されますが、場合によっては、推奨事項が含まれることでスコアが向上する可能性があります。
2021 年 12 月
12 月の更新プログラムには次のものが含まれます。
- 一般公開 (GA) 向け Microsoft Defender for Containers プランのリリース
- 一般公開 (GA) 向け Microsoft Defender for Storage の新しいアラートのリリース
- Microsoft Defender for Storage のアラートの改善
- ネットワーク層アラートからの 'PortSweeping' アラートの削除
一般公開 (GA) 向け Microsoft Defender for Containers プランのリリース
2 年以上前に、Microsoft Defender for Cloud 内の Azure Defender サービスの一環として、Defender for Kubernetes とコンテナー レジストリ用 Defender が導入されました。
Microsoft Defender for Containers のリリースに伴い、これらの 2 つの既存の Defender プランを統合しました。
新しいプラン:
- 既存の 2 つのプランの機能の結合 - Kubernetes クラスターに対する脅威検出と、コンテナー レジストリに保存されたイメージの脆弱性評価
- 新機能および向上した機能の提供 - マルチクラウドのサポート、60 を超える新しい Kubernetes 対応分析があるホスト レベルの脅威検出、実行中のイメージの脆弱性評価など
- 大規模なオンボードでの Kubernetes ネイティブの導入 - 既定では、プランを有効にすると関連するすべてのコンポーネントが自動的にデプロイされるように構成される
このリリースに伴い、Defender for Kubernetes とコンテナー レジストリ用 Defender の可用性とプレゼンテーションが次のように変更されました。
- 新しいサブスクリプション - 以前の 2 つのコンテナー プランは使用できなくなりました。
- 既存のサブスクリプション - Azure portal のどこに表示されても、新しいプランへのアップグレード方法に関する説明とともに非推奨と表示されます。
新しいプランは、2021 年 12 月は無料です。 旧プランから Defender for Containers への移行で変更される可能性のある請求内容や、本プランで導入される特典の情報については、「Microsoft Defender for Containers の概要」をご覧ください。
詳細については、次のトピックを参照してください。
- Microsoft Defender for Containers の概要
- Microsoft Defender for Containers の有効化
- Microsoft Defender for Containers の概要 - Microsoft Tech Community
- Microsoft Defender for Containers | Field #3 での Defender for Cloud - YouTube
一般公開 (GA) 向け Microsoft Defender for Storage の新しいアラートのリリース
脅威アクターは、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、ツールやスクリプトを使って一般に公開されているコンテナーをスキャンします。
Microsoft Defender for Storage はこれらのスキャナーを検出するため、それらをブロックし、状態を修復できます。
これを検出していた以前のアラートは、"パブリック ストレージ コンテナー の匿名スキャン" と呼ばれていました。 検出された疑わしいイベントをより明確化するために、これを 2 つの新しいアラートに分けました。 これらのアラートは、Azure Blob Storage にのみ関連します。
検出ロジックを改善し、アラート メタデータを更新し、アラート名とアラートの種類を変更しました。
新しいアラートは次のとおりです。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました) (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
スキャン スクリプトまたはツールによって、ストレージ アカウント内の公開されているストレージ コンテナーの検出が過去 1 時間に実行され、検出に成功しました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
コレクション | Medium |
| Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました) (Storage.Blob_OpenContainersScanning.FailedAttempt) |
公開されているストレージ コンテナーのスキャンに失敗した一連の試行が過去 1 時間に実行されました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、公開されているコンテナーをスキャンする可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
コレクション | 低 |
詳細については、次のトピックを参照してください。
- ストレージ サービスの脅威マトリックス
- Microsoft Defender for Storage の概要
- Microsoft Defender for Storage によって提供されるアラートの一覧
Microsoft Defender for Storage のアラートの改善
初期のアクセス アラートの精度が向上し、調査をサポートするデータが多く追加されました。
脅威アクターは、初期アクセスでさまざまな手法を用いて、ネットワーク内の足がかりを得ようとします。 この段階で動作の異常を検出する Microsoft Defender for Storage の 2 つのアラートは、検知ロジックが改善され、調査をサポートするデータが追加されました。
これらのアラートに対して過去に自動化を構成したり、アラート抑制ルールを定義したりしていた場合は、これらの変更に合わせてアップデートしてください。
Tor 出口ノードからの検出アクセス
Tor 出口ノードからのアクセスは、脅威アクターが自分の ID を隠そうとしていることを示している可能性があります。
このアラートは、認証されたアクセスに対してのみ生成されるように調整されており、その結果、アクティビティが悪意のあるものであることを示す精度と信頼性が向上しています。 この機能強化により、偽陽性となる割合が低下します。
突出したパターンには高い重要度レベルが適用され、より異常性の少ないパターンには中程度の重要度レベルが適用されます。
アラート名と説明が更新されました。 AlertType は変更されません。
- アラート名 (旧): Tor 出口ノードからストレージ アカウントへのアクセス
- アラート名 (新): Tor 出口ノードからの認証済みアクセス
- アラートの種類: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- 説明: ストレージ アカウント内の 1 つ以上のストレージ コンテナーまたはファイル共有が、Tor (匿名化プロキシ) のアクティブな出口ノードであることがわかっている IP アドレスからアクセスされました。 脅威アクターは Tor を使用して、アクティビティを追跡することを困難にしています。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 適用対象:Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
- MITRE 戦術: 初期アクセス
- 重大度: 高/中
通常とは異なる認証されていないアクセス
アクセス パターンの変化は、脅威アクターが、アクセス構成の誤りを悪用したり、アクセス許可を変更したりすることで、ストレージ コンテナーに対するパブリック読み取りアクセスを悪用したことを示している可能性があります。
この重大度レベル「中」のアラートは、動作ロジックの改善、精度の向上、アクティビティが悪意のあるものであるという信頼度により調整されました。 この機能強化により、偽陽性となる割合が低下します。
アラート名と説明が更新されました。 AlertType は変更されません。
- アラート名 (旧): ストレージ アカウントに対する匿名アクセス
- アラート名 (新): ストレージ コンテナーへの通常とは異なる認証されていないアクセス
- アラートの種類: Storage.Blob_AnonymousAccessAnomaly
- 説明: このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変化です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。 適用対象:Azure Blob Storage
- MITRE 戦術: コレクション
- 重大度: 中
詳細については、次のトピックを参照してください。
- ストレージ サービスの脅威マトリックス
- Microsoft Defender for Storage の概要
- Microsoft Defender for Storage によって提供されるアラートの一覧
ネットワーク層アラートからの 'PortSweeping' アラートの削除
以下のアラートは、非効率性により、ネットワーク層アラートから削除されました。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Possible outgoing port scanning activity detected (送信ポートのスキャン アクティビティの可能性が検出されました) (PortSweeping) |
ネットワーク トラフィック分析で、%{Compromised Host} からの疑わしい送信トラフィックが検出されました。 このトラフィックは、ポート スキャン アクティビティの結果である可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作が意図的なものである場合は、ポート スキャンの実行は、Azure のサービス使用条件に違反していることに注意してください。 この動作が意図していないものである場合は、リソースが侵害された可能性があります。 | 探索 | Medium |
2021 年 11 月
この Ignite リリースには次のものが含まれます。
- Azure Security Center と Azure Defender は Microsoft Defender for Cloud になりました。
- AWS 向けの CSPM、Amazon EKS 向けの脅威の防止、および AWS EC2
- データの機密度別のセキュリティ アクションの優先順位設定 (Microsoft Purview を利用) (プレビュー)
- Azure Security ベンチマーク v3 を使用した拡張されたセキュリティ制御の評価
- 一般公提供 (GA) のためにリリースされた Microsoft Sentinel コネクタのオプションの双方向のアラート同期
- Azure Kubernetes Service (AKS) ログを Sentinel にプッシュするための新しい推奨事項
- 一般公開 (GA) のためにリリースされた MITRE ATT&CK® フレームワークにマップされた推奨事項
11 月のその他の変更点は次のとおりです。
- Microsoft 脅威と脆弱性の管理が脆弱性評価ソリューションとして追加され、一般提供 (GA) のためにリリースされました。
- Linux 向け Microsoft Defender for Endpoint は、 Microsoft Defender for Servers によってサポートされるようになり、一般提供 (GA) のためにリリースされました
- 推奨事項とセキュリティの調査結果に関するスナップショットのエクスポート (プレビュー)
- 一般公開 (GA) のためにリリースされた脆弱性評価ソリューションの自動プロビジョニング
- 一般公開 (GA) のためにリリースされた資産インベントリのソフトウェア インベントリ フィルター
- 既定のイニシアティブに追加された新しい AKS セキュリティ ポリシー - プレビュー
- オンプレミスのマシンのインベントリ表示で、リソース名に別のテンプレートが適用されます
Azure Security Center と Azure Defender は Microsoft Defender for Cloud になりました。
2021 年のクラウドの状態レポートによれば、組織の 92% はマルチクラウド戦略を持つようになりました。 Microsoft では、環境全体でセキュリティを一元管理し、セキュリティ チームがより効果的に作業できるようにすることを目標としています。
Microsoft Defender for Cloud は、クライアント セキュリティの状態管理 (CSPM) およびクラウド ワークロード保護 (CWP) ソリューションであり、クラウド構成全体の脆弱性を検出し、環境の全体的なセキュリティ体制を強化し、複数のクラウド環境やハイブリッド環境でワークロードを保護します。
Ignite 2019 では、Microsoft Defender ブランドの下でデジタル資産をセキュリティで保護し、XDR テクノロジーを統合するための最も完全なアプローチを作成するための Microsoft のビジョンを紹介しました。 Microsoft Defender for Cloud という新しい名前で Azure Security Center と Azure defender を統合することは、Microsoft のセキュリティ オファリングとあらゆるクラウド プラットフォームをサポートする能力の統合機能を反映しています。
AWS 向けの CSPM、Amazon EKS 向けの脅威の防止、および AWS EC2
新しい [環境設定] ページでは、管理グループ、サブスクリプション、および AWS アカウントの可視性と制御を向上させることができます。 このページは、AWS アカウントを大規模にオンボードするように設計されています。AWS 管理アカウントを接続すると、既存のアカウントと将来のアカウントを自動的にオンボードすることができます。
![新しい [環境設定] ページを使用して、AWS アカウントを接続します。](media/release-notes/add-aws-account.png)
AWS アカウントを追加すると、Defender for Cloud は、次のいずれかまたはすべてのプランを使用して AWS リソースを保護します。
- Defender for Cloud の CSPM 機能は、AWS リソースにまで拡張されています。 このエージェントレス プランでは、AWS 固有のセキュリティの推奨事項に従って AWS リソースを評価します。これは、セキュリティ スコアに含まれています。 これらのリソースは、AWS (AWS CIS、AWS PCI DSS、および AWS の基本的なセキュリティのベスト プラクティス) に固有の組み込み標準に準拠しているかについても評価されます。 Defender for Cloud の資産インベントリ ページは、Azure リソースと AWS リソースを共に管理するのに役立つマルチクラウド対応機能です。
- Microsoft Defender For Kubernetes のコンテナーの脅威検出と高度な防御が Amazon EKS Linux クラスターまで拡張されました。
- Microsoft Defender for Servers を使用することで、お使いの Windows と Linux の EC2 インスタンスに脅威検出および高度な防御を利用できるようになります。 このプランには、Microsoft Defender for Endpoint の統合ライセンス、セキュリティ ベースラインと OS レベルの評価、脆弱性評価スキャン、適応型アプリケーション制御 (AAC)、ファイルの整合性の監視 (FIM) などが含まれます。
詳細については、「AWS アカウントを Microsoft Defender for Cloud に接続する」を参照してください。
データの機密度別のセキュリティ アクションの優先順位設定 (Microsoft Purview を利用) (プレビュー)
データ リソースは、依然として脅威アクターによく狙われるターゲットです。 そのため、セキュリティ チームが、クラウド環境全体で機密のデータ リソースを識別し、優先順位付けして、セキュリティ保護することが重要です。
この課題に対処するために、 Microsoft Defender for Cloud は Microsoft Purview からの機密情報を統合するようになりました。 Microsoft Purview は、マルチクラウドおよびオンプレミスのワークロード内のデータの機密性に関する豊富な分析情報を提供する統合されたデータ ガバナンス サービスです。
Microsoft Purview との統合により、 Defender for Cloud のセキュリティの可視性が、インフラストラクチャ レベルからデータまで拡張されることで、セキュリティ チームのリソースとセキュリティ アクティビティの優先順位付けをまったく新しい方法で行うことができます。
詳細については、「データの機密性に応じた、セキュリティ アクションの優先順位付け」を参照してください。
Azure Security ベンチマーク v3 を使用した拡張されたセキュリティ制御の評価
Defender for Cloud のセキュリティに関する推奨事項は、Azure セキュリティ ベンチマークでサポートされています。
Azure セキュリティ ベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する Azure 固有のガイドラインのセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の統制に基づいています。
Ignite 2021 以降、Azure セキュリティ ベンチマーク v3 が、Defender for Cloud の規制コンプライアンス ダッシュボードで利用可能になり、Microsoft Defender for Cloud で保護されているすべての Azure サブスクリプションの新しい既定のイニシアチブとして有効になっています。
V3 には以下の機能強化があります。
業界フレームワーク PCI-DSS v 3.2.1 および CIS コントロール v8 への追加のマッピング。
次の機能の導入によるコントロールのより詳細で実用的なガイダンス:
- セキュリティ原則 - 推奨事項の基礎を構築する全体的なセキュリティ目標に関する分析情報を提供します。
- Azure ガイダンス - これらの目標を達成するための技術的な "方法"。
新しいコントロールには、脅威のモデル化やソフトウェア サプライ チェーンのセキュリティなどの問題のための DevOps セキュリティのほか、Azure のベスト プラクティスのためのキーと証明書の管理が含まれます。
詳細については、「Azure セキュリティ ベンチマークの概要」を参照してください。
一般公提供 (GA) のためにリリースされた Microsoft Sentinel コネクタのオプションの双方向のアラート同期
7月に、Microsoft では、Microsoft Sentinel (Microsoft のクラウドネイティブ SIEM および SOAR ソリューション) に組み込まれているコネクタの双方向アラート同期をプレビュー機能として発表しました。 今回、それが一般提供 (GA) リリースとなりました。
Microsoft Defender for Cloud を Microsoft Sentinel に接続すると、セキュリティ アラートの状態が 2 つのサービス間で同期されます。 たとえば、 Defender for Cloud でアラートが閉じられた場合、そのアラートは Microsoft Sentinel でも閉じられたものとして表示されます。 Defender for Cloud でアラートの状態を変更しても、同期された Microsoft Sentinel アラートを含む Microsoft Sentinel インシデントの状態には影響せず、同期されたアラートそのものの状態のみに影響します。
双方向アラート同期を有効にすると、元の Defender for Cloud アラートの状態が、それらのアラートのコピーを含む Microsoft Sentinel インシデントと自動的に同期されます。 そのため、たとえば、Azure Defender アラートを含む Azure Sentinel インシデントが閉じられると、対応する元のアラートが Azure Defender によって自動的に閉じられます。
詳細については、「Azure Security Center からの Azure Defender アラートの接続」および「Azure Sentinel にアラートをストリーミングする」を参照してください。
Azure Kubernetes Service (AKS) ログを Sentinel にプッシュするための新しい推奨事項
Defender for Cloud と Microsoft Sentinel を組み合わせた価値の拡張により、Microsoft Sentinel にログ データを送信していない Azure Kubernetes Service インスタンスが強調されるようになりました。
SecOps チームは、[推奨事項の詳細] ページから直接関連する Microsoft Sentinel ワークスペースを選択して、未処理のログのストリーミングを直ちに有効にすることができます。 この 2 つの製品間をシームレスに接続することで、セキュリティ チームは、ワークロード全体をカバーする完全なログ記録を確実に実行し、環境全体を容易に把握できるようになります。
新しい推奨事項である "Kubernetes サービスの診断ログを有効にする必要がある" には、修復を高速化するための [修正] オプションが含まれています。
また、同じ Sentinel ストリーミング機能を使用して、"SQL Server の監査を有効にする必要があります" という推奨事項を強化しました。
一般公開 (GA) のためにリリースされた MITRE ATT&CK® フレームワークにマップされた推奨事項
Defender for Cloud のセキュリティに関する推奨事項が拡張され、MITRE ATT&CK® フレームワークでの位置が示されるようになりました。 実際の観察に基づいた脅威アクターの戦術と手法に関するこのグローバルにアクセス可能な知識ベースは、環境に対する推奨事項に関連するリスクを理解するのに役立つ多くのコンテキストを提供します。
これらの戦術は、推奨情報にアクセスするすべての場所で確認できます。
関連する推奨事項に関する Azure Resource Graph クエリ結果には、MITRE ATT&CK® の戦術と手法が含まれています。
推奨事項の詳細ページには、関連するすべての推奨事項のマッピングが表示されます。
Defender For Cloud の [推奨事項] ページには、関連する戦術に従って推奨事項を選択するための新しい
フィルターがあります。
詳しくは、セキュリティの推奨事項を確認するを参照してください。
Microsoft 脅威と脆弱性の管理が脆弱性評価ソリューションとして追加され、一般提供 (GA) のためにリリースされました。
10 月に、 Microsoft Defender for Servers と Microsoft Defender for Endpoint の間の統合拡張を発表し、お使いのマシンで Microsoft 脅威と脆弱性の管理という新しい脆弱性評価のプロバイダーをサポートするようになりました。 今回、それが一般提供 (GA) リリースとなりました。
脅威と脆弱性の管理を使用し、Microsoft Defender for Endpoint との統合を有効にして、準リアルタイムで脆弱性と構成の誤りを発見します。追加のエージェントや定期的なスキャンは必要ありません。 脅威と脆弱性の管理により、組織内の脅威の状況と検出結果に基づいて、脆弱性に優先順位が付けられます。
セキュリティに関する推奨事項の [A vulnerability assessment solution should be enabled on your virtual machines](脆弱性評価ソリューションを仮想マシンで有効にする必要がある) を使用して、脅威と脆弱性の管理によって検出されたサポート対象マシンの脆弱性を表示します。
既存および新規のマシンで、手動で推奨事項を修正することなく、自動的に脆弱性を表示するには、「脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー段階)」を参照してください。
詳細については、「Microsoft Defender for Endpoint の脅威と脆弱性の管理を使用して弱点を調査する」を参照してください。
Linux 向け Microsoft Defender for Endpoint は、 Microsoft Defender for Servers によってサポートされるようになり、一般提供 (GA) のためにリリースされました
8月に、サポートされている Linux マシンにDefender for Endpoint for Linux センサーを展開するためのプレビューサポートを発表しました。 今回、それが一般提供 (GA) リリースとなりました。
Microsoft Defender for Servers には、 Microsoft Defender for Endpoint の統合ライセンスが含まれます。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。
Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 このアラートは Defender for Cloud に表示されます。 Defender for Cloud から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。
詳細については、「Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください。
推奨事項とセキュリティの調査結果に関するスナップショットのエクスポート (プレビュー)
Defender for Cloud では、詳細なセキュリティ アラートと推奨事項が生成されます。 これらは、ポータル内またはプログラム ツールで表示できます。 場合によっては、環境内の他の監視ツールでの追跡のために、この情報の一部または全部をエクスポートする必要があります。
Defender for Cloud の連続エクスポート機能を使用して、エクスポートする "内容" とエクスポート先の "場所" を完全にカスタマイズできます。 詳細については、Microsoft Defender for Cloud データの継続的なエクスポートに関する記事を参照してください。
この機能は 連続 と呼ばれていますが、週単位のスナップショットをエクスポートするオプションもあります。 これまでは、これらの週単位のスナップショットは、セキュリティで保護されたスコアと規制コンプライアンス データに制限されていました。 推奨事項とセキュリティの結果をエクスポートする機能を追加しました。
一般公開 (GA) のためにリリースされた脆弱性評価ソリューションの自動プロビジョニング
10 月に、Defender for Cloud の自動プロビジョニング ページに脆弱性評価ソリューションを追加することを発表しました。 これは、 Azure Defender for Servers によって保護されているサブスクリプションの Azure Virtual Machines と Azure Arc マシンに関連しています。 今回、それが一般提供 (GA) リリースとなりました。
また、Microsoft Defender for Endpoint との統合を有効にすると、Defender for Cloud で次の脆弱性評価ソリューションを選択できるようになります。
- (新規) Microsoft Defender for Endpoint の Microsoft 脅威と脆弱性の管理モジュール (リリース ノートを参照してください)
- 統合された Qualys エージェント
選択したソリューションは、サポート対象のマシン上で自動的に有効になります。
詳細については、「マシンの脆弱性評価を自動的に構成する」を参照してください。
一般公開 (GA) のためにリリースされた資産インベントリのソフトウェア インベントリ フィルター
10 月に、資産インベントリ ページの特定のソフトウェアを実行しているマシンを選択する新しいフィルターを発表しました。さらに、対象のバージョンを指定することもできます。 今回、それが一般提供 (GA) リリースとなりました。
Azure Resource Graph Explorer でソフトウェア インベントリ データのクエリを実行することができます。
これらの機能を使用するには、Microsoft Defender for Endpoint との統合を有効にする必要があります。
Azure Resource Graph 用のサンプル Kusto クエリなどの詳細については、「ソフトウェア インベントリにアクセスする」を参照してください。
既定のイニシアティブに追加された新しい AKS セキュリティ ポリシー
Kubernetes ワークロードが既定で確実に保護されるように、 Defender for Cloud によって、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベル ポリシーが追加され、レコメンデーションが強化されます。
このプロジェクトの一部として、Kubernetes クラスターでの展開を制御するためのポリシーと推奨事項 (既定では無効) を追加しました。 ポリシーは既定のイニシアチブにありますが、関連するプレビューに登録する組織にのみ関連します。
ポリシーと推奨事項 ("Kubernetes クラスターで、脆弱性のあるイメージのデプロイを制限する必要がある") は無視しても問題はなく、環境には影響しません。
プレビューに参加する場合は、プレビュー リングのメンバーである必要があります。 まだメンバーでない場合は、こちらから要求を送信してください。 プレビューが開始されると、メンバーに通知されます。
オンプレミスのマシンのインベントリ表示で、リソース名に別のテンプレートが適用されます
資産インベントリ内のリソースの表示を改善するために、オンプレミスのマシンに名前を付けるためのテンプレートから "source-computer-IP" 要素を削除しました。
- 以前の形式:
machine-name_source-computer-id_VMUUID - この更新以降:
machine-name_VMUUID
2021 年 10 月
10 月の更新プログラムには次のものが含まれます。
- Microsoft 脅威と脆弱性の管理が脆弱性評価ソリューションとして追加されました (プレビュー段階)
- 脆弱性評価ソリューションを自動で有効化できるようになりました (プレビュー段階)
- 資産インベントリにソフトウェア インベントリ フィルターが追加されました (プレビュー段階)
- 一部のアラートの種類のプレフィックスを "ARM_" から "VM_" に変更
- Kubernetes クラスターのセキュリティに関する推奨事項のロジックの変更
- 推奨事項の詳細ページに、関連する推奨事項が表示されるようになりました
- Azure Defender for Kubernetes の新しいアラート (プレビュー)
Microsoft 脅威と脆弱性の管理が脆弱性評価ソリューションとして追加されました (プレビュー版)
Microsoft 脅威と脆弱性の管理というマシンの新しい脆弱性評価のプロバイダーをサポートするように、Azure Defender for servers と Microsoft Defender for Endpoint 間の統合を拡張しました。
脅威と脆弱性の管理を使用し、Microsoft Defender for Endpoint との統合を有効にして、準リアルタイムで脆弱性と構成の誤りを発見します。追加のエージェントや定期的なスキャンは必要ありません。 脅威と脆弱性の管理により、組織内の脅威の状況と検出結果に基づいて、脆弱性に優先順位が付けられます。
セキュリティに関する推奨事項の [A vulnerability assessment solution should be enabled on your virtual machines](脆弱性評価ソリューションを仮想マシンで有効にする必要がある) を使用して、脅威と脆弱性の管理によって検出されたサポート対象マシンの脆弱性を表示します。
既存および新規のマシンで、手動で推奨事項を修正することなく、自動的に脆弱性を表示するには、「脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー段階)」を参照してください。
詳細については、「Microsoft Defender for Endpoint の脅威と脆弱性の管理を使用して弱点を調査する」を参照してください。
脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー)
Security Center の自動プロビジョニング ページに、Azure Defender for Servers で保護されたサブスクリプションの Azure 仮想マシンと Azure Arc マシンに対して、脆弱性評価ソリューションを自動的に有効にするオプションが追加されました。
また、Microsoft Defender for Endpoint との統合を有効にすると、Defender for Cloud で次の脆弱性評価ソリューションを選択できるようになります。
- (新規) Microsoft Defender for Endpoint の Microsoft 脅威と脆弱性の管理モジュール (リリース ノートを参照してください)
- 統合された Qualys エージェント
選択したソリューションは、サポート対象のマシン上で自動的に有効になります。
詳細については、「マシンの脆弱性評価を自動的に構成する」を参照してください。
資産インベントリにソフトウェア インベントリ フィルターが追加されました (プレビュー段階)
資産インベントリ ページに、特定のソフトウェアを実行しているマシンを選択するフィルターが追加されました。さらに、対象のバージョンを指定することもできます。
また、Azure Resource Graph Explorer でソフトウェア インベントリ データのクエリを実行することができます。
これらの新機能を使用するには、Microsoft Defender for Endpoint との統合を有効にする必要があります。
Azure Resource Graph 用のサンプル Kusto クエリなどの詳細については、「ソフトウェア インベントリにアクセスする」を参照してください。
一部のアラートの種類のプレフィックスを "ARM_" から "VM_" に変更
2021 年 7 月に、Azure Resource Manager アラート用の Azure Defender の論理的な再編成について発表しました。
Defender プランの再編成中に、アラートを Azure Defender for Resource Manager から Azure Defender for Servers に移動しました。
この更新プログラムでは、次の表に示すように、この再割り当てに一致するようにこれらのアラートのプレフィックスを変更し、"ARM_" を "VM_" に置き換えました。
| 元の名前 | この変更以降 |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Azure Defender for Resource Manager プランと Azure Defender for servers プランの詳細を参照してください。
Kubernetes クラスターのセキュリティに関する推奨事項のロジックの変更
「Kubernetesクラスターはデフォルトの名前空間を使用しないでください」という推奨事項により、さまざまなリソースタイプでデフォルトの名前空間を使用できません。 この推奨事項に含まれる2 つのリソースの種類が削除されました:ConfigMap と Secret。
この推奨事項の詳細と Kubernetes クラスターの強化については 「Kubernetes クラスターのAzure Policyについて」を参照してください。
推奨事項の詳細ページに、関連する推奨事項が表示されるようになりました
さまざまな推奨事項の関係を明確にするため、関連する推奨事項領域を多くの推奨事項の詳細ページに追加しました。
これらのページに表示される 3 種類の関係は次のとおりです。
- 前提条件 - 選択した推奨事項の前に完了する必要がある推奨事項
- 代替 - 選択した推奨事項の目的を別の方法で達成する、異なる推奨事項
- 依存 - 選択した推奨事項が前提条件となる推奨事項
それぞれの関連推奨事項に対して、[影響を受けるリソース] 列に異常なリソースの数が表示されます。
ヒント
関連推奨事項が淡色表示されている場合、その依存関係はまだ完了していないため、使用できません。
関連推奨事項の例を次に示します。
脆弱性評価ソリューションがサポートされているか、お使いのコンピューターが Security Center によって確認されます。
脆弱性評価ソリューションを仮想マシンで有効にする必要がある見つかった場合は、検出された脆弱性に関する通知が表示されます。
仮想マシンの脆弱性を修復する必要がある
言うまでもなく、サポートされている脆弱性評価ソリューションが見つからない限り、Security Center では検出された脆弱性を通知できません。
そのため、次のようになります。
- 推奨事項 #1 は推奨事項 #2 の前提条件となる
- 推奨事項 #2 は推奨事項 #1 に依存する
Azure Defender for Kubernetes の新しいアラート (プレビュー)
Azure Defender for Kubernetes で提供される脅威の保護を拡張するために、2 つのプレビュー アラートを追加しました。
これらのアラートは、新しい機械学習モデルと Kubernetes の高度な分析に基づいて生成され、クラスターおよび、Azure Defender によって監視されるすべてのクラスター内の以前のアクティビティに対して、複数のデプロイとロールの割り当ての属性を測定します。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Anomalous pod deployment (Preview) (異常なポッドのデプロイ (プレビュー)) (K8S_AnomalousPodDeployment) |
Kubernetes 監査ログ分析で、以前のポッドのデプロイ アクティビティに基づいて異常なポッドのデプロイが検出されました。 このアクティビティは、デプロイ操作に見られるさまざまな特徴の相互関係を考慮した場合、異常と考えられます。 この分析によって監視される特徴には、使用されるコンテナー イメージ レジストリ、デプロイを実行するアカウント、曜日、このアカウントがポッドのデプロイを実行する頻度、操作で使用されるユーザー エージェント、ポッドのデプロイが頻繁に発生する名前空間などの特徴があります。 異常なアクティビティとしてこのアラートが発生する主な原因については、アラートの拡張プロパティに詳しい説明があります。 | 実行 | Medium |
| Excessive role permissions assigned in Kubernetes cluster (Preview) (Kubernetes クラスターで割り当てられた過剰なロール権限 (プレビュー)) (K8S_ServiceAcountPermissionAnomaly) |
Kubernetes 監査ログの分析で、クラスターへの過剰なアクセス許可ロールの割り当てが検出されました。 ロールの割り当ての調査から判断して、リストされているアクセス許可は、特定のサービス アカウントにとって一般的ではありません。 この検出では、Azure によって監視されるクラスター全体での同じサービス アカウントへの以前のロールの割り当て、アクセス許可あたりのボリューム、および特定のアクセス許可の影響が考慮されます。 このアラートに使用される異常検出モデルでは、このアクセス許可が、Azure Defender によって監視されるすべてのクラスターでどのように使用されているかが考慮されます。 | Privilege Escalation (特権昇格) | 低 |
Kubernetes アラートの完全な一覧については、Kubernetes クラスターのアラートに関するセクションをご覧ください。
2021 年 9 月
9 月に、次の更新プログラムがリリースされました。
Azure のセキュリティ ベースライン コンプライアンスの OS 構成を監査する 2 つの新しい推奨事項 (プレビュー段階)
Windows のセキュリティ ベースラインと Linux セキュリティ ベースラインへのマシンのコンプライアンスを評価するため、次の 2 つの推奨事項がリリースされました。
- Windows マシンの場合は、Windows マシンのセキュリティ構成の脆弱性を修復する必要がある (ゲスト構成を利用)
- Linux マシンの場合は、Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (ゲスト構成を利用)
これらの推奨事項は、Azure Policy のゲスト構成機能を使用して、マシンの OS 構成と Azure セキュリティ ベンチマークで定義されたベースラインとの比較を行っています。
これらの推奨事項を使用する方法の詳細については、ゲスト構成を使用したマシンの OS 構成の強化に関するページをご覧ください。
2021 年 8 月
8 月の更新プログラムには次のものが含まれます。
- Microsoft Defender for Endpoint for Linux の Azure Defender for Servers によるサポート (プレビュー)
- エンドポイント保護ソリューションを管理するための 2 つの新しい推奨事項 (プレビュー)
- 一般的な問題を解決するための組み込みのトラブルシューティングとガイダンス
- 規制コンプライアンス ダッシュボードの Azure 監査レポートを一般提供 (GA) としてリリース
- "お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要がある" という推奨事項の廃止
- コンテナー レジストリ用の Azure Defender が Azure Private Link で保護されたレジストリ内の脆弱性をスキャン
- Security Center による Azure Policy のゲスト構成拡張機能の自動プロビジョニング (プレビュー)
- Azure Defender プランを有効にする推奨事項での "強制" のサポート
- 推奨事項データの CSV エクスポートを 20 MB に制限
- [推奨事項] ページに複数のビューが含まれる
Microsoft Defender for Endpoint for Linux の Azure Defender for Servers によるサポート (プレビュー)
Azure Defender for Servers には、Microsoft Defender for Endpoint の統合ライセンスが含まれます。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。
Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 アラートは Security Center に表示されます。 Security Center から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。
プレビュー期間中は、既に Windows マシンにデプロイしたかどうかに応じて 2 つの方法のいずれかで、サポートされる Linux マシンに Defender for Endpoint for Linux センサーをデプロイします。
- Defender for Cloud の強化されたセキュリティ機能を有効にし、Microsoft Defender for Endpoint for Windows を使用している既存のユーザー
- Microsoft Defender for Endpoint for Windows との統合を有効にしたことがない新規ユーザー
詳細については、「Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください。
エンドポイント保護ソリューションを管理するための 2 つの新しい推奨事項 (プレビュー)
マシンにエンドポイント保護ソリューションをデプロイして維持するための 2 つのプレビュー推奨事項が追加されています。 どちらの推奨事項にも、Azure 仮想マシンと Azure Arc 対応サーバーに接続されているコンピューターのサポートが含まれています。
| 推奨 | Description | 重大度 |
|---|---|---|
| エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。 マシンのエンドポイント保護を評価する方法の詳細をご覧ください。 (関連ポリシー:エンドポイント保護の不足を Azure Security Center で監視する) |
高 |
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 Azure Security Center でサポートされているエンドポイント保護ソリューションについては、こちらを参照してください。 エンドポイント保護の評価については、こちらを参照してください。 (関連ポリシー:エンドポイント保護の不足を Azure Security Center で監視する) |
中 |
Note
推奨事項の更新間隔は 8 時間と表示されますが、シナリオによっては、さらに長くかかる場合があります。 たとえば、オンプレミスのマシンが削除されたとき、Security Center が削除を識別するのに 24 時間かかります。 その後、評価によって情報が返されるまでに最大 8 時間かかります。 したがって、この特定の状況では、影響を受けたリソースの一覧からマシンが削除されるまでに 32 時間かかることがあります。
一般的な問題を解決するための組み込みのトラブルシューティングとガイダンス
Azure portal の Azure Security Center ページの新しい専用領域は、Azure Security Center と Azure Defender に関する一般的な課題を解決するための、拡大し続ける照合されたセルフヘルプ資料のセットを提供します。
問題が発生している場合、またはサポート チームからのアドバイスを求めている場合には、 [問題の診断と解決] は、ソリューションを探すために役立つもう 1 つのツールです。
![Security Center の [問題の診断と解決] ページ](media/release-notes/solve-problems.png)
規制コンプライアンス ダッシュボードの Azure 監査レポートを一般提供 (GA) としてリリース
規制コンプライアンス ダッシュボードのツールバーには、サブスクリプションに適用される基準に関する Azure および Dynamics の証明書レポートが用意されています
関連するレポートの種類 (PCI、SOC、ISO など) のタブを選択し、フィルターを使用すると、必要なレポートを見つけることができます。
詳細については、コンプライアンス状態レポートと証明書の生成に関するページを参照してください。
"お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要がある" という推奨事項の廃止
お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要があるという推奨事項は、Security Center のクラウド セキュリティ態勢管理 (CSPM) の取り組みと整合性がないという点で、セキュリティ スコアに影響することがわかりました。 通常、CSPM はセキュリティ構成の誤りを特定する方法に関連するものです。 エージェントの正常性の問題は、このカテゴリの問題には該当しません。
また、この推奨事項は、Security Center に関連する他のエージェントと比較した場合、特異なものです。これは、正常性の問題に関する推奨事項を持つ唯一のエージェントだからです。
推奨事項は非推奨になりました。
この廃止を受けて、Log Analytics エージェントのインストールに関する推奨事項についても少し変更しました (Log Analytics エージェントを ... にインストールする必要があります)。
この変更は、セキュリティ スコアに影響を与える可能性があります。 ほとんどのサブスクリプションでは、変更によってスコアが上がることが期待できますが、インストールの推奨事項を更新すると、場合によってはスコアが下がる可能性があります。
ヒント
また、[資産インベントリ] ページも、この変更の影響も受けています。マシンの監視状態 (監視、監視なし、または部分的な監視 - 正常性の問題があるエージェントを表す状態) が表示されるためです。
コンテナー レジストリ用の Azure Defender が Azure Private Link で保護されたレジストリ内の脆弱性をスキャン
コンテナー レジストリ用の Azure Defender に、Azure Container Registry レジストリ内のイメージをスキャンする脆弱性スキャナーが含まれています。 レジストリをスキャンして結果を修復する方法については、「コンテナー レジストリ用の Azure Defender を使用してイメージの脆弱性をスキャンする」を参照してください。
Azure Container Registry でホストされるレジストリへのアクセスを制限するには、「Azure Private Link を使用して Azure Container Registry にプライベートで接続する」の説明に従って、仮想ネットワークのプライベート IP アドレスをレジストリ エンドポイントに割り当てて、Azure Private Link を使用します。
追加の環境やユースケースをサポートする継続的な取り組みの一環として、Azure Private Link で保護されるコンテナー レジストリのスキャンも Azure Defender によって行われるようになりました。
Security Center による Azure Policy のゲスト構成拡張機能の自動プロビジョニング (プレビュー)
Azure Policy では、Azure 内で実行するマシンと Arc に接続されたマシンの両方に対して、マシン内の設定を監査できます。 検証は、クライアントとゲスト構成拡張機能によって実行されます。 詳細については、「Azure Policy のゲストの構成の理解」を参照してください。
この更新プログラムにより、サポートされているすべてのコンピューターにこの拡張機能を自動的にプロビジョニングするように Security Center を設定できるようになりました。
自動プロビジョニングのしくみの詳細については、エージェントと拡張機能の自動プロビジョニングの構成に関する記事を参照してください。
Azure Defender プランを有効にする推奨事項での "強制" のサポート
Security Center には、新しく作成されたリソースが安全な方法でプロビジョニングされるために役立つ、強制と拒否という 2 つの機能があります。 推奨事項によってこれらのオプションが提供されると、だれかがリソースを作成しようとするとき常に、セキュリティ要件が満たされていることを保証できます。
- [拒否] によって、異常なリソースの作成が止められます。
- [強制] によって、準拠していないリソースが作成されたときに自動的に修復されます。
この更新プログラムによって、強制オプションを推奨事項で使用して Azure Defender プラン ( [Azure Defender for App Service を有効にする必要がある] 、 [Azure Defender for Key Vault を有効にする必要がある] 、 [Azure Defender for Storage を有効にする必要がある] など) を有効にできるようになりました。
これらのオプションの詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。
推奨事項データの CSV エクスポートを 20 MB に制限
Security Center の推奨事項データをエクスポートする際に 20 MB に制限します。
![推奨事項に関するデータをエクスポートするための Security Center の [CSV レポートのダウンロード] ボタン。](media/upcoming-changes/download-csv-report.png)
大量のデータをエクスポートする必要がある場合は、選択する前に使用可能なフィルターを使用するか、またはサブスクリプションのサブセットを選択してデータをバッチでダウンロードします。
詳細については、セキュリティに関する推奨事項の CSV エクスポートの実行に関するページを参照してください。
[推奨事項] ページに複数のビューが含まれる
[推奨事項] ページに、リソースに関連する推奨事項を別の方法で表示できるように 2 つのタブが用意されました。
- [Secure score recommendations](セキュア スコア推奨事項) - このタブを使用して、セキュリティ コントロール別にグループ化された推奨事項の一覧を表示します。 これらのコントロールの詳細については、「セキュリティ コントロールとその推奨事項」を参照してください。
- [すべての推奨事項] - このタブを使用して、推奨事項の一覧をフラット リストとして表示します。 このタブは、推奨事項を生成したイニシアチブ (規制コンプライアンス基準を含む) を理解するのにも役立ちます。 イニシアチブと、推奨事項との関係の詳細については、「セキュリティ ポリシー、イニシアチブ、および推奨事項とは」を参照してください。
2021 年 7 月
7 月の更新プログラムには次のものが含まれます。
- Azure Sentinel コネクタにオプションの双方向アラート同期が含まれる (プレビュー)
- Azure Resource Manager アラート用の Azure Defender の論理的な再編成
- Azure Disk Encryption (ADE) を有効にする推奨事項の強化
- セキュア スコアと規制コンプライアンス データの連続エクスポートを一般提供 (GA) としてリリース
- 規制コンプライアンス評価の変更によるワークフロー自動化のトリガー (GA)
- Assessments API フィールド 'FirstEvaluationDate' および 'StatusChangeDate' がワークスペース スキーマとロジック アプリで使用可能
- 'Compliance over time' ブック テンプレートが Azure Monitor ブック ギャラリーに追加
Azure Sentinel コネクタにオプションの双方向アラート同期が含まれる (プレビュー)
Security Center には、Azure Sentinel(Azure のクラウドネイティブな SIEM および SOAR ソリューション) がネイティブに統合されています。
Azure Sentinel には、サブスクリプションとテナントのレベルで Azure Security Center 用の組み込みコネクタが含まれています。 詳細については、「Azure Sentinel にアラートをストリーミングする」を参照してください。
Azure Defender を Azure Sentinel に接続すると、Azure Defender アラートの状態が Azure Sentinel に取り込まれる、2 つのサービス間で同期されます。 たとえば、Azure Defender でアラートが閉じられた場合、そのアラートは Azure Sentinel でも閉じられたと表示されます。 Azure Defender でアラートの状態を変更しても、同期された Azure Sentinel アラートを含む Azure Sentinel インシデントの状態には影響せず、同期されたアラートそのものの状態のみに影響します。
プレビュー機能である双方向アラート同期を有効にすると、元の Azure Defender アラートの状態が、それらの Azure Defender アラートのコピーを含む Azure Sentinel インシデントと自動的に同期されます。 そのため、たとえば、Azure Defender アラートを含む Azure Sentinel インシデントが閉じられると、対応する元のアラートが Azure Defender によって自動的に閉じられます。
詳細については、「Azure Security Center からの Azure Defender アラートの接続」を参照してください。
Azure Resource Manager アラート用の Azure Defender の論理的な再編成
次に示すアラートは、Azure Defender For Resource Manager プランの一部として提供されていました。
Azure Defender プランの論理的な再編成の一環として、一部のアラートが Azure Defender for Resource Manager から Azure Defender for Servers に移動されました。
アラートは、次の 2 つの主要原則に従って編成されます。
- さまざまな種類の Azure リソースにわたるコントロールプレーンの保護を提供するアラートは、Azure Defender for Resource Manager の一部になります。
- 特定のワークロードを保護するアラートは、対応するワークロードに関連する Azure Defender プランに含まれます。
これらは、Azure Defender for Resource Manager に属するアラートでしたが、この変更の結果として、現在は Azure Defender for Servers にあります。
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Azure Defender for Resource Manager プランと Azure Defender for servers プランの詳細を参照してください。
Azure Disk Encryption (ADE) を有効にする推奨事項の強化
ユーザーからのフィードバックに従い、 [仮想マシンにディスク暗号化を適用する必要がある] という推奨事項の名前を変更しました。
新しい推奨事項には同じ評価 ID が使用され、 [コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある] と呼ばれます。
このセキュリティ強化推奨事項の目的をわかりやすくするために説明も更新しています。
| 推奨 | Description | 重大度 |
|---|---|---|
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータ ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されません。また、データがコンピューティング リソースとストレージ リソース間でやり取りされる際には暗号化されません。 詳細については、Azure でのさまざまなディスク暗号化テクノロジの比較に関する記事を参照してください。 Azure Disk Encryption を使用してこのデータをすべて暗号化します。 次の場合は、この推奨事項を無視します。(1) ホスト上の暗号化機能を使用している場合。または、(2) Managed Disks のサーバー側暗号化がセキュリティ要件を満たしている場合。 詳細については、「Azure Disk Storage のサーバー側暗号化」を参照してください。 |
高 |
セキュア スコアと規制コンプライアンス データの連続エクスポートを一般提供 (GA) としてリリース
連続エクスポートによって、セキュリティ アラートと推奨事項を環境内の他の監視ツールで追跡するためにエクスポートするメカニズムが提供されます。
連続エクスポートを設定するときに、エクスポートする内容とエクスポート先の場所を構成します。 詳細については、連続エクスポートの概要に関するページを参照してください。
時間経過と共に、この機能の強化および拡張を行っています。
2020 年 11 月、セキュア スコアへの変更をストリーミングするためのプレビュー オプションを追加しました。
詳細については、「連続エクスポートでセキュア スコアが利用可能に (プレビュー)」を参照してください。2020 年 12 月、規制コンプライアンス評価データへの変更をストリーミングするためのプレビュー オプションを追加しました。
詳細については、「連続エクスポートで新しいデータ型が利用可能に (プレビュー)」を参照してください。
この更新プログラムでは、これら 2 つのオプションが一般提供 (GA) としてリリースされます。
規制コンプライアンス評価の変更によるワークフロー自動化のトリガー (GA)
2021 年 2 月、ワークフロー自動化のトリガー オプションに、規制コンプライアンス評価の変更という、プレビューの 3 つ目のデータの種類が追加されました。 詳細については、「規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能」を参照してください。
この更新プログラムでは、このトリガー オプションが一般提供 (GA) としてリリースされます。
ワークフローの自動化ツールの使い方については、「Security Center のトリガーへの応答を自動化する」を参照してください。
Assessments API フィールド 'FirstEvaluationDate' および 'StatusChangeDate' がワークスペース スキーマとロジック アプリで使用可能
2021 年 5 月、2 つのフィールド FirstEvaluationDate および StatusChangeDate を含むように Assessment API を更新しました。 詳細については、「Assessments API を 2 つの新しいフィールドで拡張」を参照してください。
これらのフィールドには、REST API、Azure Resource Graph、連続エクスポート、および CSV エクスポートを使用してアクセスできました。
この変更では、Log Analytics ワークスペースとロジック アプリで情報を使用できるようにしています。
'Compliance over time' ブック テンプレートが Azure Monitor ブック ギャラリーに追加
3 月に、Security Center での統合 Azure Monitor ブック エクスペリエンスを発表しました (「Azure Monitor ブックを Security Center に統合し、テンプレートを 3 件提供」を参照してください)。
最初のリリースには、組織のセキュリティ体制に関して動的レポートとビジュアル レポートを構築するための 3 つのテンプレートが含まれていました。
ここでは、適用される規制または業界標準に関するサブスクリプションのコンプライアンスを追跡する専用のブックを追加しました。
ここに挙げたレポートを使用する方法や、独自のレポートを作成する方法の詳細については、「豊富な機能を備えた対話型の Security Center データ レポートを作成する」を参照してください。
2021 年 6 月
6 月の更新プログラムには次のものが含まれます。
- Azure Defender for Key Vault の新しいアラート
- 既定では無効になっているカスタマー マネージド キー (CMK) を使用して暗号化するための推奨事項
- Kubernetes アラートのプレフィックスを "AKS_" から "K8S_" に変更
- "システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
Azure Defender for Key Vault の新しいアラート
Azure Defender for Key Vault で提供される脅威の保護を拡張するために、次のアラートを追加しました。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Access from a suspicious IP address to a key vault (疑わしい IP アドレスからのキー コンテナーへのアクセス) (KV_SuspiciousIPAccess) |
キー コンテナーが、Microsoft 脅威インテリジェンスによって不審な IP アドレスとして識別された IP によって正常にアクセスされました。 これは、お使いのインフラストラクチャが侵害を受けたことを示しているおそれがあります。 さらに詳しく調査することをお勧めします。 Microsoft の脅威インテリジェンス機能の詳細に関するページを参照してください。 | 資格情報アクセス | Medium |
詳細については、次を参照してください。
- Azure Defender for Key Vault の概要
- Azure Defender の Key Vault アラートに対応する
- Azure Defender for Key Vault で提供されるアラートの一覧
既定では無効になっているカスタマー マネージド キー (CMK) を使用して暗号化するための推奨事項
Security Center には、カスタマー マネージド キーを使用して保存データを暗号化するための次のような複数の推奨事項があります。
- コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
Azure のデータは、プラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、組織が適用を選択した特定のポリシーに準拠するために必要な場合にのみ適用する必要があります。
この変更に伴い、CMK を使用するための推奨事項は、既定では無効になりました。 組織に関係がある場合は、対応するセキュリティ ポリシーの Effect パラメーターを AuditIfNotExists または Enforce に変更することにより、有効にすることができます。 詳細については、「セキュリティの推奨事項を有効にする」を参照してください。
この変更は、次の例で示すように、新しいプレフィックス [必要に応じて有効にする] を使用して推奨事項の名前に反映されています。
- [必要に応じて有効にする] ストレージ アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある
- [必要に応じて有効にする] コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- [必要に応じて有効にする] Cosmos DB アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある
Kubernetes アラートのプレフィックスを "AKS_" から "K8S_" に変更
オンプレミスおよびマルチ クラウド環境でホストされている Kubernetes クラスターを保護するため、Azure Defender for Kubernetes が最近拡張されました。 詳細については、「Azure Defender for Kubernetes を使用したハイブリッドおよびマルチクラウド Kubernetes デプロイの保護 (プレビュー)」をご覧ください。
Azure Defender for Kubernetes によって提供されるセキュリティ アラートが Azure Kubernetes Service 上のクラスターに制限されなくなったという事実を反映するために、アラートの種類のプレフィックスを "AKS_" から "K8S_" に変更しました。必要に応じて、名前と説明も更新されています。 たとえば、このアラートです。
| アラート (アラートの種類) | 説明 |
|---|---|
| Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました) (AKS_PenTestToolsKubeHunter) |
Kubernetes 監査ログ分析によって、AKS クラスターでの Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 |
このアラートに変更されました。
| アラート (アラートの種類) | 説明 |
|---|---|
| Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました) (K8S_PenTestToolsKubeHunter) |
Kubernetes 監査ログ分析によって、Kubernetes クラスターでの Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 |
"AKS_" から始まるアラートを参照する抑制ルールは自動的に変換されています。 SIEM エクスポート、またはアラートの種類別に Kubernetes アラートを参照するカスタム自動化スクリプトを設定している場合は、それらを新しいアラートの種類で更新する必要があります。
Kubernetes アラートの完全な一覧については、Kubernetes クラスターのアラートに関するセクションをご覧ください。
"システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
次の 2 つの推奨事項は非推奨になりました。
- クラウド サービス ロールの OS バージョンを更新する必要がある - Azure では既定で、ゲスト OS は、サービス構成 (.cscfg) に指定した Windows Server 2016 などの OS ファミリ内でサポートされている最新のイメージに定期的に更新されます。
- Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある - この推奨事項の評価は、目標とする広範囲には及んでいません。 推奨事項は、よりお客様のセキュリティ ニーズに合った強化バージョンに置き換えられる予定です。
2021 年 5 月
5 月の更新プログラムには次のものが含まれます。
- Azure Defender for DNS および Azure Defender for Resource Manager を一般提供 (GA) としてリリース
- オープンソースのリレーショナル データベース向け Azure Defender を一般提供 (GA) としてリリース
- Azure Defender for Resource Manager の新しいアラート
- GitHub ワークフローおよび Azure Defender を使用したコンテナー イメージの CI/CD 脆弱性スキャン (プレビュー)
- 一部の推奨事項に使用できる Resource Graph クエリを増加
- SQL データ分類の推奨事項の重要度を変更
- トラステッド起動機能を有効にするための新しい推奨事項 (プレビュー段階)
- Kubernetes クラスターを強化するための新しい推奨事項 (プレビュー段階)
- Assessments API を 2 つの新しいフィールドで拡張
- 資産インベントリでクラウド環境フィルターを取得
Azure Defender for DNS および Azure Defender for Resource Manager を一般提供 (GA) としてリリース
これら 2 つのクラウドネイティブの広範な脅威保護計画が GA になりました。
これらの新しい保護により、脅威アクターからの攻撃に対する回復性が強化され、Azure Defender によって保護される Azure リソースの数が大幅に増加します。
Azure Defender for Resource Manager - 組織で実行されるすべてのリソース管理操作を自動的に監視します。 詳細については、次を参照してください。
Azure Defender for DNS - Azure リソースからのすべての DNS クエリを継続的に監視します。 詳細については、次を参照してください。
これらの計画を有効にするプロセスを簡略化するには、次の推奨事項を使用します。
- Azure Defender for Resource Manager を有効にする必要がある
- Azure Defender for DNS を有効にする必要がある
注意
Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の 価格に関するページ を参照してください。
オープンソースのリレーショナル データベース向け Azure Defender を一般提供 (GA) としてリリース
Azure Security Center では、オープンソースのリレーショナル データベースに対応するために、新しいバンドルを使用して SQL 保護のオファーを拡張します。
- Azure SQL データベース サーバー向け Azure Defender - Azure ネイティブの SQL Server を保護します
- マシン上の SQL サーバー向け Azure Defender - ハイブリッド、マルチクラウド、およびオンプレミスの環境で SQL サーバーに対して同様の保護を拡張します
- オープンソースのリレーショナル データベース向け Azure Defender - MySQL、PostgreSQL、MariaDB 単一サーバー向けの Azure Defender を防御します。
オープンソースのリレーショナル データベース向け Azure Defender では、サーバーに対するセキュリティ上の脅威を常に監視し、MySQL、PostgreSQL、MariaDB 向けの Azure Defender に対する潜在的な脅威を示す異常なデータベース アクティビティを検出します。 いくつかの例を次に示します。
- ブルート フォース攻撃の詳細な検出 - オープンソースのリレーショナル データベース向け Azure Defender により、ブルート フォース攻撃の試行および成功について詳細な情報が提供されます。 これにより、調査を行い、お使いの環境に対する攻撃の性質や状態について理解を深め、対処することができます。
- 動作アラートの検出 - オープンソースのリレーショナル データベース向け Azure Defender により、データベースに対するアクセス パターンの変更など、サーバーに対する疑わしいおよび不測の動作が警告されます。
- 脅威インテリジェンスベースの検出 - Azure Defender では、Microsoft の脅威インテリジェンスと膨大なナレッジ ベースを適用して脅威アラートが表示されるため、それらに対処することができます。
詳細については、「オープンソースのリレーショナル データベース向け Azure Defender の概要」を参照してください。
Azure Defender for Resource Manager の新しいアラート
Azure Defender for Resource Manager によって提供される脅威保護を拡張するために、次のアラートを追加しました。
| アラート (アラートの種類) | 説明 | MITRE の方針 | 重大度 |
|---|---|---|---|
| Permissions granted for an RBAC role in an unusual way for your Azure environment (Preview) (Azure 環境の通常の方法とは異なる方法で RBAC ロールに付与されたアクセス許可 (プレビュー)) (ARM_AnomalousRBACRoleAssignment) |
割り当て時間、任命者の場所、任命者、認証方法、割り当てられたエンティティ、使用されるクライアントソフトウェア、割り当ての範囲が異常であるため、テナント内の同じ任命者によって実行された、または同じ担当者に対して実行された他の割り当てとは異なる RBAC ロール割り当てが、Azure Defender for Resource Manager によって検出されました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、自分が所有する追加のユーザー アカウントにアクセス許可を付与しようとしていることを示している場合もあります。 | 侵入の拡大、防御回避 | Medium |
| Privileged custom role created for your subscription in a suspicious way (Preview) (不審な方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー)) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender for Resource Manager によって、サブスクリプション内で、疑わしい方法で作成された特権付きカスタム ロールの定義が検出されました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。 | 侵入の拡大、防御回避 | 低 |
| Azure Resource Manager operation from suspicious IP address (Preview) (疑わしい IP アドレスからの Azure Resource Manager の操作 (プレビュー)) (ARM_OperationFromSuspiciousIP) |
Azure Defender for Resource Manager によって、脅威インテリジェンス フィードで疑わしいとしてマークされている IP アドレスからの操作が検出されました。 | 実行 | Medium |
| Azure Resource Manager operation from suspicious proxy IP address (Preview) (疑わしいプロキシ IP アドレスからの Azure Resource Manager の操作 (プレビュー)) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender for Resource Manager によって、TOR などのプロキシ サービスに関連付けられた IP アドレスからのリソース管理操作が検出されました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 | 防御回避 | Medium |
詳細については、次を参照してください。
- Azure Defender for Resource Manager の概要
- Azure Defender for Resource Manager アラートに対応する
- Azure Defender for Resource Manager で提供されるアラートの一覧
GitHub ワークフローおよび Azure Defender を使用したコンテナー イメージの CI/CD 脆弱性スキャン (プレビュー)
コンテナー レジストリ向け Azure Defender により、DevSecOps チームは、GitHub アクション ワークフローを監視できます。
Trivy を利用した、コンテナー イメージのための新しい脆弱性スキャン機能は、イメージをコンテナー レジストリにプッシュする "前" に、コンテナー イメージ内の一般的な脆弱性をスキャンするために役立ちます。
コンテナー スキャン レポートは Azure Security Center に要約されるため、セキュリティ チームは、脆弱なコンテナーイメージのソースと、それらが生成されたワークフローとリポジトリについて、より詳細な分析情報を入手して理解を深めることができます。
詳細については、「CI/CD ワークフローで脆弱なコンテナー イメージを特定する」を参照してください。
一部の推奨事項に使用できる Resource Graph クエリを増加
Security Center のすべての推奨事項には、 [クエリを開く] から Azure Resource Graph を使用して、影響を受けるリソースの状態に関する情報を表示するためのオプションがあります。 この強力な機能の詳細については、「Azure Resource Graph Explorer (ARG) で推奨事項データを確認する」を参照してください。
Security Center には、VM、SQL サーバーとそのホスト、コンテナー レジストリでセキュリティ上の脆弱性をスキャンするための脆弱性スキャンが組み込まれています。 結果は、各リソースの種類ごとに個別のすべての結果が単一のビューに収集され、推奨事項として返されます。 推奨事項は次のとおりです。
- Azure Container Registry イメージの脆弱性を修復する必要がある (Qualys を利用)
- 仮想マシンの脆弱性を修復する必要がある
- SQL データベースでは脆弱性の検出結果を解決する必要がある
- マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある
この変更に伴い、 [クエリを開く] ボタンを使用して、セキュリティの結果を示すクエリを開くこともできます。
![[クエリを開く] ボタンを使用して、より詳細なクエリを実行し、脆弱性スキャナー関連の推奨事項に関するセキュリティの結果を表示できるようになりました。](media/release-notes/open-query-menu-security-findings.png)
[クエリを開く] ボタンを使用すると、関連するその他の推奨事項に関する追加のオプションを表示できます。
Security Center の脆弱性スキャナーの詳細については、次のページを参照してください。
- Azure およびハイブリッド マシンに対する Azure Defender の統合された Qualys 脆弱性評価スキャナー
- SQL サーバーに対して Azure Defender の統合された脆弱性評価スキャナーを使用する
- コンテナー レジストリ向け Azure Defender の統合された脆弱性評価スキャナー
SQL データ分類の推奨事項の重要度を変更
推奨事項 "SQL データベースの機密データを分類する必要がある" の重要度が高から低に変更されました。
これは、今後予定されている変更ページで発表されたこのレコメンデーションに対する継続的な変更の一部です。
トラステッド起動機能を有効にするための新しい推奨事項 (プレビュー段階)
Azure からは、第 2 世代の VM のセキュリティを向上させるためのシームレスな方法として、トラステッド起動が提供されています。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。 詳細については、「Azure 仮想マシンのトラステッド起動」を参照してください。
重要
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
トラステッド起動は、現在パブリック プレビュー段階にあります。 このプレビュー版はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。
Security Center の推奨事項「vTPM should be enabled on supported virtual machines (サポートされる仮想マシンで vTPM を有効にする必要がある) 」により、Azure VM で vTPM が確実に使用されます。 この仮想化バージョンのハードウェア トラステッド プラットフォーム モジュールでは、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することにより、構成証明を有効にします。
vTPM を有効にすると、Guest Attestation 拡張機能により、セキュア ブートをリモートで検証できます。 次の推奨事項により、この拡張機能が確実にデプロイされます。
- セキュア ブートを、サポートしている Windows 仮想マシンで有効にする必要があります
- Guest Attestation 拡張機能を、サポートしている Windows 仮想マシンにインストールする必要があります
- サポートされている Windows 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある
- Guest Attestation 拡張機能を、サポートしている Linux 仮想マシンにインストールする必要があります
- サポートされている Linux 仮想マシンのスケール セットに Guest Attestation 拡張機能をインストールする必要がある
詳細については、「Azure 仮想マシンのトラステッド起動」を参照してください。
Kubernetes クラスターを強化するための新しい推奨事項 (プレビュー段階)
次の推奨事項を使用すると、Kubernetes クラスターをさらに強化できます。
- Kubernetes クラスターで既定の名前空間を使用しない - ConfigMap、Pod、Secret、Service、ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。
- Kubernetes クラスターでは、API 資格情報の自動マウントを無効にする必要がある - 侵害されたおそれがある Pod リソースにより、Kubernetes クラスターに対して API コマンドが実行されるのを防ぐには、API 資格情報の自動マウントを無効にします。
- Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない
お使いのコンテナー化された環境を Security Center で保護する方法については、「Security Center のコンテナーのセキュリティ」を参照してください。
Assessments API を 2 つの新しいフィールドで拡張
Assessments REST API に次の 2 つのフィールドを追加しました。
- FirstEvaluationDate - 推奨事項が作成されて最初に評価された日時。 ISO 8601 形式の UTC 時刻として返されます。
- StatusChangeDate –推奨事項の状態が最後に変更された日時。 ISO 8601 形式の UTC 時刻として返されます。
これらのフィールドに使用される初期の既定値は、すべての推奨事項で 2021-03-14T00:00:00+0000000Z です。
この情報には、次の表に示したいずれかの方法でアクセスできます。
| ツール | 詳細 |
|---|---|
| REST API の呼び出し | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| 連続エクスポート | Log Analytics ワークスペース データで、2 つの専用フィールドが利用できるようになります |
| CSV エクスポート | CSV ファイルには、2 つのフィールドが含まれています |
Assessments REST API の詳細をご覧ください。
資産インベントリでクラウド環境フィルターを取得
Security Center の資産インベントリのページには、表示されるリソースの一覧をすばやく絞り込むために多数のフィルターが用意されています。 詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
新しいフィルターには、Security Center のマルチクラウド機能と接続しているクラウド アカウントに応じて、一覧を絞り込むためのオプションが用意されています:
マルチクラウド機能の詳細については、次を参照してください:
2021 年 4 月
4 月の更新プログラムには次のものが含まれます。
- 更新された [リソース正常性] ページ (プレビュー)
- 最近プルされたコンテナー レジストリ イメージを毎週再スキャン (一般提供 (GA) リリース)
- Azure Defender for Kubernetes を使用したハイブリッドおよびマルチクラウド Kubernetes デプロイの保護 (プレビュー)
- Azure Defender と Microsoft Defender for Endpoint の統合で、Windows Server 2019 および Windows Virtual Desktop の Windows 10 をサポート (一般提供 (GA) リリース)
- Azure Defender for DNS および Azure Defender for Resource Manager を有効にする際の推奨事項 (プレビュー)
- 追加された 3 つの規制コンプライアンス標準: Azure CIS 1.3.0、CMMC レベル 3、New Zealand ISM Restricted
- ゲスト構成に関連する 4 つの新しい推奨事項 (プレビュー)
- CMK の推奨事項をベスト プラクティスのセキュリティ コントロールに移動
- 11 個の Azure Defender アラートを非推奨化
- "システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
- [Azure Defender for SQL on machine] タイルを Azure Defender ダッシュボードから削除
- 21 個の推奨事項をセキュリティ コントロール間で移動
更新された [リソース正常性] ページ (プレビュー)
リソース正常性が拡張、強化、改善され、1 つのリソースの全体的な正常性のスナップショット ビューが提供されるようになりました。
リソースに関する詳細情報と、そのリソースに適用されるすべての推奨事項を確認できます。 また、 Microsoft Defender の高度な保護プランを使用している場合は、その特定のリソースの未処理のセキュリティアラートも表示されます。
リソースの [リソース正常性] ページを開くには、資産インベントリ ページでリソースを選択します。
Security Center のポータル ページにあるこのプレビュー ページには、次の情報が表示されます。
- リソース情報 - リソースが属するリソース グループとサブスクリプション、地理的な場所など。
- 適用されているセキュリティ機能 - そのリソースに対して Azure Defender が有効になっているかどうか。
- 未処理の推奨事項とアラートの数 - 未処理のセキュリティに関する推奨事項と Azure Defender アラートの数。
- 実行可能な推奨事項とアラート - リソースに適用される推奨事項とアラートが 2 つのタブに一覧表示されます。
![仮想マシンの正常性情報を示す Azure Security Center の [リソース正常性] ページ](media/investigate-resource-health/resource-health-page-virtual-machine.gif)
詳細については、「チュートリアル: リソースの正常性を調査する」をご覧ください。
最近プルされたコンテナー レジストリ イメージを毎週再スキャン (一般提供 (GA) リリース)
コンテナー レジストリ用 Azure Defender には、組み込みの脆弱性スキャナーが含まれています。 このスキャナーは、レジストリにプッシュされたイメージと、過去 30 日以内にプルされたすべてのイメージを即座にスキャンします。
新しい脆弱性は毎日検出されます。 この更新により、過去 30 日間にレジストリからプルされたコンテナー イメージが毎週再スキャンされます。 これにより、新しく検出された脆弱性をイメージ内で確実に識別できます。
スキャンはイメージごとに課金されるため、これらの再スキャンに対する追加料金は発生しません。
このスキャナーの詳細については、「コンテナー レジストリ用の Azure Defender を使用してイメージの脆弱性をスキャンする」を参照してください。
Azure Defender for Kubernetes を使用したハイブリッドおよびマルチクラウド Kubernetes デプロイの保護 (プレビュー)
Azure Defender for Kubernetes は、クラスターがどこにデプロイされていても防御できるように、脅威保護機能が拡張されています。 これは、Azure Arc 対応 Kubernetes とその新しい拡張機能との統合によって実現されています。
非 Azure Kubernetes クラスターで Azure Arc を有効にしている場合に関しては、Azure Defender エージェントをわずか数回のクリックでデプロイする方法が、Azure Security Center の新しい推奨事項として示されています。
推奨事項 (Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある) と拡張機能を使用して、他のクラウド プロバイダーにデプロイされている (ただし、そのマネージド Kubernetes サービス上にはない) Kubernetes クラスターを保護します。
この Azure Security Center、Azure Defender、Azure Arc 対応 Kubernetes の間の統合によって、次のことが可能になります。
- 保護されていない Azure Arc 対応 Kubernetes クラスターに対して Azure Defender エージェントを簡単にプロビジョニングする (手動および大規模)
- Azure Defender エージェントとそのプロビジョニングの状態 Azure Arc ポータルから監視する
- Security Center からのセキュリティに関する推奨事項が、Azure Arc ポータルの新しい [セキュリティ] ページでレポートされる
- Azure Defender で特定されたセキュリティ上の脅威が、Azure Arc ポータルの新しい [セキュリティ] ページでレポートされる
- Azure Arc 対応 Kubernetes クラスターの Azure Security Center プラットフォームおよびエクスペリエンスへの統合
詳細については、オンプレミスおよびマルチクラウドの Kubernetes クラスターでの Azure Defender for Kubernetes の使用に関する記事をご覧ください。
Azure Defender と Microsoft Defender for Endpoint の統合で、Windows Server 2019 および Windows Virtual Desktop の Windows 10 をサポート (一般提供 (GA) リリース)
Microsoft Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。 リスクベースによる脆弱性の管理と評価、およびエンドポイントでの検出と対応 (EDR) を提供します。 Defender for Endpoint を Azure Security Center と併用するメリットの全容については、「Security Center に統合された EDR ソリューション Microsoft Defender for Endpoint でエンドポイントを保護する」を参照してください。
Windows サーバーを実行している Azure Defender for Servers を有効にした場合、プランには Defender for Endpoint のライセンスが含まれています。 既に Azure Defender for Servers を有効にしており、サブスクリプションに Windows Server 2019 サーバーが存在する場合には、今回の更新により自動的に Defender for Endpoint が追加されます。 特に何か操作をする必要はありません。
このたびサポートが拡張され、Windows Server 2019 と Windows Virtual Desktop の Windows 10 が含まれるようになりました。
注意
Windows Server 2019 サーバーで Defender for Endpoint を有効にする場合には、マシンが「Microsoft Defender for Endpoint 統合を有効にする」に記載されている前提条件を満たしていることを確認してください。
Azure Defender for DNS および Azure Defender for Resource Manager を有効にする際の推奨事項 (プレビュー)
Azure defender For Resource Manager と Azure Defender for DNS を有効にするプロセスを簡略化するために、2 つの新しい推奨事項が追加されました。
- Azure Defender for Resource Manager を有効にする必要がある - Defender for Resource Manager は組織内のリソース管理操作を自動的に監視します。 Azure Defender では、脅威を検出し、疑わしいアクティビティについて警告します。
- Azure Defender for DNS を有効にする必要がある - Defender for DNS では、Azure リソースからのすべての DNS クエリを継続的に監視することにより、クラウド リソースに対して追加の保護層を提供します。 Azure Defender では、DNS 層での不審なアクティビティについて警告します。
Azure Defender プランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の 価格に関するページ を参照してください。
ヒント
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法については、「Azure Security Center の修復レコメンデーション」を参照してください。
追加された 3 つの規制コンプライアンス標準: Azure CIS 1.3.0、CMMC レベル 3、New Zealand ISM Restricted
Azure Security Center で使用するための 3 つの標準が追加されました。 規制コンプライアンス ダッシュボードを使用して、次の標準への準拠を追跡できるようになりました。
「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」で説明するように、これらをサブスクリプションに割り当てることができます。
詳細情報:
ゲスト構成に関連する 4 つの新しい推奨事項 (プレビュー)
Azure のゲスト構成拡張機能により、仮想マシンのゲスト内設定の確実な強化を支援するように Security Center に対してレポートが行われます。 この拡張機能は Arc 接続マシン エージェントに含まれているため、Arc 対応サーバーには必要ありません。 この拡張機能を使用するには、マシンにシステムマネージド ID が必要です。
この拡張機能を最大限に活用するために、Security Center に 4 つの新しい推奨事項が追加されました。
2 つの推奨事項では、拡張機能と、その必須のシステムマネージド ID をインストールすることを求めています。
- ゲスト構成拡張機能をマシンにインストールする必要がある
- 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある
拡張機能がインストールされて実行されると、マシンの監査が開始され、オペレーティング システムの構成や環境設定などの設定を強化するように求められます。 これらの 2 つの推奨事項に従って、Windows および Linux マシンを強化するように求められます。
- マシンで Windows Defender Exploit Guard を有効にする必要がある
- Linux マシンに対する認証では SSH キーを要求する必要がある
詳細については、「Azure Policy のゲストの構成の理解」を参照してください。
CMK の推奨事項をベスト プラクティスのセキュリティ コントロールに移動
すべての組織のセキュリティ プログラムには、データ暗号化要件が含まれています。 既定では、Azure のお客様のデータは、サービス マネージド キーを使用して保存時に暗号化されます。 ただし、規制コンプライアンス基準を満たすためには、一般にカスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 これにより、ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。
Azure Security Center のセキュリティ コントロールは、関連するセキュリティ推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。 コントロールごとに、すべてのリソースについて、コントロールに示されているすべての推奨事項を修復した場合にセキュリティ スコアに追加できる最大ポイント数があります。 [セキュリティのベスト プラクティスの実装] セキュリティ コントロールは、0 ポイントです。 したがって、このコントロールの推奨事項は、セキュリティ スコアに影響しません。
次に示す推奨事項は、オプションとしての性質をより適切に反映するために、 [セキュリティのベスト プラクティスの実装] セキュリティ コントロールに移動されています。 この移動によって、これらの推奨事項は、その目標を達成するために最も適したコントロールに含められます。
- Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- Azure AI サービス アカウントでカスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある
- コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
11 個の Azure Defender アラートを非推奨化
次に示す 11 個の Azure Defender アラートは非推奨となりました。
次の 2 つのアラートは、新しいアラートで置き換えられ、より適切なカバレッジが提供されます。
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - MicroBurst toolkit "Get-AzureDomainInfo" function run detected (プレビュー - MicroBurst ツールキット "Get-AzureDomainInfo" 関数の実行が検出されました) ARM_MicroBurstRunbook PREVIEW - MicroBurst toolkit "Get-AzurePasswords" function run detected (プレビュー - MicroBurst ツールキット "Get-AzurePasswords" 関数の実行が検出されました) 次の 9 つのアラートは、既に非推奨になっている Azure Active Directory Identity Protection コネクタ (IPC) に関連したものです。
AlertType AlertDisplayName UnfamiliarLocation 通常とは異なるサインイン プロパティ AnonymousLogin 匿名 IP アドレス InfectedDeviceLogin マルウェアにリンクした IP アドレス ImpossibleTravel 特殊な移動 MaliciousIP 悪意のある IP アドレス LeakedCredentials 漏洩した資格情報 PasswordSpray パスワード スプレー LeakedCredentials Azure AD 脅威インテリジェンス AADAI Azure AD AI ヒント
これらの 9 つの IPC アラートは、Security Center アラートではありませんでした。 これらは Azure Active Directory (AAD) Identity Protection コネクタ (IPC) の一部であり、IPC によって Security Center に送信されていました。 過去 2 年間に、これらのアラートが表示されたお客様は、2019 年以前に (コネクタから ASC への) エクスポートを構成した組織だけです。 AAD IPC は引き続き独自のアラート システムに表示されており、今後も Azure Sentinel で利用できます。 唯一の変更点は、Security Center に表示されなくなったことです。
"システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
次の 2 つの推奨事項は非推奨とされ、この変更によってセキュリティ スコアにわずかな影響が生じる可能性があります。
- システムの更新プログラムを適用するには、マシンを再起動する必要があります
- お使いのマシンに監視エージェントをインストールする必要があります。 この推奨事項は、オンプレミスのマシンにのみ関係します。また、そのロジックのいくつかは、別の推奨事項 (お使いのマシンで Log Analytics エージェントの正常性の問題を解決する必要がある) に移される予定です
連続エクスポートとワークフロー自動化の構成をチェックして、該当する推奨事項が含まれているかどうかを確認することをお勧めします。 また、ダッシュボードまたはそれらを使用する他の監視ツールを適宜更新する必要があります。
これらの推奨事項の詳細については、セキュリティに関する推奨事項のリファレンス ページを参照してください。
[Azure Defender for SQL on machine] タイルを Azure Defender ダッシュボードから削除
Azure Defender ダッシュボードの適用範囲には、お使いの環境用の関連 Azure Defender プランのタイルが含まれています。 保護されているリソースと保護されていないリソースの数のレポートに関する問題が発生したため、問題が解決されるまでは、Azure Defender for SQL on machine のリソース適用範囲の状態を一時的に削除することにしました。
セキュリティコントロール間で移動おすすめ
次の推奨事項は、別のセキュリティ コントロールに移動されました。 セキュリティ コントロールは、関連するセキュリティ推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。 この移動によって、これらの各推奨事項は、その目標を達成するために最も適したコントロールに含められます。
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
| 推奨 | 変更と影響 |
|---|---|
| 脆弱性評価を SQL サーバー上で有効にする必要がある 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある SQL データベースの脆弱性を新たに修復する必要がある VM 内の SQL データベースの脆弱性を修復する必要があります |
脆弱性の修復 (6 ポイント分) から セキュリティ構成の修復 (4 ポイント分) に移動されます。 お客様の環境によっては、これらの推奨事項がスコアに与える影響が少なくなります。 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある Automation アカウント変数は、暗号化する必要がある IoT デバイス - Auditd プロセスでイベントの送信が停止された IoT デバイス - オペレーティング システムのベースラインの検証に失敗した IoT デバイス - TLS 暗号スイートのアップグレードが必要 IoT デバイス - デバイス上でポートを開く IoT デバイス - チェーンのうちの 1 つに制限の緩すぎるファイアウォール ポリシーが見つかりました IoT デバイス - 入力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました IoT デバイス - 出力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました IoT Hub の診断ログを有効にする必要がある IoT デバイス - エージェントで低使用率のメッセージが送信されている IoT デバイス - 既定の IP フィルター ポリシーを拒否にする必要がある IoT デバイス - IP フィルター ルールの IP 範囲が広い IoT デバイス - エージェントのメッセージ間隔とサイズを調整する必要がある IoT デバイス - 認証の資格情報が同一 IoT デバイス - 監査対象プロセスでイベントの送信が停止された IoT デバイス - オペレーティング システム (OS) のベースライン構成を修正する必要がある |
セキュリティのベスト プラクティスの実装に移動されます。 推奨事項が「セキュリティのベスト プラクティスの実装」セキュリティ コントロールに移動される (ポイントは発生しない) と、この推奨事項はセキュリティ スコアに影響を及ぼさなくなります。 |
2021 年 3 月
3 月の更新プログラムには次のものが含まれます。
- Azure Firewall の管理を Security Center に統合
- SQL 脆弱性評価に "ルールの無効化" エクスペリエンスを追加 (プレビュー)
- Azure Monitor ブックを Security Center に統合し、テンプレートを 3 件提供
- 規制コンプライアンス ダッシュボードに Azure 監査レポートを追加 (プレビュー)
- [Explore in ARG](ARG で探索) を使用した Azure Resource Graph での推奨データの表示
- ワークフローの自動化をデプロイするためのポリシーを更新
- 従来の 2 つの推奨事項で Azure アクティビティ ログにデータが直接書き込まれなくなる
- 推奨事項ページの拡充
Azure Firewall の管理を Security Center に統合
Azure Security Center を開いたときに、最初に表示されるページが概要ページです。
この対話式のダッシュボードでは、ハイブリッド クラウド ワークロードのセキュリティ対策について一元的なビューが提供されます。 また、セキュリティ アラート、カバレッジ情報なども表示されます。
このたび、セキュリティの状態を一元的に確認できるようにするための取り組みの一環として、このダッシュボードに Azure Firewall Manager を統合しました。 全ネットワークをまたいでファイアウォールのカバレッジ状態を確認できるほか、Security Center から Azure Firewall のポリシーを一元管理できるようになりました。
このダッシュボードの詳細については Azure Security Center の概要ページを参照してください。
SQL 脆弱性評価に "ルールの無効化" エクスペリエンスを追加 (プレビュー)
Security Center には、データベースの脆弱性となりうる問題を検出、追跡、および修復するうえで役立つ脆弱性スキャナーが組み込まれています。 評価スキャンの結果では、SQL マシンのセキュリティ状態の概要と、セキュリティに関する検出結果の詳細が示されます。
組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 無効化された検出結果は、セキュリティ スコアに影響を与えたり、不要なノイズを生成したりすることはありません。
詳細については、「特定の検出結果を無効にする」を参照してください。
Azure Monitor ブックを Security Center に統合し、テンプレートを 3 件提供
Ignite Spring 2021 において、Security Center に Azure Monitor ブックを統合したエクスペリエンスを発表しました。
この新しい統合を使用すると、Security Center のギャラリーから面倒な設定のいらないテンプレートを使えるようになります。 ブック テンプレートを使用すると、組織のセキュリティ体制を追跡するための動的なビジュアル レポートを閲覧したり、作成したりできます。 また、Security Center のデータをはじめとするサポートされているデータ型に基づいて新しいブックを作成したり、Security Center の GitHub コミュニティから入手したコミュニティ ワークブックをすばやくデプロイしたりすることもできます。
用意されているテンプレート レポートは次の 3 つです。
- セキュリティ スコアの推移 - サブスクリプションのスコアと、リソースに対する推奨事項の変化を追跡できます
- システムの更新プログラム - リソース、OS、重要度などに応じて、システムに適用できていない更新プログラムを表示します
- 脆弱性評価の検出結果 - Azure リソースを対象とした脆弱性スキャンの検出結果を表示します
ここに挙げたレポートを使用する方法や、独自のレポートを作成する方法の詳細については、「豊富な機能を備えた対話型の Security Center データ レポートを作成する」を参照してください。
規制コンプライアンス ダッシュボードに Azure 監査レポートを追加 (プレビュー)
規制コンプライアンス ダッシュボードのツール バーから、Azure と Dynamics の証明書レポートをダウンロードできるようになりました。
関連するレポートの種類 (PCI、SOC、ISO など) のタブを選択し、フィルターを使用すると、必要なレポートを見つけることができます。
詳細は、「規制コンプライアンス ダッシュボードでの標準の管理」を参照してください。
[Explore in ARG](ARG で探索) を使用した Azure Resource Graph での推奨データの表示
推奨事項の詳細ページに、[Explore in ARG](ARG で探索) ツールバー ボタンが含まれるようになりました。 このボタンを使用して、Azure Resource Graph のクエリを開き、推奨データを探索、エクスポート、および共有します。
Azure Resource Graph (ARG) を使用すると、堅牢なフィルター処理、グループ化、および並べ替え機能を使用して、クラウド環境全体のリソース情報にすばやくアクセスできます。 これは、Azure サブスクリプション全体の情報を、プログラムから、または Azure portal 内ですばやく効率的に照会する方法です。
Azure Resource Graph (ARG) の詳細について参照してください。
ワークフローの自動化をデプロイするためのポリシーを更新
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。
Microsoft では、ワークフローの自動化のプロシージャを作成および構成し、組織全体にデプロイするための Azure Policy "DeployIfNotExist" ポリシーを 3 つ提供しています。
| 目標 | ポリシー | ポリシー ID |
|---|---|---|
| セキュリティ アラートのワークフローの自動化 | Azure Security Center アラートに対してワークフローの自動化をデプロイする | f1525828-9a90-4fcf-be48-268cdd02361e |
| セキュリティに関する推奨事項のワークフローの自動化 | Azure Security Center 推奨事項に対してワークフローの自動化をデプロイする | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| 規制コンプライアンスの変化に関するワークフローの自動化 | Azure Security Center の法令遵守のためにワークフローの自動化をデプロイする | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
ここに挙げたポリシーの機能について、2 点更新を実施しました。
- 割り当てると適用され、そのまま有効な状態が維持されます。
- 既にデプロイされている場合でも、ポリシーをカスタマイズしたり、パラメーターを更新したりできるようになりました。 たとえば、評価キーを追加または編集できます。
ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。
方法の詳細については、「Security Center のトリガーへの応答を自動化する」を参照してください。
従来の 2 つの推奨事項で Azure アクティビティ ログにデータが直接書き込まれなくなる
Security Center によって、ほぼすべてのセキュリティに関する推奨事項のデータが Azure Advisor に渡され、そこから Azure アクティビティ ログに書き込まれます。
2 つの推奨事項については、データは同時に Azure アクティビティ ログに直接書き込まれます。 この変更により、Security Center によって、これらの従来のセキュリティに関する推奨事項のデータがアクティビティ ログに直接書き込まれなくなります。 代わりに、他のすべての推奨事項と同様に、データは Azure Advisor にエクスポートされます。
この 2 つの従来の推奨事項は次のとおりです。
- - お使いのマシンで Endpoint Protection の正常性の問題を解決する必要があります
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
アクティビティ ログの "TaskDiscovery タイプの推奨事項" カテゴリでこの 2 つの推奨事項の情報にアクセスしていた場合、これは使用できなくなります。
推奨事項ページの拡充
推奨事項一覧の改良版がリリースされ、一目で詳細情報を確認できるようになりました。
これにより、ページには以下が表示されます。
- 各セキュリティ コントロールの最大スコアと現在のスコア。
- 修正やプレビューなどのタグに代わるアイコン。
- 各推奨事項に関連するポリシー イニシアチブを示す新しい列。これは、"コントロールでグループ化" が無効になっている場合に表示されます。
詳細については、Azure Security Center でのセキュリティに関する推奨事項を参照してください。
2021 年 2 月
2 月の更新プログラムには次のものが含まれます。
- 一般提供 (GA) 用にリリースされた Azure portal の新しいセキュリティ アラート ページ
- Kubernetes ワークロード保護の推奨事項が一般提供 (GA) リリース
- Azure Defender と Microsoft Defender for Endpoint の統合で、Windows Server 2019 および Windows Virtual Desktop の Windows 10 をサポート (プレビュー)
- [推奨事項の詳細] ページからポリシーへの直接リンク
- SQL データ分類の推奨事項がセキュリティ スコアに影響しなくなった
- 規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能 (プレビュー)
- 資産インベントリ ページの拡充
一般提供 (GA) 用にリリースされた Azure portal の新しいセキュリティ アラート ページ
Azure Security Center のセキュリティ アラート ページは、次の機能を提供できるように再設計されました。
- アラートのトリアージ エクスペリエンスの向上 - アラートに対応する労力を減らし、最も関連性の高い脅威に焦点を絞りやすくするために、一覧にはカスタマイズ可能なフィルターとグループ化のオプションが追加されました。
- アラート一覧への情報の追加 - MITRE ATT & ACK の戦術など。
- サンプル アラートを作成するボタン - Azure Defender の機能を評価し、アラートの 構成 (SIEM の統合、メール通知、ワークフローの自動化) をテストするために、すべての Azure Defender のプランからサンプル アラートを作成できます。
- Azure Sentinel のインシデント エクスペリエンスとの連携 - 両方の製品を使用するお客様は、より簡単に 2 つを切り替えることによって、どちらの製品からも、もう一方の製品が提供する情報を取得しやすくなりました。
- 長大なアラート一覧のパフォーマンス向上
- アラート一覧のキーボードによるナビゲーション
- Azure Resource Graph のアラート - Azure Resource Graph (すべてのリソースを対象とする、Kusto に似た API) のアラートにクエリを実行できます。 これは、独自のアラート ダッシュボードを作成している場合にも役立ちます。 Azure Resource Graph の詳細についてさらに学習します。
- サンプルのアラート機能の作成 - 新しいアラート エクスペリエンスでサンプル アラートを作成するには、「Azure Defender アラートのサンプルを生成する」を参照してください。
Kubernetes ワークロード保護の推奨事項が一般提供 (GA) リリース
Kubernetes ワークロード保護に関する一連の推奨事項が一般提供 (GA) されたことをお知らせします。
Security Center では、Kubernetes ワークロードが既定で確実に保護されるように、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベルの強化の推奨事項が追加されました。
Azure Kubernetes Service (AKS) クラスターに Kubernetes 用 Azure Policy をインストールすると、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティス (13 個のセキュリティ推奨事項として表示されます) を基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。
たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。
詳細については、Kubernetes 受付制御を使用したワークロード保護のベスト プラクティスに関するページを参照してください。
注意
推奨事項がプレビュー段階の間、これらによって AKS クラスター リソースが異常な状態にあると表示されることはありませんでした。これらの推奨事項は、セキュリティ スコアの計算には含まれていませんでした。 このたびの GA の発表により、これらがスコア計算に含まれるようになります。 その修復がまだ済んでいない場合、これが原因でセキュア スコアに若干の影響が生じる可能性があります。 「Azure Security Center の修復レコメンデーション」の説明に従って、可能な限りそれらを修復してください。
Azure Defender と Microsoft Defender for Endpoint の統合で、Windows Server 2019 および Windows Virtual Desktop の Windows 10 をサポート (プレビュー)
Microsoft Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。 リスクベースによる脆弱性の管理と評価、およびエンドポイントでの検出と対応 (EDR) を提供します。 Defender for Endpoint を Azure Security Center と併用するメリットの全容については、「Security Center に統合された EDR ソリューション Microsoft Defender for Endpoint でエンドポイントを保護する」を参照してください。
Windows サーバーを実行している Azure Defender for Servers を有効にした場合、プランには Defender for Endpoint のライセンスが含まれています。 既に Azure Defender for Servers を有効にしており、サブスクリプションに Windows Server 2019 サーバーが存在する場合には、今回の更新により自動的に Defender for Endpoint が追加されます。 特に何か操作をする必要はありません。
このたびサポートが拡張され、Windows Server 2019 と Windows Virtual Desktop の Windows 10 が含まれるようになりました。
注意
Windows Server 2019 サーバーで Defender for Endpoint を有効にする場合には、マシンが「Microsoft Defender for Endpoint 統合を有効にする」に記載されている前提条件を満たしていることを確認してください。
[推奨事項の詳細] ページからポリシーへの直接リンク
推奨事項の詳細を確認しているときに、基になるポリシーを参照できると有益な場合が多くあります。 ポリシーによってサポートされているすべての推奨事項について、[推奨事項の詳細] ページに新しいリンクが追加されました。
ポリシー定義を表示し、評価ロジックを確認するには、このリンクを使用します。
セキュリティの推奨事項に関するリファレンス ガイドに記載されている推奨事項の一覧を確認している場合も、ポリシー定義のページへのリンクが表示されます。
SQL データ分類の推奨事項がセキュリティ スコアに影響しなくなった
SQL データベースの機密データを分類する必要があるという推奨事項が、セキュリティ スコアに影響することはなくなりました。 セキュリティ コントロール を含むデータ分類 の適用には、セキュリティ スコアの値が 0 になりました。
すべてのセキュリティ コントロールの完全な一覧と、それぞれのスコアと推奨事項の一覧については、「セキュリティ コントロールとその推奨事項」を参照してください。
規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能 (プレビュー)
ワークフロー自動化のトリガー オプションに、規制コンプライアンス評価の変更という 3 つ目のデータの種類が追加されました。
ワークフローの自動化ツールの使い方については、「Security Center のトリガーへの応答を自動化する」を参照してください。
資産インベントリ ページの拡充
Security Center の資産インベントリ ページが次のように改善されました。
ページの上部にあるサマリーに [Unregistered subscriptions](未登録のサブスクリプション) が追加され、Security Center が有効になっていないサブスクリプションの数を把握できるようになりました。
![[資産インベントリ] ページ上部のサマリーに表示される未登録のサブスクリプション数。](media/release-notes/unregistered-subscriptions.png)
フィルターが拡張され、次の項目が追加されました。
カウント - 各カテゴリの条件を満たすリソースの数がフィルターごとに表示されます。
![Azure Security Center の [資産インベントリ] ページのフィルターに表示されるカウント。](media/release-notes/counts-in-inventory-filters.png)
Contains exemptions (適用除外を含む) フィルター (省略可) - 適用除外が設定されている (または設定されていない) リソースに結果を絞り込みます。 このフィルターは既定では表示されませんが、 [フィルターの追加] ボタンで追加できます。
![Azure Security Center の [資産インベントリ] ページに](media/release-notes/adding-contains-exemption-filter.gif)
詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
2021 年 1 月
1 月の更新プログラムには次のものが含まれます。
- Azure セキュリティ ベンチマークが Azure Security Center の既定のポリシー イニシアティブに
- オンプレミスおよびマルチクラウド マシンの脆弱性評価が一般提供 (GA) リリース
- 管理グループのセキュア スコア (プレビュー) が利用可能に
- Secure Scores API が一般提供 (GA) リリース
- Azure Defender for App Service に未解決の DNS 保護を追加
- マルチクラウド コネクタが一般提供 (GA) リリース
- サブスクリプションと管理グループのセキュア スコアから推奨事項全体を除外する
- テナント全体の可視性をユーザーがグローバル管理者にリクエスト可能に
- Azure セキュリティ ベンチマークのカバレッジを広げるために追加される、35 個のプレビュー推奨事項
- フィルター処理された推奨事項一覧の CSV エクスポート
- Azure Policy の評価で "適用除外" であったリソースが "準拠" とレポートされるように
- セキュア スコアと規制コンプライアンス データの週単位のスナップショットを連続エクスポートでエクスポート (プレビュー)
Azure セキュリティ ベンチマークが Azure Security Center の既定のポリシー イニシアティブに
Azure セキュリティ ベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する Azure 固有のガイドラインのセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の統制に基づいています。
ここ数か月で、Security Center の組み込みのセキュリティ推奨事項が大幅に拡充され、このベンチマークのカバー範囲が広がってきています。
このリリースからは、そのベンチマークが Security Center の推奨事項の基盤となり、既定のポリシー イニシアティブとして完全に統合されます。
すべての Azure サービスには、対応するドキュメントにセキュリティ ベースライン ページが用意されています。 それらのベースラインは、Azure セキュリティ ベンチマークに基づいて作成されています。
Security Center の規制コンプライアンス ダッシュボードを使用している場合、切り替え期間中は、ベンチマークのインスタンスが 2 つ表示されます。
既存の推奨事項は影響を受けず、ベンチマークが増えるにつれて、Security Center 内に変更が自動的に反映されます。
詳細については、次のページを参照してください。
オンプレミスおよびマルチクラウド マシンの脆弱性評価が一般提供 (GA) リリース
Microsoft では 10 月に、Azure Defender for Servers の統合脆弱性評価スキャナー (Qualys を使用) による、Azure Arc 対応サーバーのスキャンのプレビューを発表していました。
このほど、それが一般提供 (GA) リリースとなりました。
Azure 以外のマシンで Azure Arc を有効にした場合、Security Center では、統合された脆弱性スキャナーをそれらに手動で大規模にデプロイできるようにします。
この更新では、Azure Defender for Servers の能力を最大限に活用して、すべての Azure および Azure 以外の資産にわたって脆弱性管理プログラムを統合できます。
主な機能は、次のとおりです。
- Azure Arc マシンでの VA (脆弱性評価) スキャナーのプロビジョニング状態を監視する
- 保護されていない Windows および Linux Azure Arc マシンに、統合された VA エージェントをプロビジョニングする (手動で大規模に)
- デプロイされたエージェントで検出された脆弱性を受け取って分析する (手動で大規模に)
- Azure VM と Azure Arc マシンでエクスペリエンスを統一する
ハイブリッド マシンへの統合された Qualys 脆弱性スキャナーのデプロイについての詳細を参照してください。
Azure Arc 対応サーバーについての詳細を参照してください。
管理グループのセキュア スコア (プレビュー) が利用可能に
セキュア スコア ページに、サブスクリプション レベルに加え、管理グループの集計セキュア スコアが表示されるようになりました。 そのため、組織内の管理グループと各管理グループのスコアを一覧表示することが可能になりました。
詳細については、Azure Security Center のセキュリティ スコアとセキュリティ コントロールに関するページを参照してください。
Secure Scores API が一般提供 (GA) リリース
Secure Scores API を使用してスコアにアクセスできるようになりました。 この API メソッドを使用すると、データに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築したりするための柔軟性が得られます。 次に例を示します。
- Secure Scores API を使用して、特定のサブスクリプションのスコアを取得する
- Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示する
Secure Scores API で実現可能な外部ツールについては、GitHub コミュニティのセキュリティ スコアの領域を参照してください。
詳細については、Azure Security Center のセキュリティ スコアとセキュリティ コントロールに関するページを参照してください。
Azure Defender for App Service に未解決の DNS 保護を追加
サブドメインの乗っ取りは、組織にとって重大度の高い一般的な脅威です。 サブドメインの乗っ取りは、プロビジョニング解除された Web サイトを参照する DNS レコードがある場合に発生する可能性があります。 このような DNS レコードは、"未解決の DNS" エントリとも呼ばれます。 CNAME レコードは、この脅威に対して特に脆弱です。
サブドメインの乗っ取りが発生すると、脅威アクターが悪意のあるアクティビティを実行しているサイトに、組織のドメイン向けのトラフィックをリダイレクトできるようになります。
今後は、App Service Web サイトの使用を停止する際、Azure Defender for App Service によって未解決の DNS エントリが検出されます。 このような場合、DNS エントリの参照先リソースが存在せず、Web サイトがサブドメインの乗っ取りに対して無防備になります。 これらの保護は、ドメインの管理に Azure DNS を使用しているか、外部のドメイン レジストラーを使用しているかに関係なく利用でき、Windows 上の App Service と Linux 上の App Service の両方に適用されます。
詳細情報:
- App Service のアラート参照テーブル - 未解決の DNS エントリが検出されたときにトリガーされる新しい Azure Defender アラートが 2 つ追加されています
- 未解決の DNS エントリを防ぎ、サブドメインの乗っ取りを回避する - サブドメインの乗っ取りの脅威と未解決の DNS に関する事柄について説明しています
- Azure Defender for App Service の概要
マルチクラウド コネクタが一般提供 (GA) リリース
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。
Azure Security Center は、Azure、アマゾン ウェブ サービス (AWS)、および Google Cloud Platform (GCP) のワークロードを保護します。
AWS または GCP プロジェクトを接続すると、そのネイティブ セキュリティ ツール (AWS Security Hub、GCP Security Command Center など) が Azure Security Center に統合されます。
この機能は、あらゆる大手クラウド環境が、Security Center によってもたらされる可視性と保護の対象になることを意味します。 この統合のメリットをいくつか紹介します。
- エージェントの自動プロビジョニング - Security Center は Azure Arc を使用して、Log Analytics エージェントをお使いの AWS インスタンスにデプロイします
- ポリシー管理
- 脆弱性の管理
- 埋め込まれたエンドポイント検出と応答 (EDR)
- セキュリティ構成ミスの検出
- すべてのクラウド プロバイダーからのセキュリティに関する推奨事項を一元的に表示
- Security Center のセキュリティ スコアの計算へのすべてのリソースの組み込み
- AWS リソースと GCP リソースの規制コンプライアンスの評価
Defender for Cloud のメニューから [マルチクラウド コネクタ] を 選択すると、新しいコネクタを作成するためのオプションが表示されます:
![Security Center の [マルチ クラウド コネクタ] ページの [AWS アカウントの追加] ボタン](media/quickstart-onboard-aws/add-aws-account.png)
詳細情報:
サブスクリプションと管理グループのセキュア スコアから推奨事項全体を除外する
現在、Microsoft では、推奨事項全体を除外できるように機能を拡張しています。 サブスクリプション、管理グループ、またはリソースに対して Security Center が行うセキュリティの推奨事項を微調整できるよう、さまざまなオプションを追加しているところです。
まれに、サードパーティ ツールによって問題が解決済みであるにもかかわらず、Security Center で検出されず、リソースが異常として表示されてしまうことがあります。 または、推奨事項が属していないと思われるスコープに表示されます。 この推奨事項は、特定のサブスクリプションに適していない可能性があります。 または、ご自分の組織が、特定のリソースまたは推奨事項に関連するリスクを受け入れることにしたのかもしれません。
このプレビュー機能では、推奨事項の除外を作成できるようになりました。
リソースを除外して、将来、問題のあるリソースと共に一覧に表示されないようにします。セキュリティ スコアには影響しません。 リソースは適用外として表示され、その理由は "除外" として、選択した特定の正当な理由と共に示されます。
サブスクリプションまたは管理グループを除外して、推奨事項がセキュリティ スコアに影響を与えないようにします。サブスクリプションまたは管理グループには今後表示されません。 これは、既存のリソースと、今後作成するすべてのリソースに関係してきます。 推奨事項は、選択したスコープに対して選択した特定の理由でマークされます。
詳細については、「セキュリティ スコアからのリソースと推奨事項の除外」を参照してください。
テナント全体の可視性をユーザーがグローバル管理者にリクエスト可能に
Security Center のデータを表示するアクセス許可がないユーザーには、その組織のグローバル管理者にアクセス許可をリクエストするためのリンクが表示されるようになりました。 リクエストには、希望するロールとそれが必要な理由を添えることになります。
詳細については、「テナント全体のアクセス許可が不十分な場合に要求する」を参照してください。
Azure セキュリティ ベンチマークのカバレッジを広げるために追加される、35 個のプレビュー推奨事項
Azure セキュリティ ベンチマークが Azure Security Center の既定のポリシー イニシアティブになりました。
このベンチマークのカバー範囲を拡大するために、次の 35 個のプレビュー推奨事項が Security Center に追加されています。
ヒント
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法については、「Azure Security Center の修復レコメンデーション」を参照してください。
| セキュリティ コントロール | 新しい推奨事項 |
|---|---|
| 保存時の暗号化を有効にする | - Azure Cosmos DB アカウントでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - Azure Machine Learning ワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある - MySQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある - PostgreSQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある - Azure AI サービス アカウントでカスタマー マネージド キー (CMK) によるデータ暗号化を有効にする必要がある - コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある - SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある |
| セキュリティのベストプラクティスを実装する | - サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある - 自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある - 重要度が高いアラートの電子メール通知を有効にする必要がある - 重要度が高いアラートについて、サブスクリプション所有者に対する電子メール通知を有効にする必要がある - キー コンテナーで消去保護が有効になっている必要がある - キー コンテナーで論理的な削除が有効になっている必要がある |
| アクセスおよびアクセス許可の管理 | - 関数アプリで "クライアント証明書 (着信クライアント証明書)" を有効にする必要がある |
| DDoS 攻撃からアプリケーションを保護する | - Application Gateway に対して Web アプリケーション ファイアウォール (WAF) を有効にする必要がある - Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある |
| 承認されていないネットワーク アクセスの制限 | - キー コンテナーでファイアウォールを有効にする必要がある - キー コンテナー用にプライベート エンドポイントを構成する必要がある - App Configuration ではプライベート リンクを使用する必要がある - Azure Cache for Redis は仮想ネットワーク内に存在しなければならない - Azure Event Grid ドメインではプライベート リンクを使用する必要がある - Azure Event Grid トピックではプライベート リンクを使用する必要がある - Azure Machine Learning ワークスペースではプライベート リンクを使用する必要がある - Azure SignalR Service ではプライベート リンクを使用する必要がある - Azure Spring Cloud ではネットワークの挿入を使用する必要がある - コンテナー レジストリでは無制限のネットワーク アクセスを許可しない - コンテナー レジストリではプライベート リンクを使用する必要がある - MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - ストレージ アカウントではプライベート リンク接続を使用する必要がある - ストレージ アカウントでは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある - VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある |
関連リンク:
- Azure セキュリティ ベンチマークについての詳細情報
- Azure Database for MariaDB についての詳細情報
- Azure Database for MySQL についての詳細情報
- Azure Database for PostgreSQL についての詳細情報
フィルター処理された推奨事項一覧の CSV エクスポート
2020 年 11 月には、推奨事項のページにフィルターを追加しました (「推奨事項の一覧にフィルターを追加」を参照してください)。 12 月には、それらのフィルターを拡張しました (「環境、重大度、利用可能な応答用の新しいフィルターが推奨事項のページに追加」を参照してください)。
今回は、フィルター処理された一覧に表示されている推奨事項のみが CSV エクスポートの対象となるよう、 [Download to CSV](CSV にダウンロード) ボタンの動作を変更しています。
たとえば、以下の画像を見ると、一覧がフィルター処理されて 2 つの推奨事項が表示されていることがわかります。 生成された CSV ファイルには、それらの 2 つの推奨事項に関係する各リソースの状態情報が含まれています。
詳細については、Azure Security Center でのセキュリティに関する推奨事項を参照してください。
Azure Policy の評価で "適用除外" であったリソースが "準拠" とレポートされるように
以前は、Azure Policy の推奨事項で適用除外と評価されたリソースが "非準拠" と表示されていました。 ユーザー アクションによって状態を "準拠" に変更することはできませんでした。今回の変更以降、わかりやすくするためにこれらは "準拠" としてレポートされます。
Azure Policy への影響は 1 つだけで、準拠しているリソースの数が増えます。 Azure Security Center のセキュア スコアには影響はありません。
セキュア スコアと規制コンプライアンス データの週単位のスナップショットを連続エクスポートでエクスポート (プレビュー)
セキュア スコアと規制コンプライアンス データの週単位のスナップショットをエクスポートするための新しいプレビュー機能を連続エクスポート ツールに追加しました。
エクスポートの頻度は、連続エクスポートを定義するときに設定します。
- ストリーミング – リソースの正常性状態が更新されると、評価が送信されます (更新がなければ、データは送信されません)。
- スナップショット - 規制コンプライアンスの全評価を対象に現在の状態のスナップショットが毎週送信されます (セキュア スコアと規制コンプライアンス データの週単位のスナップショットに関するプレビュー機能)。
この機能の全容については、「Security Center のデータを連続的にエクスポートする」を参照してください。
2020 年 12 月
12 月の更新プログラムには次のものが含まれます。
- マシン上の SQL サーバー向け Azure Defender の一般提供開始
- Azure Synapse Analytics の専用 SQL プールに対する Azure Defender for SQL のサポートの一般提供開始
- グローバル管理者が自分にテナントレベルのアクセス許可を付与できるようになりました
- 2 つの新しい Azure Defender プラン: Azure Defender for DNS と Azure Defender for Resource Manager (プレビュー段階)
- Azure portal の新しいセキュリティ アラート ページ (プレビュー)
- Azure SQL Database と SQL Managed Instance における Security Center エクスペリエンスの刷新
- 資産インベントリ ツールとフィルターの更新
- SSL 証明書を要求する Web アプリに関する推奨事項がセキュリティ スコアの対象から除外
- 環境、重大度、利用可能な応答用の新しいフィルターが推奨事項のページに追加
- 連続エクスポートで新しいデータ型が利用可能になり、deployifnotexist ポリシーが改善
マシン上の SQL サーバー向け Azure Defender の一般提供開始
Azure Security Center には、2 つの SQL Server 用 Azure Defender プランが用意されています。
- Azure SQL データベース サーバー向け Azure Defender - Azure ネイティブの SQL Server を保護します
- マシン上の SQL サーバー向け Azure Defender - ハイブリッド、マルチクラウド、およびオンプレミスの環境で SQL サーバーに対して同様の保護を拡張します
本発表以降は、Azure Defender for SQL によって、データベースとそのデータが場所にかかわらず保護されます。
Azure Defender for SQL には、脆弱性評価機能が用意されています。 脆弱性評価ツールには、次の高度な機能が含まれています。
- ベースライン構成 (新機能) を使用すると、脆弱性スキャンの結果を、実際のセキュリティ問題を示す可能性があるものにインテリジェントに絞り込むことができます。 ベースラインのセキュリティ状態を確立した後は、脆弱性評価ツールによって、そのベースラインからの逸脱のみがレポートされます。 ベースラインに一致する結果は、それ以降のスキャンで合格と見なされます。 これにより、ユーザーとアナリストは、重要な問題に注意を集中できます。
- 詳細なベンチマーク情報は、検出された結果や、それらとリソースの関連性を "把握する" のに役立ちます。
- 修復スクリプトは、特定されたリスクを軽減するのに役立ちます。
Azure Defender for SQL についてさらに詳しく学習します。
Azure Synapse Analytics の専用 SQL プールに対する Azure Defender for SQL のサポートの一般提供開始
Azure Synapse Analytics (以前の SQL DW) は、エンタープライズ データ ウェアハウスとビッグ データの分析を兼ね備えた分析サービスです。 専用 SQL プールは、Azure Synapse のエンタープライズ データ ウェアハウス機能です。 詳細については、Azure Synapse Analytics (以前の SQL DW) の概要に関するページを参照してください。
Azure Defender for SQL では、次のものを使用して専用 SQL プールを保護します。
- 高度な脅威保護 - 脅威と攻撃を検出します
- 脆弱性評価機能 - セキュリティに関する構成ミスを特定して修復します
Azure Defender for SQL での Azure Synapse Analytics SQL プールのサポートは、Azure Security Center 内の Azure SQL データベース バンドルに自動的に追加されます。 Azure portal の Synapse ワークスペース ページに新しい Azure Defender for SQL タブがあります。
Azure Defender for SQL についてさらに詳しく学習します。
グローバル管理者が自分にテナントレベルのアクセス許可を付与できるようになりました
Azure Active Directory ロールがグローバル管理者であるユーザーは、テナント全体の責任を持つ場合がありますが、Azure Security Center でその組織全体の情報を表示するための Azure アクセス許可がありません。
テナントレベルのアクセス許可を自分に割り当てるには、「テナント全体のアクセス許可を自分に付与する」セクションの手順に従います。
2 つの新しい Azure Defender プラン: Azure Defender for DNS と Azure Defender for Resource Manager (プレビュー段階)
Azure 環境向けに、2 つの新しいクラウドネイティブ範囲の脅威防止機能が追加されました。
これらの新しい保護により、脅威アクターからの攻撃に対する回復性が強化され、Azure Defender によって保護される Azure リソースの数が大幅に増加します。
Azure Defender for Resource Manager - 組織で実行されるすべてのリソース管理操作を自動的に監視します。 詳細については、次を参照してください。
Azure Defender for DNS - Azure リソースからのすべての DNS クエリを継続的に監視します。 詳細については、次を参照してください。
Azure portal の新しいセキュリティ アラート ページ (プレビュー)
Azure Security Center のセキュリティ アラート ページは、次の機能を提供できるように再設計されました。
- アラートのトリアージ エクスペリエンスの向上 - アラートに対応する労力を減らし、最も関連性の高い脅威に焦点を絞りやすくするために、一覧にはカスタマイズ可能なフィルターとグループ化のオプションが追加されました
- アラート一覧への情報の追加 - MITRE ATT & ACK の戦術など
- サンプル アラートを作成するためのボタン - Azure Defender の機能を評価し、アラートの構成 (SIEM 統合、メール通知、ワークフローの自動化) をテストします。すべての Azure Defender プランでサンプル アラートを作成できます
- Azure Sentinel のインシデント エクスペリエンスとの連携 - 両方の製品を使用するお客様は、より簡単に 2 つを切り替えることによって、どちらの製品からも、もう一方の製品が提供する情報を取得しやすくなりました
- 長大なアラート一覧のパフォーマンス向上
- アラート一覧のキーボードによるナビゲーション
- Azure Resource Graph のアラート - Azure Resource Graph (すべてのリソースを対象とする、Kusto に似た API) のアラートにクエリを実行できます。 これは、独自のアラート ダッシュボードを作成している場合にも役立ちます。 Azure Resource Graph の詳細についてさらに学習します。
新しいエクスペリエンスにアクセスするには、セキュリティ アラート ページの上部にあるバナーの "今すぐ試す" リンクを使用します。
新しいアラート エクスペリエンスでサンプル アラートを作成するには、「Azure Defender のサンプル アラートを生成する」を参照してください。
Azure SQL Database と SQL Managed Instance における Security Center エクスペリエンスの刷新
SQL 内の Security Center エクスペリエンスでは、Security Center と Azure Defender for SQL の次の機能にアクセスできます。
- セキュリティに関する推奨事項 - Security Center では、接続されているすべての Azure リソースのセキュリティの状態を定期的に分析して、潜在的なセキュリティの構成ミスを特定します。 そのうえで、それらの脆弱性を修復し、組織のセキュリティ体制を改善する方法に関する推奨事項を提供します。
- セキュリティ アラート - SQL インジェクション、ブルートフォース攻撃、特権の悪用などの脅威がないか、Azure SQL アクティビティを継続的に監視する検出サービス。 このサービスは、Security Center で詳細なアクション指向のセキュリティ アラートをトリガーし、Microsoft の Azure ネイティブ SIEM ソリューションである Azure Sentinel を使用して調査を継続するためのオプションを提供します。
- 調査結果 – Azure SQL 構成を継続的に監視し、脆弱性を修復するのに役立つ脆弱性評価サービスです。 評価スキャンでは、Azure SQL のセキュリティ状態の概要が詳細なセキュリティ調査結果と一緒に示されます。
資産インベントリ ツールとフィルターの更新
Azure Security Center のインベントリ ページが更新され、次の変更が加えられました。
[Guides and feedback](ガイドとフィードバック) がツール バーに追加されました。 これにより、関連する情報やツールへのリンクがあるペインが開きます。
サブスクリプション フィルターが、リソースで使用可能な既定のフィルターに追加されました。
現在のフィルター オプションを Azure Resource Graph クエリとして開くための [クエリを開く] リンク (以前は "Resource Graph エクスプローラーで表示" という名前でした)。
各フィルターの演算子オプション。 "=" に加えて他の論理演算子も選択できるようになりました。 たとえば、タイトルに "encrypt" という文字列が含まれているアクティブな推奨事項があるすべてのリソースを検索することができます。
インベントリの詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
SSL 証明書を要求する Web アプリに関する推奨事項がセキュリティ スコアの対象から除外
推奨事項 "Web apps should request an SSL certificate for all incoming requests (Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある)" が、[アクセスおよびアクセス許可の管理] (最大 4 ポイントに相当) セキュリティ コントロールから [セキュリティのベスト プラクティスを実装する] (ポイントなしに相当) に移動されました。
Web アプリが証明書を要求するようにすることで、確実にセキュリティが向上します。 ただし、公開されている Web アプリの場合は関係ありません。 HTTPS ではなく HTTP 経由でサイトにアクセスする場合は、クライアント証明書を受信しません。 したがって、アプリケーションにクライアント証明書が必要な場合は、HTTP 経由でのアプリケーションへの要求を許可しないでください。 詳細については、「Azure App Service に対する TLS 相互認証の構成」を参照してください。
この変更により、この推奨事項は、スコアに影響を与えない、推奨のベスト プラクティスになりました。
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
環境、重大度、利用可能な応答用の新しいフィルターが推奨事項のページに追加
Azure Security Center では、接続されているすべてのリソースを監視し、セキュリティの推奨事項を生成します。 これらの推奨事項を使用して、ハイブリッド クラウドの体制を強化し、組織、業界、国およびリージョンに関連するポリシーと標準へのコンプライアンス状況を追跡します。
Security Center のカバレッジと機能が拡張されるにつれて、セキュリティに関する推奨事項の一覧が毎月増えていきます。 たとえば、「Azure セキュリティ ベンチマークのカバレッジを広げるために追加された、29 個のプレビュー推奨事項」を参照してください。
一覧が増加するのに伴い、最も関心のあるものを見つけることができるように、フィルターを使用して推奨事項を絞り込む機能が求められるようになりました。 11 月に、推奨事項のページにフィルターを追加しました (「推奨事項の一覧にフィルターを追加」を参照してください)。
この月に追加されたフィルターには、次の条件で推奨事項の一覧を絞り込むためのオプションがあります。
環境 - AWS、GCP、または Azure リソース (または任意の組み合わせ) の推奨事項を表示します
重大度 - Security Center によって設定された重大度分類に従って推奨事項を表示します
応答アクション - Security Center の応答オプションの可用性に応じて推奨事項を表示します (修正、拒否、強制)
ヒント
応答アクション フィルターは、 [Quick fix available (Yes/No)](クイック修正を使用できます (はい/いいえ)) フィルターに置き換わるものです。
これらの応答オプションの詳細については、次を参照してください。
連続エクスポートで新しいデータ型が利用可能になり、deployifnotexist ポリシーが改善
Azure Security Center の連続エクスポート ツールを使用すると、環境内の他の監視ツールで使用するために Security Center の推奨事項とアラートをエクスポートできます。
連続エクスポートを使用して、エクスポートする "内容" とエクスポート先の "場所" を完全にカスタマイズできます。 詳細については、「Security Center のデータを連続的にエクスポートする」を参照してください。
これらのツールは、次の点で強化および拡張されました。
連続エクスポートの deployifnotexist ポリシーの強化。 これらのポリシーで、以下のことが可能になりました。
構成が有効になっているかどうかの確認。 有効になっていない場合、ポリシーによって非準拠として表示され、準拠しているリソースが作成されます。 提供されている Azure Policy テンプレートの詳細については、「連続エクスポートを設定する」の [Azure ポリシーを使用して大規模にデプロイする] タブを参照してください。
セキュリティ調査結果のエクスポートのサポート。 Azure Policy テンプレートを使用する場合、調査結果が含まれるように連続エクスポートを構成できます。 これは、"サブ" 推奨事項 (たとえば、脆弱性評価スキャナーからの調査結果) や、"親" 推奨事項 "システム更新プログラムをマシンにインストールする必要がある" に対する特定のシステム更新プログラムを含む推奨事項をエクスポートする場合に関連します。
セキュリティ スコア データのエクスポートのサポート。
規制コンプライアンス評価データの追加 (プレビュー)。 任意のカスタム イニシアティブを含む、規制コンプライアンス評価の更新を Log Analytics ワークスペースまたはイベント ハブに連続的にエクスポートできるようになりました。 この機能は、各国のクラウドでは使用できません。
2020 年 11 月
11 月の更新プログラムには次のものが含まれます。
- Azure セキュリティ ベンチマークのカバレッジを広げるために追加された、29 個のプレビュー推奨事項
- Security Center の法令遵守ダッシュボードに追加された NIST SP 800 171 R2
- 推奨事項の一覧にフィルターを追加
- 自動プロビジョニング エクスペリエンスの向上と拡張
- 連続エクスポートでセキュア スコアが利用可能に (プレビュー)
- "システム更新プログラムをマシンにインストールする必要がある" 推奨事項にサブ推奨事項を追加
- Azure portal のポリシー管理ページに、既定のポリシー割り当ての状態を表示
Azure セキュリティ ベンチマークのカバレッジを広げるために追加された、29 個のプレビュー推奨事項
Azure セキュリティ ベンチマークは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する Azure 固有のガイドラインのセットです。 Azure セキュリティ ベンチマークの詳細を確認してください。
ベンチマークのカバレッジを拡大するために、次の 29 個のプレビュー推奨事項が Security Center に追加されています。
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法については、「Azure Security Center の修復レコメンデーション」を参照してください。
| セキュリティ コントロール | 新しい推奨事項 |
|---|---|
| 転送中のデータを暗号化する | - PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - API アプリに対して TLS を最新バージョンに更新する必要がある - 関数アプリに対して TLS を最新バージョンに更新する必要がある - Web アプリに対して TLS を最新バージョンに更新する必要がある - API アプリでは FTPS を必須とする - 関数アプリでは FTPS を必須とする - Web アプリでは FTPS を必須とする |
| アクセスおよびアクセス許可の管理 | - Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある - API アプリではマネージド ID を使用する必要がある - 関数アプリではマネージド ID を使用する必要がある - Web アプリではマネージド ID を使用する必要がある |
| 承認されていないネットワーク アクセスの制限 | - PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある - MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある - MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある |
| 監査とログ記録を有効にする | - App Services の診断ログを有効にする必要があります |
| セキュリティのベストプラクティスを実装する | - 仮想マシンに対して Azure Backup を有効にする必要がある - Azure Database for MariaDB の geo 冗長バックアップを有効にする必要がある - Azure Database for MySQL の geo 冗長バックアップを有効にする必要がある - Azure Database for PostgreSQL の geo 冗長バックアップを有効にする必要がある - API アプリに対して PHP を最新バージョンに更新する必要がある - Web アプリに対して PHP を最新バージョンに更新する必要がある - API アプリに対して Java を最新バージョンに更新する必要がある - 関数アプリに対して Java を最新バージョンに更新する必要がある - Web アプリに対して Java を最新バージョンに更新する必要がある - API アプリに対して Python を最新バージョンに更新する必要がある - 関数アプリに対して Python を最新バージョンに更新する必要がある - Web アプリに対して Python を最新バージョンに更新する必要がある - SQL サーバーの監査のリテンション期間は少なくとも 90 日に設定する必要がある |
関連リンク:
- Azure セキュリティ ベンチマークについての詳細情報
- Azure API アプリについての詳細情報
- Azure 関数アプリについての詳細情報
- Azure Web アプリについての詳細情報
- Azure Database for MariaDB についての詳細情報
- Azure Database for MySQL についての詳細情報
- Azure Database for PostgreSQL についての詳細情報
Security Center の法令遵守ダッシュボードに追加された NIST SP 800 171 R2
NIST SP 800-171 R2 標準が、Azure Security Center の法令遵守ダッシュボードで使用するための組み込みイニシアティブとして使用できるようになりました。 コントロールのマッピングの詳細については、「NIST SP 800-171 R2 規制コンプライアンスの組み込みイニシアチブの詳細」を参照してください。
標準をサブスクリプションに適用し、コンプライアンス状態を継続的に監視するには、「規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズ」の手順を使用します。
このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
推奨事項の一覧にフィルターを追加
さまざまな条件に従って、セキュリティに関する推奨事項の一覧をフィルター処理できるようになりました。 次の例では、以下の条件を満たす推奨事項を表示するように、推奨事項の一覧がフィルター処理されています。
- 一般提供されている (つまり、プレビューではない)
- ストレージ アカウントを対象とする
- クイック修正による修復をサポートしている
自動プロビジョニング エクスペリエンスの向上と拡張
自動プロビジョニング機能は、Security Center の保護によるメリットが得られるように、必要な拡張機能を新規および既存の Azure VM にインストールすることで管理オーバーヘッドの削減を支援します。
Azure Security Center の拡大に伴って、より多くの拡張機能が開発されています。Security Center では、リソースの種類の大規模な一覧を監視できます。 Azure Policy の機能を活用することで、自動プロビジョニング ツールが拡張され、他の拡張機能とリソースの種類がサポートされるようになりました。
次の自動プロビジョニングを構成できるようになりました。
- Log Analytics エージェント
- (新) Kubernetes 用 Azure Policy
- (新) Microsoft Dependency Agent
詳細については、「Azure Security Center からのエージェントと拡張機能の自動プロビジョニング」をご覧ください。
連続エクスポートでセキュア スコアが利用可能に (プレビュー)
セキュア スコアの連続エクスポートを使用すると、スコアの変更を Azure Event Hubs または Log Analytics ワークスペースにリアルタイムでストリーム配信することができます。 この機能を使用すると、次のことができます。
- 動的レポートを使用し、一定期間にわたってセキュア スコアを追跡する
- Azure Sentinel (または他の SIEM) にセキュア スコア データをエクスポートする
- そのデータを、組織内でセキュア スコアを監視する目的で既に使用しているプロセスに統合する
Security Center のデータを連続的にエクスポートする方法についての詳しい情報をご覧ください。
"システム更新プログラムをマシンにインストールする必要がある" 推奨事項にサブ推奨事項を追加
システム更新プログラムをマシンにインストールする必要がある推奨事項が強化されています。 新しいバージョンには、不足している更新プログラムごとのサブ推奨事項が含まれているほか、次の点が改善されています。
Azure portal の Azure Security Center ページでの再設計されたエクスペリエンス。 "システム更新プログラムをマシンにインストールする必要がある" に関する推奨事項の詳細ページには、次に示すような結果の一覧が表示されます。 1 つの結果を選択すると、詳細ウィンドウが開き、修復情報および影響を受けるリソースの一覧へのリンクが表示されます。
Azure Resource Graph (ARG) からの推奨事項用に強化されたデータ。 ARG は、効率的なリソース探索を実現するように設計されている Azure のサービスです。 ARG を使用すると、特定のサブスクリプション セットの大規模なクエリを実行し、環境を効果的に管理できます。
Azure Security Center では、ARG および Kusto クエリ言語 (KQL) を使用して、幅広いセキュリティ態勢データに対してクエリを実行できます。
以前は、この推奨事項を ARG で照会した場合、取得できるのは、マシン上でその推奨事項を修復する必要があるという情報のみでした。 次に示す強化されたバージョンのクエリを実行すると、不足している各システム更新プログラムがマシン別にグループ化されて返されます。
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Azure portal のポリシー管理ページに、既定のポリシー割り当ての状態を表示
サブスクリプションに既定の Security Center ポリシーが割り当てられているかどうかを確認できます。これは、Azure portal の Security Center の [セキュリティ ポリシー] ページに表示されます。
![既定のポリシー割り当てを示す Azure Security Center の [ポリシー管理] ページ。](media/release-notes/policy-assignment-info-per-subscription.png)
2020 年 10 月
10 月の更新プログラムには次のものが含まれます。
- オンプレミスおよびマルチクラウド マシンの脆弱性評価 (プレビュー)
- Azure Firewall の推奨事項の追加 (プレビュー)
- "Kubernetes Services では承認された IP 範囲を定義する必要があります" という推奨事項のクイック修正による更新
- 規制コンプライアンス ダッシュボードへの、標準を削除するオプションの追加
- Azure Resource Graph (ARG) からの Microsoft.Security/securityStatuses テーブルの削除
オンプレミスおよびマルチクラウド マシンの脆弱性評価 (プレビュー)
Azure Defender for Servers の統合された脆弱性評価スキャナー (Qualys を使用) により、Azure Arc 対応サーバーがスキャンされるようになりました。
Azure 以外のマシンで Azure Arc を有効にした場合、Security Center では、統合された脆弱性スキャナーをそれらに手動で大規模にデプロイできるようにします。
この更新では、Azure Defender for Servers の能力を最大限に活用して、すべての Azure および Azure 以外の資産にわたって脆弱性管理プログラムを統合できます。
主な機能は、次のとおりです。
- Azure Arc マシンでの VA (脆弱性評価) スキャナーのプロビジョニング状態を監視する
- 保護されていない Windows および Linux Azure Arc マシンに、統合された VA エージェントをプロビジョニングする (手動で大規模に)
- デプロイされたエージェントで検出された脆弱性を受け取って分析する (手動で大規模に)
- Azure VM と Azure Arc マシンでエクスペリエンスを統一する
ハイブリッド マシンへの統合された Qualys 脆弱性スキャナーのデプロイについての詳細を参照してください。
Azure Arc 対応サーバーについての詳細を参照してください。
Azure Firewall の推奨事項の追加 (プレビュー)
Azure Firewall を使用してすべての仮想ネットワークを保護するための新しい推奨事項が追加されました。
仮想ネットワークは Azure Firewall によって保護する必要があるという推奨事項では、仮想ネットワークへのアクセスを制限し、Azure Firewall を使用して潜在的な脅威を防止することを勧めています。
Azure Firewall の詳細を参照します。
"Kubernetes Services では承認された IP 範囲を定義する必要があります" という推奨事項のクイック修正による更新
Kubernetes Services では承認された IP 範囲を定義する必要がありますという推奨事項に、クイック修正オプションが追加されました。
この推奨事項の詳細と、Security Center の他のすべての推奨事項については、「セキュリティの推奨事項 - リファレンス ガイド」を参照してください。
規制コンプライアンス ダッシュボードへの、標準を削除するオプションの追加
Security Center の規制コンプライアンス ダッシュボードでは、特定のコンプライアンスのコントロールと要件をどのように満たしているかに基づいて、コンプライアンス体制に関する分析情報が提供されます。
ダッシュボードには、規制標準の既定のセットが含まれています。 提供されている標準に、組織に関連していないものが含まれている場合、簡単なプロセスでサブスクリプションの UI から削除できるようになりました。 標準は、"サブスクリプション" レベルだけで削除できます。管理グループのスコープでは、削除できません。
詳細については、「ダッシュボードから標準を削除する」を参照してください。
Azure Resource Graph (ARG) からの Microsoft.Security/securityStatuses テーブルの削除
Azure Resource Graph は、効率的なリソース探索を提供するように設計されている、Azure のサービスです。環境を効果的に管理できるように、特定のサブスクリプションのセットにわたって大規模なクエリを実行する機能を備えています。
Azure Security Center では、ARG および Kusto クエリ言語 (KQL) を使用して、幅広いセキュリティ態勢データに対してクエリを実行できます。 次に例を示します。
- 資産インベントリが使用します (ARG)
- 多要素認証 (MFA) が有効になっていないアカウントを識別する方法を示すために、サンプル ARG クエリのドキュメントを作成しました
ARG 内には、クエリで使用できるデータのテーブルがあります。
ヒント
ARG ドキュメントの「Azure Resource Graph のテーブルとリソースの種類のリファレンス」には、使用可能なすべてのテーブルの一覧があります。
この更新から、Microsoft.Security/securityStatuses テーブルが削除されました。 securityStatuses API は引き続き使用できます。
データ置換は、Microsoft.Security/Assessments テーブルで使用できます。
Microsoft.Security/securityStatuses と Microsoft.Security/Assessments の大きな違いは、前者が評価の集計を示すのに対して、後者はそれぞれの単一のレコードを保持することです。
たとえば、Microsoft.Security/securityStatuses は、次のように 2 つの policyAssessments の配列で結果を返します。
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
一方、Microsoft.Security/Assessments では、次のような各ポリシー評価のレコードが保持されます。
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
securityStatuses を使用する既存の ARG クエリを、評価テーブルを使用するように変換する例:
SecurityStatuses を参照するクエリ:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Assessments テーブル用の置換クエリ:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
詳細については、以下のリンクを参照してください。
2020 年 9 月
9 月の更新プログラムには次のものが含まれます。
- Security Center の外観の変更
- Azure Defender のリリース
- Azure Defender for Key Vault の一般提供開始
- Files と ADLS Gen2 を対象とした Azure Defender for Storage 保護の一般提供開始
- 資産インベントリ ツールの一般提供開始
- コンテナー レジストリと仮想マシンのスキャンに対する特定の脆弱性の検出結果の無効化
- 推奨事項からリソースを除外する
- Security Center の AWS および GCP コネクタによるマルチクラウド エクスペリエンスの実現
- Kubernetes ワークロード保護の推奨事項バンドル
- 連続エクスポートで脆弱性評価の結果が利用可能
- 新しいリソースを作成するときに推奨事項を適用してセキュリティ構成ミスを防止
- ネットワーク セキュリティ グループ推奨事項の改善
- プレビューの AKS 推奨事項 "Kubernetes Services でポッドのセキュリティ ポリシーを定義する必要がある" の非推奨化
- Azure Security Center からの電子メールの改善
- セキュリティ スコアからのプレビューの推奨事項の除外
- 推奨事項への重大度インジケーターと更新間隔の追加
Security Center の外観の変更
Security Center のポータル ページの UI が更新されました。 新しいページには、新しい概要ページと、セキュリティ スコア、資産インベントリ、および Azure Defender の各ダッシュボードが含まれています。
新しいデザインの概要ページには、セキュリティ スコア、資産インベントリ、Azure Defender の各ダッシュボードにアクセスするためのタイルが追加されました。 規制コンプライアンス ダッシュボードにリンクしているタイルもあります。
詳細については、概要ページに関するページをご覧ください。
Azure Defender のリリース
Azure Defender は、Azure とハイブリッド ワークロードを高度かつインテリジェントに保護するために Security Center 内に統合された、クラウド ワークロード保護プラットフォーム (CWPP) です。 これは Azure Security Center の Standard 価格レベル オプションに代わるものです。
Azure Security Center の価格と設定の領域から Azure Defender を有効にすると、次の Defender プランが同時にすべて有効になり、環境のコンピューティング、データ、およびサービス レイヤーに対する包括的な防御が提供されます。
- Azure Defender for Servers
- Azure Defender for App Service
- Azure Defender for Storage
- Azure Defender for SQL
- Azure Defender for Key Vault
- Azure Defender for Kubernetes
- Azure Defender for container registries
これらのプランについてはそれぞれ、Security Center のドキュメントで個別に説明されています。
Azure Defender では、専用ダッシュボードによって、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなどに対して、セキュリティ アラートと高度な脅威防止が提供されます。
Azure Defender for Key Vault の一般提供開始
Azure Key Vault は、暗号化キーとシークレット (証明書、接続文字列、パスワードなど) を保護するクラウド サービスです。
Azure Defender for Key Vault には、Azure Key Vault 用に Azure ネイティブの高度な脅威防止機能が用意されており、セキュリティ インテリジェンスのレイヤーが追加されます。 結果的に、Azure Defender for Key Vault は、拡張機能によって Key Vault アカウントに依存する多くのリソースを保護します。
このオプション プランの一般提供が開始されました。 この機能は、プレビューでは "Azure Key Vault 向けの高度な脅威防止機能" として利用できました。
また、Azure portal の Key Vault ページには、Security Center の推奨事項とアラートの専用セキュリティ ページが追加されています。
詳細については、「Azure Defender for Key Vault」を参照してください。
Files と ADLS Gen2 を対象とした Azure Defender for Storage 保護の一般提供開始
Azure Defender for Storage では、Azure Storage アカウント上の潜在的に有害なアクティビティが検出されます。 BLOB コンテナー、ファイル共有、またはデータ レイクのいずれに格納されているデータでも保護できます。
Azure Files および Azure Data Lake Storage Gen2 サポートの一般提供が開始されました。
2020 年 10 月 1 日から、これらのサービスのリソースの保護に対して課金が開始されます。
詳細については、「Azure Defender for Storage」を参照してください。
資産インベントリ ツールの一般提供開始
Azure Security Center の資産インベントリ ページを使用すると、Security Center に接続したリソースのセキュリティ態勢が 1 つのページに表示されます。
Security Center では、Azure リソースのセキュリティの状態が定期的に分析されて、潜在的なセキュリティ脆弱性が特定されます。 その後、これらの脆弱性を修正する方法に関する推奨事項が提供されます。
いずれかのリソースに未処理の推奨事項がある場合は、インベントリに表示されます。
詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
コンテナー レジストリと仮想マシンのスキャンに対する特定の脆弱性の検出結果の無効化
Azure Defender には、Azure Container Registry とお使いの仮想マシンのイメージをスキャンするための脆弱性スキャナーが含まれています。
組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 無効化された検出結果は、セキュリティ スコアに影響を与えたり、不要なノイズを生成したりすることはありません。
無効化のルールで定義した条件と一致する検出結果は、検出結果の一覧には表示されません。
このオプションは、次の推奨事項の詳細ページから使用できます。
- Azure Container Registry イメージの脆弱性を修復する必要があります
- 仮想マシンの脆弱性を修復する必要がある
詳細については、コンテナー イメージの特定の検出結果の無効化と仮想マシンの特定の検出結果の無効化に関するページを参照してください。
推奨事項からリソースを除外する
場合によっては、特定の推奨事項に関するリソースが、異常ではないはずなのに、異常として表示されることがあります (これによりセキュリティ スコアが低くなります)。 それは、Security Center によって追跡されていないプロセスによって修復された可能性があります。 あるいは、ご自身の組織が、その特定のリソースのリスクを受け入れることにしたのかもしれません。
このような場合は、除外規則を作成して、今後そのリソースが異常なリソースの一覧に表示されないようにすることができます。 これらの規則には、以下で説明するように、文書化された妥当性を含めることができます。
詳細については、「推奨事項とセキュリティ スコアからリソースを除外する」を参照してください。
Security Center の AWS および GCP コネクタによるマルチクラウド エクスペリエンスの実現
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。
Azure Security Center は、Azure、アマゾン ウェブ サービス (AWS)、および Google Cloud Platform (GCP) のワークロードを保護するようになりました。
AWS および GCP プロジェクトを Security Center にオンボードすると、AWS Security Hub、GCP Security Command Center、Azure Security Center が統合されます。
詳しくは、Azure Security Center への AWS アカウントの接続および Azure Security Center への GCP プロジェクトの接続に関するページをご覧ください。
Kubernetes ワークロード保護の推奨事項バンドル
Kubernetes ワークロードが既定で確実に保護されるように、Security Center によって、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベルの強化の推奨事項が追加されます。
Kubernetes 用 Azure Policy が AKS クラスターにインストールされている場合は、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。
たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。
詳細については、Kubernetes 受付制御を使用したワークロード保護のベスト プラクティスに関するページを参照してください。
連続エクスポートで脆弱性評価の結果が利用可能
連続エクスポートを使用して、アラートと推奨事項を Azure Event Hubs、Log Analytics ワークスペース、または Azure Monitor にストリーム配信します。 そこから、このデータを SIEM (Azure Sentinel、Power BI、Azure Data Explorer など) と統合できます。
Security Center の統合された脆弱性評価ツールは、"仮想マシンの脆弱性を修復する必要がある" などの "親" の推奨事項内で、ご自身のリソースに関する結果を実行可能な推奨事項として返します。
推奨事項を選択し [セキュリティに関する調査結果を含める] オプションを有効にすることで、連続エクスポートを介して、セキュリティに関する調査結果をエクスポートに利用できるようにるようになりました。
関連するページ:
- Azure 仮想マシンに対する Security Center の統合された Qualys 脆弱性評価
- Azure Container Registry に対する Security Center の統合された脆弱性評価ソリューション
- 連続エクスポート
新しいリソースを作成するときに推奨事項を適用してセキュリティ構成ミスを防止
セキュリティ構成ミスは、セキュリティ インシデントの大きな原因です。 Security Center には、特定の推奨事項に関する新しいリソースの構成ミスを "防止" する際に役立つ機能が追加されました。
この機能は、ワークロードの安全性を確保し、ご自身のセキュリティ スコアを安定させるうえで役立ちます。
特定の推奨事項に基づいたセキュリティで保護された構成は、次の 2 つのモードで適用できます。
Azure Policy の拒否モードを使用すると、異常なリソースの作成を停止できます
適用オプションを使用すると、Azure Policy の DeployIfNotExist 効果を利用し、作成時に準拠していないリソースを自動的に修復できます。
これは、選択したセキュリティの推奨事項で利用でき、リソースの詳細ページの上部にあります。
詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。
ネットワーク セキュリティ グループ推奨事項の改善
ネットワーク セキュリティ グループに関連する次のセキュリティ推奨事項が、一部の擬陽性のインスタンスを減らすために改善されました。
- すべてのネットワーク ポートは、VM に関連付けられた NSG で制限する必要があります
- 仮想マシンの管理ポートを閉じておく必要がある
- インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある
- サブネットはネットワーク セキュリティ グループに関連付けられている必要がある
プレビューの AKS 推奨事項 "Kubernetes Services でポッドのセキュリティ ポリシーを定義する必要がある" の非推奨化
プレビューの推奨事項 "Kubernetes Services でポッドのセキュリティ ポリシーを定義する必要がある" は、Azure Kubernetes Service のドキュメントで説明されているように非推奨とされます。
ポッド セキュリティ ポリシー (プレビュー) 機能は非推奨になる予定です。2020 年 10 月 15 日を過ぎると使用できなくなるため、AKS 用の Azure Policy が推奨されます。
ポッド セキュリティ ポリシー (プレビュー) が非推奨となった後、今後のクラスター アップグレードを実行し、Azure サポート内に留まるには、非推奨の機能を使用する既存のクラスターでその機能を無効にする必要があります。
Azure Security Center からの電子メールの改善
セキュリティ アラートに関する次の電子メール領域が改善されました。
- すべての重大度レベルのアラートに関する電子メール通知の送信機能を追加
- サブスクリプションのさまざまな Azure ロールのユーザーに通知する機能を追加
- (本当の侵害である可能性が高い) 重大度が高いアラートについては、サブスクリプションの所有者に事前に送信されます
- 電子メール通知の構成ページから電話番号フィールドが削除されました
詳細については、「セキュリティ アラートのメール通知を設定する」を参照してください。
セキュリティ スコアからのプレビューの推奨事項の除外
Security Center は、セキュリティの問題について、リソース、サブスクリプション、および組織を継続的に評価します。 その後、すべての結果を 1 つのスコアに集約して、現在のセキュリティの状況を一目で確認できるようにします。スコアが高くなるほど、識別されたリスク レベルが低下します。
新しい脅威が発見されると、新しいセキュリティに関するアドバイスが、新しい推奨事項を介して Security Center で利用できるようになります。 突然セキュリティ スコアが変わることがないように、また、スコアが影響を受ける前に、新しい推奨事項を調べる猶予期間を確保できるように、プレビューのフラグが設定されている推奨事項が、セキュリティ スコアの計算から除外されるようになりました。 それでも、その推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。
また、プレビューの推奨事項によって、リソースの "異常" がレンダリングされることはありません。
プレビューの推奨事項の例を次に示します。
推奨事項への重大度インジケーターと更新間隔の追加
推奨事項の詳細ページに、更新間隔インジケーター (関連する場合) が追加され、推奨事項の重大度が明確に表示されるようになりました。
2020 年 8 月
8 月の更新プログラムには次のものが含まれます。
- 資産インベントリ - 資産のセキュリティ態勢の強力な新しいビュー
- Azure Active Directory のセキュリティの既定値群 (多要素認証用) のサポートの追加
- サービス プリンシパルに関する推奨事項の追加
- VM の脆弱性評価 - 推奨事項とポリシーの統合
- ASC_default イニシアチブに追加された新しい AKS セキュリティ ポリシー
資産インベントリ - 資産のセキュリティ態勢の強力な新しいビュー
Security Center の資産インベントリ (現在プレビュー) を使用すると、Security Center に接続したリソースのセキュリティ態勢を確認することができます。
Security Center では、Azure リソースのセキュリティの状態が定期的に分析されて、潜在的なセキュリティ脆弱性が特定されます。 その後、これらの脆弱性を修正する方法に関する推奨事項が提供されます。 いずれかのリソースに未処理の推奨事項がある場合は、インベントリに表示されます。
ビューとそのフィルターを使用して、セキュリティの態勢データを調査し、結果に基づいてさらにアクションを実行できます。
資産インベントリの詳細を確認してください。
Azure Active Directory のセキュリティの既定値群 (多要素認証用) のサポートの追加
Security Center に、Microsoft の無料の ID セキュリティ保護であるセキュリティの既定値群の完全なサポートが追加されました。
セキュリティの既定値群により、構成済みの ID セキュリティ設定が提供され、組織は一般的な ID 関連の攻撃から保護されます。 セキュリティの既定値群により、500 万個以上のテナント全体が既に保護されています。50,000 個のテナントも Security Center によって保護されています。
Security Center では現在、セキュリティの既定値群が有効になっていない Azure サブスクリプションを識別した時点で、セキュリティの推奨事項を提供します。 Security Center ではこれまで、Azure Active Directory (AD) Premium ライセンスの一部である条件付きアクセスを使用した多要素認証の有効化を推奨していました。 Azure AD Free をご利用のお客様には、セキュリティの既定値群を有効にすることを現在お勧めしています。
私たちの目標は、より多くのお客様に対して、MFA を使用してクラウド環境をセキュリティで保護し、セキュリティ スコアに対しても最もインパクトの高いリスクの 1 つを軽減することを推奨することです。
セキュリティの既定値群の詳細を確認してください。
サービス プリンシパルに関する推奨事項の追加
管理証明書を使用してサブスクリプションを管理している Security Center のお客様に対してサービス プリンシパルへの切り替えを推奨するための、新しい推奨事項が追加されました。
推奨事項 [管理証明書の代わりにサブスクリプションを保護するために、サービス プリンシパルを使用する必要があります] は、サービスプリンシパルまたは Azure Resource Manager を使用してサブスクリプションをより安全に管理することをお勧めするものです。
「Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」で詳細を確認してください。
VM の脆弱性評価 - 推奨事項とポリシーの統合
Security Center では、VM を調べて脆弱性評価ソリューションが実行されているかどうかを検出します。 脆弱性評価ソリューションが検出されない場合、Security Center によって、展開を簡略化するための推奨事項が示されます。
脆弱性が発見された場合、調査結果をまとめた推奨事項が Security Center によって示され、必要に応じて調査および修復できるようにします。
使用されているスキャナーの種類に関係なく、すべてのユーザーに一貫したエクスペリエンスを提供できるように、4 つの推奨事項を次の 2 つに統合しました。
| 統合された推奨事項 | 変更の説明 |
|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 次の 2 つの推奨事項の代わりとなります。 ***** 組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用) (現在は非推奨) (Standard レベルに組み込み) ***** 脆弱性評価ソリューションを仮想マシンにインストールする必要がある (現在は非推奨) (Standard と Free レベル) |
| 仮想マシンの脆弱性を修復する必要がある | 次の 2 つの推奨事項の代わりとなります。 ***** 仮想マシンで検出された脆弱性を修復する (Qualys を利用) (現在は非推奨) ***** 脆弱性評価ソリューションによって脆弱性を修復する必要がある (現在は非推奨) |
これで、同じ推奨事項を利用して、Security Center の脆弱性評価拡張機能、または Qualys や Rapid 7 などの、パートナーからプライベートにライセンス供与されたソリューション ("BYOL") をデプロイすることになります。
また、脆弱性が検出され、Security Center に報告された場合、その脆弱性を特定した脆弱性評価ソリューションに関係なく、1 つの推奨事項によって調査結果がアラートとして通知されます。
依存関係の更新
以前の推奨事項またはポリシーのキー/名前を参照するスクリプト、クエリ、または自動化がある場合は、次の表を利用してその参照を更新します。
2020 年 8 月より前
| 推奨 | Scope |
|---|---|
| 組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用) キー:550e890b-e652-4d22-8274-60b3bdb24c63 |
組み込み |
| 仮想マシンで検出された脆弱性を修復する (Qualys を利用) キー:1195afff-c881-495e-9bc5-1486211ae03f |
組み込み |
| 脆弱性評価ソリューションを仮想マシンにインストールする必要があります キー:01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| 脆弱性評価ソリューションによって脆弱性を修復する必要がある キー:71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| ポリシー | Scope |
|---|---|
| 仮想マシンで脆弱性評価を有効にする必要がある ポリシー ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
組み込み |
| 脆弱性評価ソリューションによって脆弱性を修復する必要がある ポリシー ID:760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
2020 年 8 月以降
| 推奨 | Scope |
|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある キー: ffff0522-1e88-47fc-8382-2a80ba848f5d |
組み込み + BYOL |
| 仮想マシンの脆弱性を修復する必要がある キー:1195afff-c881-495e-9bc5-1486211ae03f |
組み込み + BYOL |
| ポリシー | Scope |
|---|---|
| 仮想マシンで脆弱性評価を有効にする必要がある ポリシー ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
組み込み + BYOL |
ASC_default イニシアチブに追加された新しい AKS セキュリティ ポリシー
Kubernetes ワークロードが既定で確実に保護されるように、Security Center によって、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベル ポリシーが追加され、レコメンデーションが強化されます。
このプロジェクトの初期段階には、プレビューと、ASC_default イニシアチブへの新しい (既定で無効になっている) ポリシーの追加が含まれています。
このようなポリシーは無視しても問題ありません。お使いの環境に影響が出ることはありません。 有効にする場合、Microsoft Cloud Security Private Community でプレビューに新規登録し、次のオプションから選択します。
- 単一プレビュー – このプレビューにのみ参加します。 参加するプレビューとして "ASC Continuous Scan" を明示的に伝えます。
- 継続的プログラム – これと将来のプライベート プレビューに追加します。 プロファイルとプライバシー契約を完了する必要があります。
2020 年 7 月
7 月の更新プログラムには次のものが含まれます。
- マーケットプレースにないイメージに対して、仮想マシンの脆弱性評価を利用できるようになりました
- Azure Files と Azure Data Lake Storage Gen2 を含むように拡張された Azure Storage の脅威の防止 (プレビュー)
- 脅威の防止機能を有効にするための 8 つの新しい推奨事項
- コンテナーのセキュリティ強化 - レジストリのスキャンの高速化とドキュメントの更新
- 新しい推奨事項とパス規則でのワイルドカードのサポートによって適応型アプリケーション制御を更新
- 非推奨となった SQL の高度なデータ セキュリティの 6 つのポリシー
仮想マシンの脆弱性評価をマーケットプレース以外のイメージで使用可能に
脆弱性評価ソリューションをデプロイする際、以前はデプロイ前に Security Center によって検証チェックが実行されていました。 このチェックは、接続先の仮想マシンのマーケットプレース SKU を確認するために行われていました。
今回の更新プログラムから、このチェックは削除され、脆弱性評価ツールを 'カスタム' Windows および Linux マシンに展開できるようになりました。 カスタム イメージは、マーケットプレースの既定値からユーザーが変更したものです。
統合された脆弱性評価拡張機能 (Qualys を使用) をより多くのマシンに展開できるようになりましたが、サポートは、「統合された脆弱性スキャナーを Standard レベルの VM にデプロイする」に記載されている OS を使用している場合にのみ受けることができます
詳細については、仮想マシン向けの統合された脆弱性スキャナー (Azure Defender が必要) に関するページを参照してください。
Qualys から独自にライセンスを取得した独自の脆弱性評価ソリューションの使用またはRapid7パートナー脆弱性スキャン ソリューションのデプロイに関するページを参照してください。
Azure Files と Azure Data Lake Storage Gen2 を含むように拡張された Azure Storage の脅威の防止 (プレビュー)
Azure Storage の脅威の防止では、Azure Storage アカウント上の潜在的に有害なアクティビティを検出します。 Security Center では、ストレージ アカウントへのアクセスまたはストレージ アカウントの悪用の試行が検出されたときにアラートが表示されます。
BLOB コンテナー、ファイル共有、またはデータ レイクのいずれに格納されているデータでも保護できます。
脅威の防止機能を有効にするための 8 つの新しい推奨事項
次のリソース タイプに対して Azure Security Center の脅威の防止機能を簡単に提供するため、新たに 8 つの推奨事項が追加されました: 仮想マシン、App Service プラン、Azure SQL Database サーバー、マシン上の SQL Server、Azure Storage アカウント、Azure Kubernetes Service クラスター、Azure Container Registry レジストリ、および Azure Key Vault ボールト。
新しい推奨事項は次のとおりです。
- Azure SQL Database サーバーで Advanced Data Security を有効にする必要がある
- マシン上の SQL サーバーで Advanced Data Security を有効にする必要がある
- Azure App Service プランで Advanced Threat Protection を有効にする必要がある
- Azure Container Registry レジストリで Advanced Threat Protection を有効にする必要がある
- Azure Key Vault コンテナーで Advanced Threat Protection を有効にする必要がある
- Azure Kubernetes Service クラスターで Advanced Threat Protection を有効にする必要がある
- Azure Storage アカウントで Advanced Threat Protection を有効にする必要がある
- 仮想マシンで Advanced Threat Protection を有効にする必要がある
推奨事項には、クイック修正機能も含まれています。
重要
これらの推奨事項を 1 つでも修復すると、関連するリソースを保護するための料金が発生します。 現在のサブスクリプションに関連するリソースがある場合、直ちに料金が発生します。 後で追加した場合は、後で行われます。
たとえば、サブスクリプションに Azure Kubernetes Service クラスターがない状態で脅威の防止を有効にした場合、料金は発生しません。 将来、同じサブスクリプションにクラスターを追加すると、そのクラスターは自動的に保護され、その時点で料金が発生します。
各項目の詳細については、セキュリティに関する推奨事項のリファレンス ページを参照してください。
詳細については、「Azure Security Center での脅威の防止」を参照してください。
コンテナーのセキュリティ強化 - レジストリのスキャンの高速化とドキュメントの更新
コンテナーのセキュリティ ドメインへの継続的な投資の一環として、Security Center では Azure Container Registry に保存されているコンテナー イメージの動的スキャンにおける大幅なパフォーマンス向上を実現しました。 スキャンは、通常約 2 分で完了するようになりました。 場合によっては、最大 15 分かかることがあります。
Azure Security Center のコンテナーのセキュリティ機能に関する明確さとガイダンスを改善するために、コンテナーのセキュリティに関するドキュメントのページも更新しました。
Security Center でのコンテナー セキュリティの詳細については、次の記事を参照してください。
- Security Center のコンテナーのセキュリティ機能の概要
- Azure Container Registry との統合の詳細
- Azure Kubernetes Service との統合の詳細
- レジストリをスキャンして Docker ホストを強化する方法
- Azure Kubernetes Service クラスターの脅威防止機能からのセキュリティ アラート
- コンテナーに関するセキュリティの推奨事項
新しい推奨事項とパス規則でのワイルドカードのサポートによって適応型アプリケーション制御を更新
適応型アプリケーション制御の機能に、2 つの重要な更新プログラムが適用されています。
新しい推奨事項により、以前は許可されていなかった、正当である可能性のある動作が識別されます。 新しい推薦事項の「適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある」により、既存のポリシーに新しいルールを追加して、適応型アプリケーション制御違反アラートの擬陽性の数を減らすよう求めるメッセージが表示されます。
パス規則でワイルドカードがサポートされるようになっています。 この更新プログラムから、ワイルドカードの使用が許可されたパス規則を構成できます。 サポートされているシナリオは 2 つあります。
パスの末尾でワイルドカードを使用し、そのフォルダーとサブフォルダー内のすべての実行可能ファイルを許可します。
パスの途中でワイルドカードを使用し、変化するフォルダー名を備えた既知の実行可能ファイルの名前 (既知の実行可能ファイルを含む個人ユーザー フォルダー、自動生成されたフォルダー名など) を有効にします。
適応型アプリケーション制御の詳細については、こちらをご覧ください。
非推奨となった SQL の高度なデータ セキュリティの 6 つのポリシー
SQL マシンの高度なデータ セキュリティに関連する 6 つのポリシーが非推奨になります。
- SQL マネージド インスタンスの高度なデータ セキュリティ設定で、Advanced Threat Protection の種類を [すべて] に設定する必要がある
- SQL Server の高度なデータ セキュリティ設定で、Advanced Threat Protection の種類を [すべて] に設定する必要がある
- SQL マネージド インスタンスの高度なデータ セキュリティ設定に、セキュリティ アラートを受信するためのメール アドレスが含まれている必要がある
- SQL Server の高度なデータ セキュリティ設定に、セキュリティ アラートを受信するためのメール アドレスが含まれている必要がある
- SQL マネージド インスタンスの Advanced Data Security 設定で管理者とサブスクリプションの所有者に対するメール通知を有効にする必要がある
- SQL Server の Advanced Data Security 設定で、管理者とサブスクリプションの所有者に対するメール通知を有効にする必要がある
詳細については、組み込みのポリシーに関するページを参照してください。
2020 年 6 月
6 月の更新プログラムには次のものが含まれます。
- セキュリティ スコア API (プレビュー)
- SQL マシン向けの Advanced Data Security (Azure、他のクラウド、オンプレミス) (プレビュー)
- Log Analytics エージェントを Azure Arc マシンにデプロイするための 2 つの新しい推奨事項 (プレビュー)
- 連続エクスポートとワークフローの自動化の構成を大規模に作成するための新しいポリシー
- NSG を使用してインターネットに接続していない仮想マシンを保護するための新しい推奨事項
- 脅威の防止と Advanced Data Security を有効にするための新しいポリシー
セキュリティ スコア API (プレビュー)
セキュリティ スコア API (現在プレビュー段階) を使用して、スコアにアクセスできるようになりました。 この API メソッドにより、より柔軟にデータに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築できるようになります。 たとえば、Secure Scores API を使用して、特定のサブスクリプションのスコアを取得できます。 また、Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示できます。
セキュリティ スコア API で実現可能な外部ツールの例については、「GitHub コミュニティのセキュリティ スコア エリア」を参照してください。
詳細については、Azure Security Center のセキュリティ スコアとセキュリティ コントロールに関するページを参照してください。
SQL マシン向けの Advanced Data Security (Azure、他のクラウド、オンプレミス) (プレビュー)
Azure Security Center の SQL マシン向けの Advanced Data Security により、Azure、他のクラウド環境、さらにはオンプレミスのマシン でホストされている SQL Server も保護されるようになりました。 これにより、Azure ネイティブの SQL Server の保護が拡張され、ハイブリッド環境を完全にサポートできるようになります。
Advanced Data Security では、SQL マシンに対して、場所によらず脆弱性評価と高度な脅威の防止が提供されます。
セットアップには、次の 2 つの手順があります。
Log Analytics エージェントを SQL Server のホスト マシンにデプロイして、Azure アカウントへの接続を提供します。
Security Center の [価格と設定] ページで、オプションのバンドルを有効にします。
詳細については、SQL マシン向けの Advanced Data Security に関するページを参照してください。
Log Analytics エージェントを Azure Arc マシンにデプロイするための 2 つの新しい推奨事項 (プレビュー)
Log Analytics エージェントを Azure Arc マシンにデプロイし、Azure Security Center によって保護されていることを確認する、2 つの新しい推奨事項が追加されました。
- Log Analytics エージェントを Windows ベースの Azure Arc マシンにインストールする必要がある (プレビュー)
- Log Analytics エージェントを Linux ベースの Azure Arc マシンにインストールする必要がある (プレビュー)
これらの新しい推奨事項は、既存の (関連する) 推奨事項である、「お使いのマシンに監視エージェントをインストールする必要があります」と同じ、セキュリティ構成の修復、適応型アプリケーション制御の適用、システムの更新プログラムの適用、Endpoint Protection を有効にするという 4 つのセキュリティ コントロールに表示されます。
推奨事項には、デプロイ プロセスを加速するためのクイック修復機能も含まれています。
これら 2 つの新しい推奨事項の詳細については、「コンピューティングとアプリの推奨事項」テーブルを参照してください。
Azure Security Center でエージェントを使用する方法の詳細については、「Log Analytics エージェントとは」を参照してください。
詳細については、Azure Arc マシンの拡張機能に関するページを参照してください。
連続エクスポートとワークフローの自動化の構成を大規模に作成するための新しいポリシー
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。
組織全体に自動化の構成をデプロイするには、次の組み込みの "DeployIfdNotExist" Azure ポリシーを使用して、連続エクスポートおよびワークフローの自動化手順を作成して構成します。
ポリシー定義は Azure Policy で確認できます。
| 目標 | ポリシー | ポリシー ID |
|---|---|---|
| イベント ハブへの連続エクスポート | Azure Security Center アラートおよび推奨事項についてイベント ハブへのエクスポートをデプロイする | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Log Analytics ワークスペースへの連続エクスポート | Azure Security Center アラートおよび推奨事項について Log Analytics ワークスペースへのエクスポートをデプロイする | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| セキュリティ アラートのワークフローの自動化 | Azure Security Center アラートに対してワークフローの自動化をデプロイする | f1525828-9a90-4fcf-be48-268cdd02361e |
| セキュリティに関する推奨事項のワークフローの自動化 | Azure Security Center 推奨事項に対してワークフローの自動化をデプロイする | 73d6ab6c-2475-4850-afd6-43795f3492ef |
ワークフローの自動化テンプレートを使用して開始するには、こちらを参照してください。
2 つのエクスポート ポリシーの使用の詳細については、「提供されているポリシーを使用してワークフローの自動化を大規模に構成する」と「連続エクスポートを設定する」を参照してください。
NSG を使用してインターネットに接続していない仮想マシンを保護するための新しい推奨事項
"セキュリティのベスト プラクティスの実装" セキュリティ コントロールに、次の新しい推奨事項が含まれるようになりました。
- インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある
既存の推奨事項である「インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある」では、インターネットに接続された仮想マシンとインターネットに接続されていない仮想マシンが区別されていませんでした。 どちらの場合でも、VM がネットワーク セキュリティ グループに割り当てられていないと、重大度の高い推奨事項が生成されていました。 この新しい推奨事項では、インターネットに接続されていないマシンを分離することで擬陽性を減らし、不必要な重要度の高いアラートを回避します。
詳細については、「ネットワークの推奨事項」テーブルを参照してください。
脅威の防止と Advanced Data Security を有効にするための新しいポリシー
次の新しいポリシー定義が、ASC の既定のイニシアティブに追加されました。これらは関連するリソースの種類に対して、脅威の防止または Advanced Data Security の有効化を促進するよう設計されています。
ポリシー定義は Azure Policy で確認できます。
| ポリシー | ポリシー ID |
|---|---|
| Azure SQL Database サーバーで Advanced Data Security を有効にする必要がある | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| マシン上の SQL サーバーで Advanced Data Security を有効にする必要がある | 6581d072-105e-4418-827f-bd446d56421b |
| Azure Storage アカウントで Advanced Threat Protection を有効にする必要がある | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Azure Key Vault コンテナーで Advanced Threat Protection を有効にする必要がある | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Azure App Service プランで Advanced Threat Protection を有効にする必要がある | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Azure Container Registry レジストリで Advanced Threat Protection を有効にする必要がある | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Azure Kubernetes Service クラスターで Advanced Threat Protection を有効にする必要がある | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Virtual Machines で Advanced Threat Protection を有効にする必要がある | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
詳細については、「Azure Security Center での脅威の防止」を参照してください。
2020 年 5 月
5 月の更新プログラムには次のものが含まれます。
- アラート抑制ルール (プレビュー)
- 仮想マシンに対する脆弱性評価の一般提供の開始
- Just-In-Time (JIT) 仮想マシン (VM) へのアクセスの変更
- 別のセキュリティ コントロールへのカスタム推奨事項の移動
- 推奨事項をコントロールまたは単純なリストで表示するためのトグルの追加
- 拡張されたセキュリティ コントロール "セキュリティのベスト プラクティスの実装"
- カスタム メタデータを使用したカスタム ポリシーの一般提供の開始
- ファイルレス攻撃検出へのクラッシュ ダンプ分析機能の移行
アラート抑制ルール (プレビュー)
この新機能 (現在プレビュー段階) は、アラート疲れを減らすのに役立ちます。 ルールを使用して、無害であることが判明している、または組織内の通常の活動に関連しているアラートを自動的に非表示にします。 これにより、最も重要な脅威に集中できます。
有効にした抑制ルールと一致するアラートは、引き続き生成されますが、その状態は "無視" に設定されます。 状態は Azure portal でも確認できますが、Security Center のセキュリティ アラートにアクセスして確認することもできます。
抑制ルールでは、アラートが自動的に無視される条件を定義します。 通常は、次のような場合に抑制ルールを使用します。
ユーザーが擬陽性と判断したアラートを抑制する
あまりにも頻繁にトリガーされるため有用ではないアラートを抑制する
詳しくは、「Azure Security Center の脅威防止からのアラートの抑制」を参照してください。
仮想マシンに対する脆弱性評価の一般提供の開始
Security Center の Standard レベルに、追加料金なしで仮想マシンの統合脆弱性評価が追加されました。 この拡張機能には Qualys が利用されていますが、結果は Security Center に直接レポートされます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。
この新しいソリューションでは、お客様の仮想マシンを継続的にスキャンし、脆弱性を検出してその結果を Security Center に表示できます。
ソリューションをデプロイするには、新しいセキュリティの推奨事項を使用します。
"組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用)"
詳しくは、仮想マシンに対する Security Center の統合脆弱性評価に関するページを参照してください。
Just-In-Time (JIT) 仮想マシン (VM) へのアクセスの変更
Security Center には、VM の管理ポートを保護するオプションの機能が備わっています。 これにより、最も一般的な形式のブルート フォース攻撃を防ぐことができます。
この更新では、この機能に次の変更が加えられました。
VM での JIT の有効化を勧める推奨事項の名前が変更されました。 以前は "Just-In-Time ネットワーク アクセス制御を仮想マシンに適用する必要があります" だったものが、現在は "仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御で保護する必要があります" になりました。
この推奨事項は、オープンな管理ポートがある場合にのみトリガーされます。
詳しくは、JIT アクセス機能に関するページを参照してください。
別のセキュリティ コントロールへのカスタム推奨事項の移動
強化されたセキュア スコアと共に導入されたセキュリティ コントロールの 1 つが、"セキュリティのベスト プラクティスの実装" です。お客様のサブスクリプションで作成されたカスタム推奨事項は自動的に、このコントロールに配置されていました。
カスタム推奨事項は見つけやすいように、専用のセキュリティ コントロールである "カスタム推奨事項" に移行しました。このコントロールは、お客様のセキュア スコアに影響しません。
セキュリティ コントロールの詳細については、「Azure Security Center の強化されたセキュア スコア (プレビュー)」を参照してください。
推奨事項をコントロールまたは単純なリストで表示するためのトグルの追加
セキュリティ コントロールは、関連するセキュリティ推奨事項の論理グループです。 これらはお客様の脆弱な攻撃対象領域を反映します。 コントロールは、セキュリティに関する一連の推奨事項と、これらの推奨事項を実装するための指示内容です。
組織が個々の攻撃対象領域をどの程度セキュリティで保護しているかをすぐに確認するには、各セキュリティ コントロールのスコアを確認します。
既定では、推奨事項がセキュリティ コントロールに表示されます。 この更新プログラムから、それらをリストとしても表示できるようになりました。 影響を受けるリソースの正常性状態で並べ替えられた単純なリストとして表示するには、新しいトグル "コントロールによるグループ化" を使用します。 このトグルはポータル内のリストの上にあります。
セキュリティ コントロール (およびこのトグル) は、新しいセキュア スコア エクスペリエンスの一部です。 ポータル内からフィードバックをお送りいただけますとさいわいです。
セキュリティ コントロールの詳細については、「Azure Security Center の強化されたセキュア スコア (プレビュー)」を参照してください。
拡張されたセキュリティ コントロール "セキュリティのベスト プラクティスの実装"
強化されたセキュア スコアと共に導入されたセキュリティ コントロールの 1 つが、"セキュリティのベスト プラクティスの実装" です。このコントロールに推奨事項があっても、セキュア スコアに影響はありません。
この更新により、3 つの推奨事項が当初配置されていたコントロールからこのベスト プラクティス コントロールに移動されました。 この操作が行われたのは、これら 3 つの推奨事項のリスクが当初考えていたよりも低いことが判明したためです。
さらに、2 つの新しい推奨事項が導入され、このコントロールに追加されました。
移動された 3 つの推奨事項は次のとおりです。
- ご利用のサブスクリプションに対して読み取りアクセス許可があるアカウントでは、MFA を有効にする必要があります (当初は "MFA の有効化" コントロール内)
- 読み取りアクセス許可がある外部アカウントは、ご使用のサブスクリプションから削除する必要があります (当初は "アクセスとアクセス許可の管理" コントロール内)
- お使いのサブスクリプションに、最大 3 人の所有者を指定する必要があります (当初は "アクセスとアクセス許可の管理" コントロール内)
コントロールに追加された 2 つの新しい推奨事項は次のとおりです。
ゲスト構成拡張機能が Windows 仮想マシンにインストールされている必要がある (プレビュー) - Azure Policy ゲスト構成を使用することで、サーバーとアプリケーションの設定に対して仮想マシンが可視化されます (Windows のみ)。
お使いのマシンで Windows Defender Exploit Guard を有効にする必要がある (プレビュー) - Windows Defender Exploit Guard では、Azure Policy ゲスト構成エージェントが利用されます。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃でよく使用される動作をブロックするよう設計された 4 つのコンポーネントがありますが、企業がセキュリティ リスクと生産性の要件のバランスをとれるようになっています (Windows のみ)。
Windows Defender Exploit Guard の詳細については、「Exploit Guard ポリシーの作成と展開」を参照してください。
セキュリティ コントロールの詳細については、強化されたセキュリティ スコア (プレビュー) に関するページを参照してください。
カスタム メタデータを使用したカスタム ポリシーの一般提供の開始
カスタム ポリシーは、Security Center の推奨事項エクスペリエンス、セキュア スコア、規制コンプライアンス標準ダッシュボードに含まれました。 この機能の一般提供が開始され、お客様は Security Center で組織のセキュリティ評価の範囲を拡大できるようになりました。
Azure Policy でカスタム イニシアチブを作成し、それにポリシーを追加して Azure Security Center にオンボードし、推奨事項として視覚化します。
さらに、カスタム推奨事項のメタデータを編集するオプションも追加されました。 メタデータ オプションには、重要度、修復手順、脅威情報などが含まれます。
詳しくは、「詳細情報でのカスタム推奨事項の拡張」を参照してください。
ファイルレス攻撃検出へのクラッシュ ダンプ分析機能の移行
Microsoft は Windows クラッシュ ダンプ (CDA) 検出機能をファイルレス攻撃検出に移行しています。 ファイルレス攻撃検出分析では、Windows マシンで次のセキュリティ アラートの高度なバージョンを利用できます。コード インジェクションの検出、Windows モジュールの偽装の検出、シェル コードの検出、疑わしいコード セグメントの検出。
この移行のメリットをいくつか紹介します。
プロアクティブかつタイムリーなマルウェア検出 - CDA のアプローチでは、クラッシュが発生して初めて分析を実行し、悪意のあるアーティファクトを検出する必要がありました。 ファイルレス攻撃検出を使用すると、メモリ内の脅威が活動しているのをプロアクティブに特定できます。
強化されたアラート - ファイルレス攻撃検出のセキュリティ アラートには、CDA では利用できない強化が加わっています (例: アクティブなネットワーク接続情報)。
アラートの集計 - CDA では、単一のクラッシュ ダンプ内で複数の攻撃パターンを検出した場合に、複数のセキュリティ アラートをトリガーしていました。 ファイルレス攻撃検出では、同じプロセスから特定された攻撃パターンをすべて単一のアラートにまとめて、複数のアラートを関連付ける必要をなくしています。
Log Analytics ワークスペースでの要件の減少 - 機密データを含んでいる可能性があるクラッシュ ダンプは、Log Analytics ワークスペースにアップロードされなくなります。
2020 年 4 月
4 月の更新プログラムには次のものが含まれます。
動的コンプライアンス パッケージの一般提供の開始
Azure Security Center の規制コンプライアンス ダッシュボードに、追加の業界および規制の標準を追跡するための動的コンプライアンス パッケージが追加されました (一般提供開始)。
動的コンプライアンス パッケージは、Security Center のセキュリティ ポリシー ページからサブスクリプションまたは管理グループに追加できます。 標準またはベンチマークをオンボードすると、評価として、マップされた関連するすべてのコンプライアンス データと共に、標準が規制コンプライアンス ダッシュボードに表示されます。 オンボードされた標準の概要レポートがダウンロードできるようになります。
次のような標準を追加できるようになりました。
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK OFFICIAL および UK NHS
- カナダ連邦の PBMM
- Azure CIS 1.1.0 (新規) (Azure CIS 1.1.0 のより完全な表現)
さらに、Azure セキュリティ ベンチマークが最近追加されました。これは Microsoft が作成したもので、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関する Azure 固有のガイドラインです。 追加の標準が使用可能になると、ダッシュボードでサポートされます。
詳しくは、「規制コンプライアンス ダッシュボードでの動的コンプライアンス パッケージへの更新」を参照してください。
Azure Security Center Free レベルへの ID に関する推奨事項の追加
Azure Security Center Free レベルで、ID とアクセスのセキュリティに関する推奨事項の一般提供が開始されました。 これは、クラウドのセキュリティ体制管理 (CSPM) 機能を無料化する取り組みの一環です。 これまで、これらの推奨事項を利用できるのは、Standard 価格レベルだけでした。
ID とアクセスに関する推奨事項の例を次に示します。
- "ご利用のサブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要があります。"
- "お使いのサブスクリプションに、最大 3 人の所有者を指定する必要があります。"
- "非推奨のアカウントは、ご利用のサブスクリプションから削除する必要があります。"
Free 価格レベルのサブスクリプションをお持ちのお客様は、ID とアクセスのセキュリティについて評価されることがなかったため、この変更により、セキュア スコアに影響が生じます。
詳しくは、「ID とアクセスの推奨事項」を参照してください。
詳細については、「サブスクリプションでの多要素認証 (MFA) の実施を管理する」を参照してください。
2020 年 3 月
3 月の更新プログラムには次のものが含まれます。
- ワークフロー自動化の一般提供の開始
- Azure Security Center と Windows Admin Center の統合
- Azure Kubernetes Service の保護
- Just-In-Time エクスペリエンスの改善
- Web アプリケーションに関する 2 つのセキュリティ推奨事項の非推奨化
ワークフロー自動化の一般提供の開始
Azure Security Center のワークフロー自動化機能の一般提供が開始されました。 これを使用すると、セキュリティ アラートと推奨事項が出されたときにロジック アプリを自動でトリガーできます。 さらに、クイック修復オプションが利用可能なすべての推奨事項とアラートでは、手動のトリガーが使用可能です。
すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、直接の利害関係者への通知、変更管理プロセスの開始、および特定の修復手順の適用が含まれます。 これらのプロシージャの手順をできるだけ多く自動化することがセキュリティの専門家によって推奨されています。 自動化を行うと、オーバーヘッドが減少します。また、迅速かつ一貫した方法で、定義済みの要件に従ってプロセスの手順が実行されるようにして、セキュリティを向上させることができます。
ワークフローを実行するための Security Center の自動および手動機能の詳細については、「ワークフローの自動化」を参照してください。
詳しくは、ロジック アプリの作成に関するページを参照してください。
Azure Security Center と Windows Admin Center の統合
Windows Admin Center から Azure Security Center にオンプレミスの Windows サーバーを直接移行できるようになりました。 これで、オンプレミスのサーバー、仮想マシン、追加の PaaS ワークロードなど、すべての Windows Admin Center リソースのセキュリティ情報を Security Center で一元的に確認できるようになります。
Windows Admin Center から Azure Security Center にサーバーを移行すると、以下が可能になります。
- Windows Admin Center の Security Center 拡張機能で、セキュリティに関するアラートと推奨事項を確認する。
- Azure portal 内の Security Center で (または API を使用して)、セキュリティ体制を確認し、Windows Admin Center で管理されているサーバーの追加の詳細情報を取得する。
詳しくは、Azure Security Center と Windows Admin Center を統合する方法に関するページを参照してください。
Azure Kubernetes Service の保護
Azure Security Center では、Azure Kubernetes Service (AKS) を保護するコンテナー セキュリティ機能を拡張しています。
Kubernetes は人気のオープンソース プラットフォームとして広く普及しており、現在コンテナー オーケストレーションの業界標準となっています。 その実装が広まっているにもかかわらず、Kubernetes 環境をセキュリティで保護する方法については、まだ十分に理解されていません。 コンテナー化されたアプリケーションの攻撃対象領域を保護するには、潜在的な脅威を確実かつ継続的に監視するようインフラストラクチャを構成するための専門知識が必要です。
Security Center には以下の防御機能があります。
- 検出と可視化 - Security Center に登録されているサブスクリプション内のマネージド AKS インスタンスの継続的な検出。
- セキュリティに関する推奨事項 - AKS のセキュリティ ベストプラクティスに準拠するのに役立つ、実行可能な推奨事項。 組織のセキュリティ体制の一環として確認できるように、これらの推奨事項はお客様のセキュア スコアに含まれています。 AKS に関する推奨事項の例としては、"Kubernetes Service クラスターへのアクセスを制限するには、ロールベースのアクセス制御を使用する必要があります" などがあります。
- 脅威の防止 - Security Center では、AKS デプロイの継続的な分析によって、ホストおよび AKS クラスター レベルで検出された脅威や悪意のあるアクティビティについてアラートを通知します。
詳しくは、「Azure Kubernetes Service と Security Center の統合」を参照してください。
詳しくは、Security Center のコンテナー セキュリティ機能に関するページを参照してください。
Just-In-Time エクスペリエンスの改善
お客様の管理ポートを保護する Azure Security Center の Just-In-Time ツールの機能、操作、UI が、次のように強化されました。
- 理由のフィールド - Azure portal の Just-In-Time ページを使用して仮想マシン (VM) へのアクセスを要求する際に、要求の理由を入力するためにオプションの新しいフィールドを使用できます。 このフィールドに入力された情報は、アクティビティ ログで追跡できます。
- 冗長な Just-In-Time (JIT) 規則の自動クリーンアップ - JIT ポリシーを更新するたびに、クリーンアップ ツールが自動的に実行され、規則セット全体の有効性がチェックされます。 このツールでは、ポリシー内の規則と NSG 内の規則の不一致が検索されます。 クリーンアップ ツールで不一致が検出されると、原因が特定され、削除した方が安全と見なされる場合には不要な組み込み規則が削除されます。 ユーザーが作成した規則がこのツールによって削除されることはありません。
詳しくは、JIT アクセス機能に関するページを参照してください。
Web アプリケーションに関する 2 つのセキュリティ推奨事項の非推奨化
Web アプリケーションに関する 2 つのセキュリティ推奨事項が非推奨になります。
IaaS NSG 上の Web アプリケーションに対する規則を強化する必要があります。 (関連ポリシー:IaaS 上の Web アプリケーションに対する NSG 規則を強化する必要がある)
App Services へのアクセスを制限する必要があります。 (関連ポリシー:App Services へのアクセスを制限する必要があります (プレビュー))
これらの推奨事項は、Security Center の推奨事項リストに表示されなくなります。 関連ポリシーは、"Security Center の既定" という名前のイニシアチブに含まれなくなります。
詳しくは、セキュリティに関する推奨事項についてのページを参照してください。
2020 年 2 月
Linux 向けのファイルレス攻撃検出 (プレビュー)
検出を回避するためにステルス性の高い方法を利用する攻撃者が増えているので、Azure Security Center では、Windows 向けに加えて Linux 向けのファイルレス攻撃検出を拡張しています。 ファイルレス攻撃では、ソフトウェアの脆弱性が悪用されて、悪意のあるペイロードが正常なシステム プロセスに挿入され、メモリ内に隠されます。 これらの手法には以下のようなものがあります。
- ディスク上のマルウェアの痕跡を最小化または排除する
- ディスクベースのマルウェア スキャン ソリューションによる検出の可能性を大幅に下げる
この脅威に対処するために、Azure Security Center では 2018 年 10 月にファイルレス攻撃検出をリリースしました。そしてこのたび、ファイルレス攻撃検出は Linux にも拡張されました。
2020 年 1 月
強化されたセキュア スコア (プレビュー)
Azure Security Center のセキュア スコア機能の強化バージョンが、プレビュー版で利用できるようになりました。 このバージョンでは、複数の推奨事項が、脆弱な攻撃対象領域をより正確に反映するセキュリティ コントロールにグループ化されています (例: 管理ポートへのアクセスの制限)。
プレビュー段階でセキュア スコアの変更に慣れていただけるほか、ご自分の環境のセキュリティを高めるのに役立つその他の修復機能をご確認いただけます。
詳細については、強化されたセキュア スコア (プレビュー) に関するページを参照してください。
2019 年 11 月
11 月の更新プログラムには次のものが含まれます。
- 北米リージョンで Azure Key Vault 用 Threat Protection (プレビュー)
- Azure Storage 用 Threat Protection にマルウェア評価スクリーニングを追加
- Logic Apps を使用したワークフローの自動化 (プレビュー)
- 大量のリソースのクイック修正の一般提供を開始
- コンテナー イメージの脆弱性スキャン (プレビュー)
- 規制コンプライアンス標準の追加 (プレビュー)
- Azure Kubernetes Service 用 Threat Protection (プレビュー)
- 仮想マシンの脆弱性評価 (プレビュー)
- Azure Virtual Machines の SQL Server 向け Advanced Data Security (プレビュー)
- カスタム ポリシーのサポート (プレビュー)
- コミュニティおよびパートナー向けのプラットフォームで Azure Security Center のカバレッジを拡大
- 推奨事項とアラートのエクスポートによる高度な統合 (プレビュー)
- Windows Admin Center から Security Center へのオンプレミス サーバーのオンボード (プレビュー)
北米リージョンで Azure Key Vault 用 Threat Protection (プレビュー)
Azure Key Vault は、キー、シークレット、暗号化キー、ポリシーをクラウドで一元管理する機能を提供することによって、データを保護し、クラウド アプリケーションのパフォーマンスを向上させる非常に重要なサービスです。 Azure Key Vault には、機密性の高い、ビジネスに不可欠なデータが格納されているため、キー コンテナーとそこに格納されるデータの最大限のセキュリティが必要となります。
Azure Security Center による Azure Key Vault 用 Threat Protection のサポートにより、キー コンテナーへのアクセスやキー コンテナーの悪用を試みる、害を及ぼす可能性のある通常とは異なる試行を検出する、セキュリティ インテリジェンスのレイヤーが追加されます。 この新しい保護レイヤーにより、お客様は、セキュリティ専門家でなくてもキー コンテナーに対する脅威に対処することが可能となり、セキュリティ監視システムを管理できるようになります。 この機能は、北米リージョンでパブリック プレビュー段階にあります。
Azure Storage 用 Threat Protection にマルウェア評価スクリーニングを追加
Azure Storage 用 Threat Protection は、Microsoft 脅威インテリジェンスを利用した新しい検出機能を提供します。これらの機能では、ハッシュ評価分析を使用して Azure Storage へのマルウェアのアップロードを検出したり、アクティブな Tor 出口ノード (匿名化プロキシ) からの不審なアクセスを検出したりすることができます。 Azure Security Center を使用して、ストレージ アカウント全体で検出されたマルウェアを表示できるようになりました。
Logic Apps を使用したワークフローの自動化 (プレビュー)
セキュリティと IT/運用が一元管理されている組織では、環境で不一致が見つかった場合に組織内で必要なアクションを実行する内部ワークフロー プロセスを実装しています。 多くの場合、これらのワークフローは反復可能なプロセスであるため、自動化によって組織内のプロセスを大幅に効率化できます。
このたび、Azure Logic Apps を利用して自動化構成を作成し、推奨事項やアラートなど、ASC の特定の結果に基づいてそれらを自動的にトリガーするポリシーを作成できる新しい機能が Security Center に導入されます。 Azure Logic App は、Logic App コネクタの広範なコミュニティによってサポートされているカスタム アクションを実行するように構成することも、メールの送信や ServiceNow™ チケットのオープンなど、Security Center が提供するテンプレートのいずれかを使用するように構成することもできます。
ワークフローを実行するための Security Center の自動および手動機能の詳細については、「ワークフローの自動化」をご覧ください。
Logic Apps の作成方法については、Azure Logic Apps に関する記事をご覧ください。
大量のリソースのクイック修正の一般提供を開始
セキュリティ スコアの一部として、ユーザーには多くのタスクが示されるため、大規模なフリートで問題を効果的に修復するのが困難になる可能性があります。
クイック修正の修復を使用して、セキュリティ構成の誤りを修正し、複数のリソースに関する推奨事項を修復し、セキュリティ スコアを向上させます。
この操作により、ユーザーは修復を適用するリソースを選択し、ユーザーに代わって設定を構成する修復アクションを起動できます。
このたび、Security Center の推奨事項ページの一部として、クイック修正の一般提供が開始されました。
クイック修正が有効になっている推奨事項については、セキュリティの推奨事項のリファレンス ガイドをご覧ください。
コンテナー イメージの脆弱性スキャン (プレビュー)
Azure Security Center で、Azure Container Registry にあるコンテナー イメージの脆弱性をスキャンできるようになりました。
イメージのスキャンでは、コンテナー イメージ ファイルを解析し、(Qualys を利用して) 既知の脆弱性が存在するかどうかが確認されます。
スキャン自体は、新しいコンテナー イメージを Azure Container Registry にプッシュすると自動的にトリガーされます。 検出された脆弱性は Security Center の推奨事項として表示され、修正プログラムを適用してそれらの脆弱性による攻撃対象領域を削減する方法に関する情報と共にセキュリティ スコアに含められます。
規制コンプライアンス標準の追加 (プレビュー)
規制コンプライアンス ダッシュボードは、Security Center の評価に基づいて、コンプライアンス体制に関する分析情報を提供します。 ダッシュボードでは、お使いの環境が特定の規制基準や業界ベンチマークで指定されたコントロールと要件にどのように準拠しているかが示され、これらの要件に対処する方法に関する規範的な推奨事項が提供されます。
これまで、規制コンプライアンス ダッシュボードでは、Azure CIS 1.1.0、PCI-DSS、ISO 27001、SOC-TSP の 4 つの組み込み標準がサポートされていました。 このたび、Microsoft は、サポート対象となる追加の標準として、NIST SP 800-53 R4、SWIFT CSP CSCF v2020、Canada Federal PBMM、UK Official および UK NHS のパブリック プレビュー リリースを発表しました。 また、Azure CIS 1.1.0 の更新バージョンもリリースし、この標準のより多くのコントロールに対応して拡張性を強化します。
規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズの詳細については、こちらをご覧ください。
Azure Kubernetes Service 用 Threat Protection (プレビュー)
Kubernetes は、ソフトウェアをクラウドにデプロイして管理するための新しい標準になりつつあります。 Kubernetes の豊富な経験を持つ人はほとんどおらず、多くの人が一般的なエンジニアリングと管理にのみ注目し、セキュリティ面を見落としています。 コンテナーに焦点を合わせた攻撃対象領域が無防備な状態で攻撃者にさらされないように、Kubernetes 環境のセキュリティを慎重に構成する必要があります。 Security Center では、コンテナー領域でのサポートを、Azure で最も急成長しているサービスの 1 つである Azure Kubernetes Service (AKS) まで拡大しています。
このパブリック プレビュー リリースの新しい機能は次のとおりです。
- 検出と可視化 - Security Center の登録済みサブスクリプション内のマネージド AKS インスタンスの継続的な検出。
- セキュリティ スコアの推奨事項 - お客様が AKS のセキュリティに関するベストプラクティスに準拠し、セキュリティ スコアを上げるのに役立つ実用的な項目。 「Kubernetes Service クラスターへのアクセスを制限するには、ロールベースの Access Control を使用する必要がある」などの項目を含む推奨事項。
- 脅威の検出 - ホストおよびクラスターベースの分析 (例: "特権コンテナーが検出されました")。
仮想マシンの脆弱性評価 (プレビュー)
多くの場合、仮想マシンにインストールされているアプリケーションには、仮想マシンの侵害につながるおそれのある脆弱性が存在する可能性があります。 Microsoft は、Security Center Standard レベルに、追加料金なしで仮想マシンの脆弱性評価を組み込むことを発表しました。 Qualys を利用した脆弱性評価 (パブリック プレビュー) を使用すると、仮想マシンにインストールされているすべてのアプリケーションを継続的にスキャンして脆弱なアプリケーションを検出し、Security Center ポータルのエクスペリエンスに結果を表示できます。 Security Center がすべてのデプロイ操作を処理するため、ユーザーが追加の作業を行う必要はありません。 今後、お客様固有のビジネス ニーズに対応する脆弱性評価オプションを提供する予定です。
Azure Virtual Machines の脆弱性評価の詳細については、こちらをご覧ください。
Azure Virtual Machines の SQL Server 向け Advanced Data Security (プレビュー)
IaaS VM 上で実行されている SQL DB の脅威からの保護と脆弱性評価の、Azure Security Center によるサポートのプレビューが開始されました。
脆弱性評価では、データベースの潜在的な脆弱性を検出、追跡、修復できるサービスを簡単に構成できます。 セキュリティ スコアの一部としてセキュリティ体制が可視化され、セキュリティの問題を解決してデータベースの防御機能を強化するための手順が含まれます。
Advanced Threat Protection では、SQL Server へのアクセスや SQL Server の悪用を試みる、害を及ぼす可能性のある通常とは異なる試行を示す異常なアクティビティが検出されます。 データベースでの不審なアクティビティを継続的に監視し、異常なデータベース アクセス パターンに対してアクション指向のセキュリティ通知を提供します。 このようなアラートからは、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨されるアクションが提示されます。
カスタム ポリシーのサポート (プレビュー)
Azure Security Center でカスタム ポリシーがサポートされるようになりました (プレビュー)。
お客様は、Azure Policy で作成したポリシーに基づく独自のセキュリティ評価によって、Security Center の現在のセキュリティ評価の対象範囲を拡張することを求めてきました。 カスタム ポリシーのサポートにより、これが可能になりました。
これらの新しいポリシーは、Security Center の推奨事項エクスペリエンス、セキュリティ スコア、規制コンプライアンス標準ダッシュボードに含まれるようになります。 カスタム ポリシーのサポートにより、Azure Policy でカスタム イニシアチブを作成し、Security Center にポリシーとして追加して、推奨事項として表示できるようになりました。
コミュニティおよびパートナー向けのプラットフォームで Azure Security Center のカバレッジを拡大
Security Center を使用して、Microsoft だけでなく、Check Point、Tenable、CyberArk などのパートナーの既存のソリューションからも推奨事項を受け取ることができます。今後、さらに多くの統合が提供される予定です。 Security Center のシンプルなオンボード フローにより、既存のソリューションを Security Center に接続することで、セキュリティ体制に関する推奨事項を 1 か所で表示し、統合レポートを実行することが可能になります。組み込みの推奨事項とパートナーの推奨事項の両方に対して、Security Center のすべての機能を活用することもできます。 また、Security Center の推奨事項をパートナー製品にエクスポートすることもできます。
Microsoft インテリジェント セキュリティ アソシエーションの詳細については、こちらをご覧ください。
推奨事項とアラートのエクスポートによる高度な統合 (プレビュー)
Security Center 上でエンタープライズ レベルのシナリオに対応するために、Azure portal または API 以外の場所でも Security Center のアラートと推奨事項を使用できるようになりました。 これらは、イベント ハブおよび Log Analytics ワークスペースに直接エクスポートできます。 これらの新しい機能を使用して作成できるワークフローは次のとおりです。
- Log Analytics ワークスペースにエクスポートすることにより、PowerBI でカスタム ダッシュボードを作成できます。
- イベント ハブにエクスポートすることにより、Security Center のアラートと推奨事項をサードパーティの SIEM、サードパーティ ソリューション、または Azure Data Explorer にエクスポートできるようになります。
Windows Admin Center から Security Center へのオンプレミス サーバーのオンボード (プレビュー)
Windows Admin Center は、Azure にデプロイされていない Windows サーバー用の管理ポータルであり、バックアップやシステム更新などの Azure 管理機能を提供します。 最近、これらの非 Azure サーバーをオンボードして、Windows Admin Center のエクスペリエンスから直接 ASC で保護する機能が追加されました。
ユーザーは WAC サーバーを Azure Security Center にオンボードし、Windows 管理 Center エクスペリエンスでセキュリティ アラートと推奨事項を直接表示できるようになりました。
2019 年 9 月
9 月の更新プログラムには次のものが含まれます。
適応型アプリケーション制御のルール管理の改善
適応型アプリケーション制御を使用した仮想マシンのルール管理のエクスペリエンスが改善されました。 Azure Security Center の適応型アプリケーション制御を使用すると、仮想マシン上で実行できるアプリケーションを制御できます。 ルール管理の全般的な改善に加え、新たに追加される機能により、新しいルールを追加するときに保護するファイルの種類を制御できるようになります。
適応型アプリケーション制御の詳細については、こちらをご覧ください。
Azure Policy を使用してコンテナーのセキュリティの推奨事項を制御
コンテナーのセキュリティの脆弱性を修復するための Azure Security Center の推奨事項を、Azure Policy を使用して有効または無効にすることができるようになりました。
有効なセキュリティ ポリシーを表示するには、Security Center から [セキュリティ ポリシー] ページを開きます。
2019 年 8 月
8 月の更新プログラムには次のものが含まれます。
Azure Firewall 用 Just-In-Time (JIT) VM アクセス
Azure Firewall 用 Just-In-Time (JIT) VM アクセスの一般提供が開始されました。 これを使用することで、NSG で保護された環境に加え、Azure Firewall で保護された環境もセキュリティで保護できます。
JIT VM アクセスでは、NSG と Azure Firewall の規則を使用して、必要な場合にのみ、VM への制御されたアクセスを提供することで、ネットワーク帯域幅消費型攻撃にさらされるリスクを低減します。
VM で JIT を有効にする場合は、保護するポート、ポートを開放しておく時間、これらのポートにアクセスできる承認済み IP アドレスを指定したポリシーを作成します。 このポリシーは、ユーザーがアクセスを要求したときに実行できる操作を制御するのに役立ちます。
要求は Azure アクティビティ ログに記録されるので、アクセスの監視と監査を簡単に行うことができます。 Just-In-Time ページは、JIT が有効になっている既存の VM や JIT が推奨される VM をすばやく特定する際にも役立ちます。
Azure Firewall の詳細については、こちらをご覧ください。
セキュリティ体制を強化するシングル クリック修復 (プレビュー)
セキュリティ スコアは、ワークロードのセキュリティに対する姿勢を評価するのに役立つツールです。 セキュリティの推奨事項が見直され、優先順位が自動的に示されるので、どの推奨事項を最初に実行すべきかがわかります。 これは、最も重大なセキュリティの脆弱性を見つけて、調査に優先順位を付けるのに役立ちます。
セキュリティの構成の誤りを簡単に修復し、セキュリティ スコアを速やかに向上させるために、大量のリソースに関する推奨事項をシングル クリックで修復できる新しい機能が追加されました。
この操作により、ユーザーは修復を適用するリソースを選択し、ユーザーに代わって設定を構成する修復アクションを起動できます。
クイック修正が有効になっている推奨事項については、セキュリティの推奨事項のリファレンス ガイドをご覧ください。
テナント間の管理
Security Center では、Azure Lighthouse の一部として、テナント間の管理のシナリオがサポートされるようになりました。 これにより、Security Center で複数のテナントのセキュリティ体制を可視化し、管理できるようになります。
テナント間の管理エクスペリエンスの詳細については、こちらをご覧ください。
2019 年 7 月
ネットワークの推奨事項の更新
Azure Security Center (ASC) で新しいネットワークの推奨事項が導入され、既存の推奨事項が改善されました。 Security Center を使用することで、リソースのネットワーク保護をさらに強化できます。
ネットワークの推奨事項の詳細については、こちらをご覧ください。
2019 年 6 月
アダプティブ ネットワークのセキュリティ強化機能 - 一般提供の開始
パブリック クラウドで実行されているワークロードの最大の攻撃対象領域の 1 つは、パブリック インターネットとの間の接続です。 Azure ワークロードを必要なソース範囲でのみ利用できるようにするために、どのネットワーク セキュリティ グループ (NSG) 規則を設定すればよいかをお客様が把握するのは困難です。 この機能を使用すると、Security Center が Azure ワークロードのネットワーク トラフィックと接続のパターンを学習し、インターネットに接続する仮想マシンに対して、NSG 規則の推奨事項を提供します。 これにより、お客様は、ネットワーク アクセス ポリシーをより適切に構成し、攻撃にさらされるリスクを抑えることができます。
アダプティブ ネットワークのセキュリティ強化機能の詳細については、こちらをご覧ください。