重要な資産を確認して分類する

Microsoft セキュリティ露出管理は、ビジネスクリティカルな資産を安全かつ利用可能な状態に保ちます。 重要な資産は、SOC チームがorganizationのセキュリティ体制を改善するための取り組みに優先順位を付けるのに役立ちます。 重要な資産に焦点を当てることで、最も重要な資産がデータ侵害や運用の中断のリスクから保護されます。 この記事では、重要な資産を操作する方法について説明します。

資産の重要度

資産の重要度は、organizationの運用とセキュリティ体制に対する資産の重要性の尺度です。 これは、サイバーロール、運用コンテキスト、システムまたはサブシステムの組み合わせを反映しています。

資産は、次の 4 つのレベルの重要度に分類されます。

• 非常に高い - 非常に高い重要度の資産は、ビジネスの存続と継続性に不可欠です。 彼らの侵害は致命的な結果をもたらす可能性があります。
• 高 - 重要度の高い資産は、organizationのコア操作にとって非常に重要です。 侵害によって重大な中断が発生する可能性があります。
• 中 - 重要度の中程度の資産は中程度の影響を与え、特定の機能やプロセスに影響を与える可能性があります。
• 低 - 重要度の低い資産は、侵害された場合のビジネス運用とセキュリティへの影響を最小限に抑えます。

資産の重要度に基づいて資産を理解して分類すると、セキュリティの取り組みに優先順位を付け、最も重要な資産が最高レベルの保護を確実に受けられるようにします。

影響分析とクラウン ジュエリー分析は、重要な資産を特定して優先順位付けするための不可欠な手法です。 国立標準技術研究所 (NIST) は、 NIST IR 8179 に記載されている重要度分析のガイドラインを提供します。

また、NIST サイバーセキュリティ フレームワーク (CSF) 800-53 では、ID.AM-05 で説明されているように、資産管理と重要度分析に関するガイダンスも強調しています。これは、 https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/にあります。

前提条件

開始する前に、Microsoft セキュリティ露出管理で重要な資産を操作するための次の要件を満たしていることを確認してください。

• 開始する前に、露出 管理の重要な資産管理 について説明します。
• 重要な資産を操作するために必要なアクセス許可を確認します。
• セキュリティ テレメトリが MSEM ユース ケースをサポートするには、エンドポイントがバージョン 10.3740.XXXX 以降のMicrosoft Defender for Endpoint エージェントを実行している必要があります。 [Defender for Endpoint What's New]\(Defender for Endpoint の新機能\) ページに記載されているように、最新のエージェント バージョンを使用することをお勧めします。

デバイスが実行されているエージェント のバージョンを次のようにチェックできます。

• 特定のデバイスで、C:\Program Files\Windows Defender Advanced Threat Protection の MsSense.exe ファイルを参照します。 ファイルを右クリックし、[プロパティ] を選択 します。 [詳細] タブで、ファイルのバージョンをチェックします。

• 複数のデバイスの場合、次のように、高度なハンティング Kusto クエリを実行してデバイス センサーのバージョンをチェックする方が簡単です。

  DeviceInfo | project DeviceName, ClientVersion

重要な資産を確認する

重要な資産を次のように確認します。

1. Microsoft Defender ポータルで、[Microsoft XDR > ルール] > [設定] > [重要な資産管理] を選択します。
2. [ 重要な資産管理 ] ページで、分類内の資産の数、資産がオンかオフか、重要度レベルなど、定義済みのカスタムの重要な資産分類を確認します。

注:

[資産] > [デバイス] >[重要な資産の分類] に重要な資産を表示することもできます。 さらに、 重大な資産保護 イニシアチブは 、露出分析情報 -> イニシアティブで確認できます。

新しい定義済み分類を要求する

研究開発チームに新しい分類を提案することで、すぐに使用できる検出を拡大し、エコシステム全体に適用できる分類と役割を含めることができます。 これにより、製品が大幅に強化され、Microsoft はすべての作業を行います。

次のように、新しい定義済みの分類を要求します。

1. [ 重要な資産管理 ] ページで、[ 新しい分類の提案] を選択します。
2. 表示する分類を入力し、[ 要求の送信] を選択します。

カスタム分類を作成する

カスタム分類を使用すると、ロールの割り当てロジックと重要度レベルを微調整して、organizationの重要度ポリシーに合わせて調整できます。 たとえば、特定のネットワーク内の資産や、既定とは異なる重要度レベルを持つ必要がある資産の種類を分類します。

次のようにカスタム分類を作成します。

1. [重要な資産管理] ページで、[新しい分類の作成] を選択します。

2. [ 重要な資産分類の作成 ] ページで、次の情報を入力して分類基準を設定します。

   • 名前 - 新しい分類名。
   • 説明 - 新しい分類の説明。
   • クエリ ビルダー
     • クエリ ビルダーを使用して、"特定の名前付け規則を持つすべてのデバイスを重要としてマークする" などの新しい分類を定義します。
     • デバイス、ID、またはクラウド リソースごとに定義されている 1 つ以上のブール型フィルターを追加します。

   

3. 条件を設定したら、[ 次へ] を選択します。

4. 次のページで、影響を受ける資産をプレビューし、重要度レベルを割り当てます。

重要な資産レベルを設定する

次のようにレベルを設定します。

1. [ 重要な資産管理 ] ページで、重要な資産分類を選択します。
2. [ 概要 ] タブで、目的の重要度レベルを選択します。
3. [保存] を選択します。

注:

重要なレベルは、デバイス インベントリで手動で設定できます。 資産間でクリティカル レベルを広範に適用できる重要度ルールを作成することをお勧めします。

カスタム分類を編集する

カスタム分類を次のように編集します。

1. [ 重要な資産管理 ] ページで、変更する分類を参照します。 カスタム分類のみを編集または削除できます。
2. [ 編集]、[ 削除]、または [オフ] を選択します。

定義済みの分類に資産を追加する

1. [ 重要な資産管理 ] ページで、関連する資産分類を選択します。 [ 承認待ち] 列は、自動分類のしきい値を満たせず、ユーザーの承認が必要な資産を含む分類を見つけるのに役立ちます。

1. 現在重要と見なされている分類のすべての資産を表示するには、[資産] タブ を 選択します。
2. 分類に適合するがしきい値を超える資産を承認するには、[ 承認待ち] を参照します。
3. 一覧表示されている資産を確認します。 追加するアセットの横にある プラス ボタンを選択します。

注:

[承認待ち] は、確認する資産がある場合にのみ表示されます。

重要度レベルを変更し、すべての資産の分類をオフにすることができます。 カスタム の重要な資産を編集および削除することもできます。

定義済みの分類から承認済み資産を削除する

1. [ 重要な資産管理 ] ページで、関連する資産分類を選択します。
2. 現在重要と見なされている分類のすべての資産を表示するには、[資産] タブ を 選択します。
3. 削除するアセットの横にある [X ] を選択します。

重要度で並べ替える

1. [ デバイス インベントリ] で [デバイス] を選択 します。
2. 重要度レベルで並べ替えて、"非常に高い" レベルの重要度を持つビジネス クリティカルな資産を表示します。

重要な資産の推奨事項に優先順位を付ける

セキュリティに関する推奨事項の優先順位付けと重要な資産に焦点を当てる修復手順を支援するために、推奨事項に対して公開されている重要な資産の合計は、Microsoft Defender ポータルの [セキュリティに関する推奨事項] ページから確認できます。

公開されている重要な資産の合計を確認するには、[セキュリティに 関する推奨事項 ] ページに移動します。

次の手順

攻撃パスのシミュレートについて説明します。