注
最も up-to最新の Azure セキュリティ ベンチマークは 、ここで入手できます。
エンドポイント セキュリティでは、エンドポイントの検出と応答の制御について説明します。 これには、Azure 環境のエンドポイントに対するエンドポイントの検出と応答 (EDR) とマルウェア対策サービスの使用が含まれます。
該当する組み込みの Azure Policy を確認するには、「Azure セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアチブ: エンドポイント セキュリティ」の詳細を参照してください。
ES-1: エンドポイントの検出と応答 (EDR) を使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| ES-1 | 8.1 | SI-2、SI-3、SC-3 |
サーバーとクライアントのエンドポイント検出と応答 (EDR) 機能を有効にし、SIEM およびセキュリティ運用プロセスと統合します。
Microsoft Defender for Endpoint は、高度な脅威を防止、検出、調査、対応するためのエンタープライズ エンドポイント セキュリティ プラットフォームの一部として EDR 機能を提供します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
ES-2: 一元管理された最新のマルウェア対策ソフトウェアを使用する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| ES-2 | 8.1 | SI-2、SI-3、SC-3 |
リアルタイムおよび定期的なスキャンが可能な一元的に管理されたエンドポイントマルウェア対策ソリューションを使用する
Azure Security Center では、仮想マシンに対して多数の一般的なマルウェア対策ソリューションの使用を自動的に識別し、エンドポイント保護の実行状態を報告し、推奨事項を作成できます。
Azure Cloud Services 用の Microsoft マルウェア対策は、Windows 仮想マシン (VM) の既定のマルウェア対策です。 Linux VM の場合は、サードパーティのマルウェア対策ソリューションを使用します。 また、Azure Defender for Storage を使用して、Azure Storage アカウントにアップロードされたマルウェアを検出することもできます。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):
ES-3: マルウェア対策ソフトウェアと署名が更新されていることを確認する
| Azure ID | CIS コントロール v7.1 ID | NIST SP 800-53 r4 ID |
|---|---|---|
| ES-3 | 8.2 | SI-2、SI-3 |
マルウェア対策署名が迅速かつ一貫して更新されるようにします。
Azure Security Center の推奨事項に従って、すべてのエンドポイントが最新の署名で最新であることを確認します。 Microsoft Antimalware では、既定で、最新の署名とエンジンの更新プログラムが自動的にインストールされます。 Linux の場合は、サードパーティのマルウェア対策ソリューションで署名が更新されていることを確認します。
責任: お客様
顧客のセキュリティ利害関係者 (詳細情報):