インフラストラクチャ統合
インフラストラクチャは、組織の IT サービスをサポートするために必要なハードウェア、ソフトウェア、マイクロサービス、ネットワーク インフラストラクチャ、設備から構成されます。 ゼロ トラスト インフラストラクチャ ソリューションでは、これらのサービスに対するセキュリティ上の脅威を評価、監視、防止します。
ゼロ トラスト インフラストラクチャ ソリューションでは、ゼロ トラストの原則に対応するために、インフラストラクチャ リソースへのアクセスが明示的に検証されていること、最低特権アクセスの原則を使用してアクセスが許可されていること、および違反を想定してインフラストラクチャのセキュリティ上の脅威を検出および修復するメカニズムがあることが確認されます。
このガイダンスは、Microsoft 製品との統合によりインフラストラクチャ セキュリティ ソリューションの強化を図るソフトウェア プロバイダーとテクノロジ パートナーを対象にしています。
インフラストラクチャ向けゼロ トラスト統合ガイド
この統合ガイドには、Microsoft Defender for Cloud とその統合クラウド ワークロード保護プラン、 Microsoft Defender for ... (サーバー、コンテナー、データベース、Storage、App Servicesなど)との統合のための戦略と手順が記載されています。
このガイダンスでは、最も一般的なセキュリティ情報およびイベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、エンドポイントでの検出と対応 (EDR)、IT Service Management (ITSM) ソリューションとの統合について説明します。
ゼロ トラストと Defender for Cloud
ゼロ トラスト インフラストラクチャ デプロイ ガイダンスに関する記事では、インフラストラクチャのゼロ トラスト戦略の主な段階が示されています。 次のとおりです。
- 選択した標準とポリシーへのコンプライアンス対応を評価する
- ギャップが見つかった場合に常に構成を強化する
- Just-In-Time (JIT) VM アクセス機能などの他の強化ツールを採用する
- 脅威の検出と保護を設定する
- 危険な動作を自動的にブロックしてフラグを設定し、保護措置を講じる
インフラストラクチャ デプロイ ガイダンスで説明した目標と、Defender for Cloud の主要な側面が明確に対応付けられています。
| ゼロ トラストの目標 | Defender for Cloud の機能 |
|---|---|
| コンプライアンスの評価 | Defender for Cloud では、すべてのサブスクリプションに自動的に Microsoft Cloud セキュリティ ベンチマーク (MCSB) と デフォルトのセキュリティ イニシアティブが割り当てられています。 セキュリティ スコア ツールと規制コンプライアンス ダッシュボードを使うと、顧客のセキュリティ体制を詳しく理解できます。 |
| 構成の強化 | セキュリティ イニシアティブをサブスクリプションに割り当て、セキュア スコアをレビューすることで、Defender for Cloud に組み込まれている強化推奨事項へリードします。 Defender for Cloud では、潜在的なセキュリティ構成の誤りや弱点を識別するために、リソースのコンプライアンス状態を定期的に分析します。 その後、これらの問題を修正する方法に関する推奨事項が提供されます。 |
| 強化メカニズムの採用 | セキュリティの構成の誤りに対する 1 回限りの修正に加えて、Defender for Cloud には、次のようなリソースをさらに強化する機能が含まれています: Just-in-time (JIT) 仮想マシン (VM) アクセス アダプティブ ネットワークのセキュリティ強化機能 アダプティブ アプリケーション制御: |
| 脅威検出の設定 | Defender for Cloud には、脅威の検出と対応のための統合クラウド ワークロード保護プランが用意されています。 Azure とハイブリッドとマルチクラウド リソースおよびワークロードの高度でインテリジェントな保護が実現するプランです。 Microsoft Defender プランの 1 つである Defender for servers には、Microsoft Defender for Endpoint とのネイティブ統合機能が備わっています。 詳細については、「Microsoft Defender for Cloud の概要」を参照してください。 |
| 疑わしい動作を自動的に阻止する | Defender for Cloud の強化に関する推奨事項の多くには、"拒否" オプションが用意されています。 この機能を使用すると、定義されている強化条件を満たしていないリソースの作成を阻止できます。 詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。 |
| 疑わしい動作に自動的にフラグを設定する | Microsoft Defender for Cloud のセキュリティ アラートは、高度な検出によってトリガーされます。 Defender for Cloud では、アラートに優先順位を付け、問題の迅速な調査に必要な情報と共に一覧表示します。 Defender for Cloud では、攻撃を修復するための詳細な手順も提供されます。 利用可能なすべてのアラートの一覧については、「セキュリティ アラート - リファレンス ガイド」を参照してください。 |
Defender for Cloud を使って Azure PaaS サービスを保護する
サブスクリプションで Defender for Cloud を有効にし、使用可能なすべてのリソースの種類に対して Defender ワークロード保護プランを有効にすると、Microsoft 脅威インテリジェンス によるインテリジェントな脅威に対する保護のレイヤが強化され、Azure Key Vault、Azure Storage、Azure DNS、およびその他の Azure PaaS サービスでリソースが保護されます。 完全なリストについては、サポート マトリックスに記載されている PaaS サービスを参照してください。
Azure Logic Apps
クラウド サービスとオンプレミス システムの間でアプリとデータを統合するために、Azure Logic Apps を使用して、自動化されたスケーラブルなワークフロー、ビジネス プロセス、エンタープライズ オーケストレーションを構築します。
Defender for Cloud のワークフローの自動化機能により、Defender for Cloud トリガーに対する応答を自動化できます。
これは、脅威が検出された場合の応答を、自動化された一貫性のある方法で定義し、実際に応答できる優れた方法です。 たとえば脅威が検出されたときに、直接の利害関係者に通知し、変更管理プロセスを開始し、特定の修復手順を適用します。
Defender for Cloud と SIEM、SOAR、ITSM ソリューションを統合する
Microsoft Defender for Cloud では、セキュリティ アラートを最も一般的なセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、および IT サービス管理 (ITSM) ソリューションにストリーミングできます。
現在使用されている最も一般的なソリューション (以下が含まれます) のすべてでアラート データを表示できるようにする Azure ネイティブ ツールがあります。
- Microsoft Sentinel
- Splunk Enterprise and Splunk Cloud
- IBM の QRadar
- ServiceNow
- ArcSight
- Power BI
- Palo Alto Networks
Microsoft Sentinel
Defender for Cloud は、Microsoft のクラウドネイティブ型のセキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション自動応答 (SOAR) ソリューションである Microsoft Sentinel とネイティブで統合します。
Defender for Cloud データを確実に Microsoft Sentinel に表示するには、2 つのアプローチがあります。
Sentinel コネクタ - Microsoft Sentinel には、サブスクリプションレベルとテナント レベルで Microsoft Defender for Cloud 用の組み込みコネクタが含まれています。
ヒント
詳細については、Microsoft Defender for Cloud からセキュリティ アラートへの接続に関する記事を参照してください。
監査ログをストリームする - Microsoft Sentinel で Defender for Cloud アラートを調査するには、Microsoft Sentinel に監査ログをストリームするという方法もあります。
Microsoft Graph Security API を使用してアラートをストリーミングする
Defender for Cloud は、Microsoft Graph Security API とすぐに統合できます。 構成は不要であり、追加のコストは発生しません。
この API を使用して、テナント全体 (およびその他の多くの Microsoft セキュリティ製品のデータ) から、サードパーティ製の SIEM と その他の一般的なプラットフォームにアラートをストリーミングできます。
- Splunk Enterprise と Splunk Cloud - Splunk 用の Microsoft Graph Security API アドオンを使用します
- Power BI - Power BI Desktop で Microsoft Graph Security API に接続します
- ServiceNow - ServiceNow Store から Microsoft Graph Security API アプリケーションをインストールして構成する手順に従います
- QRadar - Microsoft Graph API 経由の Microsoft Defender 用の IBM のデバイス サポート モジュール
- Palo Alto Networks、Anomali、Lookout、InSpark など - Microsoft Graph Security API
Microsoft Graph Security API の詳細。
Azure Monitor を使用してアラートをストリーミングする
Defender for Cloud の連続エクスポート機能を使って、Azure Event Hubs を介して Defender for Cloud を Azure Monitor に接続し、アラートを ArcSight、SumoLogic、Syslog サーバー、LogRhythm、Logz.io Cloud Observability Platform、その他の監視ソリューションにストリーミングします。
詳細については「Azure Monitor を使用してアラートをストリーミングする.」を参照してください。
Azure Policy を使用して管理グループ レベルでこれを行うこともできます。「連続エクスポートの自動化の構成を大規模に作成する」を参照してください。
ヒント
エクスポートされたデータ型のイベント スキーマを表示するには、イベント ハブのイベント スキーマにアクセスします。
Defender for Cloud とエンドポイントでの検出と対応 (EDR) ソリューションを統合する
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。
Microsoft Defender for servers には、Microsoft Defender for Endpoint の統合ライセンスが含まれます。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。 詳細については、エンドポイントの保護に関する記事をご覧ください。
Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 インサイダー リスク管理アラートは、Defender for Cloud で表示され、Defender for Endpoint 本体にピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。 Microsoft Defender for Endpoint の詳細をご確認ください。
その他の EDR ソリューション
Defender for Cloud を使うと、Microsoft Cloud セキュリティ ベンチマークのガイダンスに従って組織のリソースを保護できるようにする強化の推奨事項を確認できます。 ベンチマークのコントロールの 1 つは、エンドポイントのセキュリティに関連しています (「ES-1:エンドポイントでの検出と対応 (EDR) を使用する」)。
Defender for Cloud には、エンドポイント保護が有効になっていて適切に実行されていることを保証するための 2 つの推奨事項があります。 これらの推奨事項では、以下の製品からの EFR ソリューションの存在と運用状態が確認されます。
- Trend Micro
- Symantec
- McAfee
- Sophos
詳細については、「Microsoft Defender for Cloud での Endpoint Protection に関する評価と推奨事項」を参照してください。
ハイブリッドおよびマルチクラウド シナリオにゼロ トラスト戦略を適用する
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。
Microsoft Defender for Cloud は、実行場所 (Azure、オンプレミス、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)) を問わず、実行されているワークロードを保護します。
Defender for Cloud をオンプレミスのマシンと統合する
ハイブリッド クラウド ワークロードを保護するには、オンプレミス マシンを Azure Arc 対応サーバーに接続することで、Defender for Cloud の保護を拡張できます。
マシンの接続方法については、「Azure 以外のマシンを Azure Defender for Cloud に接続する」を参照してください。
Defender for Cloud を他のクラウド環境と統合する
Defender for Cloud でアマゾン ウェブ サービス マシンのセキュリティ体制を確認するには、AWS アカウントを Defender for Cloud にオンボードします。 こうすることで、AWS Security Hub と Microsoft Defender for Cloud を統合し、Defender for Cloud の推奨事項と AWS Security Hub の調査結果を統合されたビューで確認できます。また、「AWS アカウントを Microsoft Defender for Cloud に接続する」で説明されているようなさまざまなベネフィットがあります。
Defender for Cloud で Google Cloud Platform マシンのセキュリティ体制を確認するには、GCP アカウントを Defender for Cloud にオンボードします。 こうすることで、GCP Security Command と Microsoft Defender for Cloud を統合し、Defender for Cloud の推奨事項と GCP Security Command Center の調査結果を統合されたビューで確認できます。また、「GCP アカウントを Microsoft Defender for Cloud に接続する」で説明されているようなさまざまなベネフィットがあります。
次のステップ
Microsoft Defender for Cloud の詳細については、完全版の Defender for Cloud ドキュメントを参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示