Defender for Cloud を使用してインフラストラクチャ セキュリティを管理する

  • 10 分

あなたの会社は金融機関であるため、セキュリティの最高基準を満たす必要があります。 各顧客またはパートナーのトランザクションは、脅威から完全に保護する必要があります。また、潜在的な脅威にも効率的に対応する必要があります。 たとえば、仮想マシン (VM) が侵害された場合、迅速に行動し問題に対処する必要があります。

このユニットでは、Microsoft Defender for Cloud を使用してリソースを保護し、脅威に対応する方法について説明します。 Defender for Cloud は、インフラストラクチャのセキュリティ構成を可能な限りセキュリティで保護するのに役立ちます。

Defender for Cloud を使用して、以下のことが可能です。

  • アーキテクチャのセキュリティ態勢を理解します。
  • インフラストラクチャのリスクと脅威を特定し、対処します。
  • 従来の社内スキルや資本を使用して複雑なインフラストラクチャをセキュリティで保護します。
  • オンプレミスとクラウドのリソースで構成されるインフラストラクチャをセキュリティで保護する必要がある。

セキュリティ体制の理解

より優れたインフラストラクチャを構築して維持するためには、アーキテクチャのセキュリティ体制を理解する必要があります。 Defender for Cloud は、以下のような環境のさまざまなコンポーネントの詳細な分析を提供することで、アーキテクチャのセキュリティの理解を手助けします。

  • データのセキュリティ
  • ネットワークのセキュリティ
  • ID とアクセス
  • アプリケーション のセキュリティ

Defender for Cloud は、Azure Monitor ログを使用して VM からデータを収集し、セキュリティの脆弱性と脅威を監視します。 エージェントは、VM からさまざまなセキュリティ関連の構成とイベント ログを読み取り、そのデータを分析のために Log Analytics ワークスペースにコピーします。

Defender for Cloud は、検出した問題とリスクに対処する方法を提案します。 推奨事項を使用して、アーキテクチャのセキュリティとコンプライアンスを改善できます。

Screenshot of recommendation in Microsoft Defender for Cloud.

脅威からの保護

Defender for Cloud Just-In-Time (JIT) VM アクセスと適応型アプリケーション制御を使用して、疑わしいアクティビティをブロックし、リソースを保護できます。 これらの制御にアクセスするには、Defender for Cloud の左側のナビゲーションの [クラウド セキュリティ] セクションで [ワークロード保護] を選択します。

JIT VM アクセス

Just-In-Time (JIT) VM アクセス機能を使用して永続的な VM アクセスをブロックすることで、VM を保護できます。 仮想マシンには、構成した監査済みアクセスに基づいてしかアクセスできません。

JIT を有効にするには、[高度な保護][ワークロード保護] 画面で [Just-In-Time VM アクセス] を選択します。 [Just-In-Time VM アクセス] ページで、[未構成] リストの 1 つ以上の VM の横にあるチェックボックスを選択してから、[(数字) 個の VM の JIT の有効化] を選択して VM の JIT を構成します。

Defender for Cloud には、JIT がターゲットとする既定のポートの一覧が表示されます。また、独自のポートを構成することもできます。

Screenshot of JIT configuration.

アダプティブ アプリケーション制御

適応型アプリケーション制御を使用して、VM 上でどのアプリケーションの実行を許可するかを制御できます。 Defender for Cloud は、機械学習を使用して VM で実行されているプロセスを確認し、VM を保持する各リソース グループの例外ルールを作成し、推奨事項を提供します。

適応型制御を構成するには、[高度な保護][ワークロード保護] 画面で [適応型アプリケーション制御] を選択します。 [適応型アプリケーション制御] 画面には、VM を含むリソース グループの一覧が表示されます。 [推奨] タブには、Defender for Cloud が推奨する適応型アプリケーション制御用のリソース グループが一覧表示されます。

Screenshot of Adaptive application controls.

リソース グループを選択し、[アプリケーション制御ルールの構成] 画面を使用して、制御ルールを適用する必要がある VM とアプリケーションのターゲットを決定します。

脅威に対応する

Defender for Cloud は、重要度によって優先度付けされたすべてのセキュリティ アラートの一元的なビューを提供します。 Defender for Cloud の左側のナビゲーションで [セキュリティ アラート] を選択することで、セキュリティ アラートを表示できます。

Screenshot of security alerts.

Defender for Cloud は、関連するアラートを可能な限り 1 つのセキュリティ インシデントにまとめます。 インシデントを選択して、そのインシデントが保持する特定のセキュリティ アラートを確認します。

アラートを選択した後、[完全な詳細の表示] を選択することで、アラートをドリルダウンします。

Screenshot of incident details.

Defender for Cloud は、アクションを実行することで、より迅速に、自動化された方法で脅威に対応することを手助けします。 [次へ: アクションの実行] を選択してアラートに対するアクションを実行します。

Screenshot of alert details.

以下のいずれかのセクションを展開して、アラートに対するアクションを実行します。

  • [リソース コンテキストの調査] では、アラートの発生タイミング前後のリソース ログを調査します。
  • [脅威の軽減] では、脅威を最小化または修復するための提案を確認します。
  • [将来の攻撃の防止] では、セキュリティに関する推奨事項を実装します。
  • [自動対応のトリガー] では、該当のセキュリティ アラートへの自動対応としてロジック アプリをトリガーします。
  • [類似アラートの抑制] では、事前定義された条件を持つ抑制ルールを作成します。
  • [メール通知設定の構成] では、誰にどのような条件でアラートについての通知を行うかを選択します。

Screenshot of the Take action pane.

アラートの詳細では、アクションが不要な場合 (たとえば、誤検知がある場合) はアラートを無視する必要があります。 たとえば、既知の悪意のある IP アドレスをブロックするなどして、既知の攻撃に対処するために行動する必要と、どのアラートがさらなる調査を必要とするかを決定する必要があります。

Screenshot of alert status.

自分の知識をチェックする

1.

Defender for Cloud を使用して VM への永続的なアクセスを防ぐにはどうすればよいですか?

2.

どのようにすれば Defender for Cloud アラートへの対応を自動化できますか?