Microsoft セキュリティ露出管理は、ビジネスクリティカルな資産を安全かつ利用可能な状態に保ちます。 重要な資産は、SOC チームが、organizationのセキュリティ体制の改善への影響を最大化するための取り組みに優先順位を付けるのに役立ちます。 この記事では、Microsoft Security Research チームによって自動的に更新される、既定で提供される組み込みの重要な資産分類子について説明します。
重要な資産を確認して分類し、必要に応じてオンとオフを切り替えることができます。
新しい重要な資産分類を提案するには、[ フィードバック ] ボタンを使用します。
現在の資産の種類は次のとおりです。
注:
重要な資産のすぐに使用できる分類ロジックは、環境内に設定されたMicrosoft Defenderワークロードとサードパーティの統合から蓄積された資産の動作に基づいて資産を分類します。
1 つの資産に複数の分類規則が適用される場合、重要度レベルが最も高いルールが優先されます。 この分類は、資産がそのルールの基準を満たさなくなるまで有効なままであり、その時点で自動的に次に適用される分類レベルに戻ります。
デバイス
| 分類 | 資産の種類 | 既定の重要度レベル | 説明 |
|---|---|---|---|
| Microsoft Entra ID Connect | デバイス | 高 | Microsoft Entra ID Connect サーバーは、オンプレミスのディレクトリ データとパスワードを Microsoft Entra ID テナントに同期する役割を担います。 侵害によって ID 同期が中断され、認証の問題や潜在的なセキュリティ侵害が発生する可能性があります。 |
| Microsoft Entra ID Cloud Sync | デバイス | 高 | Microsoft Entra ID Cloud Sync エージェントは、軽量インフラストラクチャを使用してオンプレミスのディレクトリ データを Microsoft Entra ID テナントに同期する役割を担います。 侵害によって ID 同期が中断され、認証の問題や潜在的なセキュリティ侵害が発生する可能性があります。 |
| ADCS | デバイス | 高 | ADCS サーバーを使用すると、管理者は公開キー インフラストラクチャ (PKI) を完全に実装し、複数のネットワーク リソースをセキュリティで保護するためのデジタル証明書を発行できます。 侵害により、SSL 暗号化、ユーザー認証、セキュリティで保護された電子メールが損なわれ、重大なセキュリティの脆弱性が発生する可能性があります。 |
| ADFS | デバイス | 高 | ADFS サーバーは、組織の境界を越えてシステムとアプリケーションへのシングル サインオン アクセスをユーザーに提供します。 要求ベースのアクセス制御承認モデルを使用して、アプリケーションのセキュリティを維持し、フェデレーション ID を実装します。 侵害によって、不正アクセスやデータ侵害が発生する可能性があります。 |
| バックアップ | デバイス | 中 | バックアップ サーバーは、定期的なバックアップを通じてデータを保護し、データ保護とディザスター リカバリーの準備を確保する役割を担います。 侵害によってデータが失われ、ディザスター リカバリーの取り組みが妨げられ、ビジネス継続性に影響を与える可能性があります。 |
| ドメイン 管理 デバイス | デバイス | 高 | ドメイン管理者デバイスは、ドメイン管理者によって頻繁に使用され、関連するファイル、ドキュメント、資格情報を格納する可能性があります。 侵害によって、管理ツールや機密情報への不正アクセスが発生する可能性があります。 管理ツールの頻繁な使用など、複数の要因に基づいて検出されます。 |
| ドメイン コントローラー | デバイス | 凌雲 | ドメイン コントローラー サーバーは、Active Directory ドメイン内のネットワーク リソースのユーザー認証、承認、一元管理を担当します。 |
| DNS | デバイス | 低 | DNS サーバーは、ドメイン名を IP アドレスに解決し、ネットワーク通信を有効にし、内部的にも外部的にもリソースにアクセスするために不可欠です。 侵害によって、ネットワーク通信が中断され、リソースへのアクセスが中断される可能性があります。 |
| Exchange | デバイス | 中 | Exchange サーバーは、organization内のすべてのメール トラフィックを担当します。 セットアップとアーキテクチャによっては、各サーバーに機密性の高い組織情報を格納する複数のメール データベースが保持される場合があります。 侵害により、機密情報への不正アクセスやメール サービスの中断につながる可能性があります。 |
| IT 管理 デバイス | デバイス | 中 | organization内の資産を構成、管理、監視するために使用される重要なデバイスは、IT 管理に不可欠であり、サイバー脅威のリスクが高くなります。 不正アクセスを防ぐために、最上位レベルのセキュリティが必要です。 侵害によって、管理ツールや機密情報への不正アクセスが発生する可能性があります。 管理ツールの頻繁な使用など、複数の要因によって検出されます。 |
| デバイス管理セキュリティ操作 | デバイス | 高 | organization内のセキュリティを構成、管理、監視するために使用される重要なデバイスは、セキュリティ運用管理に不可欠であり、サイバー脅威のリスクが高くなります。 不正アクセスを防ぐためのトップレベルのセキュリティ対策が必要です。 侵害によって、セキュリティ ツールや機密情報への不正アクセスが発生する可能性があります。 管理ツールの頻繁な使用など、複数の要因によって検出されます。 |
| ネットワーク 管理 デバイス | デバイス | 中 | organization内のネットワーク資産を構成、管理、監視するために使用される重要なデバイスは、ネットワーク管理に不可欠であり、サイバー脅威のリスクが高くなります。 不正アクセスを防ぐために、最上位レベルのセキュリティが必要です。 侵害によって、ネットワーク ツールや機密情報への不正アクセスが発生する可能性があります。 管理ツールの頻繁な使用など、複数の要因によって検出されます。 |
| VMware ESXi | デバイス | 高 | VMware ESXi ハイパーバイザーは、インフラストラクチャ内で仮想マシンを実行および管理するために不可欠です。 ベアメタル ハイパーバイザーとして、仮想リソースを作成および管理するための基盤が提供されます。 侵害により、仮想マシンの運用と管理が中断される可能性があります。 |
| VMware vCenter | デバイス | 高 | VMware vCenter Server は、仮想環境を管理するために重要です。 仮想マシンと ESXi ホストの一元管理を提供します。 失敗すると、プロビジョニング、移行、仮想マシンの負荷分散、データ センターの自動化など、仮想インフラストラクチャの管理と制御が中断される可能性があります。 ただし、多くの場合、冗長な vCenter サーバーと高可用性構成があるため、すべての操作の即時停止が発生しない可能性があります。 その失敗により、大きな不便と潜在的なパフォーマンスの問題が引き続き発生する可能性があります。 |
| Hyper-V Server | デバイス | 高 | Hyper-V ハイパーバイザーは、インフラストラクチャ内で仮想マシンを実行および管理するために不可欠であり、作成と管理の中核となるプラットフォームとして機能します。 Hyper-V ホストが失敗すると、ホストされている仮想マシンが使用できなくなる可能性があり、ダウンタイムが発生し、ビジネス操作が中断される可能性があります。 さらに、パフォーマンスが大幅に低下し、運用上の課題が生じる可能性があります。 そのため、Hyper-V ホストの信頼性と安定性を確保することは、仮想環境でシームレスな操作を維持するために重要です。 |
| SharePoint Server | デバイス | 中 | SharePoint サーバーは、チーム間でのコンテンツ管理、コラボレーション、ドキュメント共有のセキュリティ保護を担当します。 organization内でイントラネット ポータルとエンタープライズ検索をホストします。 侵害により、機密情報への不正アクセスやコンテンツ サービスの中断につながる可能性があります。 |
ID
| 分類 | 資産の種類 | 既定の重要度レベル | Description |
|---|---|---|---|
| 特権ロールを持つ ID | ID | 高 | 次の ID (ユーザー、グループ、サービス プリンシパル、またはマネージド ID) には、重要なリソースを含む、サブスクリプション スコープで、組み込みまたはカスタム特権の Azure RBAC ロールが割り当てられています。 ロールには、Azure ロールの割り当てに対するアクセス許可、Azure ポリシーの変更、Run コマンドを使用した VM でのスクリプトの実行、ストレージ アカウントと keyvaults への読み取りアクセスなどが含まれます。 |
| アプリケーション管理者 | ID | 凌雲 | このロールの ID は、エンタープライズ アプリケーション、アプリケーション登録、アプリケーション プロキシ設定のすべての側面を作成および管理できます。 |
| アプリケーション開発者 | ID | 高 | このロールの ID は、[ユーザーがアプリケーションを登録できます] 設定とは無関係にアプリケーションの登録を作成できます。 |
| 認証管理者 | ID | 凌雲 | このロールの ID は、管理者以外のユーザーの認証方法 (パスワードを含む) を設定およびリセットできます。 |
| Backup Operators | ID | 凌雲 | このロールの ID は、それらのファイルを保護するアクセス許可に関係なく、コンピューター上のすべてのファイルをバックアップおよび復元できます。 バックアップオペレーターは、コンピューターにログオンしてシャットダウンしたり、ドメイン コントローラーに対してバックアップ操作と復元操作を実行したりすることもできます。 |
| サーバー演算子 | ID | 凌雲 | このロールの ID は、ドメイン コントローラーを管理できます。 サーバー オペレーター グループのメンバーは、対話形式でサーバーにサインインし、ネットワーク共有リソースの作成と削除、サービスの開始と停止、ファイルのバックアップと復元、コンピューターのハード ディスク ドライブのフォーマット、コンピューターのシャットダウンなどのアクションを実行できます。 |
| B2C IEF キーセット管理者 | ID | 高 | このロールの ID は、Identity Experience Framework (IEF) でフェデレーションと暗号化のシークレットを管理できます。 |
| クラウド アプリケーション管理者 | ID | 凌雲 | このロールの ID は、アプリプロキシを除くアプリ登録とエンタープライズ アプリのすべての側面を作成および管理できます。 |
| クラウド デバイス管理者 | ID | 高 | このロールの ID には、Microsoft Entra ID でデバイスを管理するためのアクセスが制限されています。 Microsoft Entra ID のデバイスを有効、無効、削除し、Azure portalで bitLocker キー (存在する場合) Windows 10読み取ることができます。 |
| 条件付きアクセス管理者 | ID | 高 | このロールの ID は、条件付きアクセス設定Microsoft Entra管理できます。 |
| ディレクトリ同期アカウント | ID | 凌雲 | このロールの ID には、すべてのディレクトリ同期設定を管理する機能があります。 Microsoft Entra Connect サービスでのみ使用する必要があります。 |
| ディレクトリ製作者 | ID | 高 | このロールの ID は、基本的なディレクトリ情報の読み取りと書き込みを行うことができます。 ユーザーを対象としていないアプリケーションへのアクセス権を付与する場合。 |
| ドメイン管理者 | ID | 凌雲 | このロールの ID は、ドメインを管理する権限を持ちます。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 |
| エンタープライズ管理者 | ID | 凌雲 | このロールの ID は、すべてのドメイン コントローラーを構成するための完全なアクセス権を持ちます。 このグループのメンバーは、すべての管理グループのメンバーシップを変更できます。 |
| グローバル管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra ID と、Microsoft Entra ID を使用する Microsoft サービスのすべての側面を管理できます。 |
| グローバル閲覧者 | ID | 高 | このロールの ID は、グローバル管理者が読み取ることができるすべての情報を読み取ることができますが、更新することはできません。 |
| ヘルプデスク管理者 | ID | 凌雲 | このロールの ID は、管理者以外とヘルプデスク管理者のパスワードをリセットできます。 |
| ハイブリッド ID 管理者 | ID | 凌雲 | このロールの ID は、Active Directory を管理して、クラウド プロビジョニング、Microsoft Entra Connect、パススルー認証 (PTA)、パスワード ハッシュ同期 (PHS)、シームレス シングル サインオン (シームレス SSO)、フェデレーション設定をMicrosoft Entraできます。 |
| Intune 管理者 | ID | 凌雲 | このロールの ID は、Intune 製品のすべての側面を管理できます。 |
| パートナー レベル 1 のサポート | ID | 凌雲 | このロールの ID は、管理者以外のユーザーのパスワードのリセット、アプリケーションの資格情報の更新、ユーザーの作成と削除、OAuth2 アクセス許可の作成を行うことができます。 このロールは非推奨となり、今後Microsoft Entra ID から削除される予定です。 使用しないでください。一般的な使用を目的としたものではありません。 |
| パートナー レベル 2 のサポート | ID | 凌雲 | このロールの ID は、すべてのユーザー (グローバル管理者を含む) のパスワードのリセット、アプリケーションの資格情報の更新、ユーザーの作成と削除、OAuth2 アクセス許可の作成を行うことができます。 このロールは非推奨となり、今後Microsoft Entra ID から削除される予定です。 使用しないでください。一般的な使用を目的としたものではありません。 |
| パスワード管理者 | ID | 凌雲 | このロールの ID は、管理者以外とパスワード管理者のパスワードをリセットできます。 |
| 特権認証管理者 | ID | 凌雲 | このロールの ID は、任意のユーザー (管理者または非管理者) の認証方法情報を表示、設定、リセットできます。 |
| 特権ロール管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra ID のロールの割り当てと、Privileged Identity Managementのすべての側面を管理できます。 |
| ユーザー管理セキュリティ操作 | ID | 高 | このロールの ID は、organization内の脅威を構成、管理、監視、および対応できます。 注: このルール ロジックは、定義済みの重要なデバイス分類 "Security Operations 管理 Device" に依存します。 |
| セキュリティ管理者 | ID | 高 | このロールの ID は、セキュリティ情報とレポートを読み取り、Microsoft Entra ID とOffice 365で構成を管理できます。 |
| セキュリティ オペレーター | ID | 高 | このロールの ID は、セキュリティ イベントを作成および管理できます。 |
| セキュリティ閲覧者 | ID | 高 | このロールの ID は、Microsoft Entra ID とOffice 365でセキュリティ情報とレポートを読み取ることができます。 |
| ユーザー管理者 | ID | 凌雲 | このロールの ID は、制限付き管理者のパスワードのリセットなど、ユーザーとグループのすべての側面を管理できます。 |
| Exchange 管理者 | ID | 高 | このロールの ID は、Exchange 製品のすべての側面を管理できます。 |
| SharePoint 管理者 | ID | 高 | このロールの ID は、SharePoint サービスのすべての側面を管理できます。 |
| コンプライアンス管理者 | ID | 高 | このロールの ID は、Microsoft Entra ID と Microsoft 365 のコンプライアンス構成とレポートを読み取り、管理できます。 |
| グループ管理者 | ID | 高 | このロールの ID は、名前付けポリシーや有効期限ポリシーなどのグループとグループ設定を作成/管理し、グループ アクティビティと監査レポートを表示できます。 |
| 外部 ID プロバイダー管理者 | ID | 凌雲 | このロールの ID は、直接フェデレーションで使用する ID プロバイダーを構成できます。 つまり、ユーザーには、organizationの ID システムと外部 ID プロバイダー間の接続を設定および管理する権限があります。 このロールが侵害されると、承認されていない構成の変更が発生し、フェデレーション ID とアクセス管理に影響を与える可能性があります。 これにより、機密性の高いシステムやデータへの不正アクセスが発生し、organizationのセキュリティと運用に重大なリスクが生じる可能性があります。 |
| ドメイン名管理者 | ID | 凌雲 | このロールの ID は、クラウド環境とオンプレミス環境の両方でドメイン名を管理できます。 ドメイン名は、ネットワーク通信とリソース アクセスに不可欠です。 このロールが侵害されると、未承認のドメイン名の変更が発生し、ネットワーク通信の中断、トラフィックの誤った方向付け、フィッシング攻撃の可能性が生じる可能性があります。 これは、organizationが効果的に動作して通信する能力に重大な影響を与える可能性があります。 |
| Permissions Management管理者 | ID | 凌雲 | このロールの ID は、Microsoft Entra Permissions Management (EPM) のすべての側面を管理できます。 これには、organization内のユーザーとリソースのアクセス許可の設定と変更が含まれます。 このロールが侵害されると、アクセス許可の管理が不正に変更され、アクセス制御とセキュリティ ポリシーに影響を与える可能性があります。 これにより、機密データやシステムへの不正アクセスが発生し、organizationのセキュリティと運用の整合性に重大なリスクが生じる可能性があります。 |
| 課金管理者 | ID | 高 | このロールの ID は、支払い情報の更新などの一般的な課金関連タスクを実行できます。 |
| ライセンス管理者 | ID | 高 | このロールの ID は、ユーザーとグループの製品ライセンスを管理できます。 |
| Teams 管理者 | ID | 高 | このロールの ID は、Microsoft Teams サービスを管理できます。 |
| ユーザー フロー管理者の外部 ID | ID | 高 | このロールの ID は、ユーザー フローのすべての側面を作成および管理できます。 |
| ユーザー フロー属性管理者の外部 ID | ID | 高 | このロールの ID は、すべてのユーザー フローで使用できる属性スキーマを作成および管理できます。 |
| B2C IEF ポリシー管理者 | ID | 高 | このロールの ID は、Identity Experience Framework (IEF) で信頼フレームワーク ポリシーを作成および管理できます。 |
| コンプライアンス データ管理者 | ID | 高 | このロールの ID は、コンプライアンス コンテンツを作成および管理できます。 |
| 認証ポリシー管理者 | ID | 高 | このロールの ID は、認証方法ポリシー、テナント全体の MFA 設定、パスワード保護ポリシー、検証可能な資格情報を作成および管理できます。 |
| ナレッジ管理者 | ID | 高 | このロールの ID は、ナレッジ、学習、およびその他のインテリジェントな機能を構成できます。 |
| ナレッジ マネージャー | ID | 高 | このロールの ID は、トピックと知識を整理、作成、管理、および促進できます。 |
| 属性定義管理者 | ID | 高 | このロールの ID は、カスタム セキュリティ属性の定義を定義および管理できます。 |
| 属性割り当て管理者 | ID | 高 | このロールの ID は、サポートされているMicrosoft Entra オブジェクトにカスタム セキュリティ属性キーと値を割り当てることができます。 |
| ID ガバナンス管理者 | ID | 高 | このロールの ID は、ID ガバナンス シナリオのMicrosoft Entra ID を使用してアクセスを管理できます。 |
| Cloud App Security管理者 | ID | 高 | このロールの ID は、Defender for Cloud Apps製品のすべての側面を管理できます。 |
| Windows 365 管理者 | ID | 高 | このロールの ID は、クラウド PC のすべての側面をプロビジョニングおよび管理できます。 |
| Yammer 管理者 | ID | 高 | このロールの ID は、Yammer サービスのすべての側面を管理できます。 |
| 認証機能拡張管理者 | ID | 高 | このロールの ID は、カスタム認証拡張機能を作成して管理することで、ユーザーのサインインとサインアップ エクスペリエンスをカスタマイズできます。 |
| ライフサイクル ワークフロー管理者 | ID | 高 | このロールの ID は、ライフサイクル ワークフローに関連付けられているワークフローとタスクのすべての側面を Microsoft Entra ID で作成および管理します。 |
| シニア エグゼクティブ (テクノロジ) | ID | 凌雲 | この分類の ID は、テクノロジの分野の上級幹部に属します。 |
| シニア エグゼクティブ (財務) | ID | 凌雲 | この分類の ID は、Finance の分野の上級幹部に属します。 |
| シニア エグゼクティブ (オペレーション) | ID | 凌雲 | この分類の ID は、Operations の分野の上級幹部に属します。 |
| シニア エグゼクティブ (マーケティング) | ID | 凌雲 | この分類の ID は、マーケティングの分野の上級幹部に属します。 |
| シニアエグゼクティブ(情報) | ID | 凌雲 | この分類の ID は、情報の分野の上級幹部に属します。 |
| 上級エグゼクティブ (執行) | ID | 凌雲 | この分類の ID は、実行の分野の上級幹部に属します。 |
| シニアエグゼクティブ(人事) | ID | 凌雲 | この分類の ID は、人事分野の上級幹部に属します。 |
クラウド リソース
| 分類 | 資産の種類 | 既定の重要度レベル | Description |
|---|---|---|---|
| 機密データを含むデータベース | クラウド リソース | 高 | これは、機密データを含むデータ ストアです。 データの機密性は、シークレット、機密ドキュメント、個人を特定できる情報など、さまざまな場合があります。 |
| Confidential Azure Virtual Machine | クラウド リソース | 高 | この規則は、Azure 機密仮想マシンに適用されます。 機密 VM では、分離、プライバシー、暗号化が強化され、重要または機密性の高いデータとワークロードに使用されます。 |
| ロックされた Azure 仮想マシン | クラウド リソース | 中 | これは、ロックによって保護される仮想マシンです。 ロックは、削除や変更から資産を保護するために使用されます。 通常、管理者はロックを使用して環境内の重要なクラウド資産を保護し、誤った削除や未承認の変更から保護します。 |
| 高可用性とパフォーマンスを備えた Azure 仮想マシン | クラウド リソース | 低 | この規則は、Premium Azure ストレージを使用し、可用性セットで構成されている Azure 仮想マシンに適用されます。 Premium Storage は、運用ワークロードなどの高パフォーマンス要件を持つマシンに使用されます。 可用性セットは回復性を向上させ、高可用性を必要とするビジネス クリティカルな VM に対して多くの場合に示されます。 |
| 不変 Azure Storage | クラウド リソース | 中 | この規則は、不変性のサポートが有効になっている Azure ストレージ アカウントに適用されます。 不変性は、多くの (WORM) 状態を読み取ると書き込みでビジネス データを格納し、通常、ストレージ アカウントが変更から保護する必要がある重要なデータまたは機密データを保持していることを示します。 |
| 不変およびロックされた Azure Storage | クラウド リソース | 高 | この規則は、ロックされたポリシーで不変性のサポートが有効になっている Azure ストレージ アカウントに適用されます。 不変性は、一度読み取られた多くの (WORM) 書き込みでビジネス データを格納します。 ロックされたポリシーを使用してデータ保護が強化され、データを削除できないようにするか、保持時間を短縮できます。 通常、これらの設定は、変更または削除から保護する必要がある重要なデータまたは機密データがストレージ アカウントに保持されていることを示します。 また、データ保護のコンプライアンス ポリシーにデータを合わせる必要がある場合もあります。 |
| 重要なユーザーがサインインしている Azure 仮想マシン | クラウド リソース | 高 | この規則は、Defender for Endpoint によって保護された仮想マシンに適用されます。ここで、重要度レベルが高いユーザーまたは非常に高い重要度のユーザーがサインインします。 サインインしているユーザーは、参加済みまたは登録済みのデバイス、アクティブなブラウザー セッション、またはその他の方法を使用できます。 |
| 多くの接続 ID を持つ Azure Key Vault | クラウド リソース | 高 | このルールは、他の Key Vault と比較して、多数の ID からアクセスできる Azure Key Vault を識別します。 これは、多くの場合、運用サービスなどの重要なワークロードによってKey Vaultが使用されることを示します。 |
| 操作の数が多い Azure Key Vault | クラウド リソース | 高 | このルールは、操作ボリュームが多い Azure Key Vault を識別し、それらを重要とマークします。 これらのメトリックは、セキュリティと運用の安定性に不可欠な Key Vault を強調しています。 |
| ロックされたクラスター Azure Kubernetes Service | クラウド リソース | 低 | これは、ロックによって保護されるAzure Kubernetes Service クラスターです。 ロックは、削除や変更から資産を保護するために使用されます。 通常、管理者はロックを使用して環境内の重要なクラウド資産を保護し、誤った削除や未承認の変更から保護します。 |
| Premium レベル Azure Kubernetes Service クラスター | クラウド リソース | 高 | この規則は、Premium レベルのクラスター管理を使用Azure Kubernetes Serviceクラスターに適用されます。 Premium レベルは、高可用性と信頼性を必要とする運用環境またはミッション クリティカルなワークロードを実行する場合に推奨されます。 |
| 複数のノードを持つクラスターのAzure Kubernetes Service | クラウド リソース | 高 | この規則は、多数のノードを持つAzure Kubernetes Serviceクラスターに適用されます。 これは、多くの場合、クラスターが運用ワークロードなどの重要なワークロードに使用されることを示します。 |
| 複数のノードを持つ Azure Arc Kubernetes クラスター | クラウド リソース | 高 | このルールは、ノード数が多い Azure Arc Kubernetes クラスターに適用されます。 これは、多くの場合、クラスターが運用ワークロードなどの重要なワークロードに使用されることを示します。 |