セキュリティに関する推奨事項を確認する

Microsoft Defender for Cloud では、リソースとワークロードは、Azure サブスクリプション、アマゾン ウェブ サービス (AWS) アカウント、および Google Cloud Platform (GCP) プロジェクトに適用される組み込みおよびカスタムのセキュリティ標準に対して評価されます。 これらの評価に基づいて、セキュリティに関する推奨事項は、セキュリティの問題を修復し、セキュリティ体制を改善するための実用的な手順を提供します。

Defender for Cloud は、環境内のリスクを評価する動的エンジンを積極的に使用しますが、悪用の可能性と組織への潜在的なビジネス効果を考慮します。 エンジンは、各リソースのリスク要因に基づいてセキュリティに関する推奨事項に優先順位を付けます。 環境のコンテキストによって、これらのリスク要因が決まります。 このコンテキストには、リソースの構成、ネットワーク接続、およびセキュリティ体制が含まれます。

[前提条件]

• 環境で Defender Cloud Security Posture Management (Defender CSPM) を有効にする 必要があります。

  注

  既定では、推奨事項は Defender for Cloud に含まれていますが、環境で Defender CSPM を有効にしない限り 、リスクの優先順位付け は表示されません。

推奨事項ページを確認する

推奨事項を確認し、解決する前にすべての詳細が正しいことを確認します。

1. Azure portal にサインインします。

2. Defender for Cloud>Recommendations に移動します。

3. 推奨事項を選択します。

4. 推奨事項ページで、次の詳細を確認します。

   • リスク レベル: インターネットへの公開、機密データ、横移動などの環境リソースコンテキストを考慮した、基になるセキュリティ問題の脆弱性とビジネス効果。
   • リスク要因: 推奨事項の影響を受けるリソースの環境要因。これは、基になるセキュリティ問題の脆弱性とビジネス効果に影響します。 リスク要因の例としては、インターネットへの露出、機密データ、横移動の可能性などがあります。
   • リソース: 影響を受けるリソースの名前。
   • 状態: 推奨事項の状態としては、未割り当て、時間通り、または期限切れがあります。
   • 説明: セキュリティの問題の簡単な説明。
   • 攻撃パス: 攻撃パスの数。
   • スコープ: 影響を受けるサブスクリプションまたはリソース。
   • 鮮度: 推奨事項の鮮度間隔。
   • 最終変更日: この推奨事項が最後に変更された日付。
   • 重大度: 推奨事項の重大度: 高、 中、 または低。 詳細については、この記事の後半で説明します。
   • 所有者: 推奨事項に割り当てられたユーザー。
   • 期限: 推奨事項を解決するために割り当てられた期限。
   • 戦術とテクニック: MITRE ATT&CK にマップされた戦術とテクニック。

推奨事項を調べる

推奨事項は複数の方法で操作できます。 オプションを使用できない場合は、推奨事項に関連しないことを意味します。

1. Azure portal にサインインします。

2. Defender for Cloud>Recommendations に移動します。

3. 推奨事項を選択します。

4. 推奨事項では、次のアクションを実行できます。

   • 影響を受けるリソースに関する詳細情報を Azure Resource Graph Explorer クエリで表示するには、[ クエリを開く] を選択します。
   • 基になる推奨事項 (該当する場合) の Azure Policy エントリを表示するには、[ ポリシー定義の表示] を選択します。
   • 推奨事項が適用されるすべてのリソースを表示するには、[ すべてのリソースの推奨事項の表示] を選択します。

5. アクションを起こす:

   • 修復: 影響を受けるリソースのセキュリティの問題を解決するために必要な手動の手順の説明。 修正オプションを使用した推奨事項については、推奨される修正プログラムをリソースに適用する前に[修復ロジックの表示]を選択できます。
   • 推奨事項の所有者と期限の設定: 推奨事項の ガバナンス ルール を有効にした場合は、所有者と期限を割り当てることができます。
   • 除外: 無効化ルールを使用して、リソースを推奨事項から除外したり、特定の結果を無効にしたりできます。
   • ワークフローの自動化: 推奨事項を使用してトリガーするロジック アプリを設定します。

   

6. [結果] では、関連する結果を重大度別に確認できます。

   

7. Graph では、攻撃パスを含め、リスクの優先順位付けに使用されるすべてのコンテキストを表示および調査できます。 攻撃パス内のノードを選択して、選択したノードの詳細を表示できます。

   

8. 詳細を表示するには、ノードを選択します。

   

9. インサイトを選択します。

10. 詳細を表示するには、ドロップダウン メニューから脆弱性を選択します。

    

11. (省略可能)関連する推奨事項ページを表示するには、[ 脆弱性ページを開く] を選択します。

12. 推奨事項を修復します。

タイトル別に推奨事項をグループ化する

Defender for Cloud の推奨事項ページを使用して、タイトル別に推奨事項をグループ化できます。 この機能は、特定のセキュリティの問題が原因で複数のリソースに影響する推奨事項を修復する場合に便利です。

1. Azure portal にサインインします。

2. Defender for Cloud>Recommendations に移動します。

3. [タイトルでグループ化] を選択します。

   

割り当てられた推奨事項を管理する

Defender for Cloud では、推奨事項のガバナンス 規則がサポートされています。 推奨事項の所有者または期限を割り当てることができます。 ガバナンス 規則を使用してアカウンタビリティを確保できます。このルールでは、推奨事項のサービス レベル アグリーメント (SLA) もサポートされます。

• 推奨事項は、期限が過ぎるまで オンタイム として表示されます。 その後、期限 切れになります。
• 推奨事項が 期限切れとして分類されていない場合、Microsoft セキュリティ スコアには影響しません。
• 期限切れの推奨事項がセキュリティ スコアに影響しないように、猶予期間を適用することもできます。

ガバナンス 規則を構成する方法の詳細について説明します。

割り当てられているすべての推奨事項を表示するには:

1. Azure portal にサインインします。

2. Defender for Cloud>Recommendations に移動します。

3. [>] を選択します。

4. ユーザー エントリを選択します。

5. を選択してを適用します。

6. 推奨事項の結果で、影響を受けるリソース、リスク要因、攻撃パス、期限、状態などの推奨事項を確認します。

7. 推奨事項を選択して、さらに確認します。

割り当てを変更するには、次の手順を実行します。

1. アクションを実行>所有者と期限を変更 に移動します。

2. [ 割り当ての編集] を選択して、推奨事項の所有者または期限を変更します。

3. 新しい修復日を選択した場合は、[理由] で、その日付までに修復を完了する必要がある理由 を指定します。   

4. 保存 を選択します。

   注

   予想される完了日を変更しても、推奨事項の期限は変更されませんが、セキュリティ パートナーは、指定した日付までにリソースを更新する予定であることを確認できます。

既定では、リソースの所有者は、割り当てられているすべての推奨事項を示す週単位の電子メールを受け取ります。

[ 電子メール通知の設定 ] オプションを使用して、次のことができます。

• 既定の週次メールを所有者に送信する設定を変更します。
• 開いているタスクまたは期限切れのタスクの一覧を毎週所有者に通知します。
• タスク リストを開いて所有者のダイレクト マネージャーに通知します。

Azure Resource Graph で推奨事項を確認する

Azure Resource Graph を使用して Kusto クエリ言語 (KQL) クエリを記述し、複数のサブスクリプションにわたって Defender for Cloud のセキュリティ体制データを照会できます。 Azure Resource Graph は、データの表示、フィルター処理、グループ化、並べ替えによって、クラウド環境全体で大規模にクエリを実行する効率的な方法を提供します。

1. Azure portal にサインインします。

2. Defender for Cloud>Recommendations に移動します。

3. 推奨事項を選択します。

4. [クエリを開く] を選択します。

5. クエリは、次の 2 つの方法のいずれかで開くことができます。

   • 影響を受けるリソースを返すクエリ: 推奨事項が影響を受けるすべてのリソースの一覧を返します。
   • セキュリティの結果を返すクエリ: 推奨事項で検出されたすべてのセキュリティの問題の一覧を返します。

6. [ クエリの実行] を選択します。

   

7. 結果を確認します。

推奨事項はどのように分類されますか?

Defender for Cloud のすべてのセキュリティに関する推奨事項には、3 つの重大度評価のいずれかが付与されます。

高い重大度

これらの推奨事項にすぐに対処することをお勧めします。 攻撃者が悪用してシステムやデータに不正アクセスする重大なセキュリティ脆弱性があることを示します。

重大度が高い推奨事項の例を次に示します。

• コンピューター上の保護されていないシークレット。
• 受信ネットワーク セキュリティ グループのルールが過度に緩く設定されています。
• 信頼されていないレジストリからのイメージのデプロイを許可するクラスター。
• ストレージ アカウントまたはデータベースへの無制限のパブリック アクセス。

重大度が中程度

これらの推奨事項は、潜在的なセキュリティ リスクを示しています。 これらの推奨事項にはタイムリーに対処することをお勧めしますが、すぐに注意する必要がない場合があります。

中程度の重大度の推奨事項の例を次に示します。

• 機密性の高いホスト名前空間を共有するコンテナー。
• マネージド ID を使用しない Web アプリ。
• 認証中に SSH キーを必要としない Linux マシン。
• 非アクティブ状態が 90 日後にシステムに残された未使用の資格情報。

重大度が低い

これらの推奨事項は、便宜上対処できる比較的軽微なセキュリティの問題を示しています。

重要度が低い推奨事項の例を次に示します。

• Microsoft Entra ID の代わりにローカル認証を使用する。
• エンドポイント保護ソリューションに関する健康上の問題。
• ユーザーがネットワーク セキュリティ グループのベスト プラクティスに従っていない。
• ログ設定が正しく構成されていないので、セキュリティ インシデントの検出と対応が困難になる可能性があります。

組織の内部ポリシーは、Microsoft による特定の推奨事項の分類とは異なる場合があります。 各推奨事項の対処方法を決定する前に、常に慎重に各推奨事項を確認し、セキュリティ体制に対する潜在的な影響を考慮することをお勧めします。

例

この例では、[ 推奨事項の詳細 ] ページに、影響を受ける 15 個のリソースが表示されます。

基になるクエリを開いて実行すると、Azure Resource Graph Explorer は、この推奨事項に対して同じ影響を受けるリソースを返します。

関連コンテンツ

• セキュリティに関する推奨事項を修復する