次の方法で共有

ガバナンス ルールを使用して推奨事項の修復を推進する

セキュリティ チームは組織のセキュリティ体制を改善する責任を負いますが、チーム メンバーがセキュリティに関する推奨事項を実装するために常に従っているわけではありません。 セキュリティ チームは、アカウンタビリティを促進し、修復プロセスに関するサービス レベル アグリーメント (SLA) を作成するのに役立つガバナンス ルールを設定できます。

ガバナンス ルールが役に立つ理由について詳しくは、フィールド ビデオ シリーズの Defender for Cloudこのエピソードをご覧ください。

ガバナンス ルール

特定のリソースの推奨事項に対処するために、所有者と期限を自動的に割り当てるルールを定義できます。 この機能により、リソース所有者は、推奨事項を修復するための明確な一連のタスクと期限が提供されます。

ガバナンス ルールのしくみについては、次のセクションを参照してください。

トラッキング

サブスクリプション、推奨事項、または所有者別に並べ替えることで、修復タスクの進行状況を追跡します。 フォローアップできるように、より注意が必要なタスクを簡単に見つけることができます。

Assignments

ガバナンス ルールに従うと、特定の推奨事項や重大度に応じた修復を必要とするリソースを特定できます。 このルールに従って所有者と期限を割り当てると、推奨事項が確実に処理されます。 多くのガバナンス ルールは同じ推奨事項に適用できるため、優先度が最も高いルールによって所有者と期限が割り当てられます。

期限

推奨事項の修復期限は、ルールによって推奨事項がトリガーされてから 7 日、14 日、30 日、または 90 日後の時間枠に基づきます。 たとえば、ルールが 3 月 1 日にリソースを識別し、修復期間が 14 日の場合、3 月 15 日が期限になります。 修復が必要なリソースが Microsoft セキュア スコアに影響しないように、猶予期間を適用できます。

所有者

リソース所有者を設定することもできます。これは、推奨事項を処理する適切なユーザーを見つけるのに役立ちます。

リソース タグを使用してリソースを所有者に関連付ける組織では、タグ キーを指定できます。 ガバナンス 規則は、タグからリソース所有者の名前を読み取ります。

所有者がリソース、関連付けられたリソース グループ、またはタグに基づく関連付けられたサブスクリプションで見つからない場合、所有者は未指定として表示されます。

Notifications

既定では、電子メール通知はリソース所有者に毎週送信されます。 電子メールには、期限内タスクと期限切れタスクの一覧が含まれます。

既定では、リソース所有者のマネージャーは、マネージャーの電子メールが組織の Microsoft Entra ID で見つかった場合、期限切れの推奨事項を示す電子メールを受け取ります。

競合

競合するルールは、スコープの順序で適用されます。 たとえば、Azure 管理グループ、アマゾン ウェブ サービス (AWS) アカウント、Google Cloud Platform (GCP) 組織の管理スコープに関するルールは、Azure サブスクリプション、AWS アカウント、GCP プロジェクトなどのスコープに対するルールの前に有効になります。

[前提条件]

  • Defender Cloud Security Posture Management (Defender CSPM) プランを有効にする必要があります。
  • Azure サブスクリプションの 共同作業者セキュリティ管理者、または 所有者のアクセス許可が必要です。
  • AWS アカウントと GCP プロジェクトの場合は、Defender for Cloud AWS または GCP コネクタに対する 共同作成者セキュリティ管理者、または 所有者 のアクセス許可が必要です。

ガバナンス 規則を定義する

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud>Environment の設定>Governance ルールに移動します。

  3. [ガバナンス ルールの作成] を選択します。

    ガバナンス ルールを追加するページを示すスクリーンショット。

  4. ルールの名前と、ルールを適用するスコープを指定します。 管理スコープ (Azure 管理グループ、AWS マスター アカウント、および GCP 組織) のルールは、1 つのスコープのルールの前に適用されます。

    ポータル ウィザードを使用して除外を作成することはできません。 除外を定義するには、API を使用します。

  5. 優先度レベルを設定します。 ルールは、最も高い (1) から最も低い (1000) までの優先順位で実行されます。

  6. ルールを識別するのに役立つ説明を指定します。

  7. [次へ] を選択します。

  8. ルールが推奨事項に与える影響を指定します。

    • 重大度別: ルールでは、所有者または期限のないサブスクリプション内の推奨事項に所有者と期限が割り当てられます。
    • 特定の推奨事項: ルールを適用する特定の組み込みまたはカスタムの推奨事項を選択します。

    ガバナンス ルールの条件を追加するページを示すスクリーンショット。

  9. ルールの対象となる推奨事項を修正する担当者を指定するには、所有者を設定します。

    • リソース タグ: リソースで、リソース所有者のリソース タグを入力します。
    • 電子メール アドレス: 所有者のメール アドレスを入力します。

  10. 修復の推奨事項が特定された時点から修復の期限までの修復期間を指定します。 Microsoft クラウド セキュリティ ベンチマークに従って推奨事項が発行され、リソースが期限切れになるまでセキュア スコアに影響を与えたくない場合は、[ 猶予期間の適用] を選択します。

  11. (省略可能)既定では、所有者とそのマネージャーは、開いているタスクと期限切れのタスクについて毎週通知されます。 これらの週次メールを受け取りたくない場合は、通知オプションをオフにします。

  12. を選択してを作成します。

ガバナンス ルールの定義に一致する既存の推奨事項がある場合は、次のいずれかを実行できます。

  • 所有者または期限がまだない推奨事項に所有者と期限を割り当てます。
  • 既存の推奨事項の所有者と期限を上書きします。

ルールを削除または無効にすると、既存のすべての割り当てと通知が残ります。

ルールの効果を確認する

お使いの環境でガバナンス ルールに与える影響を確認できます。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud>Environment の設定>Governance ルールに移動します。

  3. ガバナンス規則を確認します。 既定の一覧には、環境内で適用されるすべてのガバナンス 規則が表示されます。

  4. ルールを検索したり、ルールをフィルター処理したりできます。 ルールをフィルター処理するには、いくつかの方法があります。

    • 環境でフィルター処理して、Azure、AWS、GCP のルールを識別します。
    • ルール名、所有者、または推奨事項が発行されてから期限までの時間をフィルター処理します。
    • 猶予期間をフィルター処理して、セキュリティ スコアに影響しない Microsoft クラウド セキュリティ ベンチマークの推奨事項を見つけます。
    • ステータスで識別します。

    ルールを表示およびフィルター処理できるページを示すスクリーンショット。

ガバナンス レポートを確認する

ガバナンス レポートを使用して、期限内、期限切れ、未割り当てで完了したルールと所有者別の推奨事項を表示できます。 この機能は、ガバナンス ルールを持つ任意のサブスクリプションに使用できます。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud>環境設定>ガバナンスルール>ガバナンスレポートに移動します。

    [ガバナンス レポート] ボタンがある [ガバナンス ルール] ページを示すスクリーンショット。

  3. サブスクリプションを選択します。

    ガバナンス ブックのルールと所有者別のガバナンスの状態を示すスクリーンショット。

ガバナンス レポートから、次のカテゴリの推奨事項にドリルダウンできます。

  • Scope
  • Display name
  • Priority
  • 修復期間
  • 所有者の種類
  • 所有者の詳細
  • 猶予期間

関連コンテンツ