Microsoft Defender for Cloud では、リソースとワークロードは、Azure サブスクリプション、アマゾン ウェブ サービス (AWS) アカウント、および Google Cloud Platform (GCP) プロジェクトで有効になっている組み込みのカスタム セキュリティ標準に対して評価されます。 これらの評価に基づいて、セキュリティに関する推奨事項は、セキュリティの問題を修復し、セキュリティ体制を改善するための実用的な手順を提供します。
Defender for Cloud では、悪用の可能性と組織への潜在的なビジネスへの影響を考慮しながら、環境内のリスクを評価する動的エンジンを積極的に使用します。 エンジンは、各リソースのリスク要因に基づいてセキュリティに関する推奨事項に優先順位を付けます。 環境のコンテキストによって、これらのリスク要因が決まります。 このコンテキストには、リソースの構成、ネットワーク接続、およびセキュリティ体制が含まれます。
[前提条件]
注
推奨事項は既定で Defender for Cloud に含まれていますが、環境で Defender CSPM が有効になっていないと 、リスクの優先順位付け は表示されません。
推奨事項ページを確認する
推奨事項を解決するために必要なプロセスを理解する前に、推奨事項に関連するすべての詳細を確認してください。 推奨事項を解決する前に、すべての推奨事項の詳細が正しいことを確認します。
推奨事項の詳細を確認するには:
Azure portal にサインインします。
Defender for Cloud>Recommendations に移動します。
推奨事項を選択します。
推奨事項ページで、次の詳細を確認します。
- リスク レベル - インターネットへの公開、機密データ、横移動などの環境リソースコンテキストを考慮した、基になるセキュリティ問題の脆弱性とビジネス効果。
- リスク要因 - 推奨事項の影響を受けるリソースの環境要因。これは、基になるセキュリティ問題の脆弱性とビジネス効果に影響します。 リスク要因の例としては、インターネットへの露出、機密データ、横移動の可能性などがあります。
- リソース - 影響を受けるリソースの名前。
- 状態 - 未割り当て、期限内、期限切れなど、推奨事項の状態。
- 説明 - セキュリティの問題の簡単な説明。
- 攻撃パス - 攻撃パスの数。
- スコープ - 影響を受けるサブスクリプションまたはリソース。
- Freshness - 推奨事項の鮮度間隔。
- 最終変更日 - この推奨事項が最後に変更された日付。
- 重大度 - 推奨事項の重大度 (高、中、低)。 詳細については、以下を参照してください。
- 所有者 - 推奨事項に割り当てられたユーザー。
- 期限 - 推奨事項を解決するために割り当てられた期限。
- 戦術とテクニック - MITRE ATT&CK にマップされた戦術とテクニック。
推奨事項を調べる
さまざまなアクションを実行して推奨事項を操作できます。 オプションを使用できない場合、推奨事項には関係ありません。
推奨事項を調べるには:
Azure portal にサインインします。
Defender for Cloud>Recommendations に移動します。
推奨事項を選択します。
推奨事項では、次のアクションを実行できます。
[ クエリを開く ] を選択すると、影響を受けるリソースに関する詳細情報が Azure Resource Graph Explorer クエリで表示されます。
関連する場合は、基になる推奨事項の Azure Policy エントリを表示するには、[ ポリシー定義の表示 ] を選択します。
[ すべてのリソースの推奨事項の表示 ] を選択して、推奨事項の影響を受けるすべてのリソースを表示します。
アクションを起こす:
修復: 影響を受けるリソースのセキュリティの問題を解決するために必要な手動の手順の説明。 修正オプションを使用した推奨事項については、推奨される修正プログラムをリソースに適用する前に[修復ロジックの表示]を選択できます。
推奨事項の所有者と期限の設定: 推奨事項に対して ガバナンス ルール が有効になっている場合は、所有者と期限を割り当てることができます。
除外: 無効化ルールを使用して、推奨事項からリソースを除外したり、特定の結果を無効にしたりできます。
ワークフローの自動化: 推奨事項を使用してトリガーするロジック アプリを設定します。
![[アクションの実行] タブを選択したときに推奨事項に表示される内容を示すスクリーンショット。](media/review-security-recommendations/recommendation-take-action.png)
[結果] では、関連する結果を重大度別に確認できます。
![推奨事項のすべての攻撃パスを示す推奨事項の [結果] タブのスクリーンショット。](media/review-security-recommendations/recommendation-findings.png)
Graph では、攻撃パスを含め、リスクの優先順位付けに使用されるすべてのコンテキストを表示および調査できます。 攻撃パス内のノードを選択して、選択したノードの詳細を表示できます。
ノードを選択して詳細を表示します。
インサイトを選択します。
脆弱性ドロップダウン メニューで、脆弱性を選択して詳細を表示します。
![特定のノードの [分析情報] タブのスクリーンショット。](media/review-security-recommendations/insights.png)
(省略可能)[ 脆弱性ページを開く ] を選択して、関連する推奨事項ページを表示します。
![[アクションの実行] タブを選択したときに推奨事項に表示される内容を示すスクリーンショット。](media/review-security-recommendations/recommendation-take-action.png#lightbox)
![推奨事項のすべての攻撃パスを示す推奨事項の [結果] タブのスクリーンショット。](media/review-security-recommendations/recommendation-findings.png#lightbox)
![特定のノードの [分析情報] タブのスクリーンショット。](media/review-security-recommendations/insights.png#lightbox)
タイトル別に推奨事項をグループ化する
Defender for Cloud の推奨事項ページでは、タイトルごとに推奨事項をグループ化できます。 この機能は、特定のセキュリティの問題が原因で複数のリソースに影響する推奨事項を修復する場合に便利です。
タイトル別に推奨事項をグループ化するには:
Azure portal にサインインします。
Defender for Cloud>Recommendations に移動します。
[タイトルでグループ化] を選択します。
割り当てられた推奨事項を管理する
Defender for Cloud では、推奨事項の所有者またはアクションの期限を割り当てるために、推奨事項のガバナンス ルールがサポートされています。 ガバナンス ルールは、アカウンタビリティと推奨事項の SLA を確保するのに役立ちます。
- 推奨事項は、期限が過ぎるまで期限内として表示され、期限が過ぎると期限切れに変更されます。
- 推奨事項が期限切れになるまでは、セキュリティ スコアには影響しません。
- また、期限切れの推奨事項がセキュリティ スコアに影響しない猶予期間を適用することもできます。
ガバナンス 規則の構成の詳細について説明します。
割り当てられた推奨事項を管理するには:
Azure portal にサインインします。
Defender for Cloud>Recommendations に移動します。
[フィルターの追加>Owner] を選択します。
ユーザー エントリを選択します。
を選択してを適用します。
推奨事項の結果で、影響を受けるリソース、リスク要因、攻撃パス、期限、状態などの推奨事項を確認します。
推奨事項を選択して、さらに確認します。
[ アクションの実行>所有者と期限を変更するには、[ 割り当ての編集 ] を選択して、推奨事項の所有者と期限を必要に応じて変更します。 - 既定では、リソースの所有者は、割り当てられた推奨事項を記載した週単位の電子メールを受け取ります。 - 新しい修復日を選択した場合は、[ 理由] でその日付までに修復の理由を指定します。 - [ 電子メール通知の設定] で、次のことができます。 - 既定の週次メールを所有者に上書きします。 - 開いているタスクまたは期限切れのタスクの一覧を毎週所有者に通知します。 - 開いているタスク リストを使用して、所有者のダイレクト マネージャーに通知します。
保存 を選択します。
注
予想される完了日を変更しても推奨事項の期限は変更されませんが、セキュリティ パートナーは、指定した日付までにリソースを更新する予定であることを確認できます。
Azure Resource Graph で推奨事項を確認する
Azure Resource Graph を使用して Kusto クエリ言語 (KQL) を記述し、複数のサブスクリプションにわたって Defender for Cloud のセキュリティ体制データを照会できます。 Azure Resource Graph は、データの表示、フィルター処理、グループ化、並べ替えによって、クラウド環境全体で大規模にクエリを実行する効率的な方法を提供します。
Azure Resource Graph で推奨事項を確認するには:
Azure portal にサインインします。
Defender for Cloud>Recommendations に移動します。
推奨事項を選択します。
[クエリを開く] を選択します。
クエリは、次の 2 つの方法のいずれかで開くことができます。
- 影響を受けるリソースを返すクエリ - この推奨事項の影響を受けるすべてのリソースの一覧を返します。
- セキュリティ結果を返すクエリ - 推奨事項によって検出されたすべてのセキュリティの問題の一覧を返します。
[ クエリの実行] を選択します。
結果を確認します。
推奨事項はどのように分類されますか?
Defender for Cloud のすべてのセキュリティに関する推奨事項には、次の 3 つの重大度評価のいずれかが与えられます。
重大度が高い: これらの推奨事項は、攻撃者がシステムまたはデータへの不正アクセスを悪用する重大なセキュリティ脆弱性を示しているため、直ちに対処します。 重大度が高い推奨事項の例としては、マシン上の保護されていないシークレット、過度に制限のない受信 NSG ルール、信頼されていないレジストリからイメージをデプロイできるクラスター、ストレージ アカウントまたはデータベースへの無制限のパブリック アクセスなどがあります。
重大度が中程度: これらの推奨事項は、タイムリーに対処する必要がある潜在的なセキュリティ リスクを示しますが、すぐに注意する必要はない可能性があります。 重大度が中程度の推奨事項の例としては、機密性の高いホスト名前空間を共有するコンテナー、マネージド ID を使用しない Web アプリ、認証時に SSH キーを必要としない Linux マシン、非アクティブ状態が 90 日後にシステムに残された未使用の資格情報などがあります。
重大度が低い: これらの推奨事項は、便宜上対処できる比較的軽微なセキュリティの問題を示しています。 重要度の低い推奨事項の例としては、Microsoft Entra ID を優先してローカル認証を無効にする必要がある、エンドポイント保護ソリューションの正常性の問題、ネットワーク セキュリティ グループに従っていないベスト プラクティス、セキュリティ インシデントの検出と対応が困難になる可能性があるログ設定の誤構成などがあります。
組織の内部ビューは、Microsoft による特定の推奨事項の分類とは異なる場合があります。 そのため、各推奨事項を慎重に確認し、対処方法を決定する前に、セキュリティ体制に対する潜在的な影響を検討することをお勧めします。
注
Defender CSPM のお客様は、リソースとすべての関連リソースのコンテキストを利用するより動的なリスク レベルが推奨事項に表示される、より豊富な分類システムにアクセスできます。 リスクの優先順位付けについての理解を深めてください。
例
この例では、この推奨事項の詳細ページに、影響を受ける 15 個のリソースが表示されます。
![推奨事項の詳細ページの [クエリを開く] ボタンのスクリーンショット。](media/review-security-recommendations/open-query.png#lightbox)
基になるクエリを開いて実行すると、Azure Resource Graph Explorer は、この推奨事項に対して同じ影響を受けるリソースを返します。