インフラストラクチャの統合

インフラストラクチャは、ハードウェア、ソフトウェア、マイクロ サービス、ネットワーク インフラストラクチャ、および組織の IT サービスをサポートするために必要な設備で構成されます。 ゼロ トラスト インフラストラクチャ ソリューションは、これらのサービスに対するセキュリティ上の脅威を評価、監視、防止します。

ゼロ トラスト インフラストラクチャ ソリューションでは、インフラストラクチャ リソースへのアクセスが明示的に検証され、最小限の特権アクセスの原則を使用してアクセスが許可され、インフラストラクチャのセキュリティ上の脅威を探して修復する侵害を想定するメカニズムが用意されているため、ゼロ トラストの原則がサポートされます。

このガイダンスは、Microsoft 製品と統合してインフラストラクチャ セキュリティ ソリューションを強化したいソフトウェア プロバイダーとテクノロジ パートナーを対象としています。

インフラストラクチャのゼロ トラスト統合ガイド

この統合ガイドには、 Microsoft Defender for Cloud とその統合クラウド ワークロード保護プランである Microsoft Defender for.. (サーバー、コンテナー、データベース、ストレージ、App Services など) と統合するための戦略と手順が含まれています。

このガイダンスには、最も一般的なセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、エンドポイント検出と応答 (EDR)、IT サービス管理 (ITSM) ソリューションとの統合が含まれます。

ゼロ トラストと Defender for Cloud

ゼロ トラスト インフラストラクチャの展開ガイダンスでは、インフラストラクチャに対するゼロ トラスト戦略の重要なステージを示します。

1. 選択した標準とポリシーに対するコンプライアンスを評価する
2. ギャップが見つかった場所で構成を強化する
3. Just-In-Time (JIT) VM アクセスなどの他のセキュリティ強化ツールを採用する
4. 脅威の検出と保護を設定する
5. 危険な動作を自動的にブロックしてフラグを設定し、保護措置を講じます

インフラストラクチャのデプロイ ガイダンスで説明されている目標から、Defender for Cloud の主要な側面への明確なマッピングがあります。

Defender for Cloud を使用して Azure PaaS サービスを保護する

サブスクリプションで Defender for Cloud が有効になっており、使用可能なすべてのリソースの種類に対して Defender ワークロード保護プランが有効になっていると、インテリジェントな脅威保護のレイヤーが用意され、Azure Key Vault、Azure Storage、Azure DNS、およびその他の Azure PaaS サービス内のリソースが保護されます。 完全な一覧については、 サポート マトリックスに記載されている PaaS サービスを参照してください。

Azure Logic Apps

Azure Logic Apps を使用して、自動化されたスケーラブルなワークフロー、ビジネス プロセス、エンタープライズ オーケストレーションを構築し、クラウド サービスとオンプレミス システム全体にアプリとデータを統合します。

Defender for Cloud の ワークフロー自動化 機能を使用すると、Defender for Cloud トリガーへの応答を自動化できます。

このアプローチは、脅威が検出されたときに、自動化された一貫性のある方法で定義し、対応するための優れた方法です。 たとえば、関連する関係者に通知するには、変更管理プロセスを開始し、脅威が検出されたときに特定の修復手順を適用します。

Defender for Cloud を SIEM、SOAR、ITSM ソリューションと統合する

Microsoft Defender for Cloud では、最も一般的なセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、IT サービス管理 (ITSM) ソリューションにセキュリティ アラートをストリーミングできます。

現在使用されているすべての最も一般的なソリューションでアラート データを表示できるように、次のような Azure ネイティブ ツールがあります。

• Microsoft Sentinel
• Splunk Enterprise and Splunk Cloud
• IBM の QRadar
• ServiceNow
• ArcSight
• Power BI
• Palo Alto Networks

Microsoft Sentinel

Defender for Cloud は、 Microsoft Sentinel、Microsoft のクラウドネイティブ、セキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR) ソリューションとネイティブに統合されます。

Defender for Cloud データが Microsoft Sentinel で表現されるようにするには、次の 2 つの方法があります。

• Sentinel コネクタ - Microsoft Sentinel には、サブスクリプションレベルとテナント レベルの Microsoft Defender for Cloud 用の組み込みコネクタが含まれています。

  • サブスクリプション レベルで Microsoft Sentinel にアラートをストリーミングする
  • テナント内のすべてのサブスクリプションを Microsoft Sentinel に接続する

  ヒント

  詳細については、 Microsoft Defender for Cloud からの Connect セキュリティ アラートに関するページを参照してください。

• 監査ログをストリーミング する - Microsoft Sentinel で Defender for Cloud アラートを調査する別の方法は、監査ログを Microsoft Sentinel にストリーミングすることです。

  • Windows セキュリティ イベントを接続する
  • Syslog を使用して Linux ベースのソースからデータを収集する
  • Azure アクティビティ ログからデータを接続する

Microsoft Graph Security API を使用してアラートをストリーム配信する

Defender for Cloud は、Microsoft Graph Security API とすぐに統合できます。 構成は必要なく、追加コストも発生しません。

この API を使用すると、 テナント全体 (および他の多くの Microsoft Security 製品のデータ) から Microsoft 以外の SIEM やその他の一般的なプラットフォームにアラートをストリーミングできます。

• Splunk Enterprise and Splunk Cloud - Splunk の Microsoft Graph Security API Add-On を使用する
• Power BI - Power BI Desktop で Microsoft Graph Security API に接続する
• ServiceNow - 指示に従って、ServiceNow ストアから Microsoft Graph Security API アプリケーションをインストールして構成します
• QRadar - Microsoft Graph API を使用した Microsoft Defender for Cloud 用 IBM のデバイス サポート モジュール
• Palo Alto Networks、 Anomali、 Lookout、 InSpark など - Microsoft Graph Security API

Microsoft Graph Security API の詳細を確認します。

Azure Monitor を使用してアラートをストリーム配信する

Defender for Cloud の 連続エクスポート 機能を使用して、Defender for Cloud と Azure Monitor を Azure Event Hubs 経由で接続し、 アラートを ArcSight、 SumoLogic、Syslog サーバー、 LogRhythm、 Logz.io Cloud Observability Platform、およびその他の監視ソリューションにストリーミングします。

詳細については、 Azure Monitor を使用した Stream アラートに関するページを参照してください。

この操作は、Azure Policy を使用して管理グループ レベルで実行することもできます。 「連続エクスポート自動化構成を大規模に作成する」を参照してください。

Defender for Cloud とエンドポイントの検出と応答 (EDR) ソリューションの統合

Microsoft Defender for Endpoint

Microsoft Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。

Microsoft Defender for Servers には、 Microsoft Defender for Endpoint の統合ライセンスが含まれています。 これらを組み合わせることで、包括的なエンドポイント検出と応答 (EDR) 機能が提供されます。 詳細については、「 エンドポイントの保護」を参照してください。

Defender for Endpoint が脅威を検出すると、アラートがトリガーされます。 アラートは Defender for Cloud に表示され、Defender for Endpoint コンソールにピボットして詳細な調査を実行し、攻撃の範囲を明らかにすることができます。 Microsoft Defender for Endpoint について詳しくは、こちらをご覧ください。

その他の EDR ソリューション

Defender for Cloud では、 Microsoft クラウド セキュリティ ベンチマーク (MCSB) のガイダンスに従って、組織のリソースをセキュリティで保護するための強化に関する推奨事項が提供されます。 ベンチマークのコントロールの 1 つは、エンドポイント セキュリティに関連しています。 ES-1: エンドポイントの検出と応答 (EDR) の使用。

Defender for Cloud には、エンドポイント保護を有効にし、適切に動作していることを確認するための 2 つの推奨事項があります。 これらの推奨事項は、EDR ソリューションの存在と運用の正常性を次から確認することです。

• Trend Micro
• Symantec
• マカフィー
• Sophos

詳細については、 Microsoft Defender for Cloud の Endpoint Protection の評価と推奨事項に関するページを参照してください。

ハイブリッドとマルチクラウドのシナリオにゼロ トラスト戦略を適用する

一般的に複数のクラウド プラットフォームにまたがるクラウド ワークロードでは、クラウド セキュリティ サービスでも同じ操作を行う必要があります。

Microsoft Defender for Cloud は、Azure、オンプレミス、アマゾン ウェブ サービス (AWS)、または Google Cloud Platform (GCP) で、ワークロードが実行されている場所を問わず保護します。

Defender for Cloud とオンプレミスのマシンの統合

ハイブリッド クラウド ワークロードをセキュリティで保護するために、オンプレミスのマシンを Azure Arc 対応サーバーに接続することで、Defender for Cloud の保護を拡張できます。

「 Azure 以外のマシンを Defender for Cloud に接続する」でマシンを接続する方法について説明します。

Defender for Cloud を他のクラウド環境と統合する

Defender for Cloud の Amazon Web Services マシンのセキュリティ体制を表示するには、AWS アカウントを Defender for Cloud にオンボードします。 このアプローチでは、AWS Security Hub と Microsoft Defender for Cloud を統合して、Defender for Cloud の推奨事項と AWS Security Hub の調査結果を統合し、「 AWS アカウントを Microsoft Defender for Cloud に接続する」で説明されているさまざまな利点を提供します。

Defender for Cloud の Google Cloud Platform マシンのセキュリティ体制を表示するには、GCP アカウントを Defender for Cloud にオンボードします。 このアプローチでは、GCP セキュリティ コマンドと Microsoft Defender for Cloud を統合して、Defender for Cloud の推奨事項と GCP セキュリティ コマンド センターの結果を統合し、「 GCP アカウントを Microsoft Defender for Cloud に接続する」で説明されているさまざまな利点を提供します。

次のステップ

Microsoft Defender for Cloud の詳細については、 Defender for Cloud の完全なドキュメントを参照してください。