Az - Defender

Reading time: 11 minutes

Microsoft Defender for Cloud

Microsoft Defender for Cloudは、Azure、オンプレミス、マルチクラウド環境を網羅する包括的なセキュリティ管理ソリューションです。これは、Cloud Security Posture Management (CSPM)とCloud Workload Protection (CWPP)機能を組み合わせたCloud-Native Application Protection Platform (CNAPP)として分類されます。その目的は、組織がクラウドリソースの誤設定や弱点を見つけ、全体的なセキュリティ姿勢を強化し、Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP)、ハイブリッドオンプレミスセットアップなどの進化する脅威からワークロードを保護することです。

実際には、Defender for Cloudはセキュリティのベストプラクティスと基準に対してリソースを継続的に評価し、可視性のための統一ダッシュボードを提供し、高度な脅威検出を使用して攻撃を警告します。主な利点には、クラウド全体のセキュリティの統一ビュー、侵害を防ぐための実行可能な推奨事項、セキュリティインシデントのリスクを軽減できる統合脅威保護が含まれます。AWSやGCP、その他のSaaSプラットフォームをネイティブにサポートし、オンプレミスサーバーにAzure Arcを使用することで、すべての環境のセキュリティを一元管理できることを保証します。

Key Features

• Recommendations: このセクションでは、継続的な評価に基づいた実行可能なセキュリティ推奨事項のリストを提示します。各推奨事項は、特定された誤設定や脆弱性を説明し、修正手順を提供するため、セキュアスコアを改善するために何を修正すべきかが明確になります。
• Attack Path Analysis: Attack Path Analysisは、クラウドリソース全体の潜在的な攻撃経路を視覚的にマッピングします。脆弱性がどのように接続し、悪用される可能性があるかを示すことで、これらの経路を理解し、侵害を防ぐためにそれらを断ち切る手助けをします。
• Security Alerts: Security Alertsページは、リアルタイムの脅威や疑わしい活動を通知します。各アラートには、重大度、影響を受けるリソース、推奨されるアクションなどの詳細が含まれており、新たな問題に迅速に対応できるようにします。
• 検出技術は脅威インテリジェンス、行動分析、異常検出に基づいています。
• すべての可能なアラートはhttps://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-referenceで見つけることができます。名前と説明に基づいて、アラートが何を探しているか（それを回避するために）を知ることができます。
• Inventory: Inventoryセクションでは、環境全体で監視されているすべての資産の包括的なリストを見つけることができます。各リソースのセキュリティステータスを一目で確認でき、修正が必要な保護されていないまたはリスクのある資産を迅速に特定するのに役立ちます。
• Cloud Security Explorer: Cloud Security Explorerは、クラウド環境を検索し分析するためのクエリベースのインターフェースを提供します。隠れたセキュリティリスクを明らかにし、リソース間の複雑な関係を探ることで、全体的な脅威ハンティング能力を向上させます。
• Workbooks: Workbooksは、セキュリティデータを視覚化するインタラクティブなレポートです。事前に構築されたテンプレートやカスタムテンプレートを使用して、トレンドを監視し、コンプライアンスを追跡し、時間の経過に伴うセキュアスコアの変化をレビューするのに役立ち、データに基づいたセキュリティ決定を容易にします。
• Community: Communityセクションは、仲間、専門家フォーラム、ベストプラクティスガイドとつながることができます。他者の経験から学び、トラブルシューティングのヒントを見つけ、最新のDefender for Cloudの開発情報を把握するための貴重なリソースです。
• Diagnose and Solve Problems: このトラブルシューティングハブは、Defender for Cloudの構成やデータ収集に関連する問題を迅速に特定し解決するのに役立ちます。プラットフォームが効果的に機能するように、ガイド付き診断と解決策を提供します。
• Security Posture: Security Postureページは、全体的なセキュリティステータスを単一のセキュアスコアに集約します。クラウドのどの領域が強力で、どこに改善が必要かについての洞察を提供し、環境の迅速な健康チェックとして機能します。
• Regulatory Compliance: このダッシュボードは、リソースが業界標準や規制要件にどれだけ適合しているかを評価します。PCI DSSやISO 27001などのベンチマークに対するコンプライアンススコアを示し、ギャップを特定し、監査のための修正を追跡するのに役立ちます。
• Workload Protections: Workload Protectionsは、特定のリソースタイプ（サーバー、データベース、コンテナなど）のセキュリティを強化することに焦点を当てています。どのDefenderプランがアクティブであるかを示し、各ワークロードに対してカスタマイズされたアラートと推奨事項を提供し、その保護を強化します。特定のリソースにおける悪意のある行動を見つけることができます。
• これは、特定のサービスで見つけることができる**Enable Microsoft Defender for X**のオプションでもあります。
• Data and AI Security (Preview): このプレビューセクションでは、Defender for CloudがデータストアとAIサービスへの保護を拡張します。セキュリティのギャップを強調し、機密データを監視し、データリポジトリとAIプラットフォームの両方が脅威から保護されるようにします。
• Firewall Manager: Firewall Managerは、Azure Firewallと統合され、ネットワークセキュリティポリシーの中央集約的なビューを提供します。ファイアウォールの展開を管理および監視することを簡素化し、仮想ネットワーク全体でセキュリティルールの一貫した適用を保証します。
• DevOps Security: DevOps Securityは、開発パイプラインやコードリポジトリと統合され、ソフトウェアライフサイクルの初期段階でセキュリティを組み込みます。コードや構成の脆弱性を特定するのに役立ち、開発プロセスにセキュリティを組み込むことを保証します。

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM)は、組織のインターネットに面した資産（ドメイン、サブドメイン、IPアドレス、Webアプリケーションを含む）を継続的にスキャンおよびマッピングし、外部デジタルフットプリントの包括的でリアルタイムのビューを提供します。これは、既知の発見シードから始まる高度なクロール技術を活用して、管理されたIT資産とシャドウIT資産の両方を自動的に明らかにします。EASMは、公開された管理インターフェース、公開アクセス可能なストレージバケット、さまざまなCVEに脆弱なサービスなどのリスクのある構成を特定し、セキュリティチームがこれらの問題に対処できるようにします。 さらに、継続的な監視は、異なるスキャン結果を比較することで公開されたインフラストラクチャの変化を示すこともでき、管理者が行われたすべての変更を把握できるようにします。 リアルタイムの洞察と詳細な資産インベントリを提供することで、Defender EASMは組織が外部露出の変化を継続的に監視および追跡できるようにします。リスクベースの分析を使用して、重大度や文脈要因に基づいて発見を優先順位付けし、修正努力が最も重要な場所に集中するようにします。この積極的なアプローチは、隠れた脆弱性を明らかにするだけでなく、新たな露出が発生するたびに警告を発することで、全体的なセキュリティ姿勢の継続的な改善をサポートします。