次の方法で共有

ゼロ トラストと Defender for Cloud

  • [アーティクル]

この記事では、ゼロ トラスト インフラストラクチャ ソリューションと Microsoft Defender for Cloud を統合するための戦略と手順について説明します。 このガイダンスでは、セキュリティ情報およびイベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、エンドポイントでの検出と対応 (EDR)、IT Service Management (ITSM) ソリューションなどの他のソリューションとの統合について説明します。

インフラストラクチャは、組織の IT サービスをサポートするために必要なハードウェア、ソフトウェア、マイクロサービス、ネットワーク インフラストラクチャ、設備から構成されます。 オンプレミスでもマルチクラウドでも、インフラストラクチャは重要な脅威ベクトルを表すものです。

ゼロ トラスト インフラストラクチャ ソリューションで、インフラストラクチャに対するセキュリティ上の脅威を評価、監視、防止します。 ソリューションでは、ゼロ トラストの原則に対応するために、インフラストラクチャ リソースへのアクセスが明示的に検証されていること、最小限の特権アクセスの原則を使用してアクセスが許可されていることが確認されます。 メカニズムは侵害を想定し、インフラストラクチャのセキュリティ上の脅威を探して修復します。

ゼロ トラストとは

ゼロ トラストとは、次の一連のセキュリティ原則を設計および実装するためのセキュリティ戦略です。

明示的に検証する 最小限の特権アクセスを使用する 侵害を想定する
すべての使用可能なデータ ポイントに基づいて、常に認証と承認を行います。 Just-In-Time および Just-Enough-Access (JIT/JEA)、リスクベースの適応型ポリシー、データ保護を使用して、ユーザーのアクセスを制限します。 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドで暗号化されていることを確認し、分析を使用して可視化し、脅威検出を推進し、防御を強化します。

ゼロ トラストと Defender for Cloud

ゼロ トラスト インフラストラクチャ デプロイ ガイダンスに関する記事では、ゼロ トラスト インフラストラクチャ戦略の主な段階が示されています。

  1. 選択した標準とポリシーへのコンプライアンス対応を評価する
  2. ギャップが見つかった場合は常に構成を強化する
  3. Just-In-Time (JIT) VM アクセス機能などの他の強化ツールを使用する。
  4. 脅威防止を設定する。
  5. リスクのある操作を自動的に阻止してフラグを立て、保護措置を実行する。

これらの段階が Defender for Cloud にどのようにマップされるかを次に示します。

目標 Defender for Cloud
コンプライアンスの評価 Defender for Cloud では、すべてのサブスクリプションに自動的に Microsoft クラウド セキュリティ ベンチマーク (MCSB) セキュリティ イニシアティブが割り当てられています。
セキュリティ スコア ツール規制コンプライアンス ダッシュボードを使用すると、セキュリティ態勢を詳しく理解できます。
構成の強化 インフラストラクチャと環境設定がコンプライアンス標準に照らして評価され、それらの評価に基づいて推奨事項が発行されます。 セキュリティに関する推奨事項を確認して修復し、一定時間にわたって[セキュリティ スコアの改善を追跡する] (secure-score-access-and-track.md) ことができます。 潜在的な攻撃パスに基づいて、修復する推奨事項に優先順位を付けることができます。
強化メカニズムの採用 最小限の特権アクセスはゼロ トラスト原則です。 Defender for Cloud は、この原則と次のような機能を使用して VM とネットワーク設定を強化するのに役立ちます。
Just-in-time (JIT) VM アクセス
脅威防止を設定する Defender for Cloud はクラウド ワークロード保護プラットフォーム (CWPP) であり、Azure とハイブリッド リソースおよびワークロードの高度でインテリジェントな保護を提供します。 詳細情報。
危険な動作を自動的にブロックする Defender for Cloud のセキュリティ強化に関する推奨事項の多くは、定義済みのセキュリティ強化基準を満たしていないリソースの作成を防ぐために、"拒否" オプションを提供しています。 詳細情報。
疑わしい動作に自動的にフラグを設定する Defender for Cloud のセキュリティ アラートは、脅威の検出によってトリガーされます。 Defender for Cloud によってアラートが優先度付けされ、調査に役立つ情報とともに一覧表示されます。 また、攻撃を修復するための詳細な手順も提供されます。 完全なセキュリティ アラートの一覧をご覧ください。

ハイブリッドとマルチクラウドのシナリオにゼロ トラストを適用する

通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。Defender for Cloud はワークロードを、実行されている場所を問わず保護します。 Azure、オンプレミス、AWS、または GCP です。

  • AWS: AWS マシンを保護するには、AWS アカウントを Defender for Cloud にオンボードします。 この統合により、Defender for Cloud の推奨事項と AWS Security Hub の検出結果が統合されたビューに表示されます。 詳細については、「AWS アカウントを Microsoft Defender for Cloud に接続する」を参照してください。
  • GCP: GCP マシンを保護するには、GCP アカウントを Defender for Cloud にオンボードします。 この統合により、Defender for Cloud の推奨事項と GCP Security Command Center の検出結果が統合されたビューに表示されます。 詳細については、「GCP アカウントを Microsoft Defender for Cloud に接続する」を参照してください。
  • オンプレミスのマシン。 オンプレミスのマシンを Azure Arc 対応サーバーに接続することで、Defender for Cloud の保護を拡張できます。 オンプレミスのマシンを Defender for Cloud に接続する方法の詳細については、こちらを参照してください。

Azure PaaS サービスを保護する

Azure サブスクリプションで Defender for Cloud を使用できる場合、使用可能なすべてのリソースの種類に対して Defender for Cloud プランを有効にすると、Microsoft 脅威インテリジェンスを使用したインテリジェントな脅威保護レイヤーによって、Azure Key Vault、Azure Storage、Azure DNS、およびその他の Azure PaaS サービスでリソースが保護されます。 Defender for Cloud がセキュリティで保護できるリソースの種類について詳しくは、こちらを参照してください。

Azure Logic Apps を使用した応答の自動化

クラウド サービスとオンプレミス システムの間でアプリとデータを統合するために、Azure Logic Apps を使用して、自動化されたスケーラブルなワークフロー、ビジネス プロセス、エンタープライズ オーケストレーションを構築します。

Defender for Cloud のワークフローの自動化機能により、Defender for Cloud トリガーに対する応答を自動化できます。

これは、脅威が検出された場合の応答を、自動化された一貫性のある方法で定義し、実際に応答できる優れた方法です。 たとえば脅威が検出されたときに、直接の利害関係者に通知し、変更管理プロセスを開始し、特定の修復手順を適用します。

SIEM、SOAR、ITSM ソリューションとの統合

Defender for Cloud では、最も一般的な SIEM、SOAR、ITSM ソリューションにセキュリティ アラートをストリーミングできます。 現在使用されている最も一般的なソリューション (以下が含まれます) のすべてでアラート データを表示できるようにする Azure ネイティブ ツールがあります。

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM の QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel との統合

Defender for Cloud は、Microsoft の SIEM/SOAR ソリューションである Microsoft Sentinel とネイティブに統合されます。

Defender for Cloud データを確実に Microsoft Sentinel に表示するには、2 つのアプローチがあります。

Microsoft Graph Security API を使用してアラートをストリーミングする

Defender for Cloud は、Microsoft Graph Security API とすぐに統合できます。 構成は不要であり、追加のコストは発生しません。

この API を使用して、テナント全体、およびその他の多くの Microsoft セキュリティ製品のデータから、サードパーティ製の SIEM と その他の一般的なプラットフォームにアラートをストリーミングできます。

Azure Monitor を使用してアラートをストリーミングする

Defender for Cloud の連続エクスポート機能を使って、Azure Event Hubs を介して Azure Monitor に接続し、アラートを ArcSightSumoLogic、Syslog サーバー、LogRhythmLogz.io Cloud Observability Platform、その他の監視ソリューションにストリーミングします。

  • これは、Azure Policy を使用して管理グループ レベルで行うこともできます。 連続エクスポートの自動化の構成を大規模に作成する方法については、こちらを参照してください。
  • エクスポートされたデータ型のイベント スキーマを表示するには、Event Hubs のイベント スキーマを確認します。

アラートを監視ソリューションにストリーミングする方法の詳細については、こちらを参照してください。

EDR ソリューションとの統合

Microsoft Defender for Endpoint

Defender for Endpoint は、クラウドで提供される包括的なエンドポイント セキュリティ ソリューションです。 Defender for Cloud サーバーのワークロード プランである Defender for Servers には、Defender for Endpoint の統合ライセンスが含まれます。 同時に、包括的な EDR 機能が提供されます。 エンドポイントの保護について詳しくは、こちらを参照してください。

Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 このアラートは Defender for Cloud に表示されます。 Defender for Cloud から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることができます。

その他の EDR ソリューション

Defender for Cloud では、サポートされているバージョンの EDR ソリューションの正常性評価が提供されます。

Defender for Cloud の推奨事項は、Microsoft セキュリティ ベンチマークに基づいて提供されます。 ベンチマークのコントロールの 1 つは、エンドポイントのセキュリティに関連しています (「ES-1:エンドポイントでの検出と対応 (EDR) を使用する」)。 エンドポイント保護が有効になっていて適切に実行されていることを確実にするための 2 つの推奨事項があります。 詳しくは、Defender for Cloud でのサポート対象 EDR ソリューションの評価に関する記事をご覧ください。

次のステップ

マルチクラウド保護の計画を開始します。