攻撃パスを特定して修復する

Defender for Cloudでは、プロパティ アルゴリズムを使用して、マルチクラウド環境に固有の潜在的な攻撃パスを特定します。 Defender for Cloudは、広範なシナリオではなく、実際の外部主導の悪用可能な脅威に焦点を当てています。 このアルゴリズムは、組織外から始まり、ビジネスクリティカルなターゲットに進む攻撃パスを検出し、ノイズをカットして迅速に行動するのに役立ちます。

ユーザーは、攻撃パス分析を使って、差し迫った脅威をもたらし、環境内で悪用される可能性が最も高いセキュリティの問題に対処できます。 Defender for Cloudは、攻撃者が環境を侵害するために使用する可能性がある外部から公開された攻撃パスの一部であるセキュリティの問題を分析します。 また、これらの問題を軽減するためにユーザーが解決する必要のあるセキュリティに関する推奨事項もはっきり示します。

既定では、攻撃パスはリスク レベル別に整理されます。 リスク レベルは、各リソースのリスク要因を考慮するコンテキスト対応のリスク優先順位付けエンジンによって決定されます。 Defender for Cloud セキュリティに関する推奨事項の詳細を確認します。

この機能は現在プレビューの段階です。
現在のギャップと制限の詳細については、「 既知の制限事項」を参照してください。

前提条件

  • Defender クラウド セキュリティ体制管理 (CSPM) を有効にし、エージェントレス スキャンを有効にする必要があります。

  • 必要なロールとアクセス許可: セキュリティ閲覧者、セキュリティ管理者、閲覧者、共同作成者、または所有者。

攻撃パスは、広範なシナリオではなく、実際の外部主導の悪用可能な脅威に焦点を当てているので、空の [攻撃パス] ページが表示される場合があります。 これにより、ノイズを減らし、差し迫ったリスクに優先順位を付けるのに役立ちます。

コンテナーに関連する攻撃パスを表示するには:

  • Defender CSPMで エージェントレス コンテナー ポスチャー拡張を有効にする必要があります。

  • コンテナーに対する Defender を有効化し、コンテナーに関連する攻撃パスを表示するために、関連するエージェントをインストールすることができます。 これにより、セキュリティ エクスプローラーでコンテナーのデータ プレーン ワークロードにクエリを実行する機能も提供されます。

  • 必要なロールとアクセス許可: セキュリティ閲覧者、セキュリティ管理者、閲覧者、共同作成者、または所有者。

攻撃パスを特定する

攻撃パス分析を使用して、環境に対する最大のリスクを特定し、修復することができます。

攻撃パス ページには、すべての攻撃パスの概要が表示されます。 また、影響を受けるリソースと、アクティブな攻撃パスの一覧を確認することもできます。

サンプル攻撃パスのホームページのスクリーンショット。

Azure ポータルで攻撃パスを特定する:

  1. Azure ポータルにサインインします。

  2. Microsoft Defender for Cloud>攻撃経路分析に移動します。

    メイン画面の攻撃パス解析ページを示すスクリーンショット。

  3. 攻撃パスを選択します。

  4. ノードを選択します。

    選択のためにノードが配置されている場所を示す攻撃パス画面のスクリーンショット。

    アクセス許可が制限されている場合 (特にサブスクリプション間で)、完全な攻撃パスの詳細が表示されない場合があります。 これは、機密データを保護するために設計された予期される動作です。 すべての詳細を表示するには、必要なアクセス許可があることを確認します。

  5. [分析情報] を選択して、そのノードに関連付けられている分析情報を表示します。

    特定のノードの [分析情報] タブのスクリーンショット。

  6. [推奨事項] を選択します。

    画面上のレコメンデーションを選択する場所を示すスクリーンショット。

  7. 推奨事項を選択します。

  8. 推奨事項を修復します

Defender ポータルで攻撃パスを特定する:

  1. Microsoft Defender ポータルにサインインします。

  2. Exposure Management>攻撃面>攻撃経路に移動します。 攻撃パスの概要が表示されます。

    攻撃パス エクスペリエンスでは、次の複数のビューが提供されます。

    • [概要] タブ: 時間の経過に伴う攻撃パス、上位 5 つのチョーク ポイント、上位 5 つの攻撃パス シナリオ、上位ターゲット、上位エントリ ポイントを表示する
    • 攻撃パスの一覧: 高度なフィルター機能を備えた、すべての攻撃パスの動的でフィルター可能なビュー
    • チョーク ポイント: 複数の攻撃パスが収束し、リスクの高いボトルネックとしてフラグが設定されたノードの一覧

    Defender ポータルで攻撃パスの概要を示すスクリーンショット

    Defender ポータルでは、攻撃パス分析は広範な露出管理機能の一部であり、他のMicrosoftセキュリティ ソリューションとの統合が強化され、インシデントの相関関係が統一されます。

  3. [ 攻撃パス ] タブを選択します。

    Defender ポータルの攻撃パス ページを示すスクリーンショット

  4. [攻撃パス] リストの高度なフィルター処理を使用して、特定の攻撃パスに焦点を当てます。

    • リスク レベル: 高、中、または低リスクの攻撃パスでフィルター処理する
    • 資産の種類: 特定のリソースの種類に焦点を当てる
    • 修復状態: 解決済み、進行中、または保留中の攻撃パスを表示する
    • 期間: 特定の期間 (過去 30 日間など) でフィルター処理する

  5. 攻撃パスを選択して攻撃パス マップを表示します。グラフベースのビューが強調表示されています。

    • 脆弱なノード: セキュリティの問題があるリソース
    • エントリ ポイント: 攻撃が開始される可能性がある外部アクセス ポイント
    • ターゲット資産: 攻撃者が到達しようとしている重要なリソース
    • チョーク ポイント: 複数の攻撃パスが交差する収束ポイント

  6. 詳細な情報を調査するノードを選択します。

    ノードの選択を示すDefenderポータルの攻撃パス画面のスクリーンショット。

    アクセス許可が制限されている場合 (特にサブスクリプション間で)、完全な攻撃パスの詳細が表示されない場合があります。 これは、機密データを保護するために設計された予期される動作です。 すべての詳細を表示するには、必要なアクセス許可があることを確認します。

  7. 次のようなノードの詳細を確認します。

    • MITRE ATT&CK の戦術と手法: 攻撃手法を理解する
    • リスク要因:リスクに寄与する環境要因
    • 関連する推奨事項: 問題を軽減するためのセキュリティの強化

  8. [分析情報] を選択して、そのノードに関連付けられている分析情報を表示します。

  9. [推奨事項] を選択すると、修復状態の追跡に関する実用的なガイダンスが表示されます。

    Defender ポータルで推奨事項を選択する場所を示すスクリーンショット

  10. 推奨事項を選択します。

  11. 推奨事項を修復します

    攻撃パスの調査が済み、関連するすべての結果と推奨事項を確認したら、攻撃パスの修復を開始できます。

  12. 推奨事項を修復します

攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。

攻撃パスを修復する

攻撃パスの調査が済み、関連するすべての結果と推奨事項を確認したら、攻撃パスの修復を開始できます。

Azure ポータルで攻撃パスを修復するには:

  1. Microsoft Defender for Cloud>攻撃経路分析に移動します。

  2. 攻撃パスを選択します。

  3. [修復] を選択します。

    修復を選択する場所を示す攻撃パスのスクリーンショット。

  4. 推奨事項を選択します。

  5. 推奨事項を修復します

攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。

攻撃パス内のすべての推奨事項を修復する

攻撃パス分析では、攻撃パスごとにすべての推奨事項を確認できるので、各ノードを個別に調べる必要はありません。 各ノードを個別に表示しなくても、すべてのレコメンデーションを解決できます。

修復パスには、次の 2 種類の推奨事項が含まれています。

  • 推奨事項 - 攻撃パスを軽減する推奨事項。
  • その他の推奨事項 - 悪用リスクを軽減するが、攻撃パスを軽減しない推奨事項。

Azure ポータルですべての推奨事項を解決するには:

  1. Azure ポータルにサインインします。

  2. Microsoft Defender for Cloud>攻撃経路分析に移動します。

  3. 攻撃パスを選択します。

  4. [修復] を選択します。

    画面で選択する場所を示すスクリーンショット。攻撃パスのレコメンデーションの完全な一覧が表示されます。

  5. その他の推奨事項を展開します。

  6. 推奨事項を選択します。

  7. 推奨事項を修復します

攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。

Defender ポータルですべての推奨事項を解決するには:

  1. Microsoft Defender ポータルにサインインします。

  2. 露出管理>アタッチ パス分析に移動します。

  3. 攻撃パスを選択します。

  4. [修復] を選択します。

    Defender ポータルでは、修復の進行状況の追跡が強化され、修復アクティビティを広範なセキュリティ操作とインシデント管理ワークフローと関連付けることができます。

  5. その他の推奨事項を展開します。

  6. 推奨事項を選択します。

  7. 推奨事項を修復します

攻撃パスが解決された後、攻撃パスが一覧から削除されるまでに最大 24 時間かかることがあります。

露出管理機能の強化

Defender ポータルには、統合された Exposure Management フレームワークを使用した攻撃パス分析用の追加機能が用意されています。

  • Unified incident correlation: 攻撃パスは、Microsoftセキュリティ エコシステム全体のセキュリティ インシデントと自動的に関連付けられます。
  • Cross-product insights: 攻撃パス データは、Microsoft Defender for Endpoint、Microsoft Sentinel、およびその他のMicrosoftセキュリティ ソリューションからの結果と統合されています。
  • Advanced 脅威インテリジェンス: Microsoft脅威インテリジェンス フィードからのコンテキストが強化され、攻撃パターンとアクターの動作をより深く理解できます。
  • 統合された修復ワークフロー: 複数のセキュリティ ツール間で自動応答をトリガーできる、合理化された修復プロセス。
  • エグゼクティブ レポート: ビジネスへの影響評価を使用したセキュリティ リーダーシップのための強化されたレポート機能。

これらの機能により、セキュリティ体制のより包括的なビューが提供され、攻撃パス分析によって特定された潜在的な脅威に対するより効果的な対応が可能になります。

Defender for Cloudのアタッチ パスの詳細を確認します。

次の手順

クラウド セキュリティ エクスプローラーを使用してクエリをビルドします

  • Last updated on