このページでは、6 か月より前の機能、修正、および非推奨に関する情報を提供します。 最新の更新プログラムについては、
2025 年 6 月
| Date | Category | Update |
|---|---|---|
| 6 月 30 日 | Preview | Helm (プレビュー)Defender> |
| 6 月 25 日 | Preview | マルウェア スキャンの結果を格納するためのオプションのインデックス タグ (プレビュー) |
| 6 月 25 日 | Preview | Function Apps と Logic Apps でホストされている API の API 検出とセキュリティ体制 (プレビュー) |
| 6 月 25 日 | Preview | エージェントレス ファイルの整合性の監視 (プレビュー) |
| 6 月 18 日 | Preview | エージェントレスコードスキャン - サポートとカスタマイズ可能なカバレッジGitHub利用可能になりました (プレビュー) |
Helm に基づくコンテナー DNS 検出のDefender (プレビュー)
内容:
Helm ベースのデプロイメントサポート
セットアップ手順と詳細については、「
Helm を参照してください。DNS 脅威の検出
メモリ効率が向上し、大規模なクラスター デプロイの CPU 消費量が削減されます。
詳細については、「Sensor for Defender for Containers Changelog」を参照>。
マルウェア スキャンの結果を格納するためのオプションのインデックス タグ (プレビュー)
2025 年 6 月 25 日
Storage マルウェア スキャンのDefenderでは、オンアップロードスキャンとオンデマンド スキャンの両方にオプションのインデックス タグが導入されています。 この新機能により、ユーザーは、BLOB がスキャンされたときに BLOB のインデックス タグに結果を発行するか (既定)、インデックス タグを使用しないかを選択できます。 インデックス タグは、Azure ポータルまたは API を使用して、サブスクリプションとストレージ アカウント レベルで有効または無効にすることができます。
Function Apps と Logic Apps でホストされている API の API 検出とセキュリティ体制 (プレビュー)
2025 年 6 月 25 日
Defender for Cloudは、Azure API Managementで公開されている API の既存のサポートに加えて、Azure Function Apps および Logic Apps でホストされている API を含むように API 検出とセキュリティ体制の機能を拡張しました。
この強化により、セキュリティ チームは、組織の API 攻撃対象領域を包括的かつ継続的に更新できます。 主な機能は次のとおりです。
- Centralized API Inventory: サポートされているAzure サービス全体で API を自動的に検出してカタログ化します。
- セキュリティ リスク評価: リスクを特定し、優先順位を付けます。これには、削除を保証する可能性がある休止中の API の識別や、機密データを公開する可能性がある暗号化されていない API が含まれます。
これらの機能はDefender for Cloud Security Posture Management (DCSPM)API セキュリティ体制管理拡張機能を有効にしているすべてのお客様に提供されます。
ロールアウトタイムライン: これらの更新プログラムのロールアウトは 2025 年 6 月 25 日に開始され、 サポートされているすべてのリージョン に 1 週間以内に到達する予定です。
エージェントレス ファイルの整合性の監視 (プレビュー)
2025 年 6 月 25 日
エージェントレス ファイル整合性監視 (FIM) がプレビューで利用できるようになりました。 この機能は、Microsoft Defender for Endpoint エージェントに基づく一般公開 (GA) FIM ソリューションを補完し、カスタム ファイルとレジストリの監視のサポートを導入します。
エージェントレス FIM を使用すると、組織は他のエージェントをデプロイすることなく、環境全体のファイルとレジストリの変更を監視できます。 既存のエージェント ベースのソリューションとの互換性を維持しながら、軽量でスケーラブルな代替手段を提供します。
主な機能は次のとおりです。
- カスタム監視: カスタム ファイル パスとレジストリ キーを定義および監視することで、特定のコンプライアンスとセキュリティの要件を満たします。
- 統合されたエクスペリエンス: エージェントレスおよび MDE ベースの FIM の両方からのイベントは、明確なソース インジケーターを使用して、同じワークスペース テーブルに格納されます。
ファイルの整合性の監視の詳細と、ファイルの整合性の監視を有効にする方法について説明します。
エージェントレス コード スキャン - GitHubサポートとカスタマイズ可能なカバレッジが利用可能になりました (プレビュー)
2025 年 6 月 18 日
エージェントレス コード スキャン機能を更新し、カバレッジと制御の両方を拡張する主要な機能を含めます。 これらの更新には、次のものが含まれます。
- Azure DevOpsに加えて、GitHub リポジトリのサポート
- カスタマイズ可能なスキャナーの選択 - 実行するツール (Bandit、Checkov、ESLint など) を選択します
- 詳細なスコープ構成 – 特定の組織、プロジェクト、またはリポジトリを含めるか除外する
エージェントレス コード スキャンでは、CI/CD パイプラインに変更を加えることなく、コードとコードとしてのインフラストラクチャ (IaC) のスケーラブルなセキュリティ スキャンが提供されます。 セキュリティ チームは、開発者のワークフローを中断することなく、脆弱性や構成の誤りを検出するのに役立ちます。
Azure DevOps または GitHub でエージェントレス コード スキャンを構成する
2025 年 5 月
| Date | Category | Update |
|---|---|---|
| 5 月 28 日 | GA | ストレージのDefenderでカスタマイズ可能なアップロード時マルウェア スキャン フィルターの一般的な可用性 |
| 5 月 5 日 | Preview | アクティブ ユーザー (パブリック プレビュー) |
| 5 月 1 日 | GA | |
| 5 月 1 日 | GA | |
| 5 月 1 日 | GA | 一般公開データとAIセキュリティダッシュボード |
| 5 月 1 日 | 今後の変更 | Defender CSPM は、フレキシブル サーバーとフレキシブル サーバー リソースAzure Database for MySQL Azure Database for PostgreSQLの課金を開始します |
Defender for Storage のカスタマイズ可能なアップロード時マルウェア スキャン フィルターの一般提供
2025 年 5 月 28 日
アップロード時のマルウェア スキャンで、カスタマイズ可能なフィルターがサポートされるようになりました。 ユーザーは、BLOB パスのプレフィックス、サフィックス、BLOB サイズに基づいて、アップロード時マルウェア スキャンの除外ルールを設定できます。 ログや一時ファイルなどの特定の BLOB パスと種類を除外することで、不要なスキャンを回避し、コストを削減できます。
カスタマイズ可能なアップロード時マルウェア スキャン フィルターを構成する方法について説明します。
アクティブ ユーザー (パブリック プレビュー)
アクティブ ユーザー機能は、セキュリティ管理者が最近のコントロール プレーン アクティビティに基づいて、最も関連性の高いユーザーをすばやく特定し、推奨事項を割り当てるのに役立ちます。 推奨事項ごとに、リソース、リソース グループ、またはサブスクリプション レベルで最大 3 人の潜在的なアクティブ ユーザーが推奨されます。 管理者は、一覧からユーザーを選択し、推奨事項を割り当て、期限を設定して、割り当てられたユーザーに通知をトリガーできます。 これにより、修復ワークフローが合理化され、調査時間が短縮され、全体的なセキュリティ体制が強化されます。
AI サービス用 Defenderの一般提供
2025 年 5 月 1 日
Defender for Cloudでは、Azure AI サービスのランタイム保護 (以前は AI ワークロードの脅威保護と呼ばれる) がサポートされるようになりました。
Azure AI サービスの保護は、脱獄、ウォレットの不正使用、データの漏えい、疑わしいアクセス パターンなど、AI サービスやアプリケーションに固有の脅威を対象としています。 検出では、Microsoft脅威インテリジェンスと Azure AI プロンプト シールドからのシグナルを使用し、機械学習と AI を適用して AI サービスをセキュリティで保護します。
詳細については、AI サービス用 Defenderを参照してください。
Microsoft Security Copilotは、Defender for Cloudで一般提供されるようになりました
2025 年 5 月 1 日
Microsoft Security Copilotは、Defender for Cloudで一般提供されるようになりました。
Security Copilotセキュリティ チームのリスク修復を高速化し、管理者がクラウド リスクに迅速かつ簡単に対処できるようにします。 AI によって生成された概要、修復アクション、委任メールが提供され、リスク軽減プロセスの各手順をユーザーに案内します。
セキュリティ管理者は、推奨事項をすばやく要約し、修復スクリプトを生成し、メールでタスクをリソース所有者に委任できます。 これらの機能は、調査時間を短縮し、セキュリティ チームがコンテキスト内のリスクを理解し、迅速な修復のためのリソースを特定するのに役立ちます。
Defender for Cloud の
一般提供データおよびAIセキュリティダッシュボード
2025 年 5 月 1 日
Defender for Cloudでは、データ セキュリティ ダッシュボードが強化され、GA の新しいデータと AI セキュリティ ダッシュボードに AI Security が含まれます。 このダッシュボードは、データと AI リソースを監視および管理するための一元化されたプラットフォームを、関連するリスクや保護の状態と共に備えています。
データと AI セキュリティ ダッシュボードの主な利点は次のとおりです。
- 統合ビュー: すべての組織データと AI リソースの包括的なビューを取得します。
- データ分析情報: データが格納されている場所と、データを保持するリソースの種類を理解します。
- 保護対象範囲: データと AI リソースの保護対象範囲を評価します。
- 重大な問題: 重大度の高い推奨事項、アラート、攻撃パスに基づいて、すぐに注意が必要なリソースを強調表示します。
- 機密データの検出: クラウドと AI 資産内の機密データ リソースを見つけて要約します。
- AI ワークロード: サービス、コンテナー、データ セット、モデルなど、AI アプリケーションのフットプリントを検出します。
詳細については、「データと AI セキュリティ ダッシュボード」を参照してください。
Defender CSPM フレキシブル サーバーとフレキシブル サーバー リソースAzure Database for MySQL Azure Database for PostgreSQLの課金を開始する
2025 年 5 月 1 日
変更の推定日: 2025 年 6 月
2025 年 6 月 1 日より、Microsoft Defender CSPM は、サブスクリプション内の Azure Database for MySQL フレキシブル サーバー および Azure Database for PostgreSQL フレキシブル サーバー リソースの課金を開始します。Defender CSPMが有効になっています。 これらのリソースは既にDefender CSPMによって保護されており、ユーザー操作は必要ありません。 課金が開始されると、請求書が増える可能性があります。
詳細については、CSPM プランの価格に関するページを参照してください。
2025 年 4 月
| Date | Category | Update |
|---|---|---|
| 4 月 29 日 | Preview | GCP の Vertex AI における AI ポスチャー マネジメント (プレビュー) |
| 4 月 29 日 | Preview | |
| 4 月 29 日 | Change | Updated GitHub アプリケーションのアクセス許可 |
| 4 月 28 日 | Change | マシン上の SQL サーバーのDefenderへの更新プラン |
| 4 月 27 日 | GA | Storage のMicrosoft Defenderでのアップロード時マルウェア スキャンの新しい既定の上限 |
| 4 月 24 日 | GA | Defender CSPM プラン内での API Security Posture Management ネイティブ統合の一般的な可用性 |
| 4 月 7 日 | 今後の変更 | App Service アラートのDefenderのエンhancements |
GCP Vertex AI での AI ポスチャーマネジメント (プレビュー)
2025 年 4 月 29 日
Defender for Cloudの AI セキュリティ体制管理機能で、Google Cloud Platform (GCP) Vertex AI (プレビュー) の AI ワークロードがサポートされるようになりました。
このリリースの主な機能は次のとおりです。
- 最新の AI アプリケーション検出: GCP 頂点 AI にデプロイされた AI アプリケーション コンポーネント、データ、AI アーティファクトを自動的に検出してカタログ化します。
- セキュリティ体制の強化: 構成の誤りを検出し、組み込みの推奨事項と修復アクションを受け取って、AI アプリケーションのセキュリティ体制を強化します。
- 攻撃パス分析: 高度な攻撃パス分析を使用してリスクを特定し、修復し、潜在的な脅威から AI ワークロードを保護します。
これらの機能は、AI リソースの包括的な可視性、誤った構成の検出、セキュリティ強化を提供するように設計されており、GCP Vertex AI プラットフォームで開発された AI ワークロードのリスクを確実に軽減します。
詳細については、「AI セキュリティ体制管理」を参照してください。
Mend.io とのDefender for Cloud統合 (プレビュー)
2025 年 4 月 29 日
Defender for Cloudはプレビュー段階の Mend.io と統合されました。 この統合により、パートナーの依存関係の脆弱性を特定して軽減することで、ソフトウェア アプリケーションのセキュリティが強化されます。 この統合により、検出と修復のプロセスが合理化され、全体的なセキュリティが向上します。
Mend.io 統合の詳細を確認します。
GitHub アプリケーションのアクセス許可の更新
2025 年 4 月 29 日
Defender for CloudのGitHub コネクタは、[カスタム プロパティ]の管理者権限を含むように更新されます。 このアクセス許可は、新しいコンテキスト化機能を提供するために使用され、カスタム プロパティ スキーマの管理を対象としています。 アクセス許可は、次の 2 つの異なる方法で付与できます。
GitHub組織で、Settings > GitHub Apps 内の Microsoft Security DevOps アプリケーションに移動し、アクセス許可要求を受け入れます。
GitHub サポートからの自動メールで、Review アクセス許可要求 を選択して、この変更を承諾または拒否します。
注: 上記のアクションが実行されない場合、既存のコネクタは引き続き新機能なしで動作します。
マシン上の SQL サーバーのDefenderプランの更新
2025 年 4 月 28 日
Microsoft Defender for Cloudで計画されているマシンでのSQL ServerのDefenderは、Azure、AWS、GCP、オンプレミスのマシンでホストされているSQL Serverインスタンスを保護します。
本日から、プランの強化されたエージェント ソリューションが徐々にリリースされます。 エージェント ベースのソリューションでは、Azure Monitor エージェント (AMA) をデプロイする必要がなくなり、代わりに既存の SQL インフラストラクチャが使用されます。 このソリューションは、オンボーディング プロセスを容易にし、保護範囲を改善するように設計されています。
必要な顧客アクション:
Update Defender for SQL Server on Machines プランの構成: 本日より前にマシンでのSQL ServerのDefenderを有効にしたお客様は、強化されたエージェント リリースに従って、これらの手順に従って構成を更新する必要があります。
SQL Server インスタンスの保護状態: 推定開始日が 2025 年 5 月の場合、お客様は環境全体でSQL Server インスタンスの保護状態を確認する必要があります。 sql on machines の構成Defenderのデプロイの問題をトラブルシューティングする方法について説明します。
Note
エージェントのアップグレードが行われると、SQL Server on Machines プランで有効なDefenderで追加のSQL Server インスタンスが保護されている場合、課金の増加が発生する可能性があります。 課金情報については、Defender for Cloud 価格ページを確認してください。
Microsoft Defender for Storage でのアップロード時マルウェア スキャンの新しい既定の上限
2025 年 4 月 27 日
アップロード時マルウェア スキャンの既定の上限値が 5,000 GB から 10,000 GB に更新されました。 この新しい上限は、次のシナリオに適用されます。
新しいサブスクリプション: Storage のDefenderが初めて有効になっているサブスクリプション。
Re-enabled Subscriptions: Storage のDefenderが以前に無効になり、再び有効になったサブスクリプション。
これらのサブスクリプションでストレージ マルウェア スキャンのDefenderが有効になっている場合、アップロード時マルウェア スキャンの既定の上限は 10,000 GB に設定されます。 この上限はあなたの特定の必要性を満たすために調節可能である。
詳しくは、「マルウェア スキャン - GB あたりの課金、月単位の上限設定、構成」をご覧ください
Defender CSPM プラン内での API Security Posture Management ネイティブ統合の一般提供
2025 年 4 月 24 日
API Security Posture Management は、Defender CSPM プランの一部として一般提供されるようになりました。 このリリースでは、API の統一されたインベントリとポスチャの分析情報が導入され、Defender CSPM計画から API リスクをより効果的に特定し、優先順位を付けることができます。 この機能を有効にするには、[環境設定] ページで API セキュリティ体制拡張機能を有効にします。
この更新プログラムでは、認証されていない API (AllowsAnonymousAccess) や暗号化されていない API (UnencryptedAccess) のリスク要因など、新しいリスク要因が追加されました。 さらに、Azure API Managementを介して発行された API を使用して、接続されているすべての Kubernetes イングレスと VM へのマッピングを可能にし、API の公開をエンド ツー エンドで可視化し、攻撃パス分析によるリスク修復をサポートできるようになりました。
App Service アラートのDefenderの機能強化
2025 年 4 月 7 日
2025 年 4 月 30 日に、App Service アラート機能のDefenderが強化されます。 疑わしいコード実行と内部エンドポイントまたはリモート エンドポイントへのアクセスに関するアラートを追加します。 さらに、ロジックを拡張し、不要なノイズを引き起こしていたアラートを削除することで、カバレッジを改善し、関連するアラートからのノイズを減らしました。 このプロセスの一環として、アラート "Suspicious WordPress theme invocation detected" (疑わしい WordPress テーマの呼び出しが検出されました) は非推奨になります。
2025 年 3 月
| Date | Category | Update |
|---|---|---|
| 3 月 30 日 | GA | AKS ノードの脆弱性評価とマルウェア検出によるコンテナー保護の強化が GA になりました |
| 3 月 27 日 | Preview | Kubernetes のゲート デプロイ (プレビュー) |
| 3 月 27 日 | Preview | |
| 3 月 26 日 | GA | |
| 3 月 11 日 | 今後の変更 | 推奨事項の重大度レベルに対する今後の変更 |
| 3 月 3 日 | GA |
AKS ノードの脆弱性評価とマルウェア検出によるコンテナー保護の強化が GA になりました
2025 年 3 月 30 日
Defender for Cloudでは、GA としてAzure Kubernetes Service (AKS)ノードの脆弱性評価とマルウェア検出が提供されるようになりました。 これらの Kubernetes ノードに対してセキュリティ保護を提供することで、お客様はマネージド Kubernetes サービス全体のセキュリティとコンプライアンスを維持し、マネージド クラウド プロバイダーとの共有セキュリティ責任における役割を理解することができます。 新しい機能を受け取るために、サブスクリプションの Defender CSPM、Defender for Containers、Defender for Servers P2 プランの一部として、コンピューターのエージェントレス スキャン" を有効にする必要があります。
脆弱性評価
Azure ポータルで新しい推奨事項が使用できるようになりました。AKS ノードには脆弱性の結果が解決されている必要があります。 この推奨事項を使用すると、Azure Kubernetes Service (AKS) ノードで見つかった脆弱性と CVE を確認して修復できるようになりました。
マルウェア検出
エージェントレス マルウェア検出機能が AKS ノードのマルウェアを検出すると、新しいセキュリティ アラートがトリガーされます。 エージェントレスマルウェア検出では、Microsoft Defenderウイルス対策マルウェア対策エンジンを使用して、悪意のあるファイルをスキャンして検出します。 脅威が検出されると、セキュリティ アラートはDefender for CloudとDefender XDRに送られ、そこで調査および修復できます。
Note: AKS ノードのマルウェア検出は、コンテナーまたはサーバー P2 対応環境のDefenderのDefenderでのみ使用できます。
Kubernetes のゲート デプロイ (プレビュー)
2025 年 3 月 27 日
Kubernetes のゲートデプロイ (プレビュー) 機能が、Defender for Containers プランに導入されています。 Kubernetes のゲートデプロイは、組織のセキュリティ ポリシーに違反するコンテナー イメージのデプロイを制御することで、Kubernetes のセキュリティを強化するためのメカニズムです。
この機能は、次の 2 つの新機能に基づいています。
- 脆弱性の結果成果物: 脆弱性評価のためにスキャンされた各コンテナー イメージの結果の生成。
- セキュリティ規則: Kubernetes クラスターへの脆弱なコンテナー イメージのデプロイを警告または防止するためのセキュリティ規則の追加。
カスタマイズされたセキュリティ規則: お客様は、さまざまな環境、組織内の Kubernetes クラスター、または名前空間のセキュリティ規則をカスタマイズして、特定のニーズとコンプライアンス要件に合わせたセキュリティ制御を有効にすることができます。
セキュリティ規則の構成可能なアクション:
監査: 脆弱なコンテナー イメージをデプロイしようとすると、"監査" アクションがトリガーされ、コンテナー イメージの違反の詳細を含む推奨事項が生成されます。
拒否: 脆弱なコンテナー イメージをデプロイしようとすると、コンテナー イメージのデプロイを防ぐために "拒否" アクションがトリガーされ、セキュリティで保護された準拠したイメージのみがデプロイされます。
エンド ツー エンドのセキュリティ: 脆弱なコンテナー イメージのデプロイからの保護を最初のセキュリティ規則として定義し、エンド ツー エンドの Kubernetes セキュリティゲート メカニズムを導入し、脆弱なコンテナーがお客様の Kubernetes 環境に入り込まないようにします。
この機能の詳細については、「 ゲート配置ソリューションの概要」を参照してください。
Defender for Storage のカスタマイズ可能なアップロード時マルウェア スキャン フィルター (プレビュー)
2025 年 3 月 27 日
アップロード時のマルウェア スキャンで、カスタマイズ可能なフィルターがサポートされるようになりました。 ユーザーは、BLOB パスのプレフィックス、サフィックス、BLOB サイズに基づいて、アップロード時マルウェア スキャンの除外ルールを設定できます。 ログや一時ファイルなどの特定の BLOB パスと種類を除外することで、不要なスキャンを回避し、コストを削減できます。
カスタマイズ可能なアップロード時マルウェア スキャン フィルターを構成する方法について説明します。
Azure での CMK のエージェントレス VM スキャン サポートの一般提供
2025 年 3 月 26 日
CMK で暗号化されたディスクを使用Azure VM のエージェントレス スキャンが一般公開されました。 Defender CSPMプランとサーバー P2 のDefenderの両方で、VM のエージェントレス スキャンがサポートされるようになりました。すべてのクラウドで CMK がサポートされるようになりました
CMK で暗号化されたディスク>Azure VM のエージェントレス スキャンを有効に<する方法について説明します。
推奨事項の重大度レベルに対する今後の変更
2025 年 3 月 11 日
リスク評価と優先順位付けを改善するために、推奨事項の重大度レベルを強化しています。 この更新プログラムの一環として、すべての重大度分類を再評価し、新しいレベル (重大) を導入しました。 以前は、推奨事項は、低、中、高の 3 つのレベルに分類されていました。 この更新プログラムでは、低、中、高、重大の 4 つのレベルが追加され、お客様が最も緊急のセキュリティの問題に集中できるように、より詳細なリスク評価が提供されます。
その結果、お客様は既存の推奨事項の重大度の変化に気付く可能性があります。 さらに、Defender CSPMのお客様のみが利用できるリスク レベルの評価も、推奨事項の重大度と資産コンテキストの両方が考慮されるため、影響を受ける可能性があります。 これらの調整は、全体的なリスク レベルに影響する可能性があります。
予想される変更は、2025 年 3 月 25 日に行われます。
Azure GovernmentのMicrosoft Defender for Endpointに基づくファイル整合性監視 (FIM) の一般提供
2025 年 3 月 3 日
Microsoft Defender for Endpointに基づくファイル整合性の監視は、サーバー プラン 2 のDefenderの一部として、Azure Government (GCCH) で GA になりました。
- 重要なファイルとレジストリをリアルタイムで監視し、変更を監査することで、コンプライアンス要件を満たします。
- 疑わしいファイル コンテンツの変更を検出して、潜在的なセキュリティの問題を特定します。
この改善された FIM エクスペリエンスにより、非推奨に設定された既存の FIM が、Log Analytics エージェント (MMA) の提供終了に置き換えられます。 MMA での
このリリースでは、製品内エクスペリエンスがリリースされ、MMA 経由の FIM 構成をエンドポイント バージョンのDefender経由で新しい FIM に移行できるようになります。
エンドポイントに対して FIM over Defenderを有効にする方法については、「
Important
21Vianet および GCCM クラウドで運用されているAzureでのファイル整合性監視の可用性は、現在サポートされる予定はありません。
2025 年 2 月
| Date | Category | Update |
|---|---|---|
| 2 月 27 日 | Change | AWS EC2 リソース名の表示の改善 |
| 2 月 27 日 | GA | |
| 2 月 27 日 | GA | Defender 50 GB までの BLOB のストレージ マルウェア スキャン |
| 2 月 23 日 | Preview | AKS ランタイム コンテナーのコンテナー レジストリに依存しないエージェントレス脆弱性評価 (プレビュー) |
| 2 月 23 日 | Preview | データと AI のセキュリティ ダッシュボード (プレビュー) |
| 2 月 19 日 | Preview | MDC コスト計算ツール (プレビュー) |
| 2 月 19 日 | Preview | 31 の強化された新しいマルチクラウド規制基準の対象範囲 |
AWS EC2 リソース名の表示の改善
2025 年 2 月 27 日
変更の推定日: 2025 年 3 月
プラットフォームで AWS EC2 インスタンスのリソース名を表示する方法が強化されています。 EC2 インスタンスに "name" タグが定義されている場合、[ リソース名] フィールドにそのタグの値が表示されます。 "name" タグが存在しない場合、[ リソース名] フィールドには、前と同様に インスタンス ID が引き続き表示されます。 リソース ID は、参照用の [リソース ID] フィールドで引き続き使用できます。
EC2 の "名前" タグを使用すると、ID ではなく、カスタムのわかりやすい名前でリソースを簡単に識別できます。 これにより、特定のインスタンスの検索と管理が迅速になり、インスタンスの詳細の検索や相互参照にかかる時間と労力が短縮されます。
Microsoft Defender for Storage でのオンデマンド マルウェア スキャン
2025 年 2 月 27 日
Microsoft Defender for Storage のオンデマンド マルウェア スキャン (現在は GA) では、必要に応じて、Azure Storage アカウント内の既存の BLOB をスキャンできます。 スキャンは、Azure ポータル UI または REST API を使用して開始でき、Logic Apps、Automation プレイブック、PowerShell スクリプトを使用した自動化をサポートします。 この機能では、すべてのスキャンに対して最新のマルウェア定義と共に Microsoft Defender ウイルス対策を使用し、スキャン前に Azure ポータルで事前にコスト見積もりを行います。
ユース ケース:
- インシデント対応: 疑わしいアクティビティを検出した後、特定のストレージ アカウントをスキャンします。
- セキュリティベースライン: ストレージのDefenderを最初に有効にするときに、格納されているすべてのデータをスキャンします。
- コンプライアンス: 規制とデータ保護の標準を満たすのに役立つスキャンをスケジュールするように自動化を設定します。
詳細については、「オンデマンド マルウェア スキャン」を参照してください。
最大 50 GB の BLOB のストレージ マルウェア スキャンのDefender
2025 年 2 月 27 日
Storage マルウェア スキャンのDefenderで、最大 50 GB の BLOB がサポートされるようになりました (以前は 2 GB に制限されていました)。
大きな BLOB がアップロードされるストレージ アカウントでは、BLOB サイズの制限が増えた場合、月額料金が高くなることに注意してください。
予期しない高料金を回避するために、1 か月あたりのスキャン合計 GB に適切な上限を設定することをお勧めします。 詳細については、「アップロード時のマルウェア スキャンのコスト管理」を参照してください。
AKS ランタイム コンテナーのコンテナー レジストリに依存しないエージェントレス脆弱性評価 (プレビュー)
2025 年 2 月 23 日
コンテナーと Defender for Cloud Security Posture Management (CSPM) プランのDefender、AKS ランタイム コンテナーのコンテナー レジストリに依存しないエージェントレス脆弱性評価が含まれるようになりました。 この機能強化により、脆弱性評価の対象範囲が拡張され、AKS クラスターで実行されている Kubernetes アドオンやサード パーティ製ツールのスキャンに加えて、任意のレジストリ (サポートされているレジストリに限定されない) からのイメージを含むコンテナーの実行が含まれます。 この機能を有効にするには、Defender for Cloud環境設定でサブスクリプションに対して Agentless machine scanning が有効になっていることを確認します。
データと AI セキュリティ ダッシュボード (プレビュー)
2025 年 2 月 23 日
Defender for Cloudでは、データ セキュリティ ダッシュボードが強化され、プレビューの新しいデータと AI セキュリティ ダッシュボードに AI セキュリティが含まれます。 このダッシュボードは、データと AI リソースを監視および管理するための一元化されたプラットフォームを、関連するリスクや保護の状態と共に備えています。
データと AI セキュリティ ダッシュボードの主な利点は以下のとおりです。
- 統合ビュー: すべての組織データと AI リソースの包括的なビューを取得します。
- データ分析情報: データが格納されている場所と、データを保持するリソースの種類を理解します。
- 保護対象範囲: データと AI リソースの保護対象範囲を評価します。
- 重大な問題: 重大度の高い推奨事項、アラート、攻撃パスに基づいて、すぐに注意が必要なリソースを強調表示します。
- 機密データの検出: クラウドと AI 資産内の機密データ リソースを見つけて要約します。
- AI ワークロード: サービス、コンテナー、データ セット、モデルなど、AI アプリケーションのフットプリントを検出します。
詳細については、「データと AI セキュリティ ダッシュボード」を参照してください。
MDC コスト計算ツール (プレビュー)
2025 年 2 月 19 日
このたび、クラウド環境の保護に関連するコストを簡単に見積もることが可能な、新しい MDC コスト計算ツールを発表いたしました。 このツールは、経費を明確かつ正確に把握できるように工夫されており、これにより計画と予算策定を効果的に行うことができます。
コスト計算ツールを使用する理由は何ですか?
コスト計算ツールを使用すると、保護にかかるニーズの範囲を定義できるため、コストの見積もりプロセスが簡略化されます。 対象とする環境とプランを選択すると、該当する割引率を含め、各プランの課金対象リソースが計算ツールによって自動的に入力されます。 発生する可能性のあるコストを包括的に把握できるため、慌てることがありません。
主な特徴:
スコープ定義: 関心のあるプランと環境を選択します。 計算ツールは、検出プロセスを実行して、環境ごとにプラン別の課金対象ユニットの数を自動的に設定します。
自動処理と手動調整: このツールでは、データの自動収集と手動調整が両方とも可能です。 ユニット数量と割引レベルを変更すると、その変更が全体的なコストにどのように影響するかを確認できます。
包括的なコスト見積もり: この計算ツールは、各プランの見積もりと合計コストのレポートを作成します。 コストの詳しい内訳が提供されるため、経費の理解と管理が容易になります。
マルチクラウドのサポート: Microsoft のソリューションは、サポートされているすべてのクラウドに対して機能し、クラウド プロバイダーに関係なく正確なコスト見積もりを得ることができます。
エクスポートと共有: コスト見積もりを作成したら、予算計画と承認のために簡単にエクスポートして共有できます。
31 の強化された新しいマルチクラウド規制基準の対象範囲
2025 年 2 月 19 日
当社は、Azure、AWS、およびDEFENDER FOR CLOUDにおける31以上のセキュリティおよび規制フレームワークの強化および拡大されたサポートをお知らせしますGcp。 この強化により、コンプライアンスの達成と維持へのパスが簡素化され、データ侵害のリスクが軽減され、罰金や評判の悪化を回避できます。
強化された新しいフレームワークは次のとおりです。
| Standards | Clouds |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure、AWS、GCP |
| EU 一般データ保護規則 (GDPR) 2016 679 | Azure、AWS、GCP |
| NIST CSF v2.0 | Azure、AWS、GCP |
| NIST 800 171 Rev3 | Azure、AWS、GCP |
| NIST SP 800 53 R5.1.1 | Azure、AWS、GCP |
| PCI DSS v4.0.1 | Azure、AWS、GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS Controls v8.1 | Azure、AWS、GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure、AWS、GCP |
| SOC 2023 | Azure、AWS、GCP |
| SWIFT顧客セキュリティ管理枠組み2024 | Azure、AWS、GCP |
| ISO IEC 27001:2022 | Azure、AWS、GCP |
| ISO IEC 27002:2022 | Azure、AWS、GCP |
| ISO IEC 27017:2015 | Azure、AWS、GCP |
| サイバーセキュリティ成熟度モデル認証 (CMMC) レベル 2 v2.0 | Azure、AWS、GCP |
| AWS Well Architected Framework 2024 | AWS |
| カナダ連邦の PBMM 3.2020 | Azure、AWS、GCP |
| APRA CPS 234 2019 | Azure、AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure、AWS、GCP |
| Cyber Essentials v3.1 | Azure、AWS、GCP |
| 刑事司法情報サービスセキュリティポリシー v5.9.5 | Azure、AWS、GCP |
| FFIEC CAT 2017 | Azure、AWS、GCP |
| ブラジルの一般個人データ保護法 (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure、AWS、GCP |
| サーベンス・オクスリー法 2022 (SOX) | Azure、AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure、AWS、GCP |
これは、数か月前の CIS Azure Kubernetes Service (AKS) v1.5、CIS Google Kubernetes Engine (GKE) v1.6、CIS Amazon Elastic Kubernetes Service (EKS) v.15 の最近のリリースに参加します。
Defender for Cloud規制コンプライアンス オファリングの詳細については、
2025 年 1 月
| Date | Category | Update |
|---|---|---|
| 1 月 30 日 | GA | コンテナー レジストリのスキャン条件の更新 |
| 1 月 29 日 | Change | MDVM を利用したコンテナー脆弱性評価スキャンの機能強化 |
| 1 月 27 日 | GA | AI プラットフォームをサポートするために GCP コネクタに追加されたアクセス許可 |
| 1 月 20 日 | Change | GC を利用した Linux ベースラインに関する推奨事項の強化 |
コンテナー レジストリのスキャン条件の更新
2025 年 1 月 30 日
すべてのクラウドと外部レジストリ (Azure、 AWS, GCP, Docker, JFrog).
変更点
現在、イメージはレジストリにプッシュされてから 90 日間再スキャンされます。 これが、30 日前にスキャンするように変更されます。
Note
レジストリ イメージでのコンテナーの脆弱性評価 (VA) に関連する GA 推奨事項に変更はありません。
MDVM を利用したコンテナー脆弱性評価スキャンの機能強化
2025 年 1 月 29 日
以下の更新でコンテナーの脆弱性評価スキャンの対象範囲が拡張されたことをお知らせします。
追加のプログラミング言語: PHP、Ruby、Rust がサポートされるようになりました。
Extended Java Language Support: 展開された JAR のスキャンが含まれます。
メモリ使用量の向上: 大きなコンテナー イメージ ファイルを読み取るときのパフォーマンスを最適化しました。
AI プラットフォームをサポートするために GCP コネクタに追加されたアクセス許可
2025 年 1 月 27 日
GCP AI Platform (Vertex AI) をサポートするために GCP コネクタにアクセス許可が追加されました。
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
GC を利用した Linux ベースラインに関する推奨事項の強化
2025 年 1 月 20 日
精度とカバレッジを向上させるために、ベースライン Linux (GC を利用) 機能を強化しています。 2 月中に、更新されたルール名や追加のルールなどの変更に気付く可能性があります。 これらの強化は、ベースライン評価をより正確かつ最新の状態にするために設計されています。 変更の詳細については、関連するブログを参照してください
一部の変更には、追加の "パブリック プレビュー" の変更が含まれる場合があります。 この更新はユーザーにとって有益であり、随時情報が提供されます。 必要に応じて、リソースから除外するか、GC 拡張機能を削除することで、この推奨事項をオプトアウトできます。
2024 年 12 月
| Date | Category | Update |
|---|---|---|
| 12 月 31 日 | GA | 既存のクラウド コネクタのスキャン間隔の変更 |
| 12 月 22 日 | GA | Microsoft Defender for Endpointファイル整合性監視 (FIM) エクスペリエンスを受け取るためにクライアント バージョンの更新が必要です |
| 12 月 17 日 | Preview | |
| 12 月 10 日 | GA | Defender for Cloud セットアップ エクスペリエンス |
| 12 月 10 日 | GA | クラウド環境のスキャンをDefender for Cloudするための間隔オプション |
| 12 月 17 日 | GA | センシティビティ スキャン機能にAzureファイル共有が含まれるようになりました |
既存のクラウド コネクタのスキャン間隔の変更
2024 年 12 月 31 日
今月初め、クラウド環境をスキャンするための変更されたDefender for Cloud間隔オプションに関するupdateが公開されました。 スキャン間隔の設定は、Defender for Cloudの探索サービスがクラウド リソースをスキャンする頻度を決定します。 この変更により、よりバランスの取れたスキャン プロセスが実現され、パフォーマンスが最適化され、API の制限に達するリスクが最小限に抑えられます。
既存の AWS および GCP クラウド コネクタのスキャン間隔設定が更新され、Defender for Cloudがクラウド環境をスキャンできるようになります。
以下の調整が行われます。
- 現在 1 から 3 時間に設定されている間隔は、4 時間に更新されます。
- 5 時間に設定された間隔は 6 時間に更新されます。
- 7 から 11 時間の間隔は 12 時間に更新されます。
- 13 時間以上の間隔は 24 時間に更新されます。
別のスキャン間隔を使用したい場合は、環境設定ページを使用してクラウド コネクタを調整できます。 これらの変更は、2025 年 2 月上旬にすべてのお客様に対して自動的に適用され、それ以上の操作は必要ありません。
秘密度スキャン機能にAzureファイル共有が含まれるようになりました
2024 年 12 月 17 日
Defender for Cloudのセキュリティ体制管理 (CSPM) の秘密度スキャン機能に、BLOB コンテナーに加えて GA のAzureファイル共有が含まれるようになりました。
この更新の前に、サブスクリプションで Defender CSPM プランを有効にすると、ストレージ アカウント内の BLOB コンテナーで機密データが自動的にスキャンされます。 この更新プログラムにより、CSPM の秘密度スキャン機能のDefenderに、これらのストレージ アカウント内のファイル共有が含まれるようになりました。 この機能強化により、機密性の高いストレージ アカウントのリスク評価と保護が改善され、潜在的なリスクをより包括的に分析できます。
秘密度スキャンについて詳しくは、こちらをご覧ください。
Defender for Cloud CLI を一般的な CI/CD ツールと統合する
Defender for Cloud CLI スキャンと Microsoft Defender for Cloud の一般的な CI/CD ツールの統合がパブリック プレビューで利用できるようになりました。 CLI を CI/CD パイプラインに組み込んで、スキャンしてコンテナー化されたソース コードのセキュリティの脆弱性を特定できるようになりました。 この機能は、パイプラインの実行中にコードの脆弱性を検出して対処できるように開発チームを支援します。 パイプライン スクリプトをMicrosoft Defender for Cloudし、変更するには認証が必要です。 スキャン結果はMicrosoft Defender for Cloudにアップロードされ、セキュリティ チームはコンテナー レジストリ内のコンテナーを表示して関連付けることができます。 このソリューションは、ワークフローを中断することなく、継続的かつ自動化された分析情報を提供し、リスクの検出と対応を迅速化し、セキュリティを確保します。
ユース ケース:
- CI/CD ツール内のパイプライン スキャン: CLI を呼び出すすべてのパイプラインを安全に監視します。
- 早期脆弱性検出: 結果はパイプラインに公開され、Microsoft Defender for Cloudに送信されます。
- セキュリティに関する継続的な分析情報: 生産性に影響を与えることなく、開発サイクル全体にわたって可視性を維持し、迅速に対応します。
詳細については、「Integrate Defender for Cloud CLI with Popular CI/CD Tools を参照してください。
Defender for Cloud セットアップ エクスペリエンス
2024 年 12 月 10 日
セットアップ エクスペリエンスを使用すると、クラウド インフラストラクチャ、コード リポジトリ、外部コンテナー レジストリなどのクラウド環境を接続することで、Microsoft Defender for Cloudで最初の手順を開始できます。
高度なセキュリティ プランで資産を保護する、セキュリティ カバレッジを大幅に拡大するためのクイック アクションを簡単に実行する、接続の問題を把握する、新しいセキュリティ機能の通知を受け取るために、クラウド環境をセットアップする方法について一通り説明します。
クラウド環境のDefender for Cloud スキャンの間隔オプションを変更しました
2024 年 12 月 10 日
AWS、GCP、Jfrog、DockerHub に関連付けられているクラウド コネクタのスキャン間隔オプションが変更されました。 スキャン間隔機能を使用すると、Defender for Cloudがクラウド環境のスキャンを開始する頻度を制御できます。 クラウド コネクタを追加または編集する際に、スキャン間隔を 4、6、12、または 24 時間に設定できます。 新しいコネクタの既定のスキャン間隔は、引き続き 12 時間です。
ファイル整合性監視 (FIM) エクスペリエンスを受け取るためにクライアント バージョンの更新が必要Microsoft Defender for Endpoint
2025 年 6 月
2025 年 6 月以降、ファイル整合性監視 (FIM) には、エンドポイント (MDE) クライアント バージョンの最小Defenderが必要です。 Microsoft Defender for Cloud: Windows: 10.8760、Linux の場合: 30.124082 の FIM エクスペリエンスを引き続き利用するには、少なくとも次のクライアント バージョンであることを確認してください。 詳細情報
2024 年 11 月
秘密度スキャン機能にAzureファイル共有が含まれるようになりました (プレビュー)
2024 年 11 月 28 日
Defender for Cloudのセキュリティ体制管理 (CSPM) の秘密度スキャン機能に、BLOB コンテナーに加えてAzureファイル共有 (プレビュー段階) が含まれるようになりました。
この更新の前に、サブスクリプションで Defender CSPM プランを有効にすると、ストレージ アカウント内の BLOB コンテナーで機密データが自動的にスキャンされます。 この更新プログラムにより、CSPM の秘密度スキャン機能のDefenderに、これらのストレージ アカウント内のファイル共有が含まれるようになりました。 この機能強化により、機密性の高いストレージ アカウントのリスク評価と保護が改善され、潜在的なリスクをより包括的に分析できます。
秘密度スキャンについて詳しくは、こちらをご覧ください。
秘密度ラベルの同意の変更
2024 年 11 月 26 日
Microsoft 365 Defender ポータルまたはMicrosoft Purview ポータルで構成されたカスタム情報の種類と秘密度ラベルを利用するために、[ラベル] ページの [Information Protection] セクションの下にある専用の同意ボタンを選択する必要がなくなりました。
この変更により、すべてのカスタム情報の種類と秘密度ラベルが、Microsoft Defender for Cloud ポータルに自動的にインポートされます。
詳細については、データ秘密度設定に関する記事を参照してください。
感度ラベルの変更
2024 年 11 月 26 日
最近まで、Defender for Cloudは、次の 2 つの条件を満たすすべての秘密度ラベルをMicrosoft 365 Defender ポータルからインポートしました。
- スコープが "Items -> Files" または "Items -> Emails" に設定されている秘密度ラベルは、Information Protection セクションの [ラベルのスコープを定義する] セクションの下にあります。
- 秘密度ラベルには、自動ラベル付け規則が構成されています。
2024 年 11 月 26 日の時点で、ユーザー インターフェイス (UI) の秘密度ラベル スコープの名前が、Microsoft 365 Defender ポータルとMicrosoft Purview ポータルの両方で更新されました。 Defender for Cloudでは、"ファイルとその他のデータ資産" スコープが適用された秘密度ラベルのみがインポートされるようになりました。 Defender for Cloudは、"Emails" スコープが適用されたラベルをインポートしなくなりました。
Note
この変更が行われる前に "項目 -> ファイル" で構成されたラベルは、新しい "ファイルとその他のデータ資産" スコープに自動的に移行されます。
秘密度ラベルを構成する方法の詳細について説明します。
最大 50 GB の BLOB のストレージ マルウェア スキャンのDefender (プレビュー)
2024 年 11 月 25 日
変更予定日: 2024 年 12 月 1 日
2024 年 12 月 1 日から、Storage マルウェア スキャンのDefenderは、最大 50 GB の BLOB (以前は 2 GB に制限)
大きな BLOB がアップロードされるストレージ アカウントでは、BLOB サイズの制限が増えた場合、月額料金が高くなることに注意してください。
予期しない高額料金を回避するために、1 か月あたりのスキャン合計 GB に適切な上限を設定することをお勧めします。 詳細については、「アップロード時のマルウェア スキャンのコスト管理」を参照してください。
マネージド Kubernetes 環境の CIS 標準の更新バージョンと新しい推奨事項
2024 年 11 月 19 日
Defender for Cloudの規制コンプライアンス ダッシュボードには、マネージド Kubernetes 環境のセキュリティ体制を評価するための Center for Internet Security (CIS) 標準の更新バージョンが提供されるようになりました。
ダッシュボードから、AWS/EKS/GKE Kubernetes リソースに次の標準を割り当てることができます。
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
これらの標準に対して可能な限り対応できるようにするために、79 個の新しい Kubernetes 中心の推奨事項のリリースも行うことで、対応を強化しました。
これらの新しい推奨事項を使用するには、上記の標準を割り当てるか、カスタム標準を作成して、それに新しい評価を 1 つ以上含めます。
高度なハンティングにおける Kubernetes クラウド プロセス イベントのパブリック プレビュー
高度なハンティングにおける Kubernetes クラウド プロセスのイベントのプレビュー リリースを発表します。 この強力な統合を使用すると、マルチクラウド環境全体で発生する Kubernetes プロセス イベントに関する詳細情報が提供されます。 これを使用して、クラウド インフラストラクチャで呼び出された悪意のあるプロセスなどの、プロセスの詳細を通じて観察できる脅威を検出できます。 詳細については、「 CloudProcessEvents」を参照してください。
脆弱性管理におけるライセンス持ち込み (BYOL) 機能の廃止
2024 年 11 月 19 日
変更の推定日:
2025 年 2 月 3 日: この機能は、新しいマシンとサブスクリプションのオンボードに使用できなくなります。
2025 年 5 月 1 日: この機能は完全に非推奨となり、使用できなくなります。
Defender for Cloudセキュリティ エクスペリエンスの向上に向けた取り組みの一環として、脆弱性評価ソリューションを合理化しています。 Defender for Cloudの "ライセンス持ち込み" 機能は削除されます。 次に、Microsoft Security Exposure Management コネクタを使用して、よりシームレスで統合された完全なソリューションを実現します。
Microsoft Security Exposure Management 内で新しいコネクタ ソリューションに移行することをお勧めします。 Microsoft チームはこの移行を通じてお客様をサポートします。
コネクタの使用方法の詳細については、「 Microsoft Security Exposure Management - Microsoft Security Exposure Management でのデータ ソースの接続の概要」を参照してください。
Microsoft Defender for Cloudでのエージェントレス コード スキャン (プレビュー)
2024 年 11 月 19 日
Microsoft Defender for Cloudでのエージェントレス コード スキャンがパブリック プレビューで利用できるようになりました。 1 つのコネクタを使用して、Azure DevOps組織のすべてのリポジトリに高速でスケーラブルなセキュリティを提供します。 このソリューションは、セキュリティ チームが、Azure DevOps環境全体でコードとしてのコードおよびインフラストラクチャ (IaC) 構成の脆弱性を見つけて修正するのに役立ちます。 エージェント、パイプラインの変更、または開発者ワークフローの中断は必要ないため、セットアップとメンテナンスが容易です。 これは、継続的インテグレーションと継続的デプロイ (CI/CD) パイプラインとは関係なく機能します。 このソリューションは、ワークフローを中断することなく、継続的かつ自動化された分析情報を提供し、リスクの検出と対応を迅速化し、セキュリティを確保します。
ユース ケース:
- Organization-wide scanning: 1 つのコネクタを使用して、Azure DevOps組織のすべてのリポジトリを安全に監視できます。
- 脆弱性の早期検出: プロアクティブなリスク管理のために、コードと IaC のリスクをすばやく検出します。
- セキュリティに関する継続的な分析情報: 生産性に影響を与えることなく、開発サイクル全体にわたって可視性を維持し、迅速に対応します。
詳細については、「
Microsoft Defender for Storage でのオンデマンドマルウェア スキャン (プレビュー)
2024 年 11 月 19 日
Microsoft Defender for Storage のオンデマンド マルウェア スキャン (パブリック プレビュー段階) では、必要に応じて、Azure Storage アカウント内の既存の BLOB をスキャンできます。 スキャンは、Azure ポータル UI または REST API を使用して開始でき、Logic Apps、Automation プレイブック、PowerShell スクリプトを使用した自動化をサポートします。 この機能では、すべてのスキャンに対して最新のマルウェア定義と共に Microsoft Defender ウイルス対策を使用し、スキャン前に Azure ポータルで事前にコスト見積もりを行います。
ユース ケース:
- インシデント対応: 疑わしいアクティビティを検出した後、特定のストレージ アカウントをスキャンします。
- セキュリティベースライン: ストレージのDefenderを最初に有効にするときに、格納されているすべてのデータをスキャンします。
- コンプライアンス: 規制とデータ保護の標準を満たすのに役立つスキャンをスケジュールするように自動化を設定します。
詳細については、「オンデマンド マルウェア スキャン」を参照してください。
Defender for Containers による JFrog Artifactory コンテナー レジストリのサポート (プレビュー)
2024 年 11 月 18 日
この機能は、外部レジストリのコンテナー カバレッジのMicrosoft Defenderを拡張して、JFrog Artifactory を含めます。 JFrog Artifactory コンテナー イメージは、セキュリティ上の脅威を特定し、潜在的なセキュリティ リスクを軽減するために、Microsoft Defender 脆弱性の管理を使用してスキャンされます。
AI セキュリティ態勢管理の一般公開 (GA) 開始
2024 年 11 月 18 日
Defender for Cloudの AI セキュリティ体制管理機能が一般公開 (GA) になりました。
Defender for Cloudは、次の方法でクラウド AI ワークロード間のリスクを軽減します。
コードからクラウドへのアプリケーション コンポーネント、データ、AI アーティファクトを含む生成 AI 部品表 (AI BOM) の検出。
組み込みの推奨事項を使用し、セキュリティ リスクを調査して修復することによる、生成 AI アプリケーションのセキュリティ態勢の強化。
攻撃パス分析を使用したリスクの特定と修復。
詳細については、「AI セキュリティ体制管理」を参照してください。
Microsoft Defender for Cloudの重要な資産保護
2024 年 11 月 18 日
本日、Microsoft Defender for Cloudにおける重要な資産保護の一般提供についてお知らせします。 この機能を使用すると、セキュリティ管理者は、組織にとって最も重要な "クラウン ジュエル" リソースにタグを付けることができ、Defender for Cloudは最高レベルの保護を提供し、これらの資産に関するセキュリティの問題に優先順位を付けられます。 重要資産保護の詳細については、こちらを参照してください。
一般提供リリースに加えて、Kubernetes と非人間 ID リソースのタグ付けのサポートも拡大しています。
コンテナーの重要資産保護の強化
2024 年 11 月 18 日
重要な資産保護 は、コンテナーの追加のユース ケースをサポートするように拡張されています。
Kubernetes によって管理される資産 (ワークロード、コンテナーなど) がクリティカルかどうかを資産の Kubernetes 名前空間や資産の Kubernetes ラベルに基づいて指定するカスタム ルールをユーザーが作成できるようになりました。
他の重要な資産保護のユース ケースと同様に、Defender for Cloudでは、リスクの優先順位付け、攻撃パスの分析、セキュリティ エクスプローラーの資産の重要度が考慮されます。
コンテナー脅威に対する検出と応答の機能強化
2024 年 11 月 18 日
Defender for Cloudには、SOC チームがクラウドネイティブ環境でtackle コンテナーの脅威を高速化し、精度を高める一連の新機能が用意されています。 これらの機能強化には、Threat Analytics、GoHunt 機能、Microsoft Security Copilotガイド付き応答、Kubernetes ポッドのクラウドネイティブ応答アクションが含まれます。
Kubernetes ポッドのためのクラウドネイティブ応答アクション (プレビュー) の導入
Defender for Cloudでは、Defender XDR ポータルから排他的にアクセスできる Kubernetes ポッドに対するマルチクラウド応答アクションが提供されるようになりました。 これらの機能により、AKS、EKS、GKE クラスターのインシデント応答が強化されます。
新しい応答アクションを以下に示します。
ネットワークの分離 - ポッドへのすべてのトラフィックを即座にブロックし、横移動とデータ流出を防ぎます。 Kubernetes クラスターでネットワーク ポリシーを構成する必要があります。
ポッドの終了 - 疑わしいポッドをすばやく終了し、広範なアプリケーションを中断することなく悪意のあるアクティビティを停止します。
これらのアクションにより、SOC チームはクラウド環境全体で効果的に脅威を封じ込めることができるようになります。
コンテナーの脅威の分析レポート
コンテナー化環境を標的とする脅威を包括的に可視化するように設計された、専用の脅威の分析レポートを導入します。 このレポートでは、SOC チームが AKS、EKS、GKE のクラスターにおける最新の攻撃パターンを検出して応答するための分析情報が得られます。
主なハイライト:
- Kubernetes 環境内の、上位の脅威および関連する攻撃手法の詳細な分析。
- クラウドネイティブのセキュリティ態勢を強化して新たなリスクを軽減するための、アクションにつながる推奨事項。
Kubernetes ポッドと GoHuntリソースのAzure
GoHunt は、Defender XDR ポータル内に Kubernetes ポッドとAzure リソースを含むようにハンティング機能を拡張するようになりました。 この機能は、先回りでの脅威ハンティングを向上させるものであり、SOC アナリストはこれを利用してクラウドネイティブ ワークロード全体の詳細な調査を実施できます。
主な機能:
- Kubernetes ポッドとAzure リソースの異常を検出するための高度なクエリ機能により、脅威分析のための豊富なコンテキストが提供されます。
- Kubernetes エンティティとのシームレスな統合によって、効率的な脅威ハンティングと調査が可能になります。
Kubernetes ポッドのガイド付き応答のSecurity Copilot
Security Copilotを利用した機能である Kubernetes ポッドのガイド付き応答について紹介します。 この新機能はステップ バイ ステップのガイダンスをリアルタイムで提供するものであり、SOC チームはこれを利用するとコンテナー脅威に迅速かつ効果的に対応できるようになります。
主な利点:
- 一般的な Kubernetes 攻撃シナリオに合わせて作られた、コンテキストに応じた応答のプレイブック。
- エキスパートがSecurity Copilotからリアルタイムでサポートし、知識ギャップを埋め、より迅速な解決を可能にします。
Defender CSPM プラン内の API Security Posture Management ネイティブ統合がパブリック プレビュー段階になりました
2024 年 11 月 15 日
API セキュリティ体制管理 (プレビュー) 機能が Defender CSPM プランに含まれるようになり、環境設定ページのプラン内の拡張機能を使用して有効にできるようになりました。 詳しくは、「API セキュリティ態勢を改善する (プレビュー)」をご覧ください。
AKS ノードの脆弱性評価とマルウェアの検出によるコンテナー保護の強化 (プレビュー)
2024 年 11 月 13 日
Defender for Cloudは、Azure Kubernetes Service (AKS)内のノードの脆弱性評価とマルウェア検出を提供し、マネージド クラウド プロバイダーとの共有セキュリティ責任における顧客の役割を明確にします。
これらの Kubernetes ノードにセキュリティ保護を提供することで、お客様はマネージド Kubernetes サービス全体でセキュリティとコンプライアンスを維持できます。
新しい機能を受け取るために、サブスクリプションの Defender CSPM、Defender for Containers、または Defender for Servers P2 プランで agentless scanning for machines オプションを有効にする必要があります。
脆弱性評価
Azure ポータルで新しい推奨事項 (AKS nodes should have vulnerability findings resolved) を使用できるようになりました。 この推奨事項を使用して、Azure Kubernetes Service (AKS) ノードで見つかった脆弱性と CVE を確認して修復できるようになりました。
マルウェア検出
エージェントレス マルウェア検出機能が AKS ノードのマルウェアを検出すると、新しいセキュリティ アラートがトリガーされます。
エージェントレスマルウェア検出では、Microsoft Defenderウイルス対策マルウェア対策エンジンを使用して、悪意のあるファイルをスキャンして検出します。 脅威が検出されると、セキュリティ アラートはDefender for CloudとDefender XDRに送られ、そこで調査および修復できます。
Important
AKS ノードのマルウェア検出は、コンテナーのDefenderまたはサーバー P2 対応環境のDefenderでのみ使用できます。
強化された Kubernetes(K8s)アラートのドキュメント化およびシミュレーションツール
2024 年 11 月 7 日
主な機能
- シナリオベースのアラート ドキュメント: K8s アラートは、実際のシナリオに基づいて文書化され、潜在的な脅威と推奨されるアクションに関するより明確なガイダンスが提供されるようになりました。
- Microsoft Defender for Endpoint (MDE) 統合: アラートは、MDE からの追加のコンテキストと脅威インテリジェンスで強化され、効果的に対応する機能が向上します。
- 新しいシミュレーション ツール: さまざまな攻撃シナリオをシミュレートし、対応するアラートを生成することで、セキュリティ体制をテストするための強力なシミュレーション ツールが使用できます。
Benefits
- アラートの理解の向上: シナリオベースのドキュメントでは、K8s アラートをより直感的に理解できるようになります。
- 強化された脅威への対応: アラートは貴重なコンテキストで強化され、より迅速かつ正確な対応が可能になります。
- セキュリティの事前テスト: 新しいシミュレーション ツールを使用すると、セキュリティ防御をテストし、悪用される前に潜在的な脆弱性を特定できます。
API の機密データ分類のサポート強化
2024 年 11 月 6 日
Microsoft Defender for Cloud API セキュリティの機密データ分類機能を API URL パスとクエリ パラメーターに加え、API の要求と応答 (API プロパティに含まれる機密情報のソースを含む) に拡張します。 この情報は、攻撃パス分析エクスペリエンス、機密データを含む API Management 操作が選択されている場合は Cloud Security Explorer の [追加の詳細] ページ、API コレクションの詳細ページの [ワークロード保護] の下の API セキュリティ ダッシュボードに表示され、検出された機密データに関する詳細な分析情報を提供する新しいサイド コンテキスト メニューが表示されます。 セキュリティ チームがデータの漏えいリスクを効率的に特定して軽減できるようにします。
Note
この変更には、API とDefender CSPMのお客様向けの既存のDefenderへの 1 回限りのロールアウトが含まれます。
バックエンド コンピューティングへの API エンドポイントAzure API Managementマッピングの新しいサポート
2024 年 11 月 6 日
Defender for Cloudの API セキュリティ体制では、Defender Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer で、Azure API Management ゲートウェイを介して発行された API エンドポイントを仮想マシンなどのバックエンド コンピューティング リソースにマッピングできるようになりました。 この可視性により、バックエンド クラウド コンピューティング先への API トラフィック ルーティングを識別できるようになります。これで、API エンドポイントとそれに接続されているバックエンド リソースに関連する露出リスクを検出して対処できます。
複数リージョンのAzure API Managementデプロイと API リビジョンの管理に対する API セキュリティ サポートの強化
2024 年 11 月 6 日
Defender for Cloud内の API セキュリティ カバレッジでは、プライマリリージョンとセカンダリ リージョンの両方に対する完全なセキュリティ体制と脅威検出のサポートなど、Azure API Managementマルチリージョンデプロイの完全なサポートが提供されるようになりました
API のDefenderへの API のオンボードとオフボードは、Azure API Management API レベルで管理されるようになりました。 関連付けられているすべてのAzure API Managementリビジョンがプロセスに自動的に含まれるため、各 API リビジョンのオンボードとオフボードを個別に管理する必要がなくなります。
この変更には、API のお客様向けの既存のDefenderへの 1 回限りのロールアウトが含まれます。
ロールアウトの詳細:
- ロールアウトは、11 月 6 日の週に、API のお客様向けの既存のDefenderに対して行われます。
- Azure API Management API の "現在の" リビジョンが既に API のDefenderにオンボードされている場合、その API に関連付けられているすべてのリビジョンも、API のDefenderに自動的にオンボードされます。
- Azure API Management API の "現在の" リビジョンが API のDefenderにオンボードされていない場合、API のDefenderにオンボードされた関連する API リビジョンはオフボードされます。
2024 年 10 月
| Date | Category | Update |
|---|---|---|
| 10 月 31 日 | 今後の変更 | 複数リージョンのAzure API Managementデプロイと API リビジョンの管理のためのEnhanced API セキュリティ サポート |
| 10 月 28 日 | GA | MMA 移行エクスペリエンスが利用可能になりました |
| 10 月 21 日 | GA | Advanced Security を使用しないGitHub リポジトリ GitHubのセキュリティの結果が GA になりました |
| 10 月 14 日 | 今後の変更 | 3 つのコンプライアンス標準の廃止 |
| 10 月 14 日 | 今後の変更 | 3 つのDefender for Cloud標準の仕様 |
| 10 月 9 日 | GA | バイナリ ドリフト検出が GA としてリリースされました |
| 10 月 6 日 | Preview | 更新されたコンテナー ランタイムの推奨事項 |
| 10 月 6 日 | Preview | セキュリティ グラフの Kubernetes ID とアクセス情報 |
| 10 月 6 日 | Preview | Kubernetes ID とアクセス情報ベースの攻撃パス |
| 10 月 6 日 | GA | コンテナーの攻撃パス分析の改善 |
| 10 月 6 日 | GA | サポートされているレジストリ内のコンテナー イメージの全面的検出 |
| 10 月 6 日 | GA | クラウド セキュリティ エクスプローラーを使用したコンテナー ソフトウェア インベントリ |
MMA 移行エクスペリエンスが提供されるようになった
2024 年 10 月 28 日
これで、2024 年 11 月末に予定されているLog Analytics エージェント (MMA) の廃止後に、すべての環境が完全に準備されるようになります。
Defender for Cloud、影響を受けるすべての環境に対して大規模なアクションを実行できる新しいエクスペリエンスが追加されました。
- Defender for Servers Plan 2 で提供される完全なセキュリティ カバレッジを得るために必要な前提条件はありません。
- これはLog Analyticsワークスペースを介した従来のオンボード アプローチを使用して、Defender for Servers Plan 2 に接続。
- これは、Log Analytics エージェント (MMA) と共に古いファイル整合性監視 (FIM) バージョンを使用して、Defender for Endpoint (MDE) を使用して、新しい
improved FIM バージョンに移行する必要があります。
新しい MMA 移行エクスペリエンスを使用する方法を確認してください。
GitHub Advanced Security を使用しないGitHub リポジトリのセキュリティの結果が GA になりました
2024 年 10 月 21 日
GitHub Advanced Security を使用せずに、コードとしてのインフラストラクチャ (IaC) の構成ミス、コンテナーの脆弱性、およびGitHubリポジトリのコードの脆弱性に関するセキュリティの結果を受け取る機能が一般公開されました。
シークレット スキャン、
必要なライセンスについて詳しくは、DevOps のサポート ページをご覧ください。 GitHub環境をDefender for Cloudにオンボードする方法については、GitHubオンボード ガイドに従ってください。 Microsoft Security DevOps GitHub アクションを構成する方法については、GitHub Action のドキュメントを参照してください。
3 つのコンプライアンス標準の非推奨化
2024 年 10 月 14 日
変更予定日: 2024 年 11 月 17 日
製品から 3 つのコンプライアンス標準が削除されます。
- SWIFT CSP-CSCF v2020 (Azure用) - これは v2022 バージョンに置き換えられた
- CIS Microsoft Azure Foundations Benchmark v1.1.0 と v1.3.0 - 2 つの新しいバージョン (v1.4.0 と v2.0.0) を使用できます
Available コンプライアンス標準のDefender for Cloudで利用可能なコンプライアンス標準の詳細について説明します。
3 つのDefender for Cloud標準の廃止
2024 年 10 月 8 日
変更予定日: 2024 年 11 月 17 日
AWS アカウントと GCP プロジェクトを使用したDefender for Cloudの管理を簡略化するために、次の 3 つのDefender for Cloud標準を削除します。
- AWS の場合 - AWS CSPM
- GCP - GCP CSPM と GCP の既定値の場合
既定の標準である Microsoft Cloud セキュリティ ベンチマーク (MCSB) には、これらの標準に固有であったすべての評価が含まれるようになりました。
バイナリ ドリフト検出が一般提供版としてリリースされました
2024 年 10 月 9 日
バイナリ ドリフト検出は、コンテナー プランのDefenderで GA としてリリースされました。 AKS のすべてのバージョンでバイナリ ドリフト検出が動作するようになることに注意してください。
更新されたコンテナー ランタイムの推奨事項 (プレビュー)
2024 年 10 月 6 日
"AWS/Azure/GCP で実行されているコンテナーに脆弱性の結果を解決する必要がある" に関するプレビューの推奨事項が更新され、同じワークロードの一部であるすべてのコンテナーが 1 つの推奨事項にグループ化され、重複が減り、新しいコンテナーと終了したコンテナーによる変動を回避できます。
2024 年 10 月 6 日の時点で、次の評価 ID がこれらの推奨事項に置き換えられました。
| Recommendation | 以前の評価 ID | 新しい評価 ID |
|---|---|---|
| -- | -- | -- |
| Azureで実行されているコンテナーには、脆弱性の検出結果が解決されている必要があります | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| AWS で実行されているコンテナーでは、脆弱性の検出結果が解決されている必要がある | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| GCP で実行されているコンテナーでは、脆弱性の検出結果が解決されている必要がある | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
現在 API 経由でこれらの推奨事項から脆弱性レポートを取得している場合は、新しい評価 ID で API 呼び出しを更新してください。
セキュリティ グラフの Kubernetes ID とアクセス情報 (プレビュー)
2024 年 10 月 6 日
Kubernetes の ID とアクセスの情報がセキュリティ グラフに追加されます。これには、すべての Kubernetes ロール ベースのAccess Control (RBAC) 関連エンティティ (サービス アカウント、ロール、ロール バインドなど) を表すノード、および Kubernetes オブジェクト間のアクセス許可を表すエッジが含まれます。 お客様は、Kubernetes RBAC のセキュリティ グラフと、Kubernetes エンティティ間の関連リレーションシップに対してクエリを実行できるようになりました ([次のものとして認証可能]、[次のものとして偽装可能]、[ロールの付与]、[次によって定義済み]、[へのアクセスを許可]、[次のアクセス許可あり] など)
Kubernetes ID とアクセス情報ベースの攻撃パス (プレビュー)
2024 年 10 月 6 日
セキュリティ グラフで Kubernetes RBAC データを使用して、Defender for Cloudは Kubernetes、Kubernetes からクラウド、内部 Kubernetes の横移動を検出し、攻撃者が Kubernetes クラスターとの間、および Kubernetes クラスター内への横移動のために Kubernetes とクラウドの承認を悪用する可能性がある他の攻撃パスを報告するようになりました。
コンテナーの攻撃パス分析の改善
2024 年 10 月 6 日
昨年 11 月にリリースされた新しい攻撃パス分析エンジンでは、コンテナーのユース ケースもサポートされるようになりました。グラフに追加されたデータに基づいて、クラウド環境の新しい種類の攻撃パスを動的に検出します。 より多くのコンテナーの攻撃パスが検出できるようになり、攻撃者がクラウド環境と Kubernetes 環境に侵入するために使用するより複雑で高度な攻撃パターンを検出できるようになりました。
サポートされているレジストリ内のコンテナー イメージの全面的検出
2024 年 10 月 6 日
Defender for Cloudサポートされているレジストリ内のすべてのコンテナー イメージのインベントリ データが収集されるようになりました。これにより、クラウド環境内のすべてのイメージ (現在体制に関する推奨事項がないイメージを含む) がセキュリティ グラフ内で完全に可視化されます。
クラウド セキュリティ エクスプローラーを使用したクエリ機能が強化され、ユーザーはメタデータ (ダイジェスト、リポジトリ、OS、タグなど) に基づいてコンテナー イメージを検索できるようになりました。
クラウド セキュリティ エクスプローラーを使用したコンテナー ソフトウェア インベントリ
2024 年 10 月 6 日
お客様は、クラウド セキュリティ エクスプローラーを使用して、コンテナーとコンテナー イメージ内にインストールされているソフトウェアのリストを取得できるようになりました。 この一覧を使用すると、CVE が公開される前であっても、ゼロデイ脆弱性の影響を受けるソフトウェアを持つすべてのコンテナーとコンテナー イメージの検出など、顧客環境に関するその他の分析情報をすばやく取得することもできます。
2024 年 9 月
| Date | Category | Update |
|---|---|---|
| 9 月 22 日 | 今後の変更 | クラウド セキュリティ エクスプローラーのエクスペリエンス改善 |
| 9 月 18 日 | GA | |
| 9 月 18 日 | GA | |
| 9 月 18 日 | Deprecation | MMA 自動プロビジョニング機能の廃止 |
| 9 月 15 日 | GA | |
| 9 月 11 日 | 今後の変更 | CSPM マルチクラウド ネットワーク要件の更新 |
| 9 月 9 日 | Deprecation | Defender for Servers 機能の廃止 |
| 9 月 9 日 | GA | |
| 9 月 8 日 | GA | コンピューター上のシステム更新プログラムと修正プログラムのレコメンデーションを修復する |
| 9 月 4 日 | GA | ServiceNow の統合に構成コンプライアンス モジュールが含まれるようになりました |
| 9 月 4 日 | 今後の変更 | Defender for Storage (クラシック) のトランザクションごとのストレージ保護プランは、新しいサブスクリプションでは使用できません |
| 9 月 1 日 | GA | |
| 9 月 1 日 | Preview | コンテナーのDefenderによるDocker Hub コンテナー レジストリサポートのパブリック プレビュー |
クラウド セキュリティ エクスプローラーのエクスペリエンス改善
2024 年 9 月 22 日
変更予定日: 2024 年 10 月
クラウド セキュリティ エクスプローラーは、パフォーマンスとグリッド機能の向上、各クラウド資産に対するより多くのデータ エンリッチメントの提供、検索カテゴリの改善、エクスポートされたクラウド資産に関するより多くの分析情報を持つ CSV エクスポート レポートの改善を行うように設定されています。
Microsoft Defender for Endpointに基づくファイル整合性監視の一般提供
2024 年 9 月 18 日
Microsoft Defender for Endpointに基づくファイル整合性監視の新しいバージョンが、サーバー プラン 2 のDefenderの一部として GA になりました。 FIM では、次の操作を実行できます。
- 重要なファイルとレジストリをリアルタイムで監視し、変更を監査することで、コンプライアンス要件を満たします。
- 疑わしいファイル コンテンツの変更を検出して、潜在的なセキュリティの問題を特定します。
この改善された FIM エクスペリエンスにより、非推奨に設定された既存の FIM が、Log Analytics エージェント (MMA) の提供終了に置き換えられます。 MMA 経由の FIM エクスペリエンスは 2024 年 11 月末まで引き続きサポートされます。
このリリースでは、製品内エクスペリエンスがリリースされ、MMA 経由の FIM 構成をエンドポイント バージョンのDefender経由で新しい FIM に移行できます。
エンドポイントに対して FIM over Defenderを有効にする方法については、「
FIM の移行エクスペリエンスは、Defender for Cloudで利用できます
2024 年 9 月 18 日
製品内エクスペリエンスがリリースされ、MMA 経由で FIM 構成をエンドポイント バージョンのDefender経由で新しい FIM に移行できます。 このエクスペリエンスを使用すると、次のことができます。
- MMA 経由で以前の FIM バージョンが有効になっており、移行を必要とする、影響を受ける環境を確認します。
- MMA ベースのエクスペリエンスから現在の FIM ルールをエクスポートし、ワークスペースに保存します。
- MDE 経由で新しい FIM を使用して P2 対応サブスクリプションに移行します。
移行エクスペリエンスを使用するには、[ 環境設定 ] ウィンドウに移動し、上の行にある MMA 移行 ボタンを選択します。
MMA 自動プロビジョニング機能の廃止
2024 年 9 月 18 日、MMA エージェントの提供終了の一環として、MDC のお客様向けにエージェントのインストールと構成を提供する自動プロビジョニング機能は、次の 2 つの段階を経て廃止されます。
2024 年 9 月末までに - 機能を使用しなくなったお客様と、新しく作成されたサブスクリプションに対して、MMA の自動プロビジョニングが無効になります。 9 月末以降、この機能をそれらのサブスクリプションで再び有効にすることはできなくなります。
2024 年 11 月末 - MMA の自動プロビジョニングは、まだオフにしていないサブスクリプションで無効になります。 その時点から、既存のサブスクリプションでこの機能を有効にすることはできなくなります。
Power BIとの統合
2024 年 9 月 15 日
Defender for Cloudは、Power BIと統合できるようになりました。 この統合により、Defender for Cloudのデータを使用してカスタム レポートとダッシュボードを作成できます。 Power BIを使用して、セキュリティ体制、コンプライアンス、およびセキュリティに関する推奨事項を視覚化して分析できます。
Power BIintegration の詳細を確認>。
CSPM マルチクラウド ネットワーク要件の更新
2024 年 9 月 11 日
変更予定日: 2024 年 10 月
2024 年 10 月から、機能強化に対応し、すべてのユーザーにさらに効率的なエクスペリエンスを提供するために、マルチクラウド検出サービスにさらに IP アドレスが追加されます。
サービスからのアクセスを中断しないようにするには、 ここで提供されている新しい範囲で IP 許可リストを更新する必要があります。 ファイアウォールの設定、セキュリティ グループ、またはお使いの環境に当てはまる可能性のあるその他の構成で、必要な調整を行う必要があります。 このリストは、CSPM の基本 (無料) オファリングの全機能に十分対応しています。
Defender for Servers 機能の廃止
2024 年 9 月 9 日
適応型アプリケーション制御と適応型ネットワーク強化の両方が廃止されました。
スペイン国家安全保障フレームワーク (Esquema Nacional de Seguridad (ENS)) がAzureの規制コンプライアンス ダッシュボードに追加されました
2024 年 9 月 9 日
Azure環境で ENS 標準に準拠していることを確認する必要がある組織は、Defender for Cloudを使用してこれを行えるようになりました。
ENS 規格は、スペインの公共部門全体、および行政機関と協力するサプライヤーに適用されます。 電子処理された情報およびサービスを保護するための基本原則、要件、セキュリティ対策を確立します。 目標は、アクセス、機密性、整合性、追跡可能性、信頼性、可用性、およびデータの保持を確保することです。
サポートされているコンプライアンス標準の完全なリストを確認します。
コンピューター上のシステム更新プログラムと修正プログラムのレコメンデーションを修復する
2024 年 9 月 8 日
Azure Arc対応のマシンとAzure VM で、システム更新プログラムと修正プログラムの推奨事項を修復できるようになりました。 システム更新プログラムとパッチは、コンピューターのセキュリティと正常性を維持するために重要です。 多くの場合、更新プログラムには、脆弱性が修正されていない場合に攻撃者が悪用できる脆弱性に対するセキュリティ パッチが含まれています。
不足しているマシンの更新に関する情報は、Azure Update Managerを使用して収集されるようになりました。
システム更新プログラムとパッチに対してコンピューターのセキュリティを維持するには、コンピューターで定期的な評価更新設定を有効にする必要があります。
コンピューターでシステム更新プログラムとパッチのレコメンデーションを修復する方法について説明します。
ServiceNow の統合に構成コンプライアンス モジュールが含まれるようになりました
2024 年 9 月 4 日
Defender for Cloudの CSPM プランと ServiceNow の統合に、ServiceNow の構成コンプライアンス モジュールが含まれるようになりました。 この機能を使用すると、自動化されたワークフローとリアルタイムの分析情報を使用して、セキュリティ リスクを軽減し、全体的なコンプライアンス体制を改善しながら、クラウド資産の構成の問題を特定、優先順位付け、修復できます。
ServiceNow と Defender for Cloud の統合の詳細を確認します。
新しいサブスクリプションでは使用できないトランザクションごとのストレージ (クラシック) ストレージ保護プランのDefender
2024 年 9 月 4 日
変更予定日: 2025 年 2 月 5 日
2025 年 2 月 5 日以降、サブスクリプションで既に有効になっていない限り、従来のストレージ (クラシック) のトランザクションごとのストレージストレージ保護プランのDefenderをアクティブ化することはできません。 詳細については、「ストレージ プランの新しいDefenderに移動するを参照してください。
ゲスト構成Azure Policy一般公開 (GA)
2024 年 9 月 1 日
サーバー プラン 2 のお客様のすべてのマルチクラウド Defenderで、サーバーのAzure Policyゲスト構成のDefenderが一般公開 (GA) されるようになりました。 ゲスト構成は、環境全体のセキュリティ ベースラインを管理するための統合されたエクスペリエンスを提供します。 これにより、Windowsおよび Linux マシン、Azure VM、AWS EC2、GCP インスタンスなど、サーバーでセキュリティ構成を評価して適用できます。
環境で実行可能なAzure Policyコンピューターの構成する方法について説明します。
Defender for Containers によるDocker Hub コンテナー レジストリのサポートのプレビュー
2024 年 9 月 1 日
Docker Hub コンテナー レジストリから始まる外部レジストリを含むように、カバレッジの Microsoft Defender for Containers 拡張機能のパブリック プレビューが導入されています。 組織のMicrosoft Cloudセキュリティ体制管理の一環として、Docker Hub コンテナー レジストリへのカバレッジの拡張により、Docker Hub コンテナー イメージをスキャンする利点が提供されます。セキュリティ上の脅威を特定し、潜在的なセキュリティ リスクを軽減するためのMicrosoft Defender 脆弱性の管理。
この機能の詳細については、「Docker HubVulnerability Assessment」を参照してください>
2024 年 8 月
| Date | Category | Update |
|---|---|---|
| 8 月 28 日 | Preview | |
| 8 月 22 日 | 今後非推奨となるもの | Azure WAF アラートとのDefender for Cloudアラート統合の再通知 |
| 8 月 1 日 | GA | 大規模なマシン上の SQL サーバーのMicrosoft Defenderを有効にする |
Microsoft Defender for Endpointに基づくファイル整合性監視の新しいバージョン
2024 年 8 月 28 日
Microsoft Defender for Endpointに基づくファイル整合性監視の新しいバージョンがパブリック プレビューになりました。 これは、Defender for Servers プラン 2 の一部です。 これによって、次のことが可能になります:
- 重要なファイルとレジストリをリアルタイムで監視し、変更を監査することで、コンプライアンス要件を満たします。
- 疑わしいファイル コンテンツの変更を検出して、潜在的なセキュリティの問題を特定します。
このリリースの一環として、AMA 経由の FIM エクスペリエンスは、Defender for Cloud ポータルで使用できなくなります。 MMA 経由の FIM エクスペリエンスは 2024 年 11 月末まで引き続きサポートされます。 9 月の初めに、製品内エクスペリエンスがリリースされます。これにより、MMA 経由の FIM 構成をエンドポイント バージョンのDefender経由で新しい FIM に移行できます。
エンドポイントに対して FIM over Defenderを有効にする方法については、「
Azure WAF アラートとのDefender for Cloudアラート統合の廃止
2024 年 8 月 22 日
変更予定日: 2024 年 9 月 25 日
Azure WAF アラートを含むアラート integration のDefender for Cloudは、2024 年 9 月 25 日に廃止されます。 ユーザー側の対応は必要ありません。 Microsoft Sentinelのお客様の場合は、Azure Web Application Firewall connectorを構成できます。
大規模なマシン上の SQL サーバーのMicrosoft Defenderを有効にする
2024 年 8 月 1 日
政府機関向けクラウド上の大規模なマシン上の SQL サーバーのMicrosoft Defenderを有効にできるようになりました。 この機能を使用すると、一度に複数のサーバーで SQL のMicrosoft Defenderを有効にして、時間と労力を節約できます。
大規模なマシン上の SQL サーバー>有効なMicrosoft Defenderを<する方法について説明します。
2024 年 7 月
| Date | Category | Update |
|---|---|---|
| 7 月 31 日 | GA | エンドポイント保護の強化された検出と構成に関する推奨事項の一般提供 |
| 7 月 31 日 | 今後の更新プログラム | アダプティブ ネットワークのセキュリティ強化の非推奨化 |
| 7 月 22 日 | Preview | GitHubのセキュリティ評価では、追加のライセンスが不要になります |
| 7 月 18 日 | 今後の更新プログラム | |
| 7 月 18 日 | 今後の更新プログラム | エージェントの提供終了の一環としての MMA 関連機能の廃止 |
| 7 月 15 日 | Preview | コンテナーのDefenderのBinary Drift Public Preview |
| 7 月 14 日 | GA | AWS と GCP の自動修復スクリプトの一般提供開始 |
| 7 月 11 日 | 今後の更新プログラム | GitHub アプリケーションのアクセス許可の更新 |
| 7 月 10 日 | GA | コンプライアンス標準の一般提供開始 |
| 7 月 9 日 | 今後の更新プログラム | インベントリ エクスペリエンスの向上 |
| 7 月 8 日 | 今後の更新プログラム | GitHubContainer マッピング ツール> |
エンドポイント保護の強化された検出と構成に関する推奨事項の一般提供
2024 年 7 月 31 日
エンドポイント保護ソリューションの検出機能と、構成の問題を特定する機能が強化されて一般提供が開始されました。これらは、マルチクラウド サーバーで利用することができます。 これらの更新プログラムは、Defender for Servers Plan 2 と Defender Cloud Security Posture Management (CSPM) に含まれています。
強化された推奨機能はエージェントレス マシンのスキャンを使用します。これにより、サポートされているエンドポイントでの検出と対応ソリューションの構成について包括的な検出と評価を行うことができます。 構成の問題が特定されると、修復手順が提供されます。
この一般公開リリースでは、 サポートされているソリューション の一覧が拡張され、さらに 2 つのエンドポイント検出および応答ツールが含まれます。
- SentinelOne 提供の Singularity プラットフォーム
- Cortex XDR
アダプティブ ネットワークのセキュリティ強化の非推奨化
2024 年 7 月 31 日
変更予定日: 2024 年 8 月 31 日
サーバーのアダプティブ ネットワークのセキュリティ強化のためのDefenderは非推奨になっています。
この機能の非推奨化には、以下のエクスペリエンスが含まれます。
- 推奨事項: アダプティブ ネットワークのセキュリティ強化に関する推奨事項は、インターネットに接続する仮想マシンに適用する必要があります [評価キー: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- アラート: ブロックに推奨される IP アドレスから検出されたトラフィック
プレビュー: GitHubのセキュリティ評価で追加のライセンスが不要になりました
2024 年 7 月 22 日
Defender for CloudのGitHubユーザーは、セキュリティの結果を表示するためにGitHub Advanced Security ライセンスを必要としません。 これは、コードの弱点、コードとしてのインフラストラクチャ (IaC) の構成ミス、ビルド フェーズ中に検出されたコンテナー イメージの脆弱性に対するセキュリティ評価に適用されます。
GitHub Advanced Security をお持ちのお客様は、公開された資格情報、オープンソース依存関係の脆弱性、および CodeQL の結果に関する追加のセキュリティ評価を引き続きDefender for Cloudで受け取ります。
Defender for Cloudの DevOps セキュリティの詳細については、DevOps セキュリティの概要を参照してください。 GitHub環境をDefender for Cloudにオンボードする方法については、GitHubオンボード ガイドに従ってください。 Microsoft Security DevOps GitHub アクションを構成する方法については、GitHub Action ドキュメントを参照してください。
Defender for Servers プラン 2 の MMA 廃止に向けたタイムラインを更新しました
2024 年 7 月 18 日
変更予定日: 2024 年 8 月
8 月にLog Analytics エージェントが廃止される予定では、Defender for Cloudのサーバー保護のすべてのセキュリティ値は、Microsoft Defender for Endpointとの統合に依存します(MDE) を単一のエージェントとして提供し、クラウド プラットフォームとエージェントレス マシンスキャンによって提供されるエージェントレス機能。
次の機能ではタイムラインとプランが更新されているため、MMA 経由でのサポートは、Defender for Cloudのお客様向けに 2024 年 11 月末まで延長される予定です。
ファイル整合性監視 (FIM): MDE 経由の FIM の新しいバージョンのパブリック プレビュー リリースは、2024 年 8 月に予定されています。 Log Analytics エージェントを搭載した FIM の GA バージョンは、November 2024 の終了時まで、既存のお客様向けに引き続きサポートされます。
セキュリティ ベースライン: MMA に基づくバージョンの代替手段として、 ゲスト構成に基づく現在のプレビュー バージョンは、September 2024. Log Analytics エージェントを搭載した OS セキュリティ ベースラインが、November 2024.
詳細については、Log Analytics エージェントの廃止に関するPrepareを参照してください。
エージェントの提供終了の一環としての MMA 関連機能の廃止
2024 年 7 月 18 日
変更予定日: 2024 年 8 月
Microsoft監視エージェント (MMA) と更新された Defender for Servers の展開戦略の一環として、Defender for Servers のすべてのセキュリティ機能が、単一のエージェント (エンドポイントのDefender) またはエージェントレス スキャン機能を通じて提供されるようになりました。 これには、MMA または Azure Monitoring Agent (AMA) への依存は必要ありません。
2024 年 8 月にエージェントの提供終了に近づくと、Defender for Cloud ポータルから次の MMA 関連の機能が削除されます。
- Inventory および Resource Health ブレードに MMA のインストール状態を表示します。
- Log Analytics ワークスペースを使用して新しいAzure以外のサーバーをサーバーのDefenderにオンボードする機能は、Inventory と 作業の開始 ブレードの両方から削除されます。
Note
legacy アプローチを使用してオンプレミス サーバーをオンボードした現在の顧客は、Azure Arc対応サーバー経由でこれらのマシンを接続することをお勧めします。 また、これらのサーバーが接続されているAzure サブスクリプションで、サーバー プラン 2 のDefenderを有効にすることもお勧めします。
レガシ アプローチを使用して、特定のAzure VM でサーバー プラン 2 のDefenderを選択的に有効にした場合は、これらのマシンのAzure サブスクリプションでサーバー プラン 2 のDefenderを有効にします。 サーバーのDefender per-resource 構成を使用して、サーバーのDefenderから個々のマシンを除外します。
これらの手順により、Log Analytics エージェントの提供終了によるセキュリティ カバレッジの損失が発生しないようにします。
セキュリティ継続性を維持するために、agentless machine scanning および integration with Microsoft Defender for Endpoint をサブスクリプションで有効にするように、Defender for Servers Plan 2 をお客様にお勧めします。
このカスタム ブックを使用して、Log Analytics エージェント (MMA) 資産を追跡し、Azure VM とAzure Arc マシン間のサーバーのDefenderの展開状態を監視できます。
詳細については、Log Analytics エージェントの廃止に関するPrepareを参照してください。
バイナリ ドリフト パブリック プレビューがコンテナーのDefenderで利用可能になりました
コンテナーのDefenderのバイナリ ドリフトのパブリック プレビューが導入されています。 この機能は、コンテナー内の未承認のバイナリに関連する潜在的なセキュリティ リスクを特定して軽減するのに役立ちます。 Binary Drift は、コンテナー内で有害な可能性があるバイナリ プロセスに関するアラートを自律的に識別して送信します。 さらに、新しい Binary Drift ポリシーを実装してアラート設定を制御できるため、特定のセキュリティ ニーズに合わせて通知を調整できるようになります。 この機能の詳細については、「バイナリ ドリフト検出」を参照してください。
AWS と GCP の自動修復スクリプトの一般提供開始
2024 年 7 月 14 日
3 月に、AWS と GCP の自動修復スクリプトをパブリック プレビューにリリースしました。これにより、AWS と GCP の推奨事項をプログラムで大規模に修復できます。
現在、この機能は一般提供 (GA) にリリース中です。 自動修復スクリプトを使用する方法の説明。
GitHub アプリケーションのアクセス許可の更新
2024 年 7 月 11 日
変更予定日: 2024 年 7 月 18 日
Defender for Cloudの DevOps セキュリティでは、GitHubの Microsoft Security DevOps アプリケーションのアクセス許可を更新するために、Defender for CloudのGitHub コネクタをお持ちのお客様に必要な更新が常に行われています。
この更新プログラムの一環として、GitHub アプリケーションにはビジネスの読み取りアクセス許可GitHub Copilot必要があります。 このアクセス許可は、お客様のGitHub Copilotデプロイのセキュリティ保護を強化するために使用されます。 できるだけ早くアプリケーションを更新することをお勧めします。
アクセス許可は、次の 2 つの異なる方法で付与できます。
GitHub組織で、Settings > GitHub Apps 内の Microsoft Security DevOps アプリケーションに移動し、アクセス許可要求を受け入れます。
GitHub サポートからの自動メールで、Review アクセス許可要求 を選択して、この変更を承諾または拒否します。
コンプライアンス標準の一般提供開始
2024 年 7 月 10 日
3 月に、お客様が AWS と GCP のリソースを検証するために使用できる多くの新しいコンプライアンス標準のプレビュー バージョンが追加されました。
これらの標準に、CIS Google Kubernetes Engine (GKE) Benchmark、ISO/IEC 27001、ISO/IEC 27002、CRI Profile、CSA Cloud Controls Matrix (CCM)、ブラジルの一般個人データ保護法 (LGPD)、カリフォルニア州消費者プライバシー法 (CCPA) などが含まれました。
これらのプレビュー標準は、一般提供 (GA) になりました。
サポートされているコンプライアンス標準の完全なリストを確認します。
インベントリ エクスペリエンスの向上
2024 年 7 月 9 日
変更予定日: 2024 年 7 月 11 日
Azure Resource Graphでのペインの [クエリを開く] クエリ ロジックの改善など、パフォーマンスを向上させるためにインベントリ エクスペリエンスが更新されます。 リソース計算の背後にあるロジックAzure更新すると、他のリソースがカウントされて表示される可能性があります。
GitHubで既定で実行するコンテナー マッピング ツール
2024 年 7 月 8 日
変更予定日: 2024 年 8 月 12 日
Microsoft Defender クラウド セキュリティ態勢管理 (CSPM) の DevOps セキュリティ機能を使用すると、クラウドネイティブ アプリケーションをコードからクラウドにマップして、開発者の修復ワークフローを簡単に開始し、コンテナー イメージの脆弱性の修復にかかる時間を短縮できます。 現時点では、GitHubの Microsoft Security DevOps アクションで実行するようにコンテナー イメージ マッピング ツールを手動で構成する必要があります。 この変更により、コンテナー マッピングは既定で Microsoft Security DevOps アクションの一部として実行されます。 Microsoft Security DevOps アクションの詳細についてはを参照してください。
2024 年 6 月
| Date | Category | Update |
|---|---|---|
| 6 月 27 日 | GA | Checkov IaC Scanning in Defender for Cloud. |
| 6 月 24 日 | Update | コンテナーのマルチクラウド Defenderの価格の変更 |
| 6 月 20 日 | 今後非推奨となるもの |
Microsoft Monitoring Agent (MMA) の非推奨に関するアダプティブ推奨事項に関する廃止の詳細。 2024 年 8 月に非推奨になる予定です。 |
| 6 月 10 日 | Preview | Defender for CloudCopilot> |
| 6 月 10 日 | 今後の更新プログラム |
構成されていないサーバーでの高速構成を使用した SQL 脆弱性評価の自動有効化。 更新予定: 2024 年 7 月 10 日。 |
| 6 月 3 日 | 今後の更新プログラム |
ID に関する推奨事項の動作の変更 更新予定: 2024 年 7 月 10 日。 |
GA: Defender for Cloudでの Checkov IaC スキャン
2024 年 6 月 27 日
Microsoft Security DevOps (MSDO) を使用した Checkov 統合 for Infrastructure-as-Code (IaC) スキャンの一般提供についてお知らせします。 このリリースの一環として、Checkov は、MSDO コマンド ライン インターフェイス (CLI) の一部として実行される既定の IaC アナライザーとして TerraScan に取って代わります。 TerraScan は引き続き MSDO の 環境変数 を使用して手動で構成できますが、既定では実行されません。
Checkov からのセキュリティ結果は、評価Azure DevOpsリポジトリのAzure DevOpsリポジトリとGitHubリポジトリの両方の推奨事項として存在します>Azure DevOpsコードの結果が解決されるようにインフラストラクチャを持つ必要がありますおよびGitHubリポジトリには、コードの結果が解決されるようにインフラストラクチャが必要です。
Defender for Cloudの DevOps セキュリティの詳細については、DevOps セキュリティの概要を参照してください。 MSDO CLI の構成方法については、Azure DevOps または GitHub のドキュメントを参照してください。
更新: マルチクラウドのコンテナーのDefenderの価格の変更
2024 年 6 月 24 日
マルチクラウドのコンテナーのDefenderが一般公開されたので、無料ではなくなりました。 詳細については、「Microsoft Defender for Cloud 価格を参照してください。
非推奨: 適応型推奨事項の非推奨のお知らせ
2024 年 6 月 20 日
変更予定日: 2024 年 8 月
MMA の非推奨化とサーバーのDefenderの更新された展開戦略の一環として、サーバーのセキュリティ機能のDefenderは、Microsoft Defender for Endpoint (MDE) エージェントまたは agentless スキャン機能を通じて提供されます。 どちらのオプションも、MMA または Azure Monitoring Agent (AMA) に依存しません。
適応型アプリケーション制御およびアダプティブ ネットワークのセキュリティ強化と呼ばれるアダプティブ セキュリティに関する推奨事項は廃止されます。 MMA に基づく現在の GA バージョンと AMA に基づくプレビュー バージョンは、2024 年 8 月に非推奨になります。
プレビュー: Defender for CloudでのCopilot
2024 年 6 月 10 日
パブリック プレビューでMicrosoft Security CopilotをDefender for Cloudに統合することを発表します。 Defender for CloudでのCopilotの組み込みエクスペリエンスにより、ユーザーは自然言語で質問したり回答を得たりできるようになります。 Copilotは、推奨事項のコンテキスト、推奨事項の実装の効果、推奨事項の実装に必要な手順、推奨事項の委任の支援、およびコード内の誤った構成の修復の支援に役立ちます。
Defender for Cloud の
更新: SQL 脆弱性評価の自動有効化
2024 年 6 月 10 日
変更予定日: 2024 年 7 月 10 日
もともと、Express Configuration を使用した SQL 脆弱性評価 (VA) は、2022 年 12 月の Express Configuration の導入後に SQL のMicrosoft Defenderがアクティブ化されたサーバーでのみ自動的に有効になりました。
SQL のMicrosoft Defenderが 2022 年 12 月より前にアクティブ化され、既存の SQL VA ポリシーが適用されていないすべてのAzure SQL サーバーを更新し、Express Configuration で SQL 脆弱性評価 (SQL VA) を自動的に有効にします。
- この変更の実装は数週間にわたって段階的に行われ、ユーザー側での操作は必要ありません。
- この変更は、Azure サブスクリプション レベルで SQL のMicrosoft Defenderがアクティブ化されたAzure SQL サーバーに適用されます。
- 既存のクラシック構成 (有効か無効か) を持つサーバーは、この変更の影響を受けません。
- アクティブ化すると、"SQL データベースでは脆弱性の検出結果を解決する必要がある" という推奨事項が表示され、セキュリティ スコアに影響する可能性があります。
更新: ID に関する推奨事項の動作の変更
2024 年 6 月 3 日
変更予定日: 2024 年 7 月
これらの変更:
- 評価されたリソースは、サブスクリプションではなく ID になります
- 推奨事項に "サブ推奨事項" がなくなります
- API の 'assessmentKey' フィールドの値は、それらの推奨事項に対して変更されます
次の推奨事項に適用されます。
- Azure リソースに対する所有者アクセス許可を持つアカウントは、MFA を有効にする必要があります
- Azure リソースに対する書き込みアクセス許可を持つアカウントは、MFA を有効にする必要があります
- Azure リソースに対する読み取りアクセス許可を持つアカウントは、MFA を有効にする必要があります
- Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要がある
- Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要がある
- Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要がある
- Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要がある
- Azure リソースに対する読み取りと書き込みのアクセス許可を持つブロックされたアカウントを削除する必要がある
- お使いのサブスクリプションに、最大 3 人の所有者を指定する必要があります
- 複数の所有者がサブスクリプションに割り当てられている必要がある
2024 年 5 月
| Date | Category | Update |
|---|---|---|
| 5 月 30 日 | GA | |
| 5 月 22 日 | Update | 攻撃パスのメール通知を構成する |
| 5 月 21 日 | Update | Microsoft Defender XDR での高度な検出には、Defender for Cloudアラートとインシデントが含まれます |
| 5 月 9 日 | Preview | Checkov integration for IaC scanning in Defender for Cloud |
| 5 月 7 日 | GA | |
| 5 月 6 日 | Preview | AI マルチクラウド セキュリティ体制管理は、Azureと AWS で使用できます。 |
| 5 月 6 日 | 制限付きプレビュー | Azure での AI ワークロードの保護。 |
| 5 月 2 日 | Update | セキュリティ ポリシーの管理。 |
| 5 月 1 日 | Preview | オープンソースデータベースのDefenderは、AWS for Amazon インスタンスで使用できるようになりました。 |
| 5 月 1 日 | 今後非推奨となるもの |
AMA 経由の FIM のリモバルと、エンドポイントのDefender経由での新しいバージョンのリリース。 2024 年 8 月に非推奨になる予定です。 |
GA: Defender for Servers Plan 2 でのエージェントレス マルウェア検出
2024 年 5 月 30 日
Azure VM、AWS EC2 インスタンス、GCP VM インスタンスに対するDefender for Cloudのエージェントレスマルウェア検出が、Defender for Servers Plan 2 の新機能として一般公開されました。
エージェントレスマルウェア検出では、Microsoft Defenderウイルス対策マルウェア対策エンジンを使用して、悪意のあるファイルをスキャンして検出します。 検出された脅威により、セキュリティ アラートがDefender for CloudとDefender XDRに直接トリガーされ、そこで調査と修復が可能になります。 サーバーのエージェントレス マルウェア スキャンと VM のエージェントレス スキャンの詳細をご覧ください。
更新: 攻撃パスのメール通知を構成する
2024 年 5 月 22 日
指定したリスク レベル以上の攻撃パスが検出されたときに受け取るメール通知を構成できるようになりました。 メール通知を構成する方法を参照してください。
更新: Microsoft Defender XDRの高度な検出には、Defender for Cloudアラートとインシデントが含まれます
2024 年 5 月 21 日
Defender for Cloudのアラートとインシデントは、Microsoft Defender XDRと統合され、Microsoft Defender ポータルでアクセスできるようになりました。 この統合により、クラウド リソース、デバイス、ID にまたがる調査に、より豊かなコンテキストが提供されます。 XDR 統合での高度な追求についてはこちらを参照してください。
プレビュー:Defender for CloudでのIaCスキャンの Checkov 統合
2024 年 5 月 9 日
Defender for Cloudでの DevOps セキュリティの Checkov 統合がプレビュー段階になりました。 この統合により、IaC テンプレートをスキャンするときに MSDO CLI によって実行されるコードとしてのインフラストラクチャ チェックの品質と合計数の両方が改善されます。
プレビュー段階では、MSDO CLI の 'tools' 入力パラメーターを使用して Checkov を明示的に呼び出す必要があります。
Defender for CloudDevOps セキュリティの詳細と>
GA: Defender for Cloudでのアクセス許可の管理
2024 年 5 月 7 日
Permissions management がDefender for Cloudで一般公開されました。
プレビュー: AI マルチクラウド セキュリティ態勢管理
2024 年 5 月 6 日
AI セキュリティ体制管理は、Defender for Cloudのプレビューで利用できます。 ai パイプラインとサービスのセキュリティを強化するために、Azureと AWS の AI セキュリティ体制管理機能を提供します。
詳細については、「AI セキュリティ体制管理」を参照してください。
制限付きプレビュー: Azureでの AI ワークロードの脅威保護
2024 年 5 月 6 日
Defender for Cloudの AI ワークロードに対する脅威保護は、限定プレビューで利用できます。 このプランは、実行時に OpenAI を利用したアプリケーションAzureを監視し、悪意のあるアクティビティがないか監視し、セキュリティ リスクを特定して修復するのに役立ちます。 これにより、AI ワークロードの脅威保護に関するコンテキスト分析情報が提供され、Responsible AI およびMicrosoft脅威インテリジェンスと統合されます。 関連するセキュリティ アラートは、Defender ポータルに統合されます。
詳細については、AI ワークロードの脅威に対する保護に関する記事を参照してください。
一般提供: セキュリティ ポリシーの管理
2024 年 5 月 2 日
クラウド間のセキュリティ ポリシー管理 (Azure、AWS、GCP) が一般公開されました。 これにより、セキュリティ チームは、新機能を使用して一貫した方法でセキュリティ ポリシーを管理できます
Microsoft Defender for Cloud の
プレビュー: AWS で利用可能なオープンソースデータベースのDefender
2024 年 5 月 1 日
AWS 上のオープンソースデータベースのDefenderがプレビューで利用可能になりました。 これにより、さまざまな種類の Amazon Relational Database Service (RDS) インスタンスへのサポートが追加されます。
オープンソースデータベースの
非推奨: FIM の削除 (AMA を使用)
2024 年 5 月 1 日
変更予定日: 2024 年 8 月
MMA の廃止とサーバーのDefenderの更新された展開戦略の一環として、サーバーのセキュリティ機能のすべてのDefenderは、単一エージェント (MDE) またはエージェントレス スキャン機能を介して提供され、MMA または AMA に依存しません。
Microsoft Defender for Endpoint (MDE) 経由のファイル整合性監視 (FIM) の新しいバージョンでは、重要なファイルとレジストリをリアルタイムで監視し、変更を監査し、疑わしいファイル コンテンツの変更を検出することで、コンプライアンス要件を満たすことができます。
このリリースの一環として、AMA に対する FIM エクスペリエンスは、2024 年 8 月以降、Defender for Cloud ポータルから利用できなくなります。 詳細については、「ファイルの整合性の監視エクスペリエンス - 変更と移行のガイダンス」を参照してください。
新しい API バージョンの詳細については、Microsoft Defender for Cloud REST API を参照してください。
2024 年 4 月
| Date | Category | Update |
|---|---|---|
| 4 月 16 日 | 今後の更新プログラム |
CIEM 評価 ID の変更。 更新予定: 2024 年 5 月。 |
| 4 月 15 日 | GA | Defender for Containers は、AWS と GCP で使用できるようになりました。 |
| 4 月 3 日 | Update | |
| 4 月 3 日 | Update | Defenderオープンソース リレーショナル データベースの更新。 |
更新: CIEM 評価 ID の変更
2024 年 4 月 16 日
変更予定日: 2024 年 5 月
次のレコメンデーションは、その評価 ID が変更されることになる再モデル化のためのスケジュールです。
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: AWS および GCP のコンテナーのDefender
2024 年 4 月 15 日
Defender for Containers での AWS と GCP のランタイム脅威検出とエージェントレス検出が一般公開されました。 さらに、AWS には、プロビジョニングを簡略化する新しい認証機能があります。
Defender for Cloudcontainers サポート マトリックスの詳細と>コンテナー コンポーネントのDefenderを
更新: リスクの優先順位付け
2024 年 4 月 3 日
リスクの優先順位付けが、Defender for Cloudの既定のエクスペリエンスになりました。 この機能は、各リソースのリスク要因に基づいて推奨事項を優先順位付けすることで、環境内で最も重要なセキュリティ上の問題に集中して対応するのに役立ちます。 リスク要因には、セキュリティ上の問題が侵害された場合の潜在的な影響、リスクのカテゴリ、およびセキュリティ上の問題が含まれる攻撃パスが含まれます。 リスクの優先順位付けについての理解を深めてください。
更新: Open-Source リレーショナル データベースのDefender
2024 年 4 月 3 日
- Defender postgreSQL フレキシブル サーバーの GA 後の更新プログラム - この更新により、お客様はサブスクリプション レベルで既存の PostgreSQL フレキシブル サーバーの保護を適用できるため、リソースごとに保護を有効にしたり、サブスクリプション レベルですべてのリソースを自動的に保護したりするための完全な柔軟性を実現できます。
- Defender for MySQL フレキシブル サーバーの可用性と GA - Defender for Cloud MySQL フレキシブル サーバーを組み込むことにより、Azureオープンソース リレーショナル データベースのサポートを拡張しました。
このリリースには以下が含まれます。
- MySQL 単一サーバーのDefenderの既存のアラートとのアラートの互換性。
- 個々のリソースの有効化。
- サブスクリプション レベルでの有効化。
- Azure Database for MySQLフレキシブル サーバーの更新プログラムは、今後数週間にわたってロールアウトされます。 エラー
The server <servername> is not compatible with 高度な脅威保護が表示された場合は、更新を待機するか、サポート チケットを開いて、サポートされているバージョンに早くサーバーを更新できます。
オープンソース リレーショナル データベースのDefenderを使用してサブスクリプションを既に保護している場合、フレキシブル サーバー リソースは自動的に有効になり、保護され、課金されます。 影響を受けるサブスクリプションには、具体的な課金通知がメールで送信されています。
オープンソース リレーショナル データベースのMicrosoft Defenderの詳細について説明します。
2024 年 3 月
| Date | Category | Update |
|---|---|---|
| 3 月 31 日 | GA | Windowsコンテナー イメージのスキャン |
| 3 月 25 日 | Update | 継続的エクスポートに攻撃パス データが含まれるようになりました |
| 3 月 21 日 | Preview | |
| 3 月 17 日 | Preview | Azure の KQL に基づくカスタマイズの推奨事項。 |
| 3 月 13 日 | Update | Microsoft クラウド セキュリティ ベンチマークでの DevOps の推奨事項の組み込み |
| 3 月 13 日 | GA | ServiceNow 統合。 |
| 3 月 13 日 | Preview | |
| 3 月 12 日 | Update | 自動化されたスクリプトによる AWS および GCP レコメンデーションの強化 |
| 3 月 6 日 | Preview | コンプライアンス ダッシュボードに追加されたコンプライアンス標準 |
| 3 月 6 日 | 今後の更新プログラム | オープンソース リレーショナル データベースの更新のDefender 予定: 2024 年 4 月 |
| 3 月 3 日 | 今後の更新プログラム |
コンプライアンスオファリングとMicrosoftアクションにアクセスする場所の変更 予定: 2025 年 9 月 |
| 3 月 3 日 | Deprecation | Defender for Cloud Qualys の提供終了を利用したコンテナー脆弱性評価 |
| 3 月 3 日 | 今後の更新プログラム |
コンプライアンスオファリングとMicrosoftアクションにアクセスする場所で変更します。 非推奨予定: 2025 年 9 月 30 日。 |
GA: Windows コンテナー イメージのスキャン
2024 年 3 月 31 日
コンテナーのDefenderによるスキャンに対するWindows コンテナー イメージのサポートの一般提供 (GA) をお知らせします。
更新: 継続的エクスポートに攻撃パス データが含まれるようになりました
2024 年 3 月 25 日
継続的エクスポートに攻撃パス データが含まれるようになったことをお知らせします。 この機能を使用すると、セキュリティ データをAzure Log Analytics、Azure Event Hubs、または別のセキュリティ情報イベント管理 (SIEM)、セキュリティ オーケストレーション自動応答 (SOAR)、または IT クラシック デプロイ モデル ソリューションにストリーミングできます。
連続エクスポートについて詳しくは、こちらをご覧ください。
プレビュー: エージェントレス スキャンでは、Azureで CMK で暗号化された VM がサポートされます
2024 年 3 月 21 日
これまで、エージェントレス スキャンでは、AWS と GCP の CMK 暗号化された VM が対象になっていました。 このリリースでは、Azureのサポートも完了しています。 この機能では、Azureの CMK に固有のスキャンアプローチが採用されています。
- Defender for Cloudは、キーまたは復号化プロセスを処理しません。 キーと復号化は、Azure Compute によってシームレスに処理され、Defender for Cloudのエージェントレス スキャン サービスに対して透過的です。
- 暗号化されていない VM ディスク データは、別のキーでコピーまたは再暗号化されることはありません。
- 元のキーは、プロセス中にレプリケートされません。 削除すると、運用 VM とDefender for Cloudの一時スナップショットの両方のデータが消去されます。
パブリック プレビュー中、この機能は自動的には有効になりません。 サーバー P2 または Defender CSPM のDefenderを使用していて、環境に CMK で暗号化されたディスクを持つ VM がある場合は、これらの enablement 手順に従って、それらの VM に脆弱性、シークレット、マルウェアをスキャンさせることができます。
プレビュー: Azureの KQL に基づくカスタム推奨事項
2024 年 3 月 17日
Azureの KQL に基づくカスタム推奨事項は、パブリック プレビュー段階になり、すべてのクラウドでサポートされるようになりました。 詳細については、カスタム セキュリティ標準と推奨事項を作成する方法に関するページを参照してください。
更新: Microsoft クラウド セキュリティ ベンチマークに DevOps の推奨事項を含める
2024 年 3 月 13 日
本日、Azure、AWS、GCP に加えて、Microsoft クラウド セキュリティ ベンチマーク (MCSB) で DevOps のセキュリティとコンプライアンスの体制を監視できるようになりました。 DevOps 評価は、MCSB での DevOps セキュリティ コントロールの一部です。
MCSB は、一般的な業界標準とコンプライアンス フレームワークに基づく基本的なクラウド セキュリティ原則が定義されているフレームワークです。 MCSB には、クラウドに依存しないセキュリティ レコメンデーションを実装する方法について規範的な詳細が用意されています。
含まれる DevOps の推奨事項と、Microsoft クラウド セキュリティ ベンチマークについて説明します。
一般提供: ServiceNow 統合が一般提供に
2024 年 3 月 12 日
ServiceNow 統合の一般提供 (GA) についてお知らせします。
プレビュー: Microsoft Defender for Cloudの重要な資産保護
2024 年 3 月 12 日
Defender for Cloudには、Microsoft Security Exposure Management の重要な資産エンジンを使用して、リスクの優先順位付け、攻撃パス分析、クラウド セキュリティ エクスプローラーを通じて重要な資産を特定して保護する、ビジネスクリティカル機能が含まれるようになりました。 詳細については、「
更新: 自動化されたスクリプトによる AWS および GCP レコメンデーションの強化
2024 年 3 月 12 日
AWS および GCP のレコメンデーションは、自動化された修復スクリプトによって強化されており、プログラムによって大規模に修復することができます。 自動化された修復スクリプトの詳細をご確認ください。
プレビュー: コンプライアンス ダッシュボードに追加されたコンプライアンス標準
2024 年 3 月 6 日
お客様からのフィードバックに基づいて、プレビューのコンプライアンス標準がDefender for Cloudに追加されました。
サポートされているコンプライアンス標準の完全な一覧を確認する
Azure、AWS、GCP 環境の新しい標準の追加と更新に継続的に取り組んでいます。
セキュリティ標準を割り当てる方法について説明します。
更新: オープンソース リレーショナル データベースの更新のDefender
2024 年 3 月 6 日 **
変更予定日: 2024 年 4 月
Defender postgreSQL フレキシブル サーバーの GA 後の更新プログラム - この更新により、お客様はサブスクリプション レベルで既存の PostgreSQL フレキシブル サーバーの保護を適用できるため、リソースごとに保護を有効にしたり、サブスクリプション レベルですべてのリソースを自動的に保護したりするための完全な柔軟性を実現できます。
Defender for MySQL フレキシブル サーバーの可用性と GA - Defender for Cloudは、MySQL フレキシブル サーバーを組み込むことにより、Azureオープンソース リレーショナル データベースのサポートを拡張するように設定されています。 このリリースには次のものが含まれます。
- MySQL 単一サーバーのDefenderの既存のアラートとのアラートの互換性。
- 個々のリソースの有効化。
- サブスクリプション レベルでの有効化。
オープンソース リレーショナル データベースのDefenderを使用してサブスクリプションを既に保護している場合、フレキシブル サーバー リソースは自動的に有効になり、保護され、課金されます。 影響を受けるサブスクリプションには、具体的な課金通知がメールで送信されています。
オープンソース リレーショナル データベースのMicrosoft Defenderの詳細について説明します。
更新: コンプライアンスオファリングとMicrosoftアクションの設定の変更
2024 年 3 月 3 日
変更予定日: 2025 年 9 月 30 日
2025 年 9 月 30 日に、コンプライアンス オファリングと Microsoft アクションという 2 つのプレビュー機能にアクセスする場所が変更されます。
Microsoftの製品のコンプライアンス状態を一覧表示する表 (コンプライアンス プランからアクセス Defenderの規制コンプライアンス ダッシュボード のツール バーにあるボタン)。 このボタンをDefender for Cloudから削除しても、Service Trust Portal を使用してこの情報にアクセスできます。
コントロールのサブセットの場合、Microsoftアクションは、コントロールの詳細ウィンドウの Microsoft Actions (Preview) ボタンからアクセスできました。 このボタンを削除した後、Microsoftの Service Trust Portal for FedRAMP にアクセスし、Azure システム セキュリティ 計画ドキュメントにアクセスすることで、Microsoftアクションを表示できます。
更新: コンプライアンスオファリングとMicrosoftアクションにアクセスする場所の変更
2024 年 3 月 3 日 **
変更予定日: 2025 年 9 月
2025 年 9 月 30 日に、コンプライアンス オファリングと Microsoft アクションという 2 つのプレビュー機能にアクセスする場所が変更されます。
Microsoftの製品のコンプライアンス状態を一覧表示する表 (コンプライアンス プランからアクセス Defenderの規制コンプライアンス ダッシュボード のツール バーにあるボタン)。 このボタンをDefender for Cloudから削除しても、Service Trust Portal を使用してこの情報にアクセスできます。
コントロールのサブセットの場合、Microsoftアクションは、コントロールの詳細ウィンドウの Microsoft Actions (Preview) ボタンからアクセスできました。 このボタンを削除した後、Microsoftの Service Trust Portal for FedRAMP にアクセスし、Azure システム セキュリティ 計画ドキュメントにアクセスすることで、Microsoftアクションを表示できます。
非推奨: Qualys の廃止に伴うDefender for Cloud コンテナーの脆弱性評価
2024 年 3 月 3 日
Qualys を利用した Defender for Cloud コンテナー脆弱性評価は廃止されます。 廃止作業は 3 月 6 日までに完了します。その時点まで、 Qualys の推奨事項と、セキュリティ グラフ内の Qualys の結果の両方に結果の一部が表示される場合があります。 以前にこの評価を使用していたお客様は、 Microsoft Defender 脆弱性の管理を使用したAzureの信頼性評価にアップグレードする必要があります。 Microsoft Defender 脆弱性の管理を利用したコンテナー脆弱性評価オファリングへの移行の詳細については、「
2024 年 2 月
| Date | Category | Update |
|---|---|---|
| 2 月 28 日 | Deprecation | Microsoft Security Code Analysis (MSCA) は動作しなくなりました。 |
| 2 月 28 日 | Update | セキュリティ ポリシー管理の更新による、AWS と GCP のサポートの拡張。 |
| 2 月 26 日 | Update | Cloud でのコンテナーのDefenderのサポート |
| 2 月 20 日 | Update | コンテナーのDefender用Defender センサーの新しいバージョン |
| 2 月 18 日 | Update | Open Container Initiative (OCI) イメージ形式仕様のサポート |
| 2 月 13 日 | Deprecation | Trivy を利用した AWS コンテナー脆弱性評価の廃止。 |
| 2 月 5 日 | 今後の更新プログラム |
Microsoftの使用停止。SecurityDevOps リソース プロバイダー 予定: 2024 年 3 月 6 日 |
非推奨: Microsoft Security Code Analysis (MSCA) が動作しなくなりました
2024 年 2 月 28 日
2021 年 2 月に、MSCA タスクの廃止はすべての顧客に通知され、 2022 年 3 月からサポートが終了しています。 2024 年 2 月 26 日の時点で、MSCA の機能は正式に停止しました。
お客様は、Defender for Cloudから Microsoft Security DevOps までの最新の DevOps セキュリティ ツールを入手できます。さらに、GitHub Advanced Security for Azure DevOps を通じてより多くのセキュリティ ツールを利用できます。
更新: セキュリティ ポリシー管理のサポートを AWS と GCP に拡張
2024 年 2 月 28 日
Azureのプレビューで最初にリリースされたセキュリティ ポリシーを管理するための更新されたエクスペリエンスにより、クラウド間 (AWS および GCP) 環境へのサポートが拡大しています。 このプレビュー リリースに含まれる内容は次のとおりです。
- Azure、AWS、および GCP 環境全体のDefender for Cloudで規制コンプライアンス標準を管理する。
- Microsoft Cloud セキュリティ ベンチマーク (MCSB) カスタム推奨事項を作成および管理する場合と同じクロス クラウド インターフェイス エクスペリエンス。
- 更新されたエクスペリエンスは、KQL クエリを使用したカスタムの推奨事項の作成で AWS と GCP に適用。
更新: コンテナーのDefenderのクラウド サポート
2024 年 2 月 26 日
Defender for Containers のAzure Kubernetes Service (AKS)脅威検出機能は、商用、Azure Government、およびAzure China 21Vianetクラウドで完全にサポートされるようになりました。 サポートされている機能を確認します。
更新: コンテナーのDefender用Defender センサーの新しいバージョン
2024 年 2 月 20 日
更新: Open Container Initiative (OCI) イメージ形式仕様のサポート
2024 年 2 月 18 日
非推奨: Trivy を利用した AWS コンテナー脆弱性評価の廃止
2024 年 2 月 13 日
Trivy を利用した AWS コンテナー脆弱性評価は廃止されました。 以前にこの評価を使用していたお客様は、Microsoft Defender 脆弱性の管理を利用して新しい
更新: Microsoftの使用停止。SecurityDevOps リソース プロバイダー
2024 年 2 月 5 日
変更予定日: 2024 年 3 月 6 日
Microsoft Defender for Cloudは、DevOps セキュリティのパブリック プレビュー中に使用されたリソース プロバイダー Microsoft.SecurityDevOpsを使用停止し、既存の Microsoft.Security プロバイダーに移行しています。 変更の理由は、DevOps コネクタに関連付けられているリソース プロバイダーの数を減らして、カスタマー エクスペリエンスを向上させることです。
まだ API バージョン 2022-09-01-previewMicrosoft.SecurityDevOps を使用して DevOps のセキュリティ データDefender for Cloudクエリを実行しているお客様は影響を受けます。 サービスの中断を回避するには、Microsoft.Security プロバイダーの新しい API バージョン 2023-09-01-preview に更新する必要があります。
現在、Azure ポータルDefender for Cloud DevOps セキュリティを使用しているお客様は影響を受けることはありません。
2024 年 1 月
| Date | Category | Update |
|---|---|---|
| 1 月 31 日 | Update | クラウド セキュリティ エクスプローラーのアクティブなリポジトリに関する新しい分析情報 |
| 1 月 30 日 | 今後の更新プログラム |
マルチクラウド コンテナー脅威検出の価格変更 予定: 2024 年 4 月 |
| 1 月 29 日 | 今後の更新プログラム |
Premium DevOps セキュリティ機能のDefender CSPMの強化。 予定: 2024 年 3 月 |
| 1 月 24 日 | Preview | |
| 1 月 16 日 | Preview | サーバー向けのエージェントレス マルウェア スキャンでは、次の機能が提供されます。 |
| 1 月 15 日 | GA | Defender for CloudとMicrosoft Defender XDRの統合。 |
| 1 月 14 日 | Update |
組み込みのAzure ロールをスキャンするエージェントレス VM に更新します 予定: 2024 年 3 月 |
| 1 月 12 日 | Update | DevOps セキュリティ Pull Request 注釈が、Azure DevOps コネクタに対して既定で有効になりました。 |
| 1 月 9 日 | Deprecation |
Defender for Servers 組み込みの脆弱性評価 (Qualys) の提供終了パス。 予定: 2024 年 5 月 |
| 1 月 3 日 | 今後の更新プログラム |
Defender for Cloudのマルチクラウド ネットワーク要件の変更。 予定: 2024 年 5 月。 |
更新: クラウド セキュリティ エクスプローラーのアクティブなリポジトリに関する新しい分析情報
2024 年 1 月 31 日
Azure DevOps リポジトリの新しい分析情報が Cloud Security Explorer に追加され、リポジトリがアクティブかどうかを示します。 この分析情報は、コード リポジトリがアーカイブまたは無効になっていないことを示します。つまり、コード、ビルド、およびプル要求への書き込みアクセスは、ユーザーが引き続き使用できます。 アーカイブ済み、および無効なリポジトリは、通常、アクティブなデプロイではコードが使用されないため、低優先度と見なされる場合があります。
クラウド セキュリティ エクスプローラーを使用してクエリをテストするには、こちらのクエリ リンクを使用してください。
更新: マルチクラウド コンテナー脅威検出の価格変更
2024 年 1 月 30 日 **
変更予定日: 2024 年 4 月
マルチクラウド コンテナー脅威検出が一般提供に移行すると、無料ではなくなります。 詳細については、「Microsoft Defender for Cloud 価格を参照してください。
更新: Premium DevOps セキュリティ値のDefender CSPMの適用
2024 年 1 月 29 日 **
変更予定日: 2024 年 3 月 7 日
Defender for Cloudは、2024 年 7 月 7 日から2024 年 3 月 7 日 以降、Premium DevOps セキュリティ値のDefender CSPM プラン チェックの適用を開始します。 DevOps コネクタが作成されているのと同じテナント内のクラウド環境 (Azure、AWS、GCP) で Defender CSPM プランが有効になっている場合は、追加料金なしで引き続き Premium DevOps 機能を受け取ります。 Defender CSPMのお客様でない場合は、
Foundational CSPM と Defender CSPM プランの両方で使用できる DevOps セキュリティ機能の詳細については、機能の可用性に関するドキュメントを参照してください。
Defender for Cloudでの DevOps セキュリティの詳細については、overview のドキュメントを参照してください。
Defender CSPMのコードからクラウドへのセキュリティ機能の詳細については、「Defender CSPM を使用してリソースを保護する方法」を参照してください。
プレビュー: コンテナーとDefender CSPMのDefenderでの GCP のエージェントレス コンテナーの体制
2024 年 1 月 24 日
Microsoft Defender 脆弱性の管理 を使用した GCP の
マルチクラウドのエージェントレス コンテナー態勢管理については、このブログ記事でも読むことができます。
プレビュー: サーバーのエージェントレス マルウェア スキャンのパブリック プレビュー
2024 年 1 月 16 日
VM のエージェントレス マルウェア検出が、Microsoft のエージェントレス スキャン プラットフォームに含まれるようになりました。 エージェントレスマルウェアスキャンは、Microsoft Defenderウイルス対策マルウェア対策エンジンを利用して、悪意のあるファイルをスキャンして検出します。 検出された脅威は、セキュリティ アラートをDefender for CloudおよびDefender XDRに直接トリガーし、そこで調査および修復できます。 エージェントレス マルウェア スキャナーは、エージェントベースのカバレッジを、円滑なオンボードによる脅威検出の第 2 層で補完し、マシンのパフォーマンスには影響しません。
サーバーのエージェントレス マルウェア スキャンと VM のエージェントレス スキャンの詳細をご覧ください。
Defender for Cloudと Microsoft Defender XDR の統合の一般提供
2024 年 1 月 15 日
Defender for CloudとMicrosoft Defender XDR (以前のOffice 365 Defender) の統合の一般提供 (GA) をお知らせします。
この統合により、セキュリティ オペレーション センター (SOC) の日常業務に競争力のあるクラウド保護機能が提供されます。 Microsoft Defender for CloudとDefender XDR統合により、SOC チームは、クラウド、エンドポイント、ID、Microsoft 365など、複数の柱からの検出を組み合わせた攻撃を検出できます。
alerts と incidents in Microsoft Defender XDR の詳細を確認します。
更新: エージェントレス VM スキャンの組み込みAzureロール
2024 年 1 月 14 日 **
変更予定日: 2024 年 2 月
Azureでは、VM のエージェントレス スキャンでは、組み込みのロール (VM スキャナー オペレーター) が使用され、VM のスキャンとセキュリティの問題の評価に必要な最小限のアクセス許可が必要です。 暗号化されたボリュームを含む VM について、関連するスキャンの正常性と構成の推奨事項を継続的に提供するため、このロールのアクセス許可の更新が計画されています。 更新プログラムには、Microsoft.Compute/DiskEncryptionSets/read アクセス許可の追加が含まれています。 このアクセス許可では、VM での暗号化されたディスクの使用の識別が向上するだけです。 この変更前Defender for Cloudサポートされている暗号化方法alreadyを超えて、これらの暗号化されたボリュームのコンテンツを復号化またはアクセスする機能は提供されません。 この変更は 2024 年 2 月中に行われる予定であり、お客様の側では何も行う必要はありません。
更新: Azure DevOps コネクタに対して既定で有効になっている DevOps セキュリティ Pull Request 注釈
2024 年 1 月 12 日
DevOps セキュリティは、セキュリティの検出結果を pull request (PR) の注釈として公開し、開発者が運用環境に入る前に潜在的なセキュリティの脆弱性や構成ミスを防ぎ、修正するのに役立ちます。 2024 年 1 月 12 日の時点で、Defender for Cloudに接続されているすべての新規および既存のAzure DevOps リポジトリに対して、PR 注釈が既定で有効になりました。
既定では、PR 注釈は、重大度の高いコードとしてのインフラストラクチャ (IaC) の検出結果に対してのみ有効になります。 お客様は、PR ビルドで実行するように DevOps (MSDO) のMicrosoft Securityを構成し、リポジトリ設定で CI ビルドのビルド検証ポリシー Azure DevOps有効にする必要があります。 お客様は、DevOps セキュリティ ウィンドウ リポジトリ構成オプション内から、特定のリポジトリの PR 注釈機能を無効にすることができます。
Azure DevOpsの Pull Request 注釈の有効化の詳細について説明します。
非推奨: サーバーの組み込み脆弱性評価 (Qualys) の提供終了パスのDefender
2024 年 1 月 9 日 **
変更予定日: 2024 年 5 月
Qualys を利用したサーバー組み込みの脆弱性評価ソリューションのDefenderは廃止パスにあり、2024 年 1 月 1 日>
脆弱性評価オファリングをMicrosoft Defender 脆弱性の管理と統合する決定の詳細については、こちらのブログ記事を参照してください。
Microsoft Defender 脆弱性の管理 ソリューションへの移行に関する common の質問も確認できます。
更新: Defender for Cloudのマルチクラウド ネットワーク要件
2024 年 1 月 3 日 **
変更予定日: 2024 年 5 月
改善に対応し、すべてのユーザーにとってより安全で効率的なエクスペリエンスにするため、2024 年 5 月から、マルチクラウド検出サービスに関連付けられている古い IP アドレスを廃止します。
サービスへのアクセスが中断しないよう、次のセクションで提供されている新しい範囲で IP 許可リストを更新する必要があります。 ファイアウォールの設定、セキュリティ グループ、またはお使いの環境に当てはまる可能性のあるその他の構成で、必要な調整を行う必要があります。
この一覧はすべてのプランに適用され、CSPM 基本 (無料) オファリングの完全な機能に十分です。
廃止される IP アドレス:
- 検出 GCP: 104.208.29.200、52.232.56.127
- 検出 AWS: 52.165.47.219、20.107.8.204
- オンボード: 13.67.139.3
追加する新しいリージョン固有の IP 範囲:
- 西ヨーロッパ: 52.178.17.48/28
- 北ヨーロッパ: 13.69.233.80/28
- 米国中部: 20.44.10.240/28
- 米国東部 2: 20.44.19.128/28
2023 年 12 月
| Date | Update |
|---|---|
| 12 月 30 日 | Defender for Cloudのサービス レベル 2 の名前の調整 |
| 12 月 24 日 | gaDefender> |
| 12 月 21 日 | マルチクラウド用クラシック コネクタの廃止 |
| 12 月 21 日 | カバレッジ ワークブックのリリース |
| 12 月 14 日 | |
| 12 月 14 日 | |
| 12 月 13 日 | Trivy を利用した AWS コンテナー脆弱性評価の廃止 |
| 12 月 13 日 | |
| 12 月 13 日 | オープンソース リレーショナル データベースプランのDefenderでの PostgreSQL フレキシブル サーバーの一般提供 (GA) のサポート |
| 12 月 12 日 |
Defender for Cloudのサービス レベル 2 名の統合
2023 年 12 月 30 日
すべてのDefender for Cloud プランの従来のサービス レベル 2 の名前を 1 つの新しいサービス レベル 2 の名前 (Microsoft Defender for Cloud に統合しています。
現在、サービス レベル 2 には、Azure Defender、高度な脅威保護、Advanced Data Security、Security Center の 4 つの名前があります。 Microsoft Defender for Cloudのさまざまなメーターは、これらの個別のサービス レベル 2 の名前にグループ化され、Cost Management + Billing、請求、その他のAzure課金関連ツールを使用する際に複雑になります。
この変更により、Defender for Cloud料金を確認するプロセスが簡略化され、コスト分析がより明確になります。
移行が円滑に行われるよう、製品やサービスの名前、SKU、測定 ID の一貫性を維持するための対策を講じてきました。 影響を受けるお客様は、変更を通知するために、情報Azureサービス通知を受け取ります。
API を呼び出してコスト データを取得している組織は、変更に対応するため、呼び出しでの値を更新する必要があります。 たとえば、次のフィルター関数の値では、情報が返されなくなります。
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| 古いサービス レベル 2 の名称 | 新しいサービス レベル 2 の名称 | サービス レベル - サービス レベル 4 (変更なし) |
|---|---|---|
| Advanced Data Security | Microsoft Defender for Cloud | SQL のDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | コンテナー レジストリのDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | DNS のDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | Key VaultのDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | Kubernetes のDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | MySQL のDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | PostgreSQL のDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | Resource ManagerのDefender |
| 高度な脅威保護 | Microsoft Defender for Cloud | ストレージのDefender |
| Azure Defender | Microsoft Defender for Cloud | 外部攻撃Surface管理のDefender |
| Azure Defender | Microsoft Defender for Cloud | Azure Cosmos DBのDefender |
| Azure Defender | Microsoft Defender for Cloud | コンテナーのDefender |
| Azure Defender | Microsoft Defender for Cloud | MariaDB のDefender |
| Security Center | Microsoft Defender for Cloud | App Service のDefender |
| Security Center | Microsoft Defender for Cloud | サーバーのDefender |
| Security Center | Microsoft Defender for Cloud | Defender CSPM |
GA として使用可能なリソース レベルでのサーバーのDefender
2023 年 12 月 24 日
サブスクリプション内の特定のリソース上のサーバーのDefenderを管理できるようになり、保護戦略を完全に制御できるようになりました。 この機能を使用すると、サブスクリプション レベルで構成されている設定とは異なるカスタム構成で特定のリソースを構成できます。
リソース レベルでのサーバーのDefenderの有効化について説明します。
マルチクラウド用クラシック コネクタの廃止
2023 年 12 月 21 日
従来のマルチクラウド コネクターは廃止され、そのメカニズムを使用して作成されたコネクタにデータがストリーミングされることはなくなりました。 これらのクラシック コネクタは、AWS Security Hub と GCP Security Command Center の推奨事項をDefender for Cloudに接続し、AWS EC2 をサーバーのDefenderにオンボードするために使用されました。
これらコネクタのすべての有用性は、2022 年 3 月から追加コストなしで AWS と GCP に一般公開されている、ネイティブのマルチクラウド セキュリティ コネクタ エクスペリエンスに置き換えられました。
新しいネイティブ コネクタは、プランに含まれ、1 つのアカウント、複数のアカウント (Terraform を使用) をオンボードするオプション、および次のDefenderプランの自動プロビジョニングを使用した組織オンボードの自動化されたオンボード エクスペリエンスを提供します。無料の基本的な CSPM 機能、Defenderクラウド セキュリティ体制管理 (CSPM)、サーバーのDefender、SQL のDefenderとコンテナーのDefender。
カバレッジ ワークブックのリリース
2023 年 12 月 21 日
カバレッジ ブックを使用すると、環境のどの部分でどのDefender for Cloudプランがアクティブになっているかを追跡できます。 このブックは、お使いの環境とサブスクリプションが完全に保護されていることを確認するのに役立ちます。 詳細なカバレッジ情報にアクセスすることで、他の保護が必要であると想定される領域を特定し、その領域に対処するための措置を講じることもできます。
カバレッジ ブックの詳細を確認します。
21Vianet が運用するAzure GovernmentおよびAzureのMicrosoft Defender 脆弱性の管理を利用したコンテナー脆弱性評価の一般提供
2023 年 12 月 14 日
Microsoft Defender 脆弱性の管理を利用したAzure コンテナー レジストリの Linux コンテナー イメージの脆弱性評価 (VA) は、Azure Governmentの一般提供 (GA) 用にリリースされ、21Vianet によって運用Azure。 この新しいリリースは、コンテナーのDefenderと Container Registries プランのDefenderで使用できます。
- この変更の一環として、GA の新しい推奨事項がリリースされ、セキュリティ スコアの計算に含まれています。 新しいセキュリティに関する推奨事項と更新されたセキュリティに関する推奨事項を確認する
- Microsoft Defender 脆弱性の管理を利用したコンテナー イメージ スキャンでも、プランの価格に従って料金が発生するようになりました。 Qualys を利用したコンテナー VA オファリングと、Microsoft Defender 脆弱性の管理を利用した Container VA オファリングの両方によってスキャンされた画像は、1 回だけ課金されます。
コンテナー脆弱性評価に関する Qualys の推奨事項は名前が変更され、このリリース前に任意のサブスクリプションでコンテナーのDefenderを有効にしたお客様が引き続き使用できるようになりました。 このリリース後にコンテナーのDefenderをオンボードする新しいお客様には、Microsoft Defender 脆弱性の管理を利用した新しいコンテナー脆弱性評価の推奨事項のみが表示されます。
Microsoft Defender 脆弱性の管理を利用したコンテナー脆弱性評価のWindowsサポートのパブリック プレビュー
2023 年 12 月 14 日
Windows イメージのサポートは、Azure コンテナー レジストリと Azure Kubernetes Services のMicrosoft Defender 脆弱性の管理を利用した脆弱性評価 (VA) の一環としてパブリック プレビューでリリースされました。
Trivy を利用した AWS コンテナー脆弱性評価の廃止
2023 年 12 月 13 日
Trivy を利用したコンテナー脆弱性評価は、現時点では 2 月 13 日までに完了する予定の廃止パス段階です。 この機能は現在非推奨となっており、この機能を利用している既存のお客様は 2 月 13 日まで引き続き利用可能です。 この機能を使用して、2 月 13 日までに Microsoft Defender 脆弱性の管理 を利用した新しい
Defender for Containers と Defender CSPM での AWS のエージェントレス コンテナーの体制 (プレビュー)
2023 年 12 月 13 日
新しいエージェントレス コンテナー態勢 (プレビュー) の機能は、AWS で利用可能です。 詳細については、「
オープンソース リレーショナル データベースプランのDefenderでの PostgreSQL フレキシブル サーバーの一般提供サポート
2023 年 12 月 13 日
オープン ソース リレーショナル データベース プランの
オープンソース リレーショナル データベースのEnable Microsoft Defenderについて説明します。
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価で Google Distroless がサポートされるようになりました
2023 年 12 月 12 日
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価は、Linux OS パッケージの対象範囲が広がり、Google Distroless をサポートするようになりました。
サポートされているすべてのオペレーティング システムの一覧については、
2023 年 11 月
| Date | Update |
|---|---|
| 11 月 30 日 | 非推奨の 4 つのアラートについて |
| 11 月 27 日 | |
| 11 月 22 日 | |
| 11 月 22 日 | |
| 11 月 20 日 | マシン上の SQL Server の自動プロビジョニング プロセスの一般提供 |
| 11 月 15 日 | API のDefenderの一般的な可用性 |
| 11 月 15 日 | |
| 11 月 15 日 | コンテナーのDefenderとコンテナー レジストリのDefenderでMicrosoft Defender 脆弱性の管理 (MDVM) を利用したコンテナー脆弱性評価の一般的な可用性 |
| 11 月 15 日 | コンテナー脆弱性評価の推奨事項の名前の変更 |
| 11 月 15 日 | 推奨事項でリスクの優先順位付けを使用できるようになった |
| 11 月 15 日 | 攻撃パス分析の新しいエンジンと広範な機能強化 |
| 11 月 15 日 | 攻撃パスのAzure Resource Graphテーブル スキームに変更します |
| 11 月 15 日 | |
| 11 月 15 日 | データ セキュリティ ダッシュボードの一般提供リリース |
| 11 月 15 日 | データベースの機密データ検出の一般提供リリース |
| 11 月 6 日 | 不足しているシステム更新プログラムを見つけるための推奨事項の新しいバージョンが一般提供されるようになりました |
非推奨の 4 つのアラートについて
2023 年 11 月 30 日
品質改善プロセスの一環として、次のセキュリティ アラートが非推奨となります。
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
サーバーとDefender CSPMのDefenderでスキャンするエージェントレス シークレットの一般提供
2023 年 11 月 27 日
エージェントレス シークレットスキャンでは、VM ディスク上のプレーンテキスト シークレットを識別することで、セキュリティ クラウド ベースのVirtual Machines (VM) が強化されます。 エージェントレス シークレット スキャンでは、検出された検索結果に優先順位を付け、横移動リスクが発生する前に軽減するための包括的な情報が提供されます。 この先回り型のアプローチにより、不正アクセスを防止し、クラウド環境の安全性を確保します。
エージェントレス シークレット スキャンの一般提供 (GA) についてお知らせします。このスキャンは、サーバー P2 の Defender と Defender CSPM プランの両方に含まれています。
エージェントレス シークレット スキャンは、クラウド API を利用してディスクのスナップショットをキャプチャし、VM のパフォーマンスに影響がないことを保証する帯域外の分析を行います。 エージェントレス シークレットスキャンを使用すると、Azure、AWS、GCP 環境全体でクラウド資産に対するDefender for Cloudによって提供される範囲が広がり、クラウドのセキュリティが強化されます。
このリリースでは、Defender for Cloudの検出機能で、他のデータベースの種類、データ ストアの署名付き URL、アクセス トークンなどがサポートされるようになりました。
エージェントレス シークレット スキャンを使用してシークレットを管理する方法について説明します。
Defender for Cloudでアクセス許可管理を有効にする (プレビュー)
2023 年 11 月 22 日
Microsoftでは、Microsoft Defender for Cloud (CNAPP) と Microsoft Entra アクセス許可管理 (CIEM) を使用した Cloud-Native Application Protection Platforms (CNAPP) とクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションの両方が提供されるようになりました。
セキュリティ管理者は、Defender for Cloud内で使用されていないアクセス許可または過剰なアクセス許可を一元的に確認できます。
セキュリティ チームは、クラウド リソースの最小限の特権アクセス制御を推進し、追加のライセンス要件なしで、Defender Cloud Security Posture Management (CSPM) の一部として、Azure、AWS、GCP クラウド環境全体のアクセス許可リスクを解決するための実用的な推奨事項を受け取ることができます。
Microsoft Defender for Cloud (プレビュー) で
ServiceNow とのDefender for Cloud統合
2023 年 11 月 22 日
ServiceNow は Microsoft Defender for Cloud と統合されました。これにより、顧客は ServiceNow をDefender for Cloud環境に接続して、ビジネスに影響を与える推奨事項の修復に優先順位を付けられます。 Microsoft Defender for Cloud ITSM モジュール (インシデント管理) と統合されます。 この接続の一環として、お客様はMicrosoft Defender for Cloudから ServiceNow チケット (推奨事項にリンク) を作成/表示できます。
Defender for Cloud と ServiceNow の統合の詳細を確認できます。
SQL Server on machines プラン向けの自動プロビジョニング プロセスの一般提供
2023 年 11 月 20 日
2024 年 8 月の Microsoft Monitoring Agent (MMA) の廃止に向けて、Defender for CloudはSQL Server対象の Azure Monitoring Agent (AMA) 自動プロビジョニング プロセスをリリースしました。 新しいプロセスは、すべての新規顧客に対して自動的に有効および構成され、Azure SQL VM と Arc 対応 SQL Server のリソース レベルを有効にする機能も提供します。
MMA 自動プロビジョニング プロセスを使用しているお客様は、マシンの自動プロビジョニング プロセス上の SQL サーバー用の新しいAzure監視エージェントに移行するよう要求されます。 移行プロセスはシームレスであり、すべてのマシンに継続的な保護を提供します。
API のDefenderの一般提供
2023 年 11 月 15 日
API のMicrosoft Defenderの一般提供 (GA) についてお知らせします。 API のDefenderは、API セキュリティの脅威から組織を保護するように設計されています。
API のDefenderにより、組織は悪意のあるアクターから API とデータを保護できます。 組織は、API のセキュリティ態勢の調査と改善、脆弱性の修正の優先度付け、アクティブなリアルタイムの脅威のすばやい検出と対応を行うことができます。 組織は、セキュリティ インシデントとイベント管理 (SIEM) プラットフォーム (Microsoft Sentinel など) にセキュリティ アラートを直接統合して、問題を調査およびトリアージすることもできます。
API のDefenderを使用して API を保護する方法について説明します。 API のMicrosoft Defenderの詳細も確認できます。
このブログを読んで、GA のお知らせの詳細を確認することもできます。
Defender for Cloudが Microsoft 365 Defender (プレビュー) と統合されました
2023 年 11 月 15 日
企業は、Microsoft Defender for CloudとMicrosoft Defender XDRの間の新しい統合によってクラウド リソースとデバイスを保護できます。 この統合により、クラウド リソース、デバイス、ID の間で点と点が結び付けられます。これまでは、複数のエクスペリエンスが必要でした。
また、この統合により、セキュリティ オペレーション センター (SOC) の日常業務に競争力のあるクラウド保護機能も提供されます。 Microsoft Defender XDRを使用すると、SOC チームは、クラウド、エンドポイント、ID、Microsoft 365など、複数の柱からの検出を組み合わせた攻撃を簡単に検出できます。
主に、次のようなベネフィットがあります。
SCC チーム向けの使いやすいインターフェイス: Defender for Cloudのアラートとクラウドの相関関係を M365D に統合することで、SOC チームは単一のインターフェイスからすべてのセキュリティ情報にアクセスできるようになり、運用効率が大幅に向上します。
1 つの攻撃ストーリー: お客様は、複数のソースからのセキュリティ アラートを結合する事前構築済みの相関関係を使うことで、クラウド環境を含む完全な攻撃ストーリーを把握できます。
Microsoft Defender XDR の新しいクラウド エンティティ: Microsoft Defender XDRでは、クラウド リソースなど、Microsoft Defender for Cloudに固有の新しいクラウド エンティティがサポートされるようになりました。 お客様は、仮想マシン (VM) のエンティティをデバイスのエンティティと一致させることができ、マシンに関するすべての関連情報 (トリガーされたアラートやインシデントなど) の統合ビューが提供されます。
Microsoft Security製品用のUnified API: Microsoft Defender for CloudアラートとインシデントがMicrosoft Defender XDRのパブリック API の一部になったため、お客様は 1 つの API を使用して、セキュリティ アラート データを任意のシステムにエクスポートできるようになりました。
Defender for CloudとMicrosoft Defender XDRの統合は、新規および既存のすべてのDefender for Cloudのお客様が利用できます。
コンテナーとコンテナー レジストリのDefenderのDefenderでの Microsoft Defender 脆弱性の管理 (MDVM) を利用したコンテナー脆弱性評価の一般提供
2023 年 11 月 15 日
Microsoft Defender 脆弱性の管理 (MDVM) を利用Azureコンテナー レジストリ内の Linux コンテナー イメージの脆弱性評価 (VA) は、コンテナーのDefenderの一般提供 (GA) とコンテナー レジストリのDefenderに対してリリースされます。
この変更の一環として、次の推奨事項が GA 用にリリースされ、名前を変更されて、セキュリティ スコアの計算に含まれるようになりました。
| 現在のレコメンデーションの名前 | 新しいレコメンデーションの名前 | Description | 評価キー |
|---|---|---|---|
| コンテナー レジストリ イメージには、脆弱性の結果が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) | レジストリ コンテナー イメージAzure脆弱性を解決する必要がある (Microsoft Defender 脆弱性の管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| コンテナー イメージの実行には、脆弱性の結果が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) | 実行中のコンテナー イメージAzure脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理 | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
MDVM を利用したコンテナー イメージ スキャンでも 、プランの価格に従って料金が発生するようになりました。
Note
Qualys を利用したコンテナー VA オファリングと MDVM を搭載した Container VA オファリングの両方によってスキャンされたイメージは、1 回だけ課金されます。
以下のコンテナー脆弱性評価に関する Qualys の推奨事項は名前が変更され、11 月 15 日より前に任意のサブスクリプションでコンテナーのDefenderを有効にしたお客様が引き続き利用できるようになります。 11 月 15 日以降にコンテナーのDefenderをオンボードする新しい顧客には、Microsoft Defender 脆弱性の管理を利用した新しいコンテナー脆弱性評価の推奨事項のみが表示されます。
| 現在のレコメンデーションの名前 | 新しいレコメンデーションの名前 | Description | 評価キー |
|---|---|---|---|
| コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | レジストリ コンテナー イメージAzure脆弱性が解決されている必要がある (Qualys を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | 実行中のコンテナー イメージAzure脆弱性が解決されている必要があります (Qualys を利用) | コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | 41503391-efa5-47ee-9282-4eff6131462c |
コンテナー脆弱性評価の推奨事項の名前の変更
次のコンテナー脆弱性評価の推奨事項は、名前が変更されました。
| 現在のレコメンデーションの名前 | 新しいレコメンデーションの名前 | Description | 評価キー |
|---|---|---|---|
| コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | レジストリ コンテナー イメージAzure脆弱性が解決されている必要がある (Qualys を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | 実行中のコンテナー イメージAzure脆弱性が解決されている必要があります (Qualys を利用) | コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | 41503391-efa5-47ee-9282-4eff6131462c |
| エラスティック コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある | AWS レジストリ コンテナー イメージで脆弱性を解決する必要があります - (Trivy を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
推奨事項でリスクの優先順位付けを使用できるようになった
2023 年 11 月 15 日
基になる各セキュリティ上の問題の悪用可能性とビジネスへの潜在的な影響の両方を考慮し、もたらされるリスク レベルに従ってセキュリティに関する推奨事項に優先順位を付けることができるようになりました。
推奨事項をリスク レベル (重大、高、中、低) に基づいて整理することで、環境内で最も重大なリスクに対処し、推奨事項を解決することで軽減できる可能性のあるインターネットへの露出、データの機密性、横移動の可能性、潜在的な攻撃経路などの実際のリスクに基づいて、セキュリティの問題の修復に効率的に優先順位を付けることができます。
リスクの優先順位付けについての理解を深めてください。
攻撃パス分析の新しいエンジンと広範な機能強化
2023 年 11 月 15 日
Defender for Cloudの攻撃パス分析機能の機能強化がリリースされています。
新しいエンジン - 攻撃パス分析には新しいエンジンがあり、パス検索アルゴリズムを使用して、クラウド環境に存在する可能性のあるすべての攻撃パスを検出します (グラフ内のデータに基づきます)。 環境内でさらに多くの攻撃パスを見つけ、攻撃者が組織を侵害するために使用できるいっそう複雑で高度な攻撃パターンを検出できます。
機能強化 - 次の機能強化がリリースされました。
- リスクの優先順位付け - リスク (悪用可能性とビジネスへの影響) に基づく攻撃パスの優先順位付けされた一覧。
- 強化された修復 - 実際にチェーンを壊すために解決する必要がある特定の推奨事項を特定します。
- クロスクラウド攻撃パス – クロスクラウド (あるクラウドで始まり、別のクラウドで終了するパス) である攻撃パスの検出。
- MITRE – すべての攻撃パスを MITRE フレームワークにマッピングします。
- 更新されたユーザー エクスペリエンス – 強化された機能 (トリアージを容易にするための攻撃パスの高度なフィルター、検索、グループ化) によるエクスペリエンスの更新。
攻撃パスを特定して修復する方法を参照してください。
攻撃パスの Azure Resource Graph テーブル スキームの変更
2023 年 11 月 15 日
攻撃パスのAzure Resource Graphテーブル スキームが更新されます。
attackPathType プロパティが削除され、他のプロパティが追加されます。
Defender CSPM での GCP サポートの一般提供リリース
2023 年 11 月 15 日
GCP リソースをサポートするコンテキスト クラウド セキュリティ グラフと攻撃パス分析Defender CSPM GA (一般提供) リリースをお知らせします。 Defender CSPMの機能を適用して、GCP リソース全体で包括的な可視性とインテリジェントなクラウド セキュリティを実現できます。
GCP サポートの主な機能は次のとおりです。
- 攻撃パス分析 - 攻撃者が通る可能性のある潜在的なルートについて理解します。
- クラウド セキュリティ エクスプローラー - セキュリティ グラフに対してグラフベースのクエリを実行して、セキュリティ リスクを事前に特定します。
- エージェントレス スキャン - エージェントを インストールせずにサーバーをスキャンし、シークレットと脆弱性を特定します。
- データ対応のセキュリティ態勢 - Google Cloud Storage バケット内の機密データに対するリスクを検出して修復します。
Defender CSPMプラン オプションの詳細を確認します。
Note
Defender CSPMの GCP サポートの GA リリースの課金は、2024 年 2 月 1 日に開始されます。
データ セキュリティ ダッシュボードの一般提供リリース
2023 年 11 月 15 日
データ セキュリティ ダッシュボードは、Defender CSPM プランの一部として一般公開 (GA) で使用できるようになりました。
データ セキュリティ ダッシュボードを使うと、組織のデータ資産、機密データに対するリスク、データ リソースに関する分析情報を見ることができます。
詳細については、 データ セキュリティ ダッシュボードに関するページを参照してください。
データベースの機密データ検出の一般提供リリース
2023 年 11 月 15 日
Azure SQL データベースや AWS RDS インスタンス (すべての RDBMS フレーバー) を含むマネージド データベースの機密データ検出が一般公開され、機密データを含む重要なデータベースを自動検出できるようになりました。
環境でサポートされているすべてのデータストアでこの機能を有効にするには、Defender CSPMで Sensitive data discovery を有効にする必要があります。
Defender CSPM で機密データの検出を有効にする方法について説明します。
また、データ対応セキュリティ態勢での機密データ検出の使い方についても確認できます。
パブリック プレビューのお知らせ:
システム更新プログラムを見つけるための推奨事項の新しいバージョンが一般提供されるようになりました
2023 年 11 月 6 日
マシンに最新のセキュリティ更新プログラムまたは重要なシステム更新プログラムがすべて確実に適用されるようにするために、Azure VM とAzure Arcマシンで追加のエージェントが不要になります。
新しいシステム更新プログラムの推奨事項 (Apply system updates コントロールの System updates should be installed on your machines (powered by Azure Update Manager)) は、Update Manager に基づいており、完全に GA になりました。 推奨事項は、インストールされているエージェントではなく、すべてのAzure VM とAzure Arc マシンに埋め込まれたネイティブ エージェントに依存します。 新しい推奨事項のクイック修正を使用すると、Update Manager ポータルで、不足している更新プログラムの 1 回限りのインストールに移動します。
2024 年 8 月までは、不足しているシステム更新プログラムを見つけるための推奨事項の古いバージョンと新しいバージョンの両方を使用でき、その後、古いバージョンは非推奨になります。
System updates should be installed on your machines (powered by Azure Update Manager)と System updates should be installed on your machines の両方の推奨事項は、同じコントロール (Apply system updates) で使用でき、同じ結果になります。 このため、セキュリティ スコアへの影響が重複することはありません。
新しい推奨事項に移行し、Azure ポリシーの組み込みイニシアチブから無効にして、古いものDefender for Cloud削除することをお勧めします。
推奨事項 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) も一般提供されており、前提条件であるため、セキュリティ スコアに悪影響を及ぼします。 使用可能な修正プログラムで、その悪影響を修復できます。
新しい推奨事項を適用するには、次の手順を行う必要があります。
- Azure以外のマシンを Arc に接続します。
-
定期評価プロパティを有効にします。 新しい推奨事項
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)のクイック修正を使って、推奨事項を修正できます。
Note
関連するサブスクリプションまたはコネクタで、サーバー プラン 2 のDefenderが有効になっていない Arc 対応マシンに対して定期的な評価を有効にすることは、Azure Update Manager価格の対象となります。 サーバー プラン 2
2023 年 10 月
| Date | Update |
|---|---|
| 10 月 30 日 | 適応型アプリケーション制御のセキュリティ アラートの重大度の変更 |
| 10 月 25 日 | API のDefenderから削除されたAzure API Managementリビジョン |
| 10 月 19 日 | パブリック プレビューで利用可能な DevOps セキュリティ体制管理のレコメンデーション |
| 10 月 18 日 | 規制コンプライアンス ダッシュボードでの CIS Azure Foundations Benchmark v2.0.0 のリース |
適応型アプリケーション制御のセキュリティ アラートの重大度の変更
発表日: 2023 年 10 月 30 日
サーバーのDefenderのセキュリティ アラート品質向上プロセスの一環として、および adaptive アプリケーション制御機能の一部として、次のセキュリティ アラートの重大度が "Informational" に変更されます。
| アラート [アラートの種類] | アラートの説明 |
|---|---|
| 適応型アプリケーション制御ポリシー違反が監査されました。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | 次のユーザーは、このコンピューティングで組織のアプリケーション制御ポリシーに違反しているアプリケーションを実行しました。 コンピューターがマルウェアやアプリケーションの脆弱性にさらされる可能性があります。 |
Microsoft Defender for Cloud ポータルの [セキュリティ アラート] ページでこのアラートを引き続き表示するには、既定のビュー フィルター Severity を変更して、グリッドに informational アラートを含めます。
API のDefenderから削除されたオフライン Azure API Management リビジョン
2023 年 10 月 25 日
API のDefenderは、Azure API Management API リビジョンのサポートを更新しました。 オフライン リビジョンは、API インベントリのオンボード Defenderに表示されなくなり、API のDefenderにオンボードされているように見えなくなりました。 オフライン リビジョンでは、トラフィックが送信されるのを許可せず、セキュリティの観点からリスクを引き起こすことはありません。
パブリック プレビューで利用可能な DevOps セキュリティ体制管理のレコメンデーション
2023 年 10 月 19 日
新しい DevOps ポスチャ管理の推奨事項は、Azure DevOpsまたはGitHub用のコネクタを持つすべてのお客様向けのパブリック プレビューで利用できるようになりました。 DevOps 体制管理は、セキュリティ構成とアクセス制御の弱点を明らかにすることで、DevOps 環境の攻撃面を減らすのに役立ちます。 DevOps 体制管理の詳細を確認します。
規制コンプライアンス ダッシュボードでの CIS Azure Foundations Benchmark v2.0.0 のリリース
2023 年 10 月 18 日
Microsoft Defender for Cloudでは、規制コンプライアンス
2023 年 9 月
| Date | Update |
|---|---|
| 9 月 30 日 | Log Analytics日次上限に変更します |
| 9 月 27 日 | パブリック プレビューで利用可能なデータ セキュリティ ダッシュボード |
| 9 月 21 日 | Preview リリース: マシンでSQL Serverするための新しい自動プロビジョニング プロセス |
| 9 月 20 日 | |
| 9 月 11 日 | API の推奨事項のDefenderでExempt 機能を使用できるようになりました |
| 9 月 11 日 | API 検出のDefenderのサンプル アラートを作成します |
| 9 月 6 日 | Preview リリース: Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価で、プル時のスキャンがサポートされるようになりました |
| 9 月 6 日 | 規制コンプライアンスの Center for Internet Security (CIS) 標準の名前付け形式を更新しました |
| 9 月 5 日 | PaaS データベースの機密データ検出 (プレビュー) |
| 9 月 1 日 |
Log Analytics日次上限に変更する
Azureモニターは、Log Analytics ワークスペースに取り込まれるデータに>
Log Analytics日次上限では、次のデータ型のセットが除外されなくなりました。
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
日次上限が満たされた場合、すべての課金対象データ型に上限が設定されます。 この変更により、予想を超えるデータ インジェストのコストを完全に含められるようになります。
Microsoft Defender for Cloud を使用した
パブリック プレビューで利用可能なデータ セキュリティ ダッシュボード
2023 年 9 月 27 日
データ セキュリティ ダッシュボードは、Defender CSPM プランの一部としてパブリック プレビューで使用できるようになりました。 データ セキュリティ ダッシュボードは、機密データに対する重大なリスクを明るみに出し、ハイブリッド クラウド ワークロード全体のデータに対するアラートと潜在的な攻撃パスに優先順位を付ける、対話型でデータ中心のダッシュボードです。 詳細については、 データ セキュリティ ダッシュボードに関するページを参照してください。
プレビュー リリース: マシン上のSQL Serverプランの新しい自動プロビジョニング プロセス
2023 年 9 月 21 日
Microsoft監視エージェント (MMA) は、2024 年 8 月に非推奨になります。 Defender for Cloud MMA をSQL Server対象のAzure Monitoring Agent 自動プロビジョニング プロセスのリリースに置き換えることで、戦略を更新しました。
プレビュー期間中、Azure Monitor エージェント (プレビュー) オプションで MMA 自動プロビジョニング プロセスを使用しているお客様は、マシン (プレビュー) の自動プロビジョニング プロセス上の SQL Server 用の新しいAzure監視エージェントに移行するように要求されます。 移行プロセスはシームレスであり、すべてのマシンに継続的な保護を提供します。
詳細については、「監視エージェントの自動プロビジョニング プロセスAzure SQL サーバーターゲットへの移行を参照してください。
Defender for CloudのAzure DevOpsアラートのセキュリティ強化をGitHubする
2023 年 9 月 20 日
Defender for Cloud GitHub CodeQL、シークレット、および依存関係に関連する Azure DevOps 用 Advanced Security (GHAzDO) アラートを表示できるようになりました。 結果は DevOps ページと推奨事項に表示されます。 これらの結果を表示するには、GHAzDO 対応リポジトリをDefender for Cloudにオンボードします。
GitHub advanced Security for Azure DevOps の詳細を確認します。
API の推奨事項のDefenderで使用できる除外機能が追加されました
2023 年 9 月 11 日
API のセキュリティに関する次のDefenderの推奨事項を除外できるようになりました。
| Recommendation | 説明および関連するポリシー | Severity |
|---|---|---|
| (プレビュー)使用されていない API エンドポイントを無効にして、Azure API Management サービスから削除する必要がある | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 使用されていない API エンドポイントを保持しておくと、セキュリティ リスクが発生するおそれがあります。 これらは、Azure API Management サービスから非推奨になったはずの API ですが、誤ってアクティブなままになっている可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | Low |
| (プレビュー)Azure API Managementの API エンドポイントを認証する必要がある | Azure API Management内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 Azure API Managementで公開された API の場合、この推奨事項では、Azure API Management内で構成されたサブスクリプション キー、JWT、およびクライアント証明書を使用して認証の実行を評価します。 API 呼び出し中にこれらの認証メカニズムがどれも実行されない場合は、API にこの推奨事項が適用されます。 | High |
Defender for Cloud での
API 検出用のDefenderのサンプル アラートを作成する
2023 年 9 月 11 日
API パブリック プレビューのDefenderの一部としてリリースされたセキュリティ検出のサンプル アラートを生成できるようになりました。 Defender for Cloud でのサンプル アラートの
プレビュー リリース: Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価で、プル時のスキャンがサポートされるようになりました
2023 年 9 月 6 日
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価で、ACR からプルされたイメージをスキャンするための追加のトリガーがサポートされるようになりました。 このトリガーが新たに追加されたため、過去 90 日間に ACR にプッシュされたイメージと AKS で現在実行されているイメージをスキャンする既存のトリガーに加え、アクティブなイメージがスキャン対象として加えられました。
新しいトリガーは本日ロールアウトが開始され、9 月末までにすべてのお客様が利用できるようになる予定です。
規制コンプライアンスの Center for Internet Security (CIS) 標準の名前付け形式を更新しました
2023 年 9 月 6 日
コンプライアンス ダッシュボードの CIS (Center for Internet Security) Foundations ベンチマークの名前付け形式は、[Cloud] CIS [version number] から CIS [Cloud] Foundations v[version number] に変更されています。 次の表を参照してください。
| 現在の名前 | 新しい名前 |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
規制コンプライアンスを向上させる方法について確認します。
PaaS データベースの機密データ検出 (プレビュー)
2023 年 9 月 5 日
PaaS データベース (Azure SQL データベースと任意の種類の Amazon RDS インスタンス) の摩擦のない機密データ検出用のデータ対応セキュリティ体制機能がパブリック プレビューになりました。 このパブリック プレビューでは、重要なデータが存在する場所に関係なく、そのデータと、それらのデータベース内にあるデータの種類のマップを作成できます。
Azureおよび AWS データベースの機密データ検出により、共有分類と構成が追加されます。これは、クラウド オブジェクト ストレージ リソース (Azure Blob Storage、AWS S3 バケット、GCP ストレージ バケット) で既に公開されており、単一の構成と有効化エクスペリエンスを提供します。
データベースは毎週スキャンされます。
sensitive data discovery を有効にすると、24 時間以内に検出が実行されます。 結果の表示は、クラウド セキュリティ エクスプローラーで行うことも、機密データを含むマネージド データベースの新しい攻撃パスを確認することで行うこともできます。
データベースのデータ対応セキュリティ体制は、Defender CSPM プラン を通じて使用でき、sensitive data discovery オプションが有効になっているサブスクリプションで自動的に有効になります。
データ対応のセキュリティ態勢の詳細については、次の記事を参照してください。
一般提供 (GA): ストレージのDefenderでのマルウェア スキャン
2023 年 9 月 1 日
マルウェア スキャンは、Storage のDefenderのアドオンとして一般公開 (GA) されるようになりました。 Defender for Storage でのマルウェア スキャンは、Microsoft Defender ウイルス対策機能を使用して、アップロードされたコンテンツに対してほぼリアルタイムで完全なマルウェア スキャンを実行することで、ストレージ アカウントを悪意のあるコンテンツから保護するのに役立ちます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たすように設計されています。 マルウェア スキャン機能は、大規模なセットアップを可能にし、大規模な応答の自動化をサポートするエージェントレス SaaS ソリューションです。
storage のDefenderでの
マルウェア スキャンは、データの使用状況と予算に応じて価格が設定されます。 課金は 2023 年 9 月 3 日に開始されます。 詳細については、 価格ページ を参照してください。
前のプランを使用している場合は、マルウェアスキャンを有効にするために新しいプランに事前にする必要があります。
Microsoft Defender for Cloudお知らせブログの投稿をお読みください。
2023 年 8 月
8 月の更新プログラムには次のものが含まれます。
| Date | Update |
|---|---|
| 8 月 30 日 | Defender For Containers: Kubernetes のエージェントレス検出 |
| 8 月 22 日 | Recommendation リリース: マルウェア スキャンと機密データの脅威検出を使用して Storage のMicrosoft Defenderを有効にする必要があります |
| 8 月 17 日 | Defender for Cloud セキュリティ アラートの意図されたプロパティは、アクティビティ ログからマスクされます |
| 8 月 15 日 | |
| 8 月 7 日 | Defender for Servers プラン 2 の新しいセキュリティ アラート: 仮想マシン拡張機能Azure悪用される可能性のある攻撃の検出 |
| 8 月 1 日 | Defender for Cloud プランのビジネス モデルと価格の更新 |
コンテナーのDefender: Kubernetes のエージェントレス検出
2023 年 8 月 30 日
Defender For Containers: Kubernetes のエージェントレス検出についてご紹介します。 このリリースは、コンテナーのセキュリティにおいて大きな一歩となり、Kubernetes 環境用の高度な分析情報と包括的なインベントリ機能が提供されます。 新しいコンテナー オファリングは、Defender for Cloudコンテキスト セキュリティ グラフを利用します。 この最新の更新プログラムに期待できることは次のとおりです。
- Kubernetes のエージェントレス検出
- 包括的なインベントリ機能
- Kubernetes 固有のセキュリティ分析情報
- クラウド セキュリティ エクスプローラーを使用したリスク ハンティングの強化
Kubernetes のエージェントレス検出は、すべての Defender For Containers のお客様が利用できるようになりました。 今すぐこれらの高度な機能の使用を開始できます。 サブスクリプションを更新して、拡張機能の完全なセットを有効にし、最新の追加機能を利用することをお勧めします。 拡張機能を有効にするには、Defender for Containers サブスクリプションの Environment と settings ペインにアクセスします。
Note
最新の追加を有効にしても、コンテナーのお客様のアクティブなDefenderに新しいコストは発生しません。
詳細については、「コンテナーのコンテナー セキュリティ Microsoft Defenderの概要」を参照>。
推奨事項のリリース: マルウェア スキャンと機密データの脅威検出を使用して Storage のMicrosoft Defenderを有効にする必要がある
2023 年 8 月 22 日
Defender for Storage の新しい推奨事項がリリースされました。 この推奨事項により、マルウェア スキャンと機密データの脅威検出機能を使用して、Storage のDefenderがサブスクリプション レベルで有効になります。
| Recommendation | Description |
|---|---|
| マルウェアスキャンと機密データの脅威検出を使用してストレージのMicrosoft Defenderを有効にする必要がある | Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出します。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 ストレージプランの新しいDefenderには、マルウェアスキャンと機密データの脅威検出が含まれています。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 大規模な簡易エージェントレス セットアップにより、サブスクリプション レベルで有効にすると、そのサブスクリプションの既存および新しく作成されたすべてのストレージ アカウントが自動的に保護されます。 保護されたサブスクリプションから特定のストレージ アカウントを除外することもできます。 |
この新しい推奨事項は、現在の推奨事項 Microsoft Defender for Storage should be enabled (評価キー 1be22853-8ed1-4005-9907-ddad64cb1417) に代わるものです。 ただし、この推奨事項は引き続き Azure Government クラウドで使用できます。
Storage のMicrosoft Defenderの詳細を確認します。
Defender for Cloud セキュリティ アラートの拡張プロパティがアクティビティ ログからマスクされる
2023 年 8 月 17 日
最近、セキュリティ アラートとアクティビティ ログの統合方法が変更されました。 機密性の高い顧客情報をより適切に保護するために、この情報はアクティビティ ログに含まれなくなりました。 代わりに、アスタリスクでマスクされます。 ただし、この情報は、アラート API、継続的エクスポート、および Defender for Cloud ポータルを通じて引き続き使用できます。
アクティビティ ログを使用して SIEM ソリューションにアラートをエクスポートする場合は、別のソリューションを使用することを検討する必要があります。これは、Defender for Cloudセキュリティ アラートをエクスポートするための推奨される方法ではありません。
Defender for Cloudセキュリティ アラートを SIEM、SOAR、およびその他のサード パーティのアプリケーションにエクスポートする方法については、「Stream アラートを SIEM、SOAR、または IT サービス管理ソリューションにエクスポートするを参照してください。
Defender CSPM での GCP サポートのプレビュー リリース
2023 年 8 月 15 日
GCP リソースをサポートするDefender CSPMコンテキスト クラウド セキュリティ グラフと攻撃パス分析のプレビュー リリースが発表されます。 Defender CSPMの機能を適用して、GCP リソース全体で包括的な可視性とインテリジェントなクラウド セキュリティを実現できます。
GCP サポートの主な機能は次のとおりです。
- 攻撃パス分析 - 攻撃者が通る可能性のある潜在的なルートについて理解します。
- クラウド セキュリティ エクスプローラー - セキュリティ グラフに対してグラフベースのクエリを実行して、セキュリティ リスクを事前に特定します。
- エージェントレス スキャン - エージェントを インストールせずにサーバーをスキャンし、シークレットと脆弱性を特定します。
- データ対応のセキュリティ態勢 - Google Cloud Storage バケット内の機密データに対するリスクを検出して修復します。
Defender CSPMプラン オプションの詳細を確認します。
Defender for Servers プラン 2 の新しいセキュリティ アラート: 仮想マシン拡張機能Azure悪用される可能性のある攻撃の検出
2023 年 8 月 7 日
この新しい一連のアラートは、Azure仮想マシン拡張機能の疑わしいアクティビティの検出に焦点を当て、仮想マシンで悪意のあるアクティビティを侵害および実行しようとする攻撃者の試みに関する分析情報を提供します。
Microsoft Defender for Servers では、仮想マシン拡張機能の疑わしいアクティビティを検出できるようになりました。これにより、ワークロードのセキュリティをより適切にカバーできます。
Azure仮想マシン拡張機能は、仮想マシンでデプロイ後に実行され、構成、自動化、監視、セキュリティなどの機能を提供する小さなアプリケーションです。 拡張機能は強力なツールですが、次のようなさまざまな悪意のある意図で脅威アクターに使用される可能性があります。
- データの収集と監視用。
- 高い特権を持つコードの実行と構成のデプロイ。
- 資格情報をリセットし、管理ユーザーを作成する場合。
- ディスクを暗号化する場合。
新しいアラートの表を次に示します。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
サブスクリプションへの GPU 拡張機能のインストール中の不審なエラー (プレビュー) (VM_GPUExtensionSuspiciousFailure) |
サポートされていない VM に GPU 拡張機能をインストールしようとする不審な意図。 この拡張機能は、グラフィック プロセッサを搭載した仮想マシンにインストールする必要があります。この場合、仮想マシンにはそのようなものが搭載されていません。 これらのエラーは、悪意のある攻撃者が暗号化マイニングを目的としてそのような拡張機能の複数のインストールを実行するときに発生する可能性があります。 | Impact | Medium |
|
仮想マシン上で GPU 拡張機能の不審なインストールが検出されました (プレビュー) (VM_GPUDriverExtensionUnusualExecution) ''このアラートは 2023 年 7 月にリリースされました。'' |
サブスクリプションのAzure Resource Manager操作を分析することで、仮想マシンに GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者は、GPU ドライバー拡張機能を使用して、Azure Resource Managerを介して仮想マシンに GPU ドライバーをインストールし、暗号化ジャッキングを実行する可能性があります。 プリンシパルの動作が通常のパターンから逸脱しているため、この行為は不審であると考えられます。 | Impact | Low |
|
仮想マシン上で不審なスクリプトを含む Run Command が検出されました (プレビュー) (VM_RunCommandSuspiciousScript) |
サブスクリプション内のAzure Resource Manager操作を分析することで、疑わしいスクリプトを含む実行コマンドが仮想マシンで検出されました。 攻撃者は Run Command を使用して、Azure Resource Manager経由で仮想マシンに対して高い特権を持つ悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | Execution | High |
|
仮想マシン上で不審な無許可 Run Command の使用が検出されました (プレビュー) (VM_RunCommandSuspiciousFailure) |
実行コマンドの疑わしい未承認の使用が失敗し、サブスクリプションのAzure Resource Manager操作を分析して仮想マシンで検出されました。 攻撃者は、Run Command を使用して、Azure Resource Manager経由で仮想マシンに対して高い特権を持つ悪意のあるコードを実行しようとする可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 | Execution | Medium |
|
仮想マシン上で不審な Run Command の使用が検出されました (プレビュー) (VM_RunCommandSuspiciousUsage) |
サブスクリプション内のAzure Resource Manager操作を分析することで、仮想マシンで実行コマンドの疑わしい使用が検出されました。 攻撃者は Run Command を使用して、Azure Resource Manager経由で仮想マシンに対して高い特権を持つ悪意のあるコードを実行する可能性があります。 このアクティビティはこれまで一般的に見られたことがないため、疑わしいと考えられます。 | Execution | Low |
|
複数の監視拡張機能またはデータ収集拡張機能の不審な使用が仮想マシンで検出されました (プレビュー) (VM_SuspiciousMultiExtensionUsage) |
サブスクリプションのAzure Resource Manager操作を分析することで、仮想マシンで複数の監視またはデータ収集拡張機能の疑わしい使用状況が検出されました。 攻撃者は、データの収集やネットワーク トラフィックの監視などのために、サブスクリプション内でこのような拡張機能を悪用する可能性があります。 この使用はこれまで一般的に見られたことがないため、疑わしいと考えられます。 | Reconnaissance | Medium |
|
仮想マシン上でディスク暗号化拡張機能の不審なインストールが検出されました (プレビュー) (VM_DiskEncryptionSuspiciousUsage) |
サブスクリプションのAzure Resource Manager操作を分析することで、仮想マシンにディスク暗号化拡張機能の疑わしいインストールが検出されました。 攻撃者は、ランサムウェア アクティビティを実行しようとして、ディスク暗号化拡張機能を悪用して、Azure Resource Manager経由で仮想マシンに完全なディスク暗号化をデプロイする可能性があります。 このアクティビティは、これまで一般的に見られたことがなく、拡張機能のインストール数が多いため、疑わしいと考えられます。 | Impact | Medium |
|
VM アクセス拡張機能の不審な使用が仮想マシンで検出されました (プレビュー) (VM_VMAccessSuspiciousUsage) |
VM アクセス拡張機能の不審な使用が仮想マシンで検出されました。 攻撃者は、VM アクセス拡張機能を悪用してアクセスを取得し、アクセスをリセットしたり管理ユーザーを管理したりして、高い特権を使って仮想マシンを侵害するおそれがあります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 | Persistence | Medium |
(VM_DSCExtensionSuspiciousScript) |
サブスクリプションのAzure Resource Manager操作を分析することで、疑わしいスクリプトを含む Desired State Configuration (DSC) 拡張機能が仮想マシンで検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズム、悪意のあるスクリプトなどの悪意のある構成を、高い特権で仮想マシンにデプロイする可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | Execution | High |
(VM_DSCExtensionSuspiciousUsage) |
サブスクリプション内のAzure Resource Manager操作を分析することで、仮想マシンで Desired State Configuration (DSC) 拡張機能の疑わしい使用状況が検出されました。 攻撃者は、Desired State Configuration (DSC) 拡張機能を使用して、永続化メカニズム、悪意のあるスクリプトなどの悪意のある構成を、高い特権で仮想マシンにデプロイする可能性があります。 プリンシパルの動作が通常のパターンから逸脱していること、拡張機能のインストール数が多いことから、このアクティビティは疑わしいと見なされます。 | Impact | Low |
|
不審なスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました (プレビュー) (VM_CustomScriptExtensionSuspiciousCmd) ''(このアラートは既に存在し、より強化されたロジックと検出方法で改善されています)。'' |
サブスクリプション内のAzure Resource Manager操作を分析することで、疑わしいスクリプトを含むカスタム スクリプト拡張機能が仮想マシンで検出されました。 攻撃者は、カスタム スクリプト拡張機能を使用して、Azure Resource Manager経由で仮想マシンに対して高い特権を持つ悪意のあるコードを実行する可能性があります。 特定の部分が潜在的に悪意があると特定されたため、スクリプトは疑わしいと見なされます。 | Execution | High |
Defender for Servers の
アラートの完全な一覧については、Microsoft Defender for Cloud のすべてのセキュリティ アラートの
Defender for Cloud プランのビジネス モデルと価格の更新
2023 年 8 月 1 日
Microsoft Defender for Cloudには、サービス層の保護を提供する 3 つのプランがあります。
Key VaultのDefender
Resource ManagerのDefender
DNS のDefender
これらのプランは、支出の予測可能性と全体的なコスト構造の簡素化に関するお客様のフィードバックに対処するために、価格とパッケージ化が異なる新しいビジネス モデルに移行されました。
ビジネス モデルと価格の変更の概要:
Key-Vault のDefender、Resource ManagerのDefender、DNS のDefenderの既存の顧客は、新しいビジネス モデルと価格に積極的に切り替える場合を除き、現在のビジネス モデルと価格を維持します。
- Resource ManagerDefender: このプランには>、1 か月あたりのサブスクリプションあたりの固定価格があります。 顧客は、サブスクリプション モデルごとに新しいResource ManagerのDefenderを選択することで、新しいビジネス モデルに切り替えることができます。
Key-Vault のDefender、Resource ManagerのDefender、DNS のDefenderの既存の顧客は、新しいビジネス モデルと価格に積極的に切り替える場合を除き、現在のビジネス モデルと価格を維持します。
- Resource ManagerDefender: このプランには>、1 か月あたりのサブスクリプションあたりの固定価格があります。 顧客は、サブスクリプション モデルごとに新しいResource ManagerのDefenderを選択することで、新しいビジネス モデルに切り替えることができます。
- Key Vault の
Defender: このプランには、超過料金なしで 1 か月あたりのコンテナーあたりの固定価格があります。 お客様は、コンテナー モデルごとに新しいKey VaultのDefenderを選択することで、新しいビジネス モデルに切り替えることができます - Defender for DNS: Defender for Servers Plan 2 のお客様は、追加料金なしでサーバー プラン 2 のDefenderの一部として DNS 値のDefenderにアクセスできます。 サーバー プラン 2 のDefenderと DNS のDefenderの両方を持つお客様は、DNS のDefenderに対して課金されなくなります。 DNS のDefenderは、スタンドアロン プランとして使用できなくなりました。
これらのプランの価格の詳細については、Defender for Cloud価格に関するページを参照してください。
2023 年 7 月
7 月の更新プログラムには次のものが含まれます。
| Date | Update |
|---|---|
| 7 月 31 日 | コンテナーのDefenderとコンテナー レジストリのDefenderのMicrosoft Defender 脆弱性の管理を利用したコンテナー脆弱性評価のプレビュー リリース |
| 7 月 30 日 | Defender CSPMのエージェントレス コンテナーの配置が一般公開されました |
| 7 月 20 日 | Linux 用エンドポイントのDefenderに対する自動更新の管理 |
| 7 月 18 日 | |
| 7 月 12 日 | Defender for Servers プラン 2 の新しいセキュリティ アラート: AZURE VM GPU ドライバー拡張機能を利用した潜在的な攻撃の検出 |
| 7 月 9 日 | 特定の脆弱性の結果を無効にするためのサポート |
| 7 月 1 日 | データ対応セキュリティ態勢が一般提供になった |
Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価のプレビュー リリース
2023 年 7 月 31 日
Defender for Containers と Container Registries のDefenderでMicrosoft Defender 脆弱性の管理を利用した、Azure コンテナー レジストリの Linux コンテナー イメージに対する脆弱性評価 (VA) のリリースが発表されます。 新しいコンテナー VA オファリングは、コンテナーのDefenderとコンテナー レジストリのDefenderの両方で Qualys を利用した既存の Container VA オファリングと共に提供され、コンテナー イメージの毎日の再スキャン、悪用可能性情報、OS とプログラミング言語 (SCA) のサポートなどが含まれます。
この新しいオファリングは本日ロールアウトが開始され、8 月 7 日までにすべてのお客様が利用できるようになる予定です。
Microsoft Defender 脆弱性の管理 を使用した
Defender CSPMでのエージェントレス コンテナーのポスチャが一般提供されるようになりました
2023 年 7 月 30 日
エージェントレス コンテナー体制の機能が、Defender CSPM (クラウド セキュリティ体制管理) 計画の一部として一般公開 (GA) されるようになりました。
Defender CSPM での
Defender for Endpoint for Linux の自動更新の管理
2023 年 7 月 20 日
既定では、Defender for Cloudは、MDE.Linux 拡張機能を使用してオンボードされた Linux エージェントのエンドポイントのDefenderの更新を試みます。 このリリースでは、この設定を管理し、既定の構成からオプトアウトして、更新サイクルを手動で管理できます。
サーバー P2 とサーバーのDefender内の仮想マシンのエージェントレス シークレット スキャンDefender CSPM
2023 年 7 月 18 日
シークレットスキャンは、サーバー P2 とDefender CSPMのDefenderでのエージェントレス スキャンの一部として使用できるようになりました。 この機能は、ネットワーク内を横方向に移動するために使用できる、Azureまたは AWS リソース内の仮想マシンに保存されたアンマネージドで安全でないシークレットを検出するのに役立ちます。 シークレットが検出された場合、Defender for Cloudは、マシンのパフォーマンスに影響を与えることなく、横移動のリスクを最小限に抑えるために、優先順位を付け、実行可能な修復手順を実行するのに役立ちます。
シークレットスキャンを使用してシークレットを保護する方法の詳細については、「 エージェントレス シークレットスキャンを使用したシークレットの管理を参照してください。
Defender for Servers プラン 2 の新しいセキュリティ アラート: AZURE VM GPU ドライバー拡張機能を利用した潜在的な攻撃の検出
2023 年 7 月 12 日
このアラートは、仮想マシン GPU ドライバー拡張機能Azure利用する疑わしいアクティビティを特定することに焦点を当て、攻撃者が仮想マシンを侵害しようとした場合の分析情報を提供します。 このアラートは、GPU ドライバー拡張機能の疑わしいデプロイを対象とします。このような拡張機能は、しばしば、GPU カードのフル パワーを利用しクリプトジャッキングを実行するために脅威アクターによって悪用されます。
| アラートの表示名 (アラートの種類) |
Description | Severity | MITRE の戦術 |
|---|---|---|---|
| 仮想マシンへの GPU 拡張機能の疑わしいインストール (プレビュー) (VM_GPUDriverExtensionUnusualExecution) |
サブスクリプション内のAzure Resource Manager操作を分析することで、仮想マシンで GPU 拡張機能の疑わしいインストールが検出されました。 攻撃者は、GPU ドライバー拡張機能を使用して、Azure Resource Managerを介して仮想マシンに GPU ドライバーをインストールし、暗号化ジャッキングを実行する可能性があります。 | Low | Impact |
アラートの完全な一覧については、Microsoft Defender for Cloud のすべてのセキュリティ アラートの
特定の脆弱性の結果を無効にするためのサポート
2023 年 7 月 9 日
コンテナー レジストリ イメージの脆弱性の検出結果を無効にしたり、エージェントレス コンテナー態勢の一部としてイメージを実行したりするためのサポートがリリースされました。 組織のニーズとして、コンテナー レジストリ イメージの脆弱性の検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 検出結果を無効にすると、セキュリティ スコアが影響を受けることも、不要なノイズが生成されることもなくなります。
コンテナー レジストリ イメージの脆弱性評価の結果を無効にする方法について学習します。
データ対応セキュリティ態勢が一般提供になった
2023 年 7 月 1 日
Microsoft Defender for Cloudでのデータ対応のセキュリティ体制が一般公開されました。 これは、お客様がデータのリスクを軽減し、データ侵害に対応するのに役立ちます。 データ対応セキュリティ態勢を使用すると、以下のことができます。
- Azureと AWS 全体で機密データ リソースを自動的に検出します。
- データ秘密度やデータ露出について評価し、組織全体でデータがどのように流れるかを評価します。
- データ侵害につながる可能性のあるリスクを予防的かつ継続的に明らかにします。
- 機密データ リソースに対する継続的な脅威を示している可能性がある疑わしいアクティビティを検出します
詳細については、
2023 年 6 月
6 月の更新プログラムには次のものが含まれます。
| Date | Update |
|---|---|
| 6 月 26 日 | 強化された設定による合理化されたマルチクラウド アカウントのオンボード |
| 6 月 25 日 | ストレージのDefenderでのマルウェア スキャンに対するPrivate エンドポイントのサポート |
| 6 月 15 日 | 規制コンプライアンスにおける NIST 800-53 標準に対する制御の更新が行われました |
| 6 月 11 日 | |
| 6 月 7 日 | SQL のDefenderの脆弱性評価の構成が一般公開されました |
| 6 月 6 日 | 既存の Azure DevOps コネクタに追加されたスコープ |
| 6 月 4 日 |
強化された設定による合理化されたマルチクラウド アカウントのオンボード
2023 年 6 月 26 日
Defender for Cloudでは、AWS と GCP 環境をオンボードしながら高度なオンボード機能へのアクセスを提供できる新機能に加えて、合理化された新しいユーザー インターフェイスと手順を含むようにオンボード エクスペリエンスが向上しました。
自動化に Hashicorp Terraform を採用している組織の場合、Defender for Cloudには、AWS CloudFormation または GCP Cloud Shellと共にデプロイ方法として Terraform を使用する機能が含まれるようになりました。 統合の作成時に必要なロール名をカスタマイズできるようになりました。 また、次の中から選択することもできます。
既定のアクセス - Defender for Cloudがリソースをスキャンし、将来の機能を自動的に含めることができます。
-Grants Defender for Cloud選択したプランに必要な現在のアクセス許可にのみアクセスできます。
最小権限のアクセス許可を選択すると、コネクタ正常性の完全な機能を取得するのに必要な新しいロールとアクセス許可に関する通知だけを受け取ります。
Defender for Cloudを使用すると、クラウド ベンダーのネイティブ名でクラウド アカウントを区別できます。 たとえば、AWS アカウント エイリアスや GCP プロジェクト名などです。
Defender for Storage でのマルウェア スキャンに対するプライベート エンドポイントのサポート
2023 年 6 月 25 日
プライベート エンドポイントのサポートは、Defender for Storage のマルウェア スキャン パブリック プレビューの一部として利用できるようになりました。 この機能を使用すると、プライベート エンドポイントを使用しているストレージ アカウントでマルウェア スキャンを有効にできます。 その他の構成は必要ありません。
ストレージ用Defenderのマルウェア スキャン (プレビュー)は、Microsoft Defenderウイルス対策機能を使用して、アップロードされたコンテンツに対してほぼリアルタイムで完全なマルウェア スキャンを実行することで、ストレージ アカウントを悪意のあるコンテンツから保護するのに役立ちます。 信頼されていないコンテンツを処理するためのセキュリティとコンプライアンスの要件を満たすように設計されています。 これは、大規模な簡易セットアップを可能とし、メンテナンスが不要で、大規模な応答の自動化をサポートするエージェントレス SaaS ソリューションです。
プライベート エンドポイントは、Azure Storage サービスへのセキュリティで保護された接続を提供し、パブリック インターネットの露出を効果的に排除し、セキュリティのベスト プラクティスと見なされます。
マルウェアスキャンが既に有効になっているプライベート エンドポイントを持つストレージ アカウントの場合は、これを機能させるにはマルウェア スキャンを使用してプランを無効にして有効にする必要があります。
プレビュー用にリリースされた推奨事項: コンテナー イメージの実行には、脆弱性の結果が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用)
2023 年 6 月 21 日
Microsoft Defender 脆弱性の管理を利用したDefender CSPMの新しいコンテナーの推奨事項が、プレビュー用にリリースされます。
| Recommendation | Description | 評価キー |
|---|---|---|
| コンテナー イメージを実行すると、脆弱性の結果が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用)(プレビュー) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
この新しい推奨事項は、Qualys を利用した同じ名前の現在の推奨事項を、Defender CSPMでのみ置き換えます (評価キー 41503391-efa5-47ee-9282-4eff6131462c を置き換えます)。
規制コンプライアンスにおける NIST 800-53 標準に対する制御の更新が行われました
2023 年 6 月 15 日
NIST 800-53 標準 (R4 と R5 の両方) は、Microsoft Defender for Cloud規制コンプライアンスの制御の変更により最近更新されました。 Microsoftマネージド コントロールは標準から削除され、(クラウド共有責任モデルの一部として) Microsoft責任の実装に関する情報は、Microsoft Actions のコントロールの詳細ウィンドウでのみ使用できるようになりました。
これらのコントロールは以前に渡されたコントロールとして計算されているため、2023 年 4 月から 2023 年 5 月の間に NIST 標準のコンプライアンス スコアが大幅に低下する可能性があります。
コンプライアンスコントロールの詳細については、「Tutorial: 規制コンプライアンス チェック - Microsoft Defender for Cloud」を参照してください。
Azure Migrateビジネス ケースを使用したクラウド移行の計画には、Defender for Cloudが含まれるようになりました
2023 年 6 月 11 日
Azure Migrateビジネス ケースのコンテキスト内でDefender for Cloudを適用することで、セキュリティにおける潜在的なコスト削減を発見できるようになりました。
Defender for SQL の脆弱性評価の高速構成が一般公開されました
2023 年 6 月 7 日
Defender for SQL の脆弱性評価の高速構成が一般公開されました。 高速構成では、ワンクリック構成 (または API 呼び出し) を使用して、SQL 脆弱性評価の合理化されたオンボード エクスペリエンスが提供されます。 マネージド ストレージ アカウントに対する追加の設定や依存関係は必要ありません。
高速構成の詳細については、この ブログ を参照してください。
高速構成とクラシック構成の違いについて学習できます。
既存の Azure DevOps コネクタに追加されたその他のスコープ
2023 年 6 月 6 日
Defender for DevOps、Azure DevOps (ADO) アプリケーションに次の追加のスコープを追加しました。
高度なセキュリティ管理:
vso.advsec_manage。 これは、ADO 用の高度なセキュリティGitHub有効、無効、および管理できるようにするために必要です。コンテナー マッピング:
vso.extension_manage、vso.gallery_manager;これは、デコレーター拡張機能を ADO 組織と共有できるようにするために必要です。
この変更の影響を受けるのは、MICROSOFT DEFENDER FOR CLOUDに ADO リソースをオンボードしようとしている新しいDefender for DevOpsのお客様だけです。
サーバーのDefenderへの直接オンボード (Azure Arcなし) が一般公開されました
2023 年 6 月 5 日
以前は、Azure Arcは、サーバーのDefenderにAzure以外のサーバーをオンボードする必要があった。 ただし、最新のリリースでは、Microsoft Defender for Endpoint エージェントのみを使用して、オンプレミスのサーバーをサーバーのDefenderにオンボードすることもできます。
この新しい方法により、コア エンドポイント保護に重点を置いたお客様のオンボード プロセスが簡素化され、クラウド資産と非クラウド資産の両方に対するサーバーの使用量ベースの課金に対するDefenderを利用できます。 Defender for Endpoint を使用した直接オンボード オプションが利用可能になり、オンボードされたマシンの課金は 7 月 1 日から開始されます。
詳細については、「エンドポイントのDefenderを使用してMicrosoft Defender for CloudするAzure以外のマシンを接続する」を参照してください。
エージェントベースの検出を、Defender CSPMのコンテナー機能のエージェントレス検出に置き換える
2023 年 6 月 4 日
Defender CSPMで使用可能なエージェントレス コンテナー体制機能により、エージェントベースの検出機能は廃止されました。 現在、Defender CSPM内でコンテナー機能を使用している場合は、コンテナー関連の攻撃パス、分析情報、インベントリなどの新しいエージェントレス機能のコンテナー関連の値を引き続き受け取るために、relevant 拡張機能が有効になっていることを確認してください。 (拡張機能を有効にした場合の影響を確認するには、最大 24 時間かかる場合があります)。
詳細については、「エージェントレス コンテナー態勢」をご覧ください。
2023 年 5 月
5 月の更新プログラムには次のものが含まれます。
- Key Vault のDefenderの新しいアラート。
- AWS での暗号化されたディスクのエージェントレス スキャンのサポート。
DEFENDER FOR CLOUD 。- 選択した AWS リージョンのオンボード。
- ID に関する推奨事項の変更。
- コンプライアンス ダッシュボードでのレガシ標準の廃止。
- スキャン結果を含める 2 つのDefender for DevOps推奨事項の更新Azure DevOps
- サーバー脆弱性評価ソリューションのDefenderの新しい既定の設定。
- クラウド セキュリティ エクスプローラーのクエリ結果 (プレビュー) の CSV レポートをダウンロードする機能。
Microsoft Defender 脆弱性の管理 。- Qualys を利用したコンテナーの推奨事項の名前変更。
Defender for DevOps GitHub アプリケーション 。- コード構成の誤りを含むAzure DevOps リポジトリにプル要求注釈をDefender for DevOpsする変更。
Key VaultのDefenderの新しいアラート
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
(KV_UnusualAccessSuspiciousIP) |
ユーザーまたはサービス プリンシパルが、過去 24 時間以内にMicrosoft以外の IP からキー コンテナーへの異常なアクセスを試みた。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
使用可能なすべてのアラートについては、「Azure Key VaultAlerts」を参照>。
エージェントレス スキャンで、AWS で暗号化されたディスクがサポートされるようになりました
VM のエージェントレス スキャンでは、CMK と PMK の両方を使用した、AWS の暗号化されたディスクを持つインスタンスの処理がサポートされるようになりました。
この延長サポートにより、実行中のワークロードに影響を与えることなく、クラウド資産のカバレッジと可視性が向上します。 暗号化ディスクのサポートにより、実行中のインスタンスに対して同じ影響ゼロのメソッドが維持されます。
- AWS でエージェントレス スキャンを有効にする新規の顧客の場合 - 暗号化されたディスク カバレッジが既定で組み込まれており、サポートされています。
- エージェントレス スキャンが有効になっている AWS コネクタが既にある既存の顧客の場合は、CloudFormation スタックをオンボードされた AWS アカウントに再適用して、暗号化されたディスクを処理するために必要な新しいアクセス許可を更新して追加する必要があります。 更新された CloudFormation テンプレートには、Defender for Cloudが暗号化されたディスクを処理できるようにする新しい割り当てが含まれています。
AWS インスタンスのスキャンに使用されるアクセス許可の詳細を確認できます。
CloudFormation スタックを再適用するには:
- Defender for Cloud環境設定に移動し、AWS コネクタを開きます。
- [アクセスの 構成 ] タブに移動します。
- [クリックして CloudFormation テンプレートをダウンロードする] を選択します。
- AWS 環境に移動し、更新されたテンプレートを適用します。
AWS でのエージェントレス スキャンとエージェントレス スキャンの有効化の詳細について説明します。
Defender for Cloudで修正された JIT (Just-In-Time) 規則の名前付け規則
MICROSOFT DEFENDER FOR CLOUD ブランドに合わせて JIT (Just-In-Time) ルールを改訂しました。 Azure Firewallおよび NSG (ネットワーク セキュリティ グループ) 規則の名前付け規則を変更しました。
変更の一覧は次のとおりです。
| Description | 旧称 | 新しい名前 |
|---|---|---|
| NSG (ネットワーク セキュリティ グループ) の JIT ルール名 (許可と拒否) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| NSG での JIT ルールの説明 | ASC JIT ネットワーク アクセス規則 | MDC JIT ネットワーク アクセス規則 |
| JIT ファイアウォール規則のコレクション名 | ASC-JIT | MDC-JIT |
| JIT ファイアウォール規則の名前 | ASC-JIT | MDC-JIT |
Just-In-Time アクセスを使用して管理ポートをセキュリティで保護する方法を参照してください。
選択した AWS リージョンをオンボードする
AWS CloudTrail のコストとコンプライアンスのニーズを管理するために、クラウド コネクタを追加または編集するときにスキャンする AWS リージョンを選択できるようになりました。
AWS アカウントをDefender for Cloudにオンボードするときに、選択した特定の AWS リージョンまたは使用可能なすべてのリージョン (既定) をスキャンできるようになりました。
詳細については、「
ID の推奨事項に対する複数の変更
次のレコメンデーションは、一般提供 (GA) としてリリースされ、現在非推奨になっている V1 レコメンデーションに置き換わるものです。
ID レコメンデーション V2 の一般提供 (GA) リリース
ID レコメンデーションの V2 リリースでは、次の機能強化が導入されています。
- スキャンのスコープは、サブスクリプションだけでなく、すべてのAzureリソースを含むように拡張されました。 これにより、セキュリティ管理者はアカウントごとにロールの割り当てを表示できます。
- 特定のアカウントを評価から除外できるようになりました。 セキュリティ管理者は、非常用などのアカウントやサービス アカウントを除外できます。
- スキャン頻度が 24 時間から 12 時間に増加したため、ID のレコメンデーションがより最新かつ正確になります。
次のセキュリティ レコメンデーションは GA として使用できます。V1 のレコメンデーションはこれらのレコメンデーションに置き換えられます。
| Recommendation | 評価キー |
|---|---|
| Azure リソースに対する所有者アクセス許可を持つアカウントは、MFA を有効にする必要があります | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Azure リソースに対する書き込みアクセス許可を持つアカウントは、MFA を有効にする必要があります | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Azure リソースに対する読み取りアクセス許可を持つアカウントは、MFA を有効にする必要があります | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要がある | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要がある | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要がある | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要がある | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Azure リソースに対する読み取りと書き込みのアクセス許可を持つブロックされたアカウントを削除する必要がある | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
ID レコメンデーション V1 は非推奨に設定
次のセキュリティに関するレコメンデーションは廃止されました。
| Recommendation | 評価キー |
|---|---|
| サブスクリプションに対する所有者アクセス許可を持つアカウントで MFA を有効にする必要があります。 | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| サブスクリプションに対する書き込みアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| サブスクリプションに対する読み取りアクセス許可を持つアカウントで MFA を有効にする必要があります。 | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| 所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| 書き込みアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| 読み取りアクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| 所有者のアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 | e52064aa-6853-e252-a11e-dffc675689c2 |
| 非推奨のアカウントはサブスクリプションから削除する必要がある | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
V2 のレコメンデーションに対応するように、カスタム スクリプト、ワークフロー、ガバナンス ルールを更新することをお勧めします。
コンプライアンス ダッシュボードでのレガシ標準の廃止
従来の PCI DSS v3.2.1 とレガシ SOC TSP は、Defender for Cloud コンプライアンス ダッシュボードで完全に非推奨となり、SOC 2 Type 2 イニシアティブとPCI DSS v4 イニシアティブベースのコンプライアンス標準に置き換えられました。 21Vianet が運用するMicrosoft Azureでは、PCI DSS 標準/イニシアティブのサポートが完全に非推奨になりました。
方法については、「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」を参照してください。
Defender for DevOpsにはAzure DevOpsスキャン結果が含まれます
Defender for DevOps Code と IaC は、次の 2 つの推奨事項に対するAzure DevOpsセキュリティの結果を含むように、Microsoft Defender for Cloudで推奨事項の対象範囲を拡大しました。
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
以前は、Azure DevOps セキュリティ スキャンの対象範囲には、シークレットの推奨事項のみが含まれていました。
詳細については、Defender for DevOpsを参照してください。
Defender for Servers 脆弱性評価ソリューションの新しい既定の設定
脆弱性評価 (VA) ソリューションは、サイバー攻撃やデータ侵害からマシンを保護するために不可欠です。
Microsoft Defender 脆弱性の管理は、VA ソリューションがまだ選択されていないサーバーのDefenderによって保護されているすべてのサブスクリプションに対して、既定の組み込みソリューションとして有効になりました。
サブスクリプションの VM で VA ソリューションが有効になっている場合、変更は行われず、Microsoft Defender 脆弱性の管理は、そのサブスクリプションの残りの VM で既定では有効になりません。 サブスクリプションの残りの VM で VA ソリューションを有効にすることを選択できます。
エージェントレス スキャンで脆弱性を見つけてソフトウェア インベントリを収集する (プレビュー) 方法について説明します。
クラウド セキュリティ エクスプローラーのクエリ結果の CSV レポートをダウンロードする (プレビュー)
Defender for Cloudでは、クラウド セキュリティ エクスプローラーのクエリ結果の CSV レポートをダウンロードする機能が追加されました。
クエリの検索を実行した後、Defender for Cloudの Cloud Security Explorer ページから DOWNload CSV レポート (プレビュー) ボタンを選択できます。
クラウド セキュリティ エクスプローラーを使用してクエリを作成する方法を確認します
Microsoft Defender 脆弱性の管理を使用したコンテナーの脆弱性評価のリリース
Defender CSPMのMicrosoft Defender 脆弱性の管理を利用したAzureコンテナー レジストリの Linux イメージの脆弱性評価のリリースが発表されます。 このリリースには、イメージの日次スキャンが含まれます。 セキュリティ エクスプローラーと攻撃パスで使用される結果は、Qualys スキャナーではなく、Microsoft Defender脆弱性評価に依存します。
既存の推奨事項 Container registry images should have vulnerability findings resolved は、新しい推奨事項に置き換えられます。
| Recommendation | Description | 評価キー |
|---|---|---|
| コンテナー レジストリ イメージには、脆弱性の結果が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | dbd0cb49-b563-45e7-9724-889e799fa648 は c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 に置き換えられます。 |
詳細については、Microsoft Defender 脆弱性の管理を参照してください。
Qualys を利用したコンテナー推奨事項の名称変更
Defender for Containers の現在のコンテナーの推奨事項は、次のように名前が変更されます。
| Recommendation | Description | 評価キー |
|---|---|---|
| コンテナー レジストリ イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | コンテナー イメージの脆弱性評価では、レジストリをスキャンしてセキュリティの脆弱性を調べ、各イメージの詳細な調査結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Powered by Qualys) | コンテナー イメージの脆弱性評価では、Kubernetes クラスターで実行されているコンテナー イメージのセキュリティの脆弱性をスキャンし、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 | 41503391-efa5-47ee-9282-4eff6131462c |
Defender for DevOps GitHub アプリケーションの更新
Microsoft Defender for DevOpsは、Defender for CloudでGitHub環境をオンボードしたDefender for DevOpsのお客様が、GitHubにデプロイされたアプリケーションの一部としてアクセス許可を提供する必要がある変更や更新を絶えず行っています。組織。 これらのアクセス許可は、Defender for DevOpsのすべてのセキュリティ機能を問題なく正常に動作させるために必要です。
Defender for DevOpsのすべての利用可能な機能への継続的なアクセスを確保するために、できるだけ早くアクセス許可を更新することをお勧めします。
アクセス許可は、次の 2 つの異なる方法で付与できます。
組織で、[GitHub Apps を選択します。 組織を見つけて、[ 要求の確認] を選択します。
GitHub サポートから自動メールが届きます。 電子メールで、[Review permission request to accept or reject this change] (この変更を承認または却下するためにアクセス許可要求を確認する) を選択しします。
これらのオプションのいずれかに従うと、確認画面に移動し、そこで要求を確認する必要があります。 [Accept new permissions] (新しいアクセス許可を受け入れる) を選択して要求を承認します。
アクセス許可の更新に関するサポートが必要な場合は、Azure サポート要求を作成できます。
Defender for DevOpsの詳細も確認できます。 サブスクリプションの VM で VA ソリューションが有効になっている場合、変更は行われず、Microsoft Defender 脆弱性の管理は、そのサブスクリプションの残りの VM で既定では有効になりません。 サブスクリプションの残りの VM で VA ソリューションを有効にすることを選択できます。
エージェントレス スキャンで脆弱性を見つけてソフトウェア インベントリを収集する (プレビュー) 方法について説明します。
Defender for DevOps Azure DevOps リポジトリの Pull Request 注釈に、コード構成の誤りとしてのインフラストラクチャが含まれるようになりました
Defender for DevOpsは、Azure Resource ManagerおよびBicepテンプレートで検出されたコードとしてのインフラストラクチャ (IaC) の誤った構成を含むように、Azure DevOpsで Pull Request (PR) 注釈カバレッジを拡張しました。
開発者は、IaC の構成ミスの注釈を PR で直接確認できるようになりました。 開発者は、インフラストラクチャがクラウド ワークロードにプロビジョニングされる前に、重大なセキュリティの問題を修復することもできます。 修復を簡略化するため、開発者には、重大度レベル、構成ミスの説明、各注釈内の修復手順が用意されています。
以前は、Azure DevOpsのDefender for DevOps PR 注釈のカバレッジにはシークレットのみが含まれていました。
Defender for DevOpsとPull Request 注釈の詳細について説明します。
2023 年 4 月
4 月の更新プログラムには次のものが含まれます。
Defender CSPM (プレビュー) - 統合ディスク暗号化に関する推奨事項 (新しいプレビュー機能)
- 推奨事項 "マシンを安全に構成する必要がある" の変更
- App Service 言語監視ポリシーの非推奨
Resource Manager - Resource ManagerプランのDefenderのアラートは非推奨になりました
- Log Analytics ワークスペースへの自動エクスポートは非推奨になりました
- Windowsおよび Linux サーバーの選択したアラートの説明と改善
- Microsoft Entra Azure Data Services の認証関連の推奨事項
- 不足しているオペレーティング システム (OS) 更新プログラムに関連する 2 つの推奨事項が GA にリリースされました
- Defender for API (プレビュー)
Defender CSPMでのエージェントレス コンテナーのポスチャ (プレビュー)
新しいエージェントレス コンテナー体制 (プレビュー) 機能は、Defender CSPM (クラウド セキュリティ体制管理) プランの一部として使用できます。
エージェントレス コンテナー態勢を使用すると、セキュリティ チームはコンテナーと Kubernetes 領域のセキュリティ リスクを特定できます。 エージェントレスのアプローチにより、セキュリティ チームは、SDLC とランタイム全体で Kubernetes とコンテナーのレジストリを可視化し、ワークロードから摩擦とフットプリントを排除できます。
エージェントレス コンテナー態勢では、コンテナーの脆弱性評価が提供され、攻撃パス分析と組み合わせることで、セキュリティ チームが特定のコンテナーの脆弱性に優先順位を付けて集中することができます。 また、クラウド セキュリティ エクスプローラーを使用して、リスクを明らかにし、脆弱なイメージを実行しているアプリケーションやインターネットに公開されているアプリケーションの検出など、コンテナー態勢の分析情報を追求することもできます。
「エージェントレス コンテナー態勢 (プレビュー)」で詳細をご覧ください。
統合ディスク暗号化に関する推奨事項 (プレビュー)
プレビューでは、新しい統合ディスク暗号化の推奨事項があります。
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost。
これらの推奨事項は、Azure Disk Encryptionを検出した Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources と、EncryptionAtHost を検出したポリシー Virtual machines and virtual machine scale sets should have encryption at host enabled に置き換えます。 ADE と EncryptionAtHost は、同等の保存時の暗号化を提供するため、すべての仮想マシンでこれらの 1 つを有効にすることをお勧めします。 新しい推奨事項では、ADE と EncryptionAtHost のどちらか一方が有効かどうかを検出し、どちらも有効でない場合にのみ警告します。 また、ADE が VM のすべてのディスクではなく、一部で有効になっている場合も警告します (この条件は EncryptionAtHost には適用されません)。
新しい推奨事項には、Azure Automanage Machine Configurationが必要です。
これらの推奨事項は、次のポリシーに基づいています。
(プレビュー) Windows仮想マシンでは、Azure Disk Encryptionまたは EncryptionAtHost (プレビュー) Linux 仮想マシンでは、Azure Disk Encryptionまたは EncryptionAtHost
詳しくは、ADE および EncryptionAtHost の概要と、そのうちの 1 つを有効にする方法に関する記事を参照してください。
推奨事項 "マシンを安全に構成する必要がある" の変更
推奨事項 Machines should be configured securely が更新されました。 この更新プログラムにより、推奨事項のパフォーマンスと安定性が向上し、そのエクスペリエンスがDefender for Cloudの推奨事項の一般的な動作に合わせて調整されます。
この更新プログラムの一環として、推奨事項の ID が 181ac480-f7c4-544b-9865-11b8ffe87f47 から c476dc48-8110-4139-91af-c8d940896b98 に変更されました。
お客様側でのアクションは必要ありません。また、セキュリティ スコアへの予期される影響はありません。
App Service 言語監視ポリシーの非推奨
次の App Service 言語監視ポリシーは、偽陰性が生成され、セキュリティの向上につながらないため、非推奨になりました。 必ず、既知の脆弱性がない言語バージョンを使用してください。
| ポリシー名 | ポリシー ID |
|---|---|
| 496223c3-ad65-4ecd-878a-bae78737e9ed | |
| 7008174a-fd10-4ef0-817e-fc820a951d73 | |
| 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc | |
| 7238174a-fd10-4ef0-817e-fc820a951d73 | |
| PHP を使用する App Service アプリでは、最新の 'PHP バージョン' を使用する必要がある | 7261b898-8a84-4db8-9e04-18527132abb3 |
お客様は、代わりの組み込みポリシーを使用して、App Services 用に指定されたどの言語バージョンでも監視できます。
これらのポリシーは、Defender for Cloudの組み込みの推奨事項では使用できなくなりました。 カスタム推奨事項として追加して、それらを監視Defender for Cloud。
Resource ManagerのDefenderの新しいアラート
Resource ManagerのDefenderには、次の新しいアラートがあります。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
プレビュー - 検出されたコンピューティング リソースの疑わしい作成 (ARM_SuspiciousComputeCreation) |
Resource ManagerのMicrosoft Defenderは、Virtual Machines/Azure スケール セットを使用して、サブスクリプション内のコンピューティング リソースの疑わしい作成を特定しました。 特定された操作は、必要に応じて新しいリソースをデプロイすることで管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである場合もありますが、脅威アクターがこのような操作を利用して、暗号資産マイニングを行う可能性があります。 コンピューティング リソースのスケールは、サブスクリプションで以前に確認されたよりも高いため、アクティビティは疑わしいと見なされます。 これは、プリンシパルが侵害され、悪意を持って使用されていることを示している可能性があります。 |
Impact | Medium |
Resource Managerで使用可能なすべての
Resource Manager プランのDefenderの 3 つのアラートが非推奨になりました
Resource Manager プランのDefenderに関する次の 3 つのアラートは非推奨になりました。
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
疑わしい IP アドレスからのアクティビティが検出されたシナリオでは、次のいずれかの Defender for Resource Manager プラン アラート Azure Resource Manager operation from suspicious IP address または Azure Resource Manager operation from suspicious proxy IP address が存在します。
Log Analytics ワークスペースへのアラートの自動エクスポートは非推奨になりました
Defenders for Cloud セキュリティ アラートは、リソース レベルの既定のLog Analytics ワークスペースに自動的にエクスポートされます。 これにより、不確定な動作が発生するため、この機能は非推奨になりました。
代わりに、Continuous Export を使用して、セキュリティ アラートを専用のLog Analytics ワークスペースにエクスポートできます。
Log Analytics ワークスペースへのアラートの連続エクスポートを既に構成している場合は、それ以上の操作は必要ありません。
Windows および Linux サーバーの選択したアラートの廃止と改善
Defender for Servers のセキュリティ アラート品質向上プロセスには、Windows サーバーと Linux サーバーの両方に対するいくつかのアラートの廃止が含まれています。 非推奨のアラートは、エンドポイント脅威アラートのDefenderから提供され、対象になりました。
エンドポイント統合のDefenderが既に有効になっている場合は、それ以上の操作は必要ありません。 2023 年 4 月にアラートの量が減少する可能性があります。
Defender for Servers でエンドポイント統合のDefenderが有効になっていない場合は、エンドポイント統合のDefenderを有効にして、アラートカバレッジを維持および改善する必要があります。
サーバーのすべてのDefenderは、Defender for Servers プランの一部として、エンドポイント統合のDefenderにフル アクセスできます。
Microsoft Defender for Endpointオンボード オプションの詳細を確認できます。
非推奨に設定されているアラートの全一覧を表示することもできます。
Microsoft Defender for Cloudブログをお読みください。
Azure Data Services の新しいMicrosoft Entra認証関連の推奨事項
Azure Data Services の 4 つの新しいMicrosoft Entra認証に関する推奨事項が追加されました。
| 推奨事項の名前 | 推奨事項の説明 | Policy |
|---|---|---|
| Azure SQL Managed Instance認証モードはMicrosoft Entra IDのみにする必要があります | ローカル認証方法を無効にし、Microsoft Entra認証のみを許可することで、Azure SQLマネージド インスタンスにMicrosoft Entra ID ID によって排他的にアクセスできるようにすることで、セキュリティが向上します。 | Azure SQL Managed Instanceでは認証のみMicrosoft Entra ID有効にする必要があります |
| Azure Synapse ワークスペース認証モードはMicrosoft Entra IDのみにする必要があります | Microsoft Entra ID認証方法のみを使用すると、Synapse ワークスペースで認証にMicrosoft Entra ID ID のみが必要とされ、セキュリティが向上します。 詳細については、こちらを参照してください。 | Synapse ワークスペースでは、認証にMicrosoft Entra ID ID のみを使用する必要があります |
| Azure Database for MySQLには、Microsoft Entra管理者がプロビジョニングされている必要があります | Microsoft Entra認証を有効にするには、Azure Database for MySQLのMicrosoft Entra管理者をプロビジョニングします。 Microsoft Entra認証により、データベース ユーザーとその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります | Microsoft Entra管理者は MySQL サーバー用にプロビジョニングする必要があります |
| Azure Database for PostgreSQLには、Microsoft Entra管理者がプロビジョニングされている必要があります | Microsoft Entra認証を有効にするには、Azure Database for PostgreSQLのMicrosoft Entra管理者をプロビジョニングします。 Microsoft Entra認証により、データベース ユーザーとその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります | PostgreSQL サーバーに対してMicrosoft Entra管理者をプロビジョニングする必要があります |
不足しているオペレーティング システム (OS) 更新プログラムに関連する 2 つの推奨事項が GA にリリースされました
一般提供System updates should be installed on your machines (powered by Azure Update Manager) と Machines should be configured to periodically check for missing system updates の推奨事項がリリースされました。
新しい推奨事項を使うには、次のようにする必要があります。
- Azure以外のマシンを Arc に接続します。
-
定期評価プロパティを有効にします。
[修正] ボタンを使用できます。
新しい推奨事項
Machines should be configured to periodically check for missing system updatesで、推奨事項を修正できます。
これらの手順を完了した後、Azure ポリシーの組み込みイニシアチブから無効にすることで、古い推奨事項 System updates should be installed on your machinesDefender for Cloud削除できます。
推奨事項の 2 つのバージョン:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
どちらも、Log Analytics エージェントが 2024 年 8 月 31 日に非推奨になるまで使用できます(推奨の古いバージョン (System updates should be installed on your machines) も非推奨になります。 どちらの推奨事項も同じ結果を返し、同じ制御下 Apply system updates で使用できます。
新しい推奨事項 System updates should be installed on your machines (powered by Azure Update Manager) には、[修正] ボタンを使用して使用可能な修復フローがあります。これを使用して、Update Manager (プレビュー) を使用して結果を修復できます。 この修復プロセスはまだプレビュー段階です。
新しい推奨事項 System updates should be installed on your machines (powered by Azure Update Manager) は、古い推奨事項 System updates should be installed on your machines と同じ結果を持つため、セキュリティ スコアに影響を与えるとは思われません。
前提条件のレコメンデーション (定期評価プロパティを有効にする) は、セキュリティ スコアに悪影響を及ぼします。 使用可能な [修正] ボタンを使用して、悪影響を修復できます。
API のDefender (プレビュー)
MicrosoftのDefender for Cloudは、API の新しいDefenderがプレビューで利用可能であることを発表しています。
API のDefenderは、API の完全なライフサイクル保護、検出、応答カバレッジを提供します。
API のDefenderは、ビジネスクリティカルな API を可視化するのに役立ちます。 API のセキュリティ態勢の調査と改善、脆弱性の修正の優先度付け、アクティブなリアルタイムの脅威のすばやい検出を可能にします。
API のDefenderの詳細についてはを参照してください。
2023 年 3 月
3 月の更新プログラムには次のものが含まれます。
- ほぼリアルタイムのマルウェア スキャンや機密データの脅威検出など、Storage プランの新しいDefenderを利用できます
- データ対応セキュリティ態勢 (プレビュー)
- 既定のAzure セキュリティ ポリシーを管理するためのエクスペリエンス
Defender CSPM (クラウド セキュリティ体制管理) が一般公開 (GA) カスタム推奨事項とセキュリティ標準を Microsoft Defender for Cloud Microsoftクラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般公開 (GA) - 一部の規制コンプライアンス標準が政府機関のクラウドで利用可能に
- Azure SQL サーバーの新しいプレビューの推奨事項
Key Vault
ほぼリアルタイムのマルウェア スキャンや機密データの脅威検出など、Storage プランの新しいDefenderを利用できます
クラウド ストレージは組織で重要な役割を果たし、大量の貴重で機密性の高いデータを保存します。 本日、Storage プランの新しいDefenderが発表されます。 以前のプランを使用している場合 (現在は "Defender for Storage (クラシック)" に名前が変更されました)、新しい機能と利点を使用するには>新しいプランを事前に<する必要があります。
新しいプランには、悪意のあるファイルのアップロード、機密データの流出、データの破損からの保護に役立つ高度なセキュリティ機能が含まれています。 また、対象とコストをより適切に管理するための、より予測可能で柔軟性の高い価格構造が備わっています。
新しいプランには、現在パブリック プレビュー段階の新機能があります。
機密データの露出および流出イベントの検出
すべてのファイルの種類でほぼリアルタイムの BLOB アップロード時マルウェア スキャン
SAS トークンを使用した、ID のないエンティティの検出
これらの機能を使用すると、侵害の早期兆候を特定するためのコントロールおよびデータ プレーンのログ分析と行動モデリングに基づいて、既存のアクティビティ監視機能が強化されます。
これらの機能はすべて、サブスクリプションとリソースの両方のレベルでデータ保護をきめ細かく制御できる新しい予測可能で柔軟な価格プランで利用できます。
詳細については、 Storage のMicrosoft Defenderの概要を参照してください。
データ対応セキュリティ態勢 (プレビュー)
Microsoft Defender for Cloudは、セキュリティ チームがリスクを軽減し、クラウド内のデータ侵害に対応する際の生産性を高めるのに役立ちます。 これにより、データ コンテキストを使用してノイズをカットし、最も重要なセキュリティ リスクを優先することができ、損害の大きいデータ侵害を防止できます。
- クラウド資産全体でデータ リソースを自動的に検出し、それらのアクセシビリティ、データの機密性、構成されたデータ フローを評価します。 - 機密データ リソースのデータ侵害や、横移動手法を使用してデータ リソースにつながる可能性がある露出または攻撃パスに対するリスクを継続的に明らかにします。
- 機密データ リソースに対する進行中の脅威を示しているおそれがある疑わしいアクティビティを検出します。
データに対応したセキュリティ体制の詳細を確認します。
既定のAzureセキュリティ ポリシーを管理するためのエクスペリエンスの向上
お客様がセキュリティ要件を微調整Defender for Cloud方法を簡略化する組み込みの推奨事項に対して、強化されたAzureセキュリティ ポリシー管理エクスペリエンスを紹介します。 新しいエクスペリエンスには、次の新機能が含まれています。
- シンプルなインターフェイスにより、Defender for Cloud内で既定のセキュリティ ポリシーを管理するときのパフォーマンスとエクスペリエンスが向上します。
- Microsoft クラウド セキュリティ ベンチマーク (以前は Azure セキュリティ ベンチマーク) によって提供されるすべての組み込みのセキュリティに関する推奨事項の 1 つのビュー。 推奨事項は論理グループにまとめられているので、対象となるリソースの種類と、パラメーターと推奨事項の関係が理解しやすくなります。
- フィルターや検索などの新機能が追加されました。
セキュリティ ポリシーを管理する方法について確認してください。
Microsoft Defender for Cloudブログをお読みください。
Defender CSPM (クラウド セキュリティ体制管理) が一般公開 (GA) になりました
Defender CSPMが一般公開 (GA) になったことをお知らせします。 Defender CSPMは、Foundational CSPM 機能で利用できるすべてのサービスを提供し、次の利点を追加します。
- 攻撃パス分析と ARG API - 攻撃パス分析は、グラフ ベースのアルゴリズムを使用します。これは、クラウド セキュリティ グラフをスキャンして、攻撃パスを明らかにし、攻撃パスを遮断して侵害の成功を防ぐための最適な問題修復方法に関する推奨事項を提案します。 Azure Resource Graph (ARG) API に対してクエリを実行して、プログラムで攻撃パスを使用することもできます。 攻撃パス分析を使用する方法について確認してください
- クラウド セキュリティ エクスプローラー - クラウド セキュリティ エクスプローラーを使用して、クラウド セキュリティ グラフでグラフ ベースのクエリを実行し、マルチクラウド環境のセキュリティ リスクを事前に特定します。 クラウド セキュリティ エクスプローラーの詳細について確認してください。
詳細については、Defender CSPMを参照してください。
Microsoft Defender for Cloudでカスタムの推奨事項とセキュリティ標準を作成するオプション
Microsoft Defender for Cloudでは、KQL クエリを使用して AWS と GCP のカスタム推奨事項と標準を作成するオプションが提供されます。 クエリ エディターを使用して、データに対するクエリの作成とテストを行えます。 この機能は、Defender CSPM (クラウド セキュリティ体制管理) 計画の一部です。 カスタムの推奨事項と標準を作成する方法について確認してください。
Microsoft クラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般公開 (GA) になりました
Microsoft Defender for Cloudは、Microsoft クラウド セキュリティ ベンチマーク (MCSB) バージョン 1.0 が一般公開 (GA) になったことを発表しています。
MCSB バージョン 1.0 は、Azure セキュリティ ベンチマーク (ASB) バージョン 3 Defender for Cloudの既定のセキュリティ ポリシーに置き換えられます。 MCSB バージョン 1.0 は、コンプライアンス ダッシュボードの既定のコンプライアンス標準として表示され、すべてのDefender for Cloudユーザーに対して既定で有効になっています。
また、クラウド セキュリティ ベンチマーク (MCSB) Microsoft方法を学習して、クラウド セキュリティの取り組みを成功させる方法。
MCSB の詳細を確認します。
一部の規制コンプライアンス標準が政府機関のクラウドで利用可能に
21Vianet が運営する Azure Government および Microsoft Azure のお客様向けに、これらの標準を更新しています。
Azure Government:
方法については、「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」を参照してください。
Azure SQL サーバーの新しいプレビューの推奨事項
Azure SQL サーバー、Azure SQL Server authentication mode should be Azure Active Directory Only (Preview) に関する新しい推奨事項が追加されました。
推奨事項は、既存のポリシー Azure SQL Database should have Azure Active Directory Only Authentication enabled に基づいています
この推奨事項では、ローカル認証方法を無効にし、Microsoft Entra認証のみを許可します。これにより、Azure SQL データベースにMicrosoft Entra ID ID によって排他的にアクセスできるようにすることでセキュリティが向上します。
Azure SQL で有効になっている Azure AD 専用認証を使用してサーバーを
Key VaultのDefenderの新しいアラート
Key VaultのDefenderには、次の新しいアラートがあります。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
疑わしい IP アドレスからのキー コンテナーへのアクセスを拒否しました (KV_SuspiciousIPAccessDenied) |
Microsoft脅威インテリジェンスによって疑わしい IP アドレスとして識別された IP によって、キー コンテナーへのアクセスが失敗しました。 この試行は失敗しましたが、お使いのインフラストラクチャが侵害された可能性があることを示しています。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Low |
Key Vaultで使用可能なすべての
2023 年 2 月
2 月の更新プログラムには次のものが含まれます。
- 強化されたクラウド セキュリティ エクスプローラー
Defender実行中の Linux イメージのコンテナーの脆弱性スキャンが GA - AWS CIS 1.5.0 コンプライアンス標準のサポートの発表
- Microsoft Defender for DevOps (プレビュー) が他のリージョンで利用できるようになりました
- 組み込みのポリシー [プレビュー]: プライベート エンドポイントは、Key Vault用に構成する必要があります
強化されたクラウド セキュリティ エクスプローラー
クラウド セキュリティ エクスプローラーの改良版には、クエリの摩擦が劇的に解消され、マルチクラウドおよびマルチリソース クエリを実行する機能が追加され、各クエリ オプションのドキュメントが埋め込まれた、一新されたユーザー エクスペリエンスが含まれています。
クラウド セキュリティ エクスプローラーを使用して、リソース間でクラウド抽象クエリを実行できるようになりました。 事前に構築されたクエリ テンプレートを使用することも、カスタム検索を使用してフィルターを適用してクエリを作成することもできます。 クラウド セキュリティ エクスプローラーを管理する方法について説明します。
実行中の Linux イメージのコンテナーの脆弱性スキャンのDefender GA
Defender for Containers は、実行中のコンテナーの脆弱性を検出します。 Windowsコンテナーと Linux コンテナーの両方がサポートされています。
2022 年 8 月、この機能は Windows および Linux のプレビューでリリースされました。 Linux の一般提供 (GA) 用にリリースする予定です。
脆弱性が検出されると、Defender for Cloudは、スキャンの結果を一覧表示するセキュリティに関する推奨事項を生成します。実行コンテナー イメージの脆弱性の結果が解決されている必要があります。
詳細については、「実行中のイメージの脆弱性の表示」を参照してください。
AWS CIS 1.5.0 コンプライアンス標準のサポートの発表
Defender for Cloudでは、CIS Amazon Web Services Foundations v1.5.0 コンプライアンス標準がサポートされるようになりました。 この標準は規制コンプライアンス ダッシュボードに追加でき、マルチクラウドの推奨事項と標準に関する MDC の既存のオファリングに基づいています。
この新しい標準には、Defender for Cloudの対象範囲を新しい AWS サービスとリソースに拡張する既存の推奨事項と新しい推奨事項の両方が含まれています。
AWS の評価と標準を管理する方法について確認してください。
Microsoft Defender for DevOps (プレビュー) が他のリージョンで利用できるようになりました
Microsoft Defender for DevOpsはプレビューを拡大し、Azure DevOpsとGitHubリソースをオンボードするときに、西ヨーロッパと東オーストラリアのリージョンで利用できるようになりました。
詳細については、Microsoft Defender for DevOpsを参照してください。
組み込みポリシー [プレビュー]: プライベート エンドポイントをKey Vault用に構成する必要があります。非推奨
組み込みポリシー [Preview]: Private endpoint should be configured for Key Vault は非推奨となり、[Preview]: Azure Key Vaults should use private link ポリシーに置き換えられました。
Azure PolicyAzure Key Vaultの統合の詳細を確認>。
2023 年 1 月
1 月の更新プログラムには次のものが含まれます。
- エンドポイント保護 (Microsoft Defender for Endpoint) コンポーネントは、[設定と監視] ページでアクセスできるようになりました
- システムの更新プログラムの不足を検索するための推奨事項の新しいバージョン (プレビュー)
- 接続されている AWS および GCP アカウント内の削除されたAzure Arcマシンのクリーンアップ
- ファイアウォールの内側にある Event Hubs への連続エクスポートを許可する
- セキュリティ スコア コントロールの名前高度なネットワーク ソリューションAzureアプリケーションを保護する方法が変更されました
- ポリシー "SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある" が非推奨になりました
- Virtual Machine Scale Setsの診断ログを有効にするリソースは非推奨です
エンドポイント保護 (Microsoft Defender for Endpoint) コンポーネントに [設定と監視] ページにアクセスできるようになりました
Endpoint Protection にアクセスするには、Environment settings>Defender plans>Settings and monitoring に移動します。 ここから、[エンドポイント保護] を [オン] に設定できます。 また、管理されている他のコンポーネントを表示することもできます。
Defender for Servers を使用したサーバーでの Microsoft Defender for Endpoint の有効化の詳細について説明します。
システムの更新プログラムの不足を検索するための推奨事項の新しいバージョン (プレビュー)
マシンに最新のセキュリティ更新プログラムまたは重要なシステム更新プログラムがすべて含まれていることを確認するために、Azure VM とAzure Arc マシンにエージェントは必要なくなりました。
新しいシステム更新プログラムの推奨事項 (Apply system updates コントロールの System updates should be installed on your machines (powered by Azure Update Manager)) は、Update Manager (プレビュー) に基づいています。 推奨事項は、インストールされているエージェントではなく、すべてのAzure VM とAzure Arc マシンに埋め込まれたネイティブ エージェントに依存します。 新しい推奨事項のクイック修正では、Update Manager ポータルで、不足している更新プログラムを 1 回限りインストールできます。
新しい推奨事項を使うには、次のようにする必要があります。
- Azure以外のマシンを Arc に接続する
-
定期評価プロパティを有効にします。 新しい推奨事項
Machines should be configured to periodically check for missing system updatesのクイック修正を使って、推奨事項を修正できます。
Log Analytics エージェントに依存する既存の "コンピューターにシステム更新プログラムをインストールする必要があります" という推奨事項は、引き続き同じ制御下で使用できます。
接続されている AWS アカウントと GCP アカウント内の削除されたAzure Arcマシンのクリーンアップ
AWS アカウントと GCP アカウントに接続されているマシン。サーバーのDefenderまたはマシン上の SQL のDefenderは、Azure Arc マシンとしてDefender for Cloudで表されます。 これまで、マシンが AWS または GCP アカウントから削除されたとき、そのマシンはインベントリから削除されませんでした。 削除されたマシンを表す不要なAzure Arc リソースがDefender for Cloudに残されます。
接続されている AWS または GCP アカウントでマシンが削除されると、Defender for Cloud Azure Arcマシンが自動的に削除されるようになりました。
ファイアウォールの内側にある Event Hubs への連続エクスポートを許可する
Azure ファイアウォールによって保護されている Event Hubs への信頼されたサービスとして、アラートと推奨事項の継続的なエクスポートを有効にできるようになりました。
アラートまたは推奨事項が生成されたときの連続エクスポートを有効にすることができます。 また、すべての新しいデータの定期的なスナップショットを送信するスケジュールを定義できます。
Azure ファイアウォール>背後にある Event Hubs への
セキュリティ スコア コントロールの名前 高度なネットワーク ソリューションAzure変更されたアプリケーションを保護する
セキュリティ スコア コントロール Protect your applications with Azure advanced networking solutions が Protect applications against DDoS attacks に変更されます。
更新された名前は、Azure Resource Graph (ARG)、Secure Score Controls API、および Download CSV report に反映されます。
ポリシー "SQL サーバーの脆弱性評価の設定には、スキャン レポートを受信するためのメール アドレスが含まれている必要がある" が非推奨になりました
ポリシー Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports は非推奨です。
SQL 脆弱性評価の電子メール レポートのDefenderは引き続き使用でき、既存の電子メール構成は変更されていません。
Virtual Machine Scale Setsの診断ログを有効にするための推奨事項は非推奨です
推奨Diagnostic logs in Virtual Machine Scale Sets should be enabledは非推奨です。
関連 するポリシー定義 は、規制コンプライアンス ダッシュボードに表示される標準からも非推奨になりました。
| Recommendation | Description | Severity |
|---|---|---|
| Virtual Machine Scale Setsの診断ログを有効にする必要がある | ログを有効にし、ログを最大 1 年間保持します。これにより、セキュリティ インシデントが発生したり、ネットワークが侵害されたりした場合、調査のためにアクティビティ証跡を再作成できます。 | Low |
2022 年 12 月
12 月の更新プログラムには次のものが含まれます。
sql
Defender for SQL での脆弱性評価の高速構成の発表
Microsoft Defender for SQL の脆弱性評価の高速構成により、セキュリティ チームは Synapse ワークスペースの外部にある Azure SQL データベースと専用 SQL プールに対する合理化された構成エクスペリエンスを提供します。
脆弱性評価の高速構成エクスペリエンスにより、セキュリティ チームは次のことができます。
- 顧客が管理するストレージ アカウントに対する別の設定や依存関係なしで、SQL リソースのセキュリティ構成で脆弱性評価の構成を完了します。
- データベースを再スキャンすることなく、結果の状態が 異常 から 正常 に変化するように、スキャン結果をすぐにベースラインに追加します。
- 複数のルールをベースラインに一度に追加し、最新のスキャン結果を使用します。
- サブスクリプション レベルでデータベースのMicrosoft Defenderを有効にすると、すべてのAzure SQL サーバーの脆弱性評価が有効になります。
SQL の脆弱性評価の
2022 年 11 月
11 月の更新プログラムには次のものが含まれます。
- コンテナーのDefenderを使用して GCP 組織全体のコンテナーを保護する
- サンプル アラートを使用したコンテナー保護の検証Defender
- 大規模なガバナンス ルール (プレビュー)
- AWS と GCP (プレビュー) に関するカスタム評価を作成する機能が非推奨になりました
- Lambda 関数に対する配信不能キューの構成に関する推奨事項が非推奨になりました
Defender for Containers を使用して GCP 組織全体のコンテナーを保護する
これで、GCP 環境で Defender for Containers を有効にして、GCP 組織全体で標準の GKE クラスターを保護できるようになりました。 Defender for Containers を有効にして新しい GCP コネクタを作成するか、既存の組織レベルの GCP コネクタでコンテナーのDefenderを有効にします。
GCP プロジェクトと組織をDefender for Cloudに接続する方法について説明します。
サンプル アラートを使用してコンテナー保護のDefenderを検証する
Defender for Containers プランのサンプル アラートも作成できるようになりました。 新しいサンプル アラートは、異なる重大度と MITRE 戦術で、AKS、Arc 接続クラスター、EKS、GKE リソースからのものとして提供されます。 サンプル アラートを使って、SIEM 統合、ワークフローの自動化、メール通知などのセキュリティ アラートの構成を検証できます。
アラートの検証について詳しくは、こちらをご覧ください。
大規模なガバナンス ルール (プレビュー)
Defender for Cloudで大規模なガバナンス ルール (プレビュー) を適用する新しい機能をお知らせします。
この新しいエクスペリエンスにより、セキュリティ チームではさまざまなスコープ (サブスクリプションとコネクタ) に対してガバナンス ルールを一括で定義できます。 セキュリティ チームは、Azure管理グループ、AWS の最上位アカウント、GCP 組織などの管理スコープを使用して、このタスクを実行できます。
さらに、[ガバナンス ルール (プレビュー)] ページには、組織の環境で有効なすべての利用可能なガバナンス ルールが表示されます。
詳細については、新しい大規模なガバナンス ルール エクスペリエンスに関するページを参照してください。
Note
2023 年 1 月 1 日の時点で、ガバナンスによって提供される機能を体験するには、サブスクリプションまたはコネクタで Defender CSPM プランが有効になっている必要があります。
AWS と GCP (プレビュー) に関するカスタム評価を作成する機能が非推奨になりました
プレビュー機能であった AWS アカウント と GCP プロジェクトのカスタム評価を作成する機能は非推奨となりました。
Lambda 関数に対する配信不能キューの構成に関する推奨事項が非推奨になりました
推奨事項 Lambda functions should have a dead-letter queue configured は非推奨です。
| Recommendation | Description | Severity |
|---|---|---|
| Lambda 関数には、配信不能キューが構成されている必要がある | このコントロールを使用すると、Lambda 関数に配信不能キューが構成されているかどうかをチェックできます。 このコントロールは、Lambda 関数に配信不能キューが構成されていない場合に失敗します。 失敗した場合の代替の宛先には、配信不能キューを含む関数を構成して、破棄されたイベントを保存して、さらに処理を行います。 配信不能キューは、失敗した場合の宛先での役割と同じ役割を果たします。 これは、イベントがすべての処理試行に失敗した場合、または処理されることなく期限切れになった場合に使用されます。 配信不能キューを使用すると、Lambda 関数のエラーまたは失敗した要求を振り返り、異常な動作をデバッグまたは特定することができます。 セキュリティの観点からは、関数が失敗した理由を把握することや、関数によってデータが削除されたり、データ セキュリティの侵害が発生したりする結果とならないようにすることが重要です。 たとえば、関数で、基になるリソースと通信できない場合は、ネットワークのどこかでサービス拒否 (DoS) 攻撃が発生している兆候を示している可能性があります。 | Medium |
2022 年 10 月
10 月の更新プログラムには次のものが含まれます。
- Microsoft クラウド セキュリティ ベンチマークの発表
Defender for Cloud (プレビュー) - Azureと AWS マシンのエージェントレス スキャン (プレビュー)
- Defender for DevOps (プレビュー)
- コンプライアンス ダッシュボードで、手動制御管理とMicrosoftのコンプライアンス状態に関する詳細情報がサポートされるようになりました
- 自動プロビジョニングの名前が [設定と監視] に変更され、エクスペリエンスが更新されました
- Defender クラウド セキュリティ体制管理 (CSPM) (プレビュー)
- MITRE ATT&CK フレームワーク マッピングは、AWS と GCP のセキュリティに関する推奨事項でも使用できるようになりました
Defender for Containers では、Elastic Container Registry (プレビュー)
Microsoft クラウド セキュリティ ベンチマークの発表
Microsoftクラウド セキュリティ ベンチマーク (MCSB) は、一般的な業界標準とコンプライアンス フレームワークに基づいてクラウド セキュリティの基本的な原則を定義する新しいフレームワークです。 それと共に、クラウド プラットフォーム間でこれらのベスト プラクティスを実装するための詳細な技術ガイダンスです。 MCSB は、Azure セキュリティ ベンチマークを置き換えます。 MCSB は、クラウドに依存しないセキュリティに関する推奨事項を複数のクラウド サービス プラットフォームに実装する方法の規範的な詳細を提供します。最初は、Azureと AWS を対象としています。
1 つの統合ダッシュボードで、クラウドごとのクラウド セキュリティ コンプライアンス態勢を監視できるようになりました。 Defender for Cloudの規制コンプライアンス ダッシュボードに移動すると、MCSB が既定のコンプライアンス標準として表示されます。
Microsoftクラウド セキュリティ ベンチマークは、Defender for Cloudのオンボード時に、Azure サブスクリプションと AWS アカウントに自動的に割り当てられます。
Microsoftクラウド セキュリティ ベンチマークの詳細を確認します。
Defender for Cloudでの攻撃パス分析とコンテキスト セキュリティ機能 (プレビュー)
新しいクラウド セキュリティ グラフ、攻撃パス分析、コンテキスト クラウド セキュリティ機能が、プレビュー Defender for Cloudで利用できるようになりました。
セキュリティ チームが現在直面している最大の課題の 1 つは、日常的に直面するセキュリティ問題の数です。 解決する必要がある多くのセキュリティ問題があり、それらすべてに対処するのに十分なリソースはありません。
Defender for Cloudの新しいクラウド セキュリティ グラフと攻撃パス分析機能により、セキュリティ チームは各セキュリティ問題の背後にあるリスクを評価できます。 セキュリティ チームは、最も早く解決する必要がある最も高リスクの問題を特定することもできます。 Defender for Cloudセキュリティ チームと連携して、最も効果的な方法で環境への影響を受ける侵害のリスクを軽減します。
新しいクラウド セキュリティ グラフ、攻撃パス分析、クラウド セキュリティ エクスプローラーの詳細をご覧ください。
Azureおよび AWS マシンのエージェントレス スキャン (プレビュー)
これまでは、Defender for Cloudエージェントベースのソリューション上の VM に対する体制評価に基づいています。 お客様が対象範囲を最大化し、オンボードと管理の摩擦を軽減できるように、VM を対象にしたエージェントレス スキャンをプレビュー用にリリースします。
VM のエージェントレス スキャンを使用すると、インストールされているソフトウェアとソフトウェアの CVE を広範囲にわたって把握できます。 エージェントのインストールとメンテナンス、ネットワーク接続の要件、ワークロードに対するパフォーマンスの影響の課題なしで、可視性を得られます。 分析はMicrosoft Defender 脆弱性の管理によって行われます。
エージェントレス脆弱性スキャンは、Defender Cloud Security Posture Management (CSPM) と Defender for Servers P2 の両方で使用でき、AWS とAzure VM のネイティブ サポートが提供されます。
- エージェントレス スキャンについて詳しくは、こちらをご覧ください。
- エージェントレス脆弱性評価を有効にする方法については、こちらを参照してください。
Defender for DevOps (プレビュー)
Microsoft Defender for Cloudを使用すると、Azure、AWS、Google、オンプレミスのリソースを含むハイブリッドおよびマルチクラウド環境全体で、包括的な可視性、体制管理、脅威保護を実現できます。
新しいDefender for DevOps計画では、GitHubやAzure DevOpsなどのソース コード管理システムがDefender for Cloudに統合されました。 この新しい統合により、セキュリティ チームはコードからクラウドまでのリソースを保護できます。
Defender for DevOpsを使用すると、接続された開発者環境とコード リソースを可視化して管理できます。 現時点では、Azure DevOps および GitHub システムを接続して、DevOps リポジトリをインベントリと新しい DevOps セキュリティ ページにDefender for Cloudしてオンボードできます。 統合された DevOps セキュリティ ページに存在する検出されたセキュリティの問題の大まかな概要が、セキュリティ チームに提供されます。
プル要求の注釈を構成して、開発者がプル要求で直接Azure DevOpsで結果をスキャンするシークレットに対処できるようにすることができます。
Azure PipelinesおよびGitHub ワークフローで Microsoft Security DevOps ツールを構成して、次のセキュリティ スキャンを有効にすることができます。
| Name | Language | License |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | バイナリ – Windows、ELF | MIT ライセンス |
| ESlint | JavaScript | MIT ライセンス |
| CredScan (Azure DevOps のみ) | 資格情報スキャナー (CredScan とも呼ばれます) は、ソース コードや構成ファイルの一般的な種類 (既定のパスワード、SQL 接続文字列、秘密キーを持つ証明書) などの資格情報リークを識別するために、Microsoftによって開発および管理されるツールです。 | オープンソースではない |
| Template Analyze | ARM テンプレート、Bicep ファイル | MIT ライセンス |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation | Apache License 2.0 |
| Trivy | コンテナー イメージ、ファイル システム、Git リポジトリ | Apache License 2.0 |
DevOps で次の新しい推奨事項を利用できるようになりました。
| Recommendation | Description | Severity |
|---|---|---|
| (プレビュー) コード リポジトリでコード スキャンの検出結果を解決する必要がある | Defender for DevOpsコード リポジトリに脆弱性が見つかりました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) | Medium |
| (プレビュー) コード リポジトリでシークレット スキャンの検出結果を解決する必要がある | コード リポジトリにシークレットが見つかったDefender for DevOps。 セキュリティ侵害を防ぐために、ただちにこれを修復する必要があります。 リポジトリで検出されたシークレットは、漏洩する可能性や、敵対者が見つける可能性があり、それによってアプリケーションやサービスが侵害される可能性があります。 Azure DevOpsの場合、Microsoft Security DevOps CredScan ツールは、実行するように構成されたビルドのみをスキャンします。 そのため、リポジトリ内のシークレットの完全な状態が結果に反映されていない場合があります。 (関連ポリシーはありません) | High |
| (プレビュー) コード リポジトリで Dependabot スキャンの検出結果を解決する必要がある | Defender for DevOpsコード リポジトリに脆弱性が見つかりました。 リポジトリのセキュリティ態勢を改善するために、これらの脆弱性を修復することを強くお勧めします。 (関連ポリシーはありません) | Medium |
| (プレビュー) コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある | (プレビュー) コード リポジトリでコードとしてのインフラストラクチャ スキャンの検出結果を解決する必要がある | Medium |
| (プレビュー) GitHub リポジトリでコード スキャンが有効になっている必要があります | GitHubでは、コード スキャンを使用してコードを分析し、コード内のセキュリティの脆弱性とエラーを見つけます。 コード スキャンを使用すると、コード内の既存の問題を検出、トリアージして、その修正に優先度を付けることができます。 また、コード スキャンによって、開発者が新しい問題を混入するのを防ぐことができます。 特定の日時にスキャンを実行するようにスケジュールすることや、リポジトリで特定のイベント (プッシュなど) が発生した場合にスキャンをトリガーすることができます。 コード スキャンでコード内の潜在的な脆弱性またはエラーが検出された場合、GitHubはリポジトリにアラートを表示します。 脆弱性とは、プロジェクトの秘密性、一貫性、または可用性を損なうために悪用される可能性のある、プロジェクトのコードの問題です。 (関連ポリシーはありません) | Medium |
| (プレビュー) GitHub リポジトリでシークレット スキャンが有効になっている必要があります | GitHubは、リポジトリに誤ってコミットされたシークレットの不正使用を防ぐために、既知の種類のシークレットについてリポジトリをスキャンします。 シークレット スキャンでは、GitHub リポジトリに存在するすべてのブランチで、すべてのシークレットについて Git 履歴全体がスキャンされます。 シークレットの例として、サービス プロバイダーが認証のために発行する場合があるトークンと秘密キーがあります。 シークレットがリポジトリにチェックインされると、リポジトリへの読み取りアクセス権を持つすべてのユーザーは、そのシークレットを使用して、それらの権限で外部サービスにアクセスできます。 シークレットは、プロジェクトのリポジトリの外部にある専用の安全な場所に保存する必要があります。 (関連ポリシーはありません) | High |
| (プレビュー) GitHub リポジトリで Dependabot スキャンが有効になっている必要があります | GitHubは、リポジトリに影響するコード依存関係の脆弱性を検出すると、Dependabot アラートを送信します。 脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 脆弱性の種類、重要度、攻撃の方法は様々です。 セキュリティの脆弱性があるパッケージにコードが依存している場合、この脆弱性のある依存関係が原因で、さまざまな問題が発生する可能性があります。 (関連ポリシーはありません) | Medium |
Defender for DevOpsの推奨事項は、Defender for Containers に含まれていた CI/CD ワークフローの非推奨の脆弱性スキャナーに代わるものです。
規制コンプライアンス ダッシュボードで、手動制御管理とMicrosoftのコンプライアンス状態に関する詳細情報がサポートされるようになりました
Defender for Cloudのコンプライアンス ダッシュボードは、顧客がコンプライアンスの状態を理解して追跡するのに役立つ重要なツールです。 お客様は、さまざまな標準や規制の要件に従って環境を継続的に監視できます。
運用およびその他のコントロールを手動で証明することによって、コンプライアンス体制を完全に管理できるようになりました。 自動化されていないコントロールについて、コンプライアンスの証拠を提供できるようになりました。 自動化された評価と共に、選択したスコープ内でコンプライアンスの完全なレポートを生成し、特定の標準に関するコントロール セット全体に対処できるようになりました。
さらに、より豊富な制御情報と、Microsoftのコンプライアンス状態に関する詳細と証拠により、監査に必要なすべての情報をすぐに入手できるようになりました。
新たな利点のいくつかを次に示します。
手動の顧客アクションにより、自動化されていないコントロールでのコンプライアンスを手動で証明するためのメカニズムが提供されます。 証拠をリンクする機能を含め、コンプライアンスの日付と有効期限を設定します。
既存の自動化された顧客アクションに加えて、Microsoftアクションと顧客アクションを示す、サポートされている標準のより豊富な制御の詳細。
Microsoftアクションは、監査評価手順、テスト結果、偏差に対するMicrosoft応答を含む、Microsoftのコンプライアンス状態に対する透明性を提供します。
コンプライアンスオファリングは、Azure、Dynamics 365、Power Platform 製品、およびそれぞれの規制コンプライアンス認定を確認するための中心的な場所を提供します。
Defender for Cloudで規制コンプライアンスをする方法について説明します。
自動プロビジョニングの名前が [設定と監視] に変更され、エクスペリエンスが更新されました
自動プロビジョニング ページの名前が Settings & monitoring に変更されています。
自動プロビジョニングは、Defender for Cloudの高度な機能によって必要とされる前提条件を大規模に有効にすることを目的としていました。 拡張された機能をより適切にサポートするために、次の変更によって新しいエクスペリエンスを開始します。
- 監視コンポーネントを必要とするDefenderプランを有効にすると、これらのコンポーネントは既定の設定で自動プロビジョニングに対して有効になります。 これらの設定は、必要に応じていつでも編集できます。
- Defender プラン ページから、各Defender プランの監視コンポーネント設定にアクセスできます。
- [Defender プラン] ページには、Defenderプランごとにすべての監視コンポーネントが配置されているかどうか、または監視対象範囲が不完全かどうかが明確に示されます。
[設定と監視] ページ:
- 各監視コンポーネントは、関連するDefender計画を示します。
監視設定の管理の詳細については、こちらを参照してください。
Defender クラウド セキュリティ体制管理 (CSPM)
クラウド セキュリティのMicrosoft Defender for Cloudの主要な柱の 1 つは、クラウド セキュリティ体制管理 (CSPM) です。 CSPM により、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが得られます。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。
Defender CSPMという新しいDefenderプランが発表されます。 このプランでは、Defender for Cloudのセキュリティ機能が強化され、次の新機能と拡張された機能が含まれています。
- クラウド リソースのセキュリティ構成の継続的な評価
- 構成の誤りと弱点を修正するためのセキュリティに関する推奨事項
- セキュリティ スコア
- Governance
- 規制に対するコンプライアンス
- クラウド セキュリティ グラフ
- 攻撃パス分析
- マシンのエージェントレス スキャン
Defender CSPM プランの詳細を確認します。
MITRE ATT&CK フレームワーク マッピングは、AWS と GCP のセキュリティに関する推奨事項でも使用できるようになりました
セキュリティ アナリストは、セキュリティに関する推奨事項に関連する潜在的なリスクを特定し、攻撃ベクトルを理解して、タスクに効率的に優先順位を付けることができるようにすることが不可欠です。
Defender for Cloudでは、MITRE ATT& に対してAzure、AWS、GCP のセキュリティに関する推奨事項をマッピングすることで、優先順位付けが容易になりますCK フレームワーク。 MITRE ATT&CKフレームワークは、現実世界の観測に基づく敵対者の戦術と技術のグローバルにアクセス可能なサポート情報であり、お客様は環境の安全な構成を強化することができます。
MITRE ATT&CK フレームワークは、次の 3 つの方法で統合されています。
- 推奨事項は、MITRE ATT&CK の戦術と手法にマップされます。
- クエリ MITRE ATT&Azure Resource Graphを使用したレコメンデーションに関する CK の戦術と手法。
Defender for Containers で Elastic Container Registry の脆弱性評価がサポートされるようになりました (プレビュー)
Microsoft Defender for Containers では、Amazon AWS の Elastic Container Registry (ECR) のエージェントレス脆弱性評価スキャンが提供されるようになりました。 これにより、AWS と Google GCP 向けの、脅威に対する高度な保護と Kubernetes 環境の強化の今年初めのリリースに基づいて、マルチクラウド環境の対象範囲が拡大されます。 エージェントレス モデルの場合、アカウント内に AWS リソースを作成して、AWS アカウントからイメージを抽出することなくイメージをスキャンし、ワークロードに対する占有領域もありません。
ECR リポジトリ内のイメージのエージェントレス脆弱性評価スキャンは、イメージを継続的にスキャンしてコンテナーの脆弱性を特定および管理することにより、コンテナー化された資産の攻撃面の減少に役立ちます。 この新しいリリースでは、Defender for Cloudはリポジトリにプッシュされた後にコンテナー イメージをスキャンし、レジストリ内の ECR コンテナー イメージを継続的に再評価します。 結果は推奨事項としてMicrosoft Defender for Cloudで利用できます。また、Defender for Cloudの組み込みの自動化されたワークフローを使用して、画像の重大度の高い脆弱性を修正するためのチケットを開くなど、結果に対するアクションを実行できます。
Amazon ECR イメージの脆弱性評価の詳細については、こちらを参照してください。
2022 年 9 月
9 月の更新プログラムには次のものが含まれます。
- コンテナーと Kubernetes のエンティティに基づくアラートを抑制する
- Defender for Servers では、Azure Monitor エージェントを使用したファイルの整合性の監視がサポートされます
- レガシ評価 API の非推奨化
- ID に加えられた追加の推奨事項
- テナント間のLog Analytics ワークスペースに報告するマシンのセキュリティ アラート
コンテナーと Kubernetes のエンティティに基づくアラートを抑制する
- Kubernetes 名前空間
- Kubernetes ポッド
- Kubernetes シークレット
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes ジョブ
- Kubernetes CronJob
詳しくは、アラート抑制ルールに関する記事を参照してください。
Defender for Servers では、Azure Monitor エージェントを使用したファイル整合性の監視がサポートされます
ファイルの整合性の監視 (FIM) では、攻撃を示すおそれがある変更について、オペレーティング システムのファイルとレジストリを調べます。
FIM は、Azure Monitor エージェント (AMA) に基づく新しいバージョンで使用できるようになりました。 Defender for Cloudを使用してデプロイできます。
レガシ評価 API の非推奨化
次の API は非推奨です。
- セキュリティ タスク
- セキュリティの状態
- セキュリティの概要
これら 3 つの API は、以前の形式の評価を公開し、 Assessments API とSubAssessments API に置き換えられました。 これらのレガシ API によって公開されるすべてのデータは、新しい API でも使用できます。
ID に加えられた追加の推奨事項
ユーザーとアカウントの管理を改善するためのDefender for Cloudの推奨事項。
新しい推奨事項
新しいリリースには、次の機能が含まれています。
特定の評価スコープ – セキュリティ管理者がアカウントごとのロールの割り当てを表示できるようにする、Azure リソースの MFA および外部アカウントを持たない ID アカウント (サブスクリプションのみではなく) のカバレッジが改善されました。
更新間隔の改善 - ID の推奨事項の更新間隔が 12 時間になりました。
Account の除外機能 - Defender for Cloudには、エクスペリエンスをカスタマイズし、セキュリティ スコアに組織のセキュリティの優先順位が反映されるようにするために使用できる多くの機能があります。 たとえば、セキュリティ スコアからリソースと推奨事項を除外することができます。
この更新により、次の表に示されている 6 つの推奨事項による評価から特定のアカウントを除外できます。
通常、このようなアカウントは組織の MFA 要件から意図的に除外されることが多いため、緊急の "重大な" アカウントを MFA の推奨事項から除外します。 または、アクセスを許可したい、MFA が有効になっていない外部アカウントがある場合があります。
Tip
アカウントを除外すると、そのアカウントは異常と表示されなくなり、サブスクリプションが異常と表示されることもなくなります。
Recommendation 評価キー Azure リソースに対する所有者アクセス許可を持つアカウントは、MFA を有効にする必要があります 6240402e-f77c-46fa-9060-a7ce53997754 Azure リソースに対する書き込みアクセス許可を持つアカウントは、MFA を有効にする必要があります c0cb17b2-0607-48a7-b0e0-903ed22de39b Azure リソースに対する読み取りアクセス許可を持つアカウントは、MFA を有効にする必要があります dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Azure リソースに対する所有者アクセス許可を持つゲスト アカウントを削除する必要がある 20606e75-05c4-48c0-9d97-add6daa2109a Azure リソースに対する書き込みアクセス許可を持つゲスト アカウントを削除する必要がある 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Azure リソースに対する読み取りアクセス許可を持つゲスト アカウントを削除する必要がある fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Azure リソースに対する所有者アクセス許可を持つブロックされたアカウントを削除する必要がある 050ac097-3dda-4d24-ab6d-82568e7a50cf Azure リソースに対する読み取りと書き込みのアクセス許可を持つブロックされたアカウントを削除する必要がある 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
推奨事項はプレビュー段階ですが、現在 GA になっている推奨事項の横に表示されます。
クロステナント Log Analytics ワークスペースにレポートするマシンのセキュリティ アラートを削除しました
以前Defender for Cloud、Log Analytics エージェントが報告するワークスペースを選択できます。 マシンが 1 つのテナント (テナント A) に属していても、そのLog Analytics エージェントが別のテナント ("テナント B") のワークスペースに報告された場合、マシンに関するセキュリティ アラートが最初のテナント (テナント A) に報告されました。
この変更により、別のテナントLog Analyticsワークスペースに接続されているマシンのアラートは、Defender for Cloudに表示されなくなります。
Defender for Cloudで引き続きアラートを受信する場合は、関連するマシンのLog Analytics エージェントを、マシンと同じテナント内のワークスペースに接続します。
セキュリティ アラートの詳細を確認します。
2022 年 8 月
8 月の更新プログラムには次のものが含まれます。
- イメージを実行するためのVulnerabilitiesが、Windows コンテナー上のコンテナーのDefenderで表示されるようになりました
- Azure Monitor エージェント統合がプレビュー段階になりました
- Kubernetes クラスターに関連する疑わしいアクティビティに関する非推奨の VM アラート
Windows コンテナーの Defender for Containers でイメージを実行するための脆弱性が表示されるようになりました
コンテナーのDefenderに、Windows コンテナーを実行するための脆弱性が表示されるようになりました。
脆弱性が検出されると、Defender for Cloudは、検出された問題を一覧表示するセキュリティに関する推奨事項を生成します。コンテナー イメージの実行には、脆弱性の結果が解決されている必要があります。
詳細については、「実行中のイメージの脆弱性の表示」を参照してください。
Azure Monitor エージェント統合がプレビュー段階になりました
Defender for Cloudには、Azure Monitor Agent (AMA) のプレビュー サポートが含まれるようになりました。 AMA は、非推奨へのパスにあるレガシ Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) を置き換えることを目的としています。 AMA には、レガシ エージェントよりも多くの利点があります。
Defender for Cloudでは、AMA に対して有効な自動プロビジョニング><すると、サブスクリプションで検出された VM とAzure Arc対応のマシン>
Kubernetes クラスターに関連する疑わしいアクティビティに関する非推奨の VM アラート
次の表に、非推奨となったアラートを示します。
| アラート名 | Description | Tactics | Severity |
|---|---|---|---|
|
Docker build operation detected on a Kubernetes node (Kubernetes ノードで Docker のビルド操作が検出されました) (VM_ImageBuildOnNode) |
マシンのログが、Kubernetes ノード上でのコンテナー イメージのビルド操作を示しています。 この動作は、正当である可能性もありますが、攻撃者は、検出を回避するために、悪意のあるイメージをローカルにビルドする可能性があります。 | 防御回避 | Low |
|
Suspicious request to Kubernetes API (Kubernetes API への疑わしい要求) (VM_KubernetesAPI) |
マシンのログは、Kubernetes API に対して疑わしい要求が行われたことを示しています。 要求は、Kubernetes ノードから送信されました。ノードで実行されているいずれかのコンテナーからのものである可能性があります。 この動作が意図的である場合もありますが、侵害されたコンテナーをノードが実行していることを示している可能性があります。 | LateralMovement | Medium |
|
SSH server is running inside a container (コンテナー内で SSH サーバーが実行されています) (VM_ContainerSSH) |
マシンのログは、Docker コンテナー内で SSH サーバーが実行されていることを示しています。 この動作が意図的である場合もありますが、多くの場合は、コンテナーの構成が正しくないか違反していることを示しています。 | Execution | Medium |
これらのアラートは、Kubernetes クラスターに接続されている疑わしいアクティビティについてユーザーに通知するために使用されます。 アラートは、Microsoft Defender for Cloud コンテナー アラート (K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI、K8S.NODE_ ContainerSSH) の一部である一致するアラートに置き換えられます。これにより、アラートを調査して処理するための忠実性と包括的なコンテキストが向上します。
Kubernetes クラスターのアラートの詳細について説明します。
コンテナーの脆弱性に詳細なパッケージ情報が含まれるようになりました
コンテナーの脆弱性評価 (VA) のDefenderには、パッケージ名、パッケージの種類、パス、インストールされているバージョン、固定バージョンなど、各検索の詳細なパッケージ情報が含まれるようになりました。 パッケージ情報を使用すると、脆弱なパッケージを見つけて、その脆弱性を修復したり、パッケージを削除したりすることができます。
この詳細なパッケージ情報は、イメージの新しいスキャンに使用できます。
2022年7月
7 月の更新プログラムには次のものが含まれます。
- Kubernetes ランタイム保護のためのクラウドネイティブ セキュリティ エージェントの一般提供 (GA)
Defender for Container の VA では、言語固有のパッケージ (プレビュー) - Operations Management インフラストラクチャの脆弱性 CVE-2022-29149 からの保護
- Entra Permissions Management との統合
Key Vault推奨事項が "audit" - App Service の API アプリ ポリシーの非推奨化
Kubernetes ランタイム保護のためのクラウドネイティブ セキュリティ エージェントの一般提供 (GA)
Kubernetes ランタイム保護用のクラウドネイティブ セキュリティ エージェントが一般提供 (GA) されたことをお知らせします。
Kubernetes クラスターの本番環境への導入は、アプリケーションのコンテナ化が進むにつれて増加し続けています。 この成長を支援するために、Defender for Containers チームは、クラウドネイティブの Kubernetes 指向のセキュリティ エージェントを開発しました。
この新しいセキュリティ エージェントは、eBPF 技術に基づく Kubernetes DaemonSet であり、AKS セキュリティ プロファイルの一部として AKS クラスターに完全に統合されています。
セキュリティ エージェントの有効化は、自動プロビジョニング、推奨事項フロー、AKS RP、または Azure Policy を使用して大規模に使用できます。
AKS クラスターにDefender エージェントを今すぐデプロイできます。
今回の発表をもって、ランタイム保護 - 脅威検出 (ワークロード) の一般提供も開始されました。
コンテナーの
使用可能なすべてのアラートを確認することもできます。
プレビュー バージョンを使用している場合、AKS-AzureDefender 機能フラグは不要であることに注意してください。
コンテナーの VA のDefenderは、言語固有のパッケージの検出のサポートを追加します (プレビュー)
コンテナーの脆弱性評価 (VA) のDefenderは、OS パッケージ マネージャーを介して展開された OS パッケージの脆弱性を検出できます。 VA の機能が拡張され、言語固有のパッケージに含まれる脆弱性を検出できるようになりました。
この機能はプレビュー段階であり、Linux イメージでのみ使用できます。
追加されたすべての言語固有のパッケージを確認するには、コンテナーの機能とその可用性の完全な一覧Defenderを確認してください。
Operations Management インフラストラクチャの脆弱性 CVE-2022-29149 からの保護
Operations Management インフラストラクチャ (OMI) は、オンプレミス環境とクラウド環境を 1 つの場所から管理するためのクラウドベース サービスの集合体です。 OMI コンポーネントは、オンプレミスのリソースをデプロイして管理するのではなく、Azureで完全にホストされます。
OMI バージョン 13 を実行しているAzure HDInsightと統合Log Analyticsには、CVE-2022-29149 を修復するための修正プログラムが必要です。 この脆弱性と修復手順の影響を受けるリソースを特定する方法については、Microsoft Security 更新ガイドのこの脆弱性に関するレポートを確認してください。
脆弱性評価で有効になっているサーバーのDefenderがある場合は、このブックを使用して、影響を受けるリソースを特定できます。
Entra Permissions Management との統合
Defender for Cloudは、Microsoft Entra Permissions Management と統合されています。クラウド インフラストラクチャエンタイトルメント管理 (CIEM) ソリューションは、Azure、AWS、GCP 内の任意の ID とリソースに対するアクセス許可を包括的に可視化および制御できます。
オンボードする各Azureサブスクリプション、AWS アカウント、GCP プロジェクトに、Permission Creep Index (PCI) のビューが表示されます。
Entra 権限管理 (旧称 Cloudknox) の詳細情報
Key Vault推奨事項が "監査" に変更されました
ここに記載されているKey Vault推奨事項の効果が "audit" に変更されました。
| 推奨事項の名前 | 推奨事項 ID |
|---|---|
| Azure Key Vaultに格納されている証明書の有効期間が 12 か月を超えないようにする | fc84abc0-eee6-4758-8372-a7681965ca44 |
| シークレットKey Vault有効期限が設定されている必要がある | 14257785-9437-97fa-11ae-898cfb24302b |
| キー Key Vault有効期限が設定されている必要があります | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
App Service の API アプリ ポリシーの非推奨化
API アプリを含めるために既に存在する対応するポリシーに対して、次のポリシーを非推奨化しました。
| 廃止予定 | に変更する |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
2022 年 6 月
6 月の更新プログラムには次のものが含まれます。
Azure Cosmos DB - AWS および GCP 環境のマシンでの SQL のDefenderの一般提供 (GA)
- セキュリティ態勢を強化するためのセキュリティに関する推奨事項の実装を推進する
- IP アドレスでセキュリティ アラートをフィルター処理する
- リソース グループ別のアラート
- 統合ソリューションの自動プロビジョニングMicrosoft Defender for Endpoint
- "API アプリには HTTPS を介してのみアクセスできるようにする"ポリシーの非推奨化
- 新しいKey Vaultアラート
Azure Cosmos DBのMicrosoft Defenderの一般提供 (GA)
Azure Cosmos DBのMicrosoft Defenderが一般公開 (GA) になり、SQL (コア) API アカウントの種類がサポートされるようになりました。
GA に対するこの新しいリリースは、さまざまな種類の SQL データベースと MariaDB を含む Microsoft Defender for Cloud データベース保護スイートの一部です。 Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出するセキュリティのAzureネイティブ レイヤーです。
このプランを有効にすると、潜在的な SQL インジェクション、悪意のある既知のアクター、疑わしいアクセス パターン、侵害された ID や悪意のある内部関係者を利用したデータベースの探索のおそれに対し、アラートが表示されます。
悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細を、関連する調査手順、修復アクション、セキュリティに関する推奨事項と共に示します。
Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB サービスによって生成されたテレメトリ ストリームを継続的に分析し、それらをMicrosoft脅威インテリジェンスと行動モデルと交差させて、疑わしいアクティビティを検出します。 Azure Cosmos DBのDefenderは、Azure Cosmos DB アカウント データにアクセスせず、データベースのパフォーマンスに影響を与えません。
Azure Cosmos DB の
Azure Cosmos DBのサポートが追加され、Defender for Cloudはクラウドベースのデータベースに対して最も包括的なワークロード保護オファリングの 1 つを提供するようになりました。 セキュリティ チームとデータベース所有者は、一元的なエクスペリエンスで、自分の環境のデータベース セキュリティを管理できるようになりました。
データベースの 保護を有効にする 方法について説明します。
AWS および GCP 環境のマシン上の SQL のDefenderの一般提供 (GA)
Microsoft Defender for Cloudによって提供されるデータベース保護機能により、AWS または GCP 環境でホストされている SQL サーバーのサポートが追加されました。
SQL のDefender、企業は、Azure、AWS、GCP、オンプレミスのマシンでホストされているデータベース資産全体を保護できるようになりました。
Microsoft Defender for SQL では、SQL サーバーと下線付けWindows OS の両方のセキュリティに関する推奨事項、セキュリティ アラート、脆弱性評価の結果を表示するための統合されたマルチクラウド エクスペリエンスが提供されます。
マルチクラウド オンボード エクスペリエンスを使用すると、AWS EC2、RDS Custom for SQL Server、GCP コンピューティング エンジンで実行されている SQL サーバーのデータベース保護を有効にして適用できます。 これらのプランのいずれかを有効にすると、サブスクリプション内に存在するすべてのサポート対象リソースが保護されます。 同じサブスクリプションで作成された今後のリソースも保護されます。
AWS 環境とGCP 組織を保護してMicrosoft Defender for Cloudに接続する方法について説明します。
セキュリティ態勢を強化するためのセキュリティに関する推奨事項の実装を推進する
現在、組織に対する脅威が高まっていることで、拡大するワークロードを保護するためにセキュリティ担当者が過酷な労働を強いられています。 セキュリティ チームには、セキュリティ ポリシーで定義された保護を実装することが求められています。
この段階で、セキュリティ チームはプレビュー段階のガバナンス エクスペリエンスを駆使して、セキュリティに関する推奨事項に沿った修復をリソース所有者に割り当て、修復スケジュールを求めることができます。 修復の進行状況を完全に把握し、タスクの期限が過ぎると通知を受け取ることができます。
ガバナンス エクスペリエンスの詳細については、組織で推奨ガバナンスを使ってセキュリティに関する問題を修正することに関する記事を参照してください。
IP アドレスでセキュリティ アラートをフィルター処理する
多くの攻撃では、その攻撃に関係するエンティティの IP アドレスに基づいてアラートを追跡できます。 これまで IP は、単一のアラート ウィンドウの [関連するエンティティ] セクションにのみ表示されていました。 現在では、セキュリティ アラート ページでアラートをフィルター処理して IP アドレスに関連するアラートを表示でき、特定の IP アドレスを検索できます。
リソース グループ別のアラート
リソース グループ別にフィルター処理、並べ替え、グループ化する機能が [セキュリティ警告] ページに追加されました。
リソース グループ列がアラート グリッドに追加されました。
特定のリソース グループのすべてのアラートを表示できる、新しいフィルターが追加されました。
また、リソース グループ別にアラートをグループ化し、各リソース グループのすべてのアラートを表示することもできるようになりました。
統合ソリューションの自動プロビジョニングMicrosoft Defender for Endpoint
これまで、Microsoft Defender for Endpoint (MDE) との統合には、新しい MDE 統合ソリューションの自動インストール サーバー プラン 1 のDefenderを有効にしたマシン (Azure サブスクリプションとマルチクラウド コネクタ) と、Defenderを使用したマルチクラウド コネクタが含まれていました。サーバー プラン 2 の場合は有効です。 Azure サブスクリプションのプラン 2 では、Linux マシンと Windows 2019 および 2022 サーバーのみの統合ソリューションが有効になりました。 Windows サーバー 2012R2 と 2016 では、Log Analytics エージェントに依存する MDE レガシ ソリューションが使用されました。
これで、Azure サブスクリプションとマルチクラウド コネクタの両方について、両方のプランのすべてのマシンで新しい統合ソリューションを利用できるようになりました。 MDE 統合
MDE と Defender for Servers の統合について説明します。
"API アプリには HTTPS を介してのみアクセスできるようにする"ポリシーの非推奨化
ポリシー API App should only be accessible over HTTPS は非推奨です。 このポリシーは Web Application should only be accessible over HTTPS ポリシーに置き換えられ、名前は App Service apps should only be accessible over HTTPS に変わりました。
Azure App Serviceのポリシー定義の詳細については、
新しいKey Vaultアラート
Key VaultのMicrosoft Defenderによって提供される脅威保護を拡張するために、2 つの新しいアラートが追加されました。
これらのアラートは、アクセスが拒否された異常を通知します。どのキー コンテナーでも検出されます。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
異常なアクセスが拒否されました - 大量のキー コンテナーにアクセスしているユーザーが拒否されました (KV_DeniedAccountVolumeAnomaly) |
ユーザーまたはサービス プリンシパルが過去 24 時間以内に異常に大量のキー コンテナーにアクセスしようとしました。 この異常なアクセス パターンは、正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 さらに詳しく調査することをお勧めします。 | Discovery | Low |
|
Unusual access denied - Unusual user accessing key vault denied (異常なアクセスが拒否されました - キー コンテナーにアクセスしている異常なユーザーのアクセスが拒否されました) (KV_UserAccessDeniedAnomaly) |
通常はアクセスしないユーザーがキー コンテナーへのアクセスを試みましたが、この異常なアクセス パターンは正当なアクティビティである可能性があります。 この試行は失敗しましたが、キー コンテナーとその中に含まれるシークレットへのアクセスを試みている可能性があることを示唆している可能性があります。 | 初期アクセス、検出 | Low |
2022 年 5 月
5 月の更新プログラムには次のものが含まれます。
- サーバー プランのマルチクラウド設定がコネクタ レベルで使用できるようになりました
- VM の JIT (Just-In-Time) アクセスが AWS EC2 インスタンスで使用できるようになりました (プレビュー)
CLI
サーバー プランのマルチクラウド設定がコネクタ レベルで使用できるようになりました
マルチクラウドのサーバーのDefenderに対するコネクタ レベルの設定が追加されました。
新しいコネクタ レベルの設定には、サブスクリプションとは別に、コネクタごとに価格と自動プロビジョニング構成を細かく設定できます。
コネクタ レベル (Azure Arc、MDE、脆弱性評価) で使用可能なすべての自動プロビジョニング コンポーネントは既定で有効になっており、新しい構成では Plan 1 と Plan 2 の両方の価格レベルがサポートされます。
UI の更新には、選択した価格レベルと構成されている必要なコンポーネントの反映が含まれます。
脆弱性評価への変更
Defender for Containers に、修正プログラムを適用できない重大度が中低の脆弱性が表示されるようになりました。
この更新プログラムの一環として、パッチが利用可能かどうかに関係なく、重大度が中と低の脆弱性が表示されるようになりました。 この更新によって、表示が最大化されますが、提供されている無効化ルールを使用して不要な脆弱性を引き続きフィルター処理で除外できます。
脆弱性管理の詳細
VM の JIT (Just-In-Time) アクセスが AWS EC2 インスタンスで使用できるようになりました (プレビュー)
AWS アカウントを接続すると、JIT によってインスタンスのセキュリティ グループのネットワーク構成が自動的に評価され、公開されている管理ポートのうちで保護が必要なインスタンスが推奨されます。 これは、JIT がAzureで動作する方法と似ています。 保護されていない EC2 インスタンスをオンボードすると、JIT によって管理ポートへのパブリック アクセスがブロックされ、限られた期間の承認された要求でのみ開きます。
JIT が AWS EC2 インスタンスを保護する方法を参照してください
CLI を使用して AKS クラスターのDefender センサーを追加および削除する
Defender エージェントは、コンテナーのDefenderがランタイム保護を提供し、ノードからシグナルを収集するために必要です。 これで、Azure CLIを使用して AKS クラスターのDefender エージェントを<>追加および削除できます。
Note
このオプションは、Azure CLI 3.7 以降に含まれています。
2022 年 4 月
4 月の更新プログラムには次のものが含まれます。
- サーバー プランの新しいDefender
- カスタム推奨事項の再配置
- Splunk と QRadar にアラートをストリーミングする PowerShell スクリプト
- Azure Cache for Redisの推奨事項を説明しました
- 機密データの露出を検出するためのストレージ (プレビュー) のMicrosoft Defenderの新しいアラートバリアント
- IP アドレスの評判で拡張されたコンテナー スキャン アラート のタイトル
- セキュリティ アラートに関連するアクティビティ ログの確認
サーバープランの新しいDefender
サーバーのMicrosoft Defenderは、次の 2 つの増分プランで提供されるようになりました。
- Defender for Servers プラン 2(以前はサーバーのDefender)
- サーバー プラン 1 のDefenderでは、Microsoft Defender for Endpointのみがサポートされます
Defender for Servers Plan 2 は、クラウドとオンプレミスのワークロードに対する脅威と脆弱性からの保護を引き続き提供しますが、Defender for Servers Plan 1 は、ネイティブに統合されたエンドポイント用Defenderを利用したエンドポイント保護のみを提供します。 サーバープランのDefenderの詳細を参照してください。
これまでサーバーのDefenderを使用していた場合は、アクションは必要ありません。
さらに、Defender for Cloudでは、Windows Server 2012 R2 および 2016 のエンドポイント統合エージェントの
カスタムの推奨事項の再配置
カスタムの推奨事項は、ユーザーによって作成されるものであり、セキュリティ スコアに影響を与えません。 カスタムの推奨事項は、 [すべての推奨事項] タブにあります。
新しい "推奨事項の種類" フィルターを使用して、カスタムの推奨事項を見つけます。
詳細については、カスタム セキュリティ イニシアチブとポリシーを作成するを参照してください。
Splunk と IBM QRadar にアラートをストリーミングする PowerShell スクリプト
Event Hubs と組み込みコネクタを使用して、セキュリティ アラートを Splunk と IBM QRadar にエクスポートすることをお勧めします。 PowerShell スクリプトを使用して、サブスクリプションまたはテナントのセキュリティ アラートをエクスポートするために必要なAzure リソースを設定できるようになりました。
PowerShell スクリプトをダウンロードして実行するだけです。 環境の詳細をいくつか指定すると、スクリプトによってリソースが構成されます。 次に、このスクリプトは、統合を完了するために SIEM プラットフォームで使用する出力を生成します。
詳細については、「Splunk と QRadar へのアラートのストリーム」を参照してください。
Azure Cache for Redisの推奨事項を非推奨にしました
推奨Azure Cache for Redis should reside within a virtual network (プレビュー) は非推奨です。 Azure Cache for Redis インスタンスをセキュリティで保護するためのガイダンスが変更されました。 プライベート エンドポイントを使用して、仮想ネットワークではなく、Azure Cache for Redis インスタンスへのアクセスを制限することをお勧めします。
機密データの露出を検出するためのストレージ (プレビュー) 用のMicrosoft Defenderの新しいアラートバリアント
Storage のアラートのMicrosoft Defenderは、脅威アクターが機密情報の流出を試みるために、誤って構成されたパブリックに開かれたストレージ コンテナーをスキャンして公開しようとした場合に通知します。
トリアージと応答時間を短縮するために、潜在的に機密性の高いデータの流出が発生した可能性がある場合は、既存の Publicly accessible storage containers have been exposed アラートに新しいバリエーションをリリースしました。
新しいアラート Publicly accessible storage containers with potentially sensitive data have been exposed は、機密情報を保持している可能性があることが示唆される、統計的に公開されることがほとんどない名前で公開されているストレージ コンテナーの検出に成功した後に、重大度レベル High でトリガーされます。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
プレビュー - 機密性の高い可能性があるデータを含むパブリックにアクセス可能なストレージ コンテナーが公開されている (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
誰かがAzure Storage アカウントをスキャンし、パブリック アクセスを許可する公開コンテナーを公開しました。 1 つ以上の公開コンテナーには、機密データが含まれている可能性があることを示す名前が付けられます。 これは通常、機密データを含む可能性のある、パブリックにアクセス可能なストレージ コンテナーが正しく構成されていないかどうかをスキャンしている脅威アクターによる偵察を示します。 脅威アクターがコンテナーを正常に検出した後も、データを流出させて続行する可能性があります。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
IP アドレスの評判で拡張されたコンテナー スキャン アラート のタイトル
IP アドレスの評判は、スキャン アクティビティが既知の脅威アクターからのものか、 Tor ネットワークを使用して ID を非表示にしているアクターからのものかを示すことができます。 これらの両方のインジケーターは、悪意のある意図があることを示唆しています。 IP アドレスの評判は、Microsoft脅威インテリジェンスによって提供されます。
アラート タイトルに IP アドレスの評判を追加すると、アクターの意図と脅威の重大度をすばやく評価する方法が提供されます。
次のアラートには、この情報が含まれます。
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
たとえば、アラート Publicly accessible storage containers have been exposed のタイトルに追加された情報は次のようになります。
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Storage のMicrosoft Defenderのすべてのアラートには、引き続き、アラートの [関連エンティティ] セクションの下の IP エンティティに脅威インテリジェンス情報が含まれます。
セキュリティ アラートに関連するアクティビティ ログの確認
セキュリティ アラートを評価するために実行できるアクションの一環として、関連するプラットフォーム ログを [リソース コンテキストの検査] から見つけて、影響を受けるリソースに関するコンテキストを取得できます。 Microsoft Defender for Cloudは、アラートから 1 日以内のプラットフォーム ログを識別します。
プラットフォーム ログは、セキュリティの脅威を評価し、識別されたリスクを軽減するために実行できる手順を特定するために役立ちます。
2022 年 3 月
3 月の更新プログラムには次のものが含まれます。
- AWS および GCP 環境のセキュリティ スコアのグローバルな可用性
- ネットワーク トラフィック データ収集エージェントのインストール推奨が廃止されました
Defender for Containers で、Windows イメージ (プレビュー) ストレージ (プレビュー) - アラートからの電子メール通知設定の構成
- プレビュー アラートを廃止しました: ARM.MCAS_ActivityFromAnonymousIPAddresses
- 「コンテナーのセキュリティ構成の脆弱性を修復する必要がある」という推奨事項をセキュリティ スコアからベスト プラクティスへ移動しました
- サブスクリプションを保護するためにサービス プリンシパルを使用する推奨が廃止されました
- ISO 27001 のレガシ実装が新しい ISO 27001:2013 イニシアチブに置き換えられました
- デバイスの推奨事項Microsoft Defender for IoT説明
- Deprecated Microsoft Defender for IoT デバイス アラート
- 一般提供 (GA) のためにリリースされた AWS と GCP の体制管理と脅威の防止
- ACR のWindowsイメージの登録スキャンで、国内クラウドのサポートが追加されました
AWS および GCP 環境のセキュリティ スコアのグローバルな可用性
Microsoft Defender for Cloudによって提供されるクラウド セキュリティ体制管理機能により、セキュア スコア内の AWS および GCP 環境のサポートが追加されました。
企業は、Azure、AWS、GCP など、さまざまな環境にわたる全体的なセキュリティ体制を確認できるようになりました。
[セキュリティ スコア] ページは、[セキュリティ体制] ダッシュボードに置き換えられました。 [セキュリティ体制] ダッシュボードを使用すると、すべての環境の全体的な組み合わせスコア、または選択した環境の任意の組み合わせに基づくセキュリティ体制の内訳を表示できます。
[推奨事項] ページも再設計され、クラウド環境の選択、コンテンツに基づく高度なフィルター (リソース グループ、AWS アカウント、GCP プロジェクトなど)、低解像度でのユーザー インターフェイスの向上、リソース グラフでのオープン クエリのサポートなど、新しい機能が提供されています。 全体的な セキュリティ体制 と セキュリティに関する推奨事項の詳細を確認できます。
ネットワーク トラフィック データ収集エージェントのインストール推奨が廃止されました
ロードマップと優先順位の変更により、ネットワーク トラフィック データ コレクション エージェントの必要性が取り除かれました。 次の 2 つの推奨事項とその関連ポリシーは非推奨となりました。
| Recommendation | Description | Severity |
|---|---|---|
| ネットワーク トラフィック データ収集エージェントを、Linux 仮想マシンにインストールする必要がある | Defender for Cloudでは、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | Medium |
| ネットワーク トラフィック データ収集エージェントをWindows仮想マシンにインストールする必要がある | Defender for Cloudでは、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化の推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | Medium |
Defender for Containers で、Windows イメージの脆弱性をスキャンできるようになりました (プレビュー)
コンテナーのイメージ スキャンのDefenderで、Azure Container RegistryでホストされているWindowsイメージがサポートされるようになりました。 この機能はプレビュー中は無料であり、一般提供されるようになると料金が発生します。
詳細については、コンテナーのMicrosoft Defenderを使用して画像の脆弱性をスキャンするを参照してください。
ストレージのMicrosoft Defenderの新しいアラート (プレビュー)
Microsoft Defender for Storage によって提供される脅威保護を拡張するために、新しいプレビュー アラートが追加されました。
脅威アクターは、アプリケーションとツールを使用してストレージ アカウントを検出し、アクセスします。 Microsoft Defender for Storage は、これらのアプリケーションとツールを検出して、それらをブロックして姿勢を修復できるようにします。
このプレビュー アラートは Access from a suspicious application と呼ばれます。 アラートは、Azure Blob Storageと ADLS Gen2 にのみ関連します。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
プレビュー - 疑わしいアプリケーションからのアクセス (Storage.Blob_SuspiciousApp) |
不審なアプリケーションが、認証を使用してストレージ アカウントのコンテナーに正常にアクセスしたことを示します。 これは、攻撃者がアカウントにアクセスするために必要な資格情報を取得し、それを悪用している可能性があることを意味します。 また、侵入テストが組織で実施されていることを示している可能性もあります。 適用対象: Azure Blob Storage、Azure Data Lake Storage Gen2 |
初期アクセス | Medium |
アラートからの電子メール通知設定の構成
アラートのユーザー インターフェイス (UI) に新しいセクションが追加されされ、現在のサブスクリプションでトリガーされたアラートの電子メール通知を受け取るユーザーを表示および編集できるようになりました。
「セキュリティ アラートの電子メール通知を構成する」方法を確認します。
プレビュー アラートを廃止しました: ARM.MCAS_ActivityFromAnonymousIPAddresses
次のプレビュー アラートは非推奨です。
| アラート名 | Description |
|---|---|
(ARM.MCAS_ActivityFromAnonymousIPAddresses) |
匿名プロキシ IP アドレスとして識別されている IP アドレスからのユーザー アクティビティが検出されました。 このようなプロキシは、自分のデバイスの IP アドレスを隠したいユーザーによって使用され、悪意のある目的で使用される恐れがあります。 この検出では、組織内の他のユーザーがよく使用する IP アドレスのタグ付けが間違っているなどの誤検知を低減する機械学習アルゴリズムが活用されます。 アクティブなMicrosoft Defender for Cloud Apps ライセンスが必要です。 |
この情報を提供して追加する新しいアラートが作成されました。 さらに、新しいアラート (ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP) では、Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security) のライセンスは必要ありません。
Resource Managerのアラートを参照してください。
「コンテナーのセキュリティ構成の脆弱性を修復する必要がある」という推奨事項をセキュリティ スコアからベスト プラクティスへ移動しました
この推奨事項 Vulnerabilities in container security configurations should be remediated は、「セキュリティ スコア」セクションから「ベストプラクティス」セクションに移動しました。
現在のユーザー エクスペリエンスでは、すべてのコンプライアンス検査に合格した場合にのみ、スコアが提供されます。 ほとんどのお客様が、必要な検査項目をすべて満たすことが困難です。 現在、この推奨事項の改善に取り組んでおり、リリース後は、この推奨事項は元のセキュリティ スコアに戻される予定です。
サブスクリプションを保護するためにサービス プリンシパルを使用する推奨が廃止されました
組織が管理証明書を使用してサブスクリプションを管理する必要がなくなり、 Cloud Services (クラシック) デプロイ モデル を廃止するという最近の発表により、次のDefender for Cloud推奨事項とその関連ポリシーが非推奨になりました。
| Recommendation | Description | Severity |
|---|---|---|
| 管理証明書の代わりにサブスクリプションを保護するために、サービス プリンシパルを使用する必要がある | 管理証明書を使用すると、それを使用して認証するすべてのユーザーが、証明書に関連付けられているサブスクリプションを管理できます。 サブスクリプションをより安全に管理するには、証明書が侵害された場合に発破半径を制限するために、Resource Managerでサービス プリンシパルを使用することをお勧めします。 これによってリソース管理も自動化されます。 (関連ポリシー:サブスクリプションを保護するために、管理証明書の代わりにサービス プリンシパルを使用する必要がある) |
Medium |
詳細情報:
- Cloud Services (クラシック) のデプロイ モデルが 2024 年 8 月 31 日に廃止される
Azure Cloud Services (クラシック) - RDFE ワークフローの基本を含む Microsoft Azure クラシック VM アーキテクチャのワークフロー
ISO 27001 のレガシ実装が新しい ISO 27001:2013 イニシアチブに置き換えられました
ISO 27001 のレガシ実装は、Defender for Cloudの規制コンプライアンス ダッシュボードから削除されました。 Defender for Cloudに対する ISO 27001 準拠を追跡している場合は、関連するすべての管理グループまたはサブスクリプションに対して新しい ISO 27001:2013 標準をオンボードします。
非推奨のMicrosoft Defender for IoTデバイスの推奨事項
Microsoft Defender for IoTデバイスの推奨事項は、Microsoft Defender for Cloudに表示されなくなります。 これらの推奨事項は、Microsoft Defender for IoTの [推奨事項] ページで引き続き使用できます。
次の推奨事項は非推奨です。
| 評価キー | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT デバイス | デバイスで開いているポート |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT デバイス | 入力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT デバイス | いずれかのチェーンに、制限の緩すぎるファイアウォール ポリシーが見つかりました |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT デバイス | 出力チェーンで制限の少なすぎるファイアウォール ルールが見つかりました |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT デバイス | オペレーティング システム (OS) のベースライン検証の失敗 |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT デバイス | エージェントで低使用率のメッセージが送信されている |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT デバイス | TLS 暗号スイートのアップグレードが必要です |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT デバイス |
Auditd プロセスがイベントの送信を停止しました |
非推奨のMicrosoft Defender for IoTデバイス アラート
Microsoftの IoT デバイス アラートのDefenderはすべて、Microsoft Defender for Cloudに表示されなくなります。 これらのアラートは、Microsoft Defender for IoTの [アラート] ページと Microsoft Sentinel で引き続き使用できます。
一般提供 (GA) のためにリリースされた AWS と GCP の体制管理と脅威の防止
Defender for Cloudの CSPM 機能は、AWS と GCP のリソースに拡張されます。 このエージェントレス プランでは、セキュリティ スコアに含まれているクラウド固有のセキュリティの推奨事項に従ってマルチクラウド リソースを評価します。 これらのリソースは、組み込み標準を使用してコンプライアンスが評価されます。 Defender for Cloudの資産インベントリ ページは、Azureリソースと共に AWS リソースを管理できるマルチクラウド対応の機能です。
Microsoft Defender for Servers は、AWS と GCP のコンピューティング インスタンスに脅威の検出と高度な防御を提供します。 Defender for Servers プランには、Microsoft Defender for Endpoint、脆弱性評価スキャンなどの統合ライセンスが含まれています。 すべての仮想マシンとサーバーでサポートされている機能を参照してください。 自動オンボーディング機能を使用すると、ご利用の環境で検出された既存の、または新しいコンピューティング インスタンスを簡単に接続できます。
AWS 環境とGCP 組織を保護し、Microsoft Defender for Cloudに接続する方法について説明します。
ACR のWindows イメージのレジストリ スキャンによって、国内クラウドのサポートが追加されました
Windowsイメージのレジストリ スキャンが、21Vianet によって動作するAzure GovernmentおよびMicrosoft Azureでサポートされるようになりました。 この追加は、現在プレビュー段階です。
機能の可用性の詳細を確認してください。
2022 年 2 月
2 月の更新プログラムには次のものが含まれます。
- Arc 対応 Kubernetes クラスターの Kubernetes ワークロード保護
- GCP のネイティブ CSPM と GCP コンピューティング インスタンスの脅威に対する保護
- Microsoft Defenderプレビュー向けにリリースされたAzure Cosmos DBプラン
- Google Kubernetes Engine (GKE) クラスターの脅威保護
Arc 対応 Kubernetes クラスターの Kubernetes ワークロード保護
Defender for Containers は、以前は、Azure Kubernetes Serviceで実行されている Kubernetes ワークロードのみを保護しました。 保護対象範囲を拡張して、Azure Arc対応 Kubernetes クラスターを含めるようになりました。
AKS および有効な Kubernetes クラスターに対して> Kubernetes ワークロード保護を
GCP のネイティブ CSPM と GCP コンピューティング インスタンスの脅威に対する保護
GCP 環境の新しい自動オンボーディングにより、Microsoft Defender for Cloudを使用して GCP ワークロードを保護できます。 Defender for Cloudは、次のプランでリソースを保護します。
Defender for Cloud の CSPM 機能は、GCP リソースにまで及びます。 このエージェントレス プランでは、Defender for Cloudで提供されている GCP 固有のセキュリティに関する推奨事項に従って GCP リソースを評価します。 GCP の推奨情報はセキュア スコアに含まれており、組み込みの GCP CIS 標準と照らして、リソースの遵守状況が評価されます。 Defender for Cloudの資産インベントリ ページは、Azure、AWS、GCP 全体でリソースを管理するのに役立つマルチクラウド対応の機能です。
Microsoft Defender for Servers は、脅威の検出と高度な防御を GCP コンピューティング インスタンスに提供します。 このプランには、Microsoft Defender for Endpoint、脆弱性評価スキャンなどの統合ライセンスが含まれています。
使用できる機能を網羅した一覧については、「仮想マシンとサーバーでサポートされている機能」を参照してください。 自動オンボーディング機能を使用すると、ご利用の環境で検出された既存の、および新しいコンピューティング インスタンスを簡単に接続できます。
Microsoft Defender for Cloudを使用して GCP プロジェクトを保護し><する方法について説明します。
プレビュー用にリリースされたAzure Cosmos DBプランのMicrosoft Defender
Microsoft Defender for Cloudのデータベース カバレッジが拡張されました。 Azure Cosmos DB データベースの保護を有効にできるようになりました。
Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出する、Azureネイティブのセキュリティ層です。 Azure Cosmos DBのMicrosoft Defenderは、潜在的な SQL インジェクション、Microsoft脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、および侵害された ID や悪意のある内部関係者によるデータベースの潜在的な悪用を検出します。
Azure Cosmos DB サービスによって生成された顧客データ ストリームを継続的に分析します。
悪意のある可能性のあるアクティビティが検出されると、セキュリティ アラートが生成されます。 これらのアラートは、疑わしいアクティビティの詳細と、関連する調査手順、修復アクション、およびセキュリティに関する推奨事項と共に、Microsoft Defender for Cloudに表示されます。
Azure Cosmos DBのDefenderはAzure Cosmos DB アカウント データにアクセスしないため、サービスを有効にしてもデータベースのパフォーマンスに影響はありません。
詳細については、
また、データベース セキュリティの新しい有効化エクスペリエンスも導入しています。 サブスクリプションでMicrosoft Defender for Cloud保護を有効にして、Azure Cosmos DB、Azure SQL Database、コンピューター上のAzure SQL サーバー、Microsoft Defenderなど、すべてのデータベースの種類を保護できるようになりました。オープン ソース リレーショナル データベースの場合は、1 つの有効化プロセスを使用します。 プランを構成することで、特定のリソースの種類を含めたり、除外したりすることができます。
サブスクリプション レベルでデータベース セキュリティを有効にする方法を確認してください。
Google Kubernetes Engine (GKE) クラスターの脅威保護
最近の発表GCP 用の CSPM と GCP コンピューティング インスタンスの脅威保護に続いて、コンテナーのMicrosoft Defenderは、Kubernetes 脅威保護、行動分析、および組み込みのアドミッション制御ポリシーを Google の Kubernetes Engine (GKE) Standard クラスターに拡張しました。 自動オンボード機能を使用すると、既存または新規の GKE Standard クラスターを簡単に環境にオンボードできます。 使用可能な機能の完全な一覧については、container security with Microsoft Defender for Cloud をご覧ください。
2022 年 1 月
1 月の更新プログラムには次のものが含まれます。
Microsoft Defenderは、新しいアラートで更新Resource Managerし、MITRE ATT& にマップされるリスクの高い操作に重点を置いていますCK® マトリックス ワークスペース上のMicrosoft Defender (プレビュー段階) エージェント Log AnalyticsをAzure Arc対応マシン (プレビュー) - SQL データベースで機密データを分類するための推奨事項が非推奨になった
- 疑わしいドメインとの通信アラートが、既知の Log4Shell 関連ドメインを含むように拡張された
- [セキュリティ アラートの詳細] ウィンドウに [アラート JSON のコピー] ボタンが追加された
- 2 つの推奨事項の名前が変更された
- Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要があることが非推奨になった
- [アクティブなアラート] ブックが追加された
- 政府機関向けクラウドに追加された "システム更新プログラム" 推奨事項
Resource ManagerのMicrosoft Defenderが新しいアラートで更新され、MITRE ATT& にマップされるリスクの高い操作に重点が置かれていますCK® マトリックス
このクラウド管理レイヤーは、すべてのクラウド リソースに接続される非常に重要なサービスです。 それだけに攻撃者の標的になるリスクもはらんでいます。 セキュリティ運用チームでリソース管理レイヤーを厳しく監視することをお勧めします。
Resource ManagerのMicrosoft Defenderは、Azure ポータル、Azure REST API、Azure CLI、またはその他のAzureプログラム クライアントを使用して実行されるかどうかに関係なく、組織内のリソース管理操作を自動的に監視します。 Defender for Cloud高度なセキュリティ分析を実行して、疑わしいアクティビティに関する脅威とアラートを検出します。
この計画の保護により、脅威アクターからの攻撃に対する組織の回復性が大幅に強化され、Defender for Cloudによって保護されるAzureリソースの数が大幅に増加します。
2020 年 12 月に、Resource ManagerのDefenderのプレビューが導入され、2021 年 5 月に一般公開の計画がリリースされました。
この更新プログラムでは、Resource Manager計画のMicrosoft Defenderの焦点を包括的に改訂しました。 更新されたプランには、リスクの高い操作の疑わしい呼び出しの特定に重点を置いた新しいアラートが多数含まれています。 これらの新しいアラートは、クラウドベースの手法のための 完全なMITRE ATT&CK® マトリックス全体の攻撃を広範に監視します。
このマトリックスでは、組織のリソースを対象としている可能性がある脅威アクターの潜在的な意図の範囲について説明します。 Initial Access、Execution、Persistence、Privilege Escalation、Defense Evasion、Credential Access、Discovery、Lateral Movement、Collection、Exfiltration、Impact。
このDefenderプランの新しいアラートでは、次の表に示すように、これらの意図について説明します。
Tip
これらのアラートは、アラートのリファレンス ページにも表示されます。
| アラート (アラートの種類) | Description | MITRE の方針 (意図) | Severity |
|---|---|---|---|
|
高リスクの "初期アクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.InitialAccess) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、制限されたリソースへのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の制限されたリソースへの初期アクセスを取得する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 初期アクセス | Medium |
|
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (高リスクの "実行" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Execution) |
Resource ManagerのMicrosoft Defenderは、サブスクリプション内のマシンで危険度の高い操作の疑わしい呼び出しを特定しました。これは、コードの実行試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Execution | Medium |
|
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (高リスクの "永続化" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Persistence) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、永続化を確立しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内で永続化を確立する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Persistence | Medium |
|
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (高リスクの "特権エスカレーション" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.PrivilegeEscalation) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、特権をエスカレートしようとする試みを示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して特権をエスカレートし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 特権エスカレーション | Medium |
|
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (高リスクの "防御回避" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.DefenseEvasion) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、防御を回避しようとする試みを示している可能性があります。 特定された操作は、管理者が環境のセキュリティ体制を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、環境内のリソースを侵害している間に検出されないように、このような操作を利用する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 防御回避 | Medium |
|
高リスクの "資格情報のアクセス" 操作の発動疑いの検出 (プレビュー) (ARM_AnomalousOperation.CredentialAccess) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、資格情報へのアクセスの試行を示している可能性があります。 特定された操作は、管理者が環境に効率的にアクセスできるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 資格情報アクセス | Medium |
|
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (高リスクの "侵入拡大" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.LateralMovement) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、横移動を実行しようとしている可能性があることを示しています。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内の追加のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | 横移動 | Medium |
|
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (高リスクの "データ収集" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Collection) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションで危険度の高い操作の疑わしい呼び出しを特定しました。これは、データの収集の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して、環境内のリソースに関する機密データを収集する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Collection | Medium |
|
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (高リスクの "影響" 操作の発動疑いの検出 (プレビュー)) (ARM_AnomalousOperation.Impact) |
Resource ManagerのMicrosoft Defenderは、サブスクリプションでの危険度の高い操作の疑わしい呼び出しを特定しました。これは、構成変更の試行を示している可能性があります。 特定された操作は、管理者が環境を効率的に管理できるように設計されています。 このアクティビティは正当なものである可能性があります。脅威アクターは、このような操作を利用して制限された資格情報にアクセスし、環境内のリソースを侵害する可能性があります。 これは、アカウントが侵害され、有害な意図を持って使用されていることを示している可能性があります。 | Impact | Medium |
さらに、このプランからこれら 2 つのアラートがプレビューで出されています。
| アラート (アラートの種類) | Description | MITRE の方針 (意図) | Severity |
|---|---|---|---|
| 疑わしい IP アドレスからのAzure Resource Manager操作 (ARM_OperationFromSuspiciousIP) |
脅威インテリジェンス フィードで疑わしいとマークされた IP アドレスからの操作が検出されたResource ManagerのMicrosoft Defender。 | Execution | Medium |
| 不審なプロキシ IP アドレスからのAzure Resource Manager操作 (ARM_OperationFromSuspiciousProxyIP) |
Resource ManagerのMicrosoft Defenderは、TOR などのプロキシ サービスに関連付けられている IP アドレスからのリソース管理操作を検出しました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 | 防御回避 | Medium |
ワークスペースでMicrosoft Defenderプランを有効にするための推奨事項 (プレビュー段階)
これらのプランのいずれかが有効な状態でマシンがサブスクリプションに入っている場合は、完全な保護に対して請求されます。 ただし、そのマシンがプランを有効 にせずに ワークスペースにレポートしている場合、実際にはそれらの利点は得られません。
これらのプランが有効になっていないワークスペースを強調表示する 2 つの推奨事項が追加されました。それでも、プランが有効になっているサブスクリプションから マシンがレポート されます。
2 つの推奨事項は次のとおりです。どちらも自動修復 ([修正プログラム] アクション) が提供されます。
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender for Servers はワークスペースで有効にする必要があります | サーバーのMicrosoft Defenderは、Windowsおよび Linux マシンの脅威検出と高度な防御を実現します。 このDefenderプランは、サブスクリプションでは有効になっていますが、ワークスペースでは有効になっていません。サーバーのMicrosoft Defenderの完全な機能に対して料金が課金されますが、一部の利点は不足しています。 ワークスペース上のサーバーのMicrosoft Defenderを有効にすると、そのワークスペースに報告されるすべてのマシンは、プランが有効になっていないサブスクリプションに含まれている場合でも、サーバーのMicrosoft Defenderに対して課金Defender。 サブスクリプションでサーバーのMicrosoft Defenderも有効にしない限り、これらのマシンは、Just-In-Time VM アクセス、アダプティブ アプリケーション制御、およびAzure リソースのネットワーク検出を利用できません。 詳細については、サーバーのMicrosoft Defenderの概要を参照してください。 (関連ポリシーはありません) |
Medium |
| マシン上の SQL のMicrosoft Defenderをワークスペースで有効にする必要があります | サーバーのMicrosoft Defenderは、Windowsおよび Linux マシンの脅威検出と高度な防御を実現します。 このDefenderプランは、サブスクリプションでは有効になっていますが、ワークスペースでは有効になっていません。サーバーのMicrosoft Defenderの完全な機能に対して料金が課金されますが、一部の利点は不足しています。 ワークスペース上のサーバーのMicrosoft Defenderを有効にすると、そのワークスペースに報告されるすべてのマシンは、プランが有効になっていないサブスクリプションに含まれている場合でも、サーバーのMicrosoft Defenderに対して課金Defender。 サブスクリプションでサーバーのMicrosoft Defenderも有効にしない限り、これらのマシンは、Just-In-Time VM アクセス、アダプティブ アプリケーション制御、およびAzure リソースのネットワーク検出を利用できません。 詳細については、サーバーのMicrosoft Defenderの概要を参照してください。 (関連ポリシーはありません) |
Medium |
Azure Arc対応マシンへのエージェントLog Analytics自動プロビジョニング (プレビュー)
Defender for Cloudでは、Log Analytics エージェントを使用して、コンピューターからセキュリティ関連のデータを収集します。 エージェントでは、さまざまなセキュリティ関連の構成とイベント ログを読み取り、分析のためにデータをワークスペースにコピーします。
Defender for Cloudの自動プロビジョニング設定には、サポートされている拡張機能の種類 (Log Analytics エージェントを含む) ごとに切り替えがあります。
ハイブリッド クラウド機能をさらに拡張する際に、Azure Arcに接続されているマシンにLog Analytics エージェントを自動プロビジョニングするオプションが追加されました。
他の自動プロビジョニング オプションと同様に、これはサブスクリプション レベルで構成されます。
このオプションを有効にすると、ワークスペースを求めるメッセージが表示されます。
Note
このプレビューでは、Defender for Cloudによって作成された既定のワークスペースを選択することはできません。 Azure Arc対応サーバーで使用可能なセキュリティ機能の完全なセットを確実に受け取るために、選択したワークスペースに関連するセキュリティ ソリューションがインストールされていることを確認します。
SQL データベースで機密データを分類するための推奨事項が非推奨になった
クラウド リソース<機密性の高い日付を識別して保護する方法の見直しの一環として<> SQL データベースのセンシティブ データ
この変更の事前通知は、
疑わしいドメインとの通信アラートが、既知の Log4Shell 関連ドメインを含むように拡張された
次のアラートは、以前は DNS プランに対して
この更新プログラムでは、Microsoft Defender for Servers または App Service プランの Defender プランが有効になっているサブスクリプションについてもアラートが表示されます。
さらに、Microsoft脅威インテリジェンスは、既知の悪意のあるドメインの一覧を拡張し、Log4j に関連する広く公開されている脆弱性の悪用に関連するドメインを含めます。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
Communication with suspicious domain identified by threat intelligence (脅威インテリジェンスによって識別された疑わしいドメインとの通信) (AzureDNS_ThreatIntelSuspectDomain) |
お使いのリソースからの DNS トランザクションを分析し、脅威インテリジェンス フィードによって識別された既知の悪意のあるドメインと比較することによって、不審なドメインとの通信が検出されました。 悪意のあるドメインへの通信が攻撃者によって頻繁に実行されており、リソースが侵害されている可能性があります。 | 初期アクセス/永続化/実行/コマンド アンド コントロール/悪用 | Medium |
[セキュリティ アラートの詳細] ウィンドウに [アラート JSON のコピー] ボタンが追加された
ユーザーが他のユーザー (SOC アナリスト、リソース所有者、開発者など) とアラートの詳細をすばやく共有できるように、[セキュリティ アラートの詳細] ウィンドウから 1 つのボタンで特定のアラートの詳細すべてを簡単に抽出する機能を追加しました。
新しい Copy アラート JSON ボタンは、アラートの詳細を JSON 形式でユーザーのクリップボードに格納します。
![アラートの結果ペインにある [アラート JSON のコピー] ボタンのスクリーンショット。](media/release-notes/copy-alert-json.png#lightbox)
2 つの推奨事項の名前が変更された
他の推奨事項名との一貫性を保つため、次の 2 つの推奨事項の名前を変更しました。
実行中のコンテナー イメージで検出された脆弱性を解決するための推奨事項
- 以前の名前: 実行中のコンテナー イメージの脆弱性を修復する必要がある (Qualys を利用)
- 新しい名前: 実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある
Azure App Serviceの診断ログを有効にするための推奨事項
- 以前の名前: App Service の診断ログを有効にする必要がある
- 新しい名前: App Service における診断ログを有効にする必要があります
Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要があることが非推奨になった
[Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある] 推奨事項が非推奨になりました。
| ポリシー名 | Description | Effect(s) | Version |
|---|---|---|---|
| Kubernetes クラスター コンテナーは、許可されたポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにコンテナーを制限します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、AKS エンジンとAzure Arc有効な Kubernetes のプレビューです。 詳細については、「kubernetes クラスターのUnderstand Azure Policyを参照してください。 | audit、deny、disabled | 6.1.2 |
アプリケーションがインターネットに公開するポートを制限するには、[サービスは許可されたポートでのみリッスンする必要がある] 推奨事項を使用する必要があります。
[アクティブなアラート] ブックが追加された
ユーザーが自分の環境に対するアクティブな脅威を理解し、修復プロセス中にアクティブなアラート間の優先順位を付けることができるように、[アクティブなアラート] ブックを追加しました。
アクティブなアラート ブックを使用すると、ユーザーは、重大度、種類、タグ、MITRE ATT&CK の戦術、場所別に集計されたアラートの統合ダッシュボードを表示できます。 詳細については、[アクティブなアラート] ブックの使用に関するページを参照してください。
政府機関向けクラウドに追加された "システム更新プログラム" 推奨事項
[システム更新プログラムをマシンにインストールする必要がある] 推奨事項が、すべての政府機関向けクラウドで利用できるようになりました。
この変更は、政府機関向けクラウド サブスクリプションのセキュリティ スコアに影響を与える可能性があります。 この変更によってスコアが低下することが想定されますが、場合によっては、推奨事項が含まれることでスコアが向上する可能性があります。
2021 年 12 月
12 月の更新プログラムには次のものが含まれます。
Microsoft Defender for Containers プランが一般公開 (GA) 一般公開 (GA) ストレージ - ネットワーク層アラートからの 'PortSweeping' アラートの削除
一般提供 (GA) 用にリリースされたコンテナーのMicrosoft Defenderプラン
2 年以上前に、Microsoft Defender for Cloud内のAzure Defender オファリングの一環として、Kubernetes の
Microsoft Defender for Containers のリリースにより、これら 2 つの既存のDefender プランがマージされました。
新しいプラン:
- 既存の 2 つのプランの機能の結合 - Kubernetes クラスターに対する脅威検出と、コンテナー レジストリに保存されたイメージの脆弱性評価
- 新機能および向上した機能の提供 - マルチクラウドのサポート、60 を超える新しい Kubernetes 対応分析があるホスト レベルの脅威検出、実行中のイメージの脆弱性評価など
- 大規模なオンボードでの Kubernetes ネイティブの導入 - 既定では、プランを有効にすると関連するすべてのコンポーネントが自動的にデプロイされるように構成される
このリリースでは、Kubernetes とコンテナー レジストリのDefenderのDefenderの可用性と表示が次のように変更されました。
- 新しいサブスクリプション - 以前の 2 つのコンテナー プランは使用できなくなりました。
- 既存のサブスクリプション - Azure ポータルに表示される場所 プランは
Deprecated として表示され、新しいプラン< コンテナー レジストリの>Defenderと、'Deprecated' と upgrade information.
新しいプランは、2021 年 12 月は無料です。 以前のプランからコンテナーのDefenderへの課金に対する潜在的な変更、およびこのプランで導入された利点の詳細については、「コンテナーのMicrosoft Defenderの概要を参照してください。
詳細については、次のトピックを参照してください。
- コンテナーのMicrosoft Defenderの概要
- コンテナーのMicrosoft Defenderを有効にします
- コンテナーのMicrosoft Defenderの概要 - Microsoft Tech Community
- Microsoft Defender for Containers |フィールド #3 のDefender for Cloud - YouTube
一般公開 (GA) 用にリリースされたストレージのMicrosoft Defenderに関する新しいアラート
脅威アクターは、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、ツールやスクリプトを使って一般に公開されているコンテナーをスキャンします。
Microsoft Defender for Storage は、これらのスキャナーを検出して、スキャナーをブロックして姿勢を修復できるようにします。
これを検出したプレビュー アラートは、 "パブリック ストレージ コンテナーの匿名スキャン"と呼ばれます。 検出された疑わしいイベントをより明確にするために、これを 2 つの 新しいアラートに分割しました。 これらのアラートは、Azure Blob Storageにのみ関連します。
検出ロジックを改善し、アラート メタデータを更新し、アラート名とアラートの種類を変更しました。
新しいアラートは次のとおりです。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーの検出に成功しました) (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
スキャン スクリプトまたはツールによって、ストレージ アカウント内の公開されているストレージ コンテナーの検出が過去 1 時間に実行され、検出に成功しました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Publicly accessible storage containers successfully discovered (パブリックにアクセス可能なストレージ コンテナーのスキャンに失敗しました) (Storage.Blob_OpenContainersScanning.FailedAttempt) |
公開されているストレージ コンテナーのスキャンに失敗した一連の試行が過去 1 時間に実行されました。 通常、これは偵察攻撃を示しています。この攻撃では、脅威アクターが、正しく構成されていない、機密データを含む公開されているストレージ コンテナーを見つけることを期待して、コンテナー名を推測して BLOB をリストアップしようとします。 脅威アクターは、独自のスクリプトを使用するか、Microburst などの既知のスキャン ツールを使用して、パブリックに開いているコンテナーをスキャンできます。 ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
詳細については、次のトピックを参照してください。
ストレージのMicrosoft Defenderに関するアラートの機能強化
初期のアクセス アラートの精度が向上し、調査をサポートするデータが多く追加されました。
脅威アクターは、初期アクセスでさまざまな手法を用いて、ネットワーク内の足がかりを得ようとします。 この段階で動作の異常を検出する storage アラートの 2 つの
過去にこれらのアラートに 対して自動化を構成 したか 、アラート抑制ルール を定義した場合は、これらの変更に従ってそれらを更新します。
Tor 出口ノードからの検出アクセス
Tor 出口ノードからのアクセスは、脅威アクターが自分の ID を隠そうとしていることを示している可能性があります。
このアラートは、認証されたアクセスに対してのみ生成されるように調整されており、その結果、アクティビティが悪意のあるものであることを示す精度と信頼性が向上しています。 この機能強化により、偽陽性となる割合が低下します。
突出したパターンには高い重要度レベルが適用され、より異常性の少ないパターンには中程度の重要度レベルが適用されます。
アラート名と説明が更新されました。 AlertType は変更されません。
- アラート名 (旧): Tor 出口ノードからストレージ アカウントへのアクセス
- アラート名 (新): Tor 出口ノードからの認証済みアクセス
- アラートの種類: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- 説明: ストレージ アカウント内の 1 つ以上のストレージ コンテナーまたはファイル共有が、Tor (匿名化プロキシ) のアクティブな出口ノードであることがわかっている IP アドレスからアクセスされました。 脅威アクターは Tor を使用して、アクティビティを追跡することを困難にしています。 Tor 出口ノードからの認証済みアクセスは、脅威アクターが身元を隠そうとしていることを示している可能性があります。 適用対象: Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
- MITRE 戦術: 初期アクセス
- 重大度: 高/中
通常とは異なる認証されていないアクセス
アクセス パターンの変更は、脅威アクターがアクセス構成の間違いを悪用するか、アクセス許可を変更することによって、ストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。
この重大度レベル「中」のアラートは、動作ロジックの改善、精度の向上、アクティビティが悪意のあるものであるという信頼度により調整されました。 この機能強化により、偽陽性となる割合が低下します。
アラート名と説明が更新されました。 AlertType は変更されません。
- アラート名 (旧): ストレージ アカウントに対する匿名アクセス
- アラート名 (新): ストレージ コンテナーへの通常とは異なる認証されていないアクセス
- アラートの種類: Storage.Blob_AnonymousAccessAnomaly
- 説明: このストレージ アカウントは認証なしでアクセスされました。これは、一般的なアクセス パターンの変化です。 通常、このコンテナーへの読み取りアクセスは認証されます。 これは、脅威アクターがこのストレージ アカウント内のストレージ コンテナーへのパブリック読み取りアクセスを悪用できたことを示している可能性があります。 適用対象: Azure Blob Storage
- MITRE 戦術: コレクション
- 重大度: 中
詳細については、次のトピックを参照してください。
ネットワーク層アラートからの 'PortSweeping' アラートの削除
以下のアラートは、非効率性により、ネットワーク層アラートから削除されました。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
Possible outgoing port scanning activity detected (送信ポートのスキャン アクティビティの可能性が検出されました) (PortSweeping) |
ネットワーク トラフィック分析で、%{Compromised Host} からの疑わしい送信トラフィックが検出されました。 このトラフィックは、ポート スキャン アクティビティの結果である可能性があります。 侵害されたリソースがロード バランサーまたはアプリケーション ゲートウェイである場合、疑わしい送信トラフィックは、(ロード バランサーまたはアプリケーション ゲートウェイの) バックエンド プール内の 1 つ以上のリソースから送信されています。 この動作が意図的な場合、ポート スキャンの実行はサービス利用規約Azure反することに注意してください。 この動作が意図しない場合は、リソースが侵害されたことを意味する可能性があります。 | Discovery | Medium |
2021 年 11 月
この Ignite リリースには次のものが含まれます。
Azure Security CenterとAzure DefenderがMicrosoft Defender for Cloud - AWS 向けの CSPM、Amazon EKS 向けの脅威の防止、および AWS EC2
データの機密度 (Microsoft Purviewを利用) (プレビュー段階) によってセキュリティ アクションを セキュリティ ベンチマーク v3 Microsoft Sentinelコネクタのオプションの双方向アラート同期が一般提供 (GA) Azure Kubernetes Service (AKS) ログを Microsoft Sentinel - 一般公開 (GA) のためにリリースされた MITRE ATT&CK® フレームワークにマップされた推奨事項
11 月のその他の変更点は次のとおりです。
Microsoft脅威と脆弱性の管理が脆弱性評価ソリューションとして追加されました - 一般公開 (GA) Microsoft Defender for Endpoint for Linux が Microsoft Defender for Servers でサポートされるようになりました - 一般公開 (GA) - 推奨事項とセキュリティの調査結果に関するスナップショットのエクスポート (プレビュー)
- 一般公開 (GA) のためにリリースされた脆弱性評価ソリューションの自動プロビジョニング
- 一般公開 (GA) のためにリリースされた資産インベントリのソフトウェア インベントリ フィルター
- 既定のイニシアティブに追加された新しい AKS セキュリティ ポリシー - プレビュー
- オンプレミスのマシンのインベントリ表示で、リソース名に別のテンプレートが適用されます
Azure Security CenterとAzure DefenderがMicrosoft Defender for Cloudになる
2021 年のクラウドの状態レポートによれば、組織の 92% はマルチクラウド戦略を持つようになりました。 Microsoftでは、環境全体でセキュリティを一元化し、セキュリティ チームがより効果的に作業できるようにすることを目標としています。
Microsoft Defender for Cloud は、クラウドセキュリティ体制管理 (CSPM) およびクラウド ワークロード保護プラットフォーム (CWPP) ソリューションであり、クラウド構成全体の弱点を検出し、環境の全体的なセキュリティ体制を強化し、マルチクラウドとハイブリッド環境全体のワークロードを保護するのに役立ちます。
Ignite 2019では、デジタル資産をセキュリティで保護し、Microsoft Defenderブランドの下でXDR技術を統合するための最も完全なアプローチを作成するビジョンを共有しました。
AWS 向けの CSPM、Amazon EKS 向けの脅威の防止、および AWS EC2
新しい 環境設定 ページでは、管理グループ、サブスクリプション、AWS アカウントの可視性と制御が向上します。 このページは、AWS アカウントを大規模にオンボードするように設計されています。AWS 管理アカウントを接続すると、既存のアカウントと将来のアカウントが自動的にオンボードされます。
![新しい [環境設定] ページを使用して、AWS アカウントを接続します。](media/release-notes/add-aws-account.png)
AWS アカウントを追加すると、Defender for Cloudは次のプランのいずれかまたはすべてを使用して AWS リソースを保護します。
- Defender for Cloudの CSPM 機能は AWS リソースに拡張されます。 このエージェントレス プランでは、AWS 固有のセキュリティの推奨事項に従って AWS リソースを評価します。これは、セキュリティ スコアに含まれています。 これらのリソースは、AWS (AWS CIS、AWS PCI DSS、および AWS の基本的なセキュリティのベスト プラクティス) に固有の組み込み標準に準拠しているかについても評価されます。 Defender for Cloudの asset inventory page は、Azure リソースと共に AWS リソースを管理するのに役立つマルチクラウド対応の機能です。
- KubernetesMicrosoft Defender>は、コンテナーの脅威検出と高度な防御を
Linux EKS Linux クラスター まで拡張します。 - Microsoft Defender for Servers は、脅威の検出と高度な防御をWindowsおよび Linux EC2 インスタンスに提供します。 このプランには、Microsoft Defender for Endpoint、セキュリティ ベースラインと OS レベルの評価、脆弱性評価スキャン、適応型アプリケーション制御 (AAC)、ファイル整合性監視 (FIM) などの統合ライセンスが含まれています。
aws アカウントを Microsoft Defender for Cloud に接続する
データの機密性 (Microsoft Purviewを利用) によるセキュリティ アクションの優先順位付け (プレビュー段階)
データ リソースは、依然として脅威アクターによく狙われるターゲットです。 そのため、セキュリティ チームが、クラウド環境全体で機密のデータ リソースを識別し、優先順位付けして、セキュリティ保護することが重要です。
この課題に対処するために、Microsoft Defender for Cloudは Microsoft Purview からの秘密度情報を統合するようになりました。 Microsoft Purviewは、マルチクラウドとオンプレミスのワークロード内のデータの機密性に関する豊富な分析情報を提供する統合データ ガバナンス サービスです。
Microsoft Purviewとの統合により、インフラストラクチャ レベルからデータまで、Defender for Cloudのセキュリティの可視性が向上し、セキュリティ チームのリソースとセキュリティ アクティビティに優先順位を付けるまったく新しい方法が可能になります。
詳細については、「データの機密性に応じた、セキュリティ アクションの優先順位付け」を参照してください。
Azure セキュリティ ベンチマーク v3 を使用したセキュリティ制御評価の拡張
Defender for Cloudのセキュリティに関する推奨事項は、Azure セキュリティ ベンチマークでサポートされています。
Azureセキュリティ ベンチマークは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するMicrosoft作成されたAzure固有のガイドラインセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の統制に基づいています。
Ignite 2021 から、Azure セキュリティ ベンチマーク v3 は、Defender for Cloud の規制コンプライアンス ダッシュボード で使用でき、Microsoft Defender for Cloud で保護されているすべてのAzure サブスクリプションの新しい既定のイニシアチブとして有効になります。
V3 には以下の機能強化があります。
v3.2.1 とCIS Controls v8PCI-DSS 業界フレームワークへの追加マッピング。
次の機能の導入によるコントロールのより詳細で実用的なガイダンス:
- セキュリティ原則 - 推奨事項の基盤を構築する全体的なセキュリティ目標に関する分析情報を提供します。
- Azure ガイダンス - これらの目標を達成するための技術的な "ハウツー" です。
新しい制御には、脅威モデリングやソフトウェア サプライ チェーンのセキュリティなどの問題に対する DevOps セキュリティ、Azureのベスト プラクティスのためのキーと証明書の管理が含まれます。
詳細については、セキュリティ ベンチマークのAzureに関するページを参照してください。
Microsoft Sentinel コネクタのオプションの双方向アラート同期が一般公開 (GA) 用にリリースされました
7 月、
Microsoft Defender for CloudをMicrosoft Sentinelに接続すると、セキュリティ アラートの状態が 2 つのサービス間で同期されます。 そのため、たとえば、アラートがDefender for Cloudで閉じられた場合、そのアラートはMicrosoft Sentinelで閉じられた状態で表示されます。 Defender for Cloudでアラートの状態を変更しても、同期されたMicrosoft Sentinelアラートを含む Microsoft Sentinel incidents の状態には影響しません。同期されたアラート自体の状態にのみ影響します。
詳細については、「Connect Azure Defender alerts from Azure Security Center および Stream alerts to Microsoft Sentinel を参照してください。
Azure Kubernetes Service (AKS) ログをMicrosoft Sentinelにプッシュするための新しい推奨事項
Defender for CloudとMicrosoft Sentinelの組み合わせの値をさらに強化するために、ログ データをMicrosoft Sentinelに送信していないAzure Kubernetes Serviceインスタンスを強調表示します。
SecOps チームは、推奨事項の詳細ページから直接関連するMicrosoft Sentinel ワークスペースを選択し、直接生ログのストリーミングを有効にすることができます。 この 2 つの製品間をシームレスに接続することで、セキュリティ チームは、ワークロード全体をカバーする完全なログ記録を確実に実行し、環境全体を容易に把握できるようになります。
新しい推奨事項である "Kubernetes サービスの診断ログを有効にする必要がある" には、修復を高速化するための [修正] オプションが含まれています。
また、同じMicrosoft Sentinelストリーミング機能を使用して、"SQL Server での監査を有効にする必要があります" という推奨事項も強化しました。
一般公開 (GA) のためにリリースされた MITRE ATT&CK® フレームワークにマップされた推奨事項
MITRE ATT& の位置を示すために、Defender for Cloudのセキュリティに関する推奨事項が強化されましたCK® フレームワーク。 実際の観察に基づいた脅威アクターの戦術と手法に関するこのグローバルにアクセス可能な知識ベースは、環境に対する推奨事項に関連するリスクを理解するのに役立つ多くのコンテキストを提供します。
これらの戦術は、推奨情報にアクセスするすべての場所で確認できます。
Azure Resource Graphクエリの結果 関連する推奨事項には、MITRE ATT&が含まれます。CK®の戦術とテクニック。 推奨事項の詳細ページには、関連するすべての推奨事項のマッピングが表示されます。
Defender for Cloud の推奨事項ページには、関連する戦術に従って推奨事項を選択するための新しい
フィルターが追加されています。
詳しくは、セキュリティの推奨事項を確認するを参照してください。
Microsoft脅威と脆弱性の管理が脆弱性評価ソリューションとして追加されました - 一般公開 (GA) 用にリリース
10 月、Microsoft Defender for Servers と Microsoft Defender for Endpoint の統合に関する拡張機能が発表されました。Microsoft脅威と脆弱性の管理。 今回、それが一般提供 (GA) リリースとなりました。
セキュリティに関する推奨事項の [A vulnerability assessment solution should be enabled on your virtual machines](脆弱性評価ソリューションを仮想マシンで有効にする必要がある) を使用して、脅威と脆弱性の管理によって検出されたサポート対象マシンの脆弱性を表示します。
既存および新規のマシンで、手動で推奨事項を修正することなく、自動的に脆弱性を表示するには、「脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー段階)」を参照してください。
詳細については、Microsoft Defender for Endpointの脅威と脆弱性の管理に関するページを参照してください。
Microsoft Defender for Servers で linux 用のMicrosoft Defender for Endpointがサポートされるようになりました - 一般公開 (GA) 用にリリース
8 月、 サポートされている Linux マシンに Defender for Endpoint for Linux センサーをデプロイするためのプレビュー サポートが発表されました。 今回、それが一般提供 (GA) リリースとなりました。
Microsoft Defender for Servers には、Microsoft Defender for Endpoint の統合ライセンスが含まれています。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。
エンドポイントDefenderが脅威を検出すると、アラートがトリガーされます。 アラートはDefender for Cloudに表示されます。 Defender for Cloudから、エンドポイント コンソールのDefenderにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。
詳細については、「 Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint。
推奨事項とセキュリティの調査結果に関するスナップショットのエクスポート (プレビュー)
Defender for Cloudでは、詳細なセキュリティ アラートと推奨事項が生成されます。 これらは、ポータル内またはプログラム ツールで表示できます。 場合によっては、環境内の他の監視ツールでの追跡のために、この情報の一部または全部をエクスポートする必要があります。
Defender for Cloudの連続エクスポート機能を使用すると、whatをエクスポートし、場所を完全にカスタマイズできます。 詳細については、データのMicrosoft Defender for Cloudエクスポートに関するページを参照してください。
この機能は 継続的と呼ばれますが、週単位のスナップショットをエクスポートするオプションもあります。 これまでは、これらの週単位のスナップショットは、セキュリティで保護されたスコアと規制コンプライアンス データに制限されていました。 推奨事項とセキュリティの結果をエクスポートする機能を追加しました。
一般公開 (GA) のためにリリースされた脆弱性評価ソリューションの自動プロビジョニング
10月、脆弱性評価ソリューションがDefender for Cloudの自動プロビジョニング ページに追加されたことを発表しました。 これは、Azure Defender for Servers で保護されているサブスクリプション上のAzure仮想マシンとAzure Arc マシンに関連します。 今回、それが一般提供 (GA) リリースとなりました。
Microsoft Defender for Endpoint統合>が有効になっている場合、Defender for Cloudは脆弱性評価ソリューションの選択肢を提示します。
- (
NEW )Microsoft Defender for EndpointのMicrosoft脅威と脆弱性管理モジュール (リリース ノート ) - 統合された Qualys エージェント
選択したソリューションは、サポート対象のマシン上で自動的に有効になります。
詳細については、「マシンの脆弱性評価を自動的に構成する」を参照してください。
一般公開 (GA) のためにリリースされた資産インベントリのソフトウェア インベントリ フィルター
10 月には、特定のソフトウェアを実行しているマシンを選択し、対象のバージョンを指定する資産インベントリ ページの新しいフィルターを発表しました。 今回、それが一般提供 (GA) リリースとなりました。
ソフトウェア インベントリ データは、Azure Resource Graph Explorer で照会できます。
これらの機能を使用するには、Microsoft Defender for Endpoint で
Azure Resource Graphの Kusto クエリのサンプルなど、詳細については、「ソフトウェア インベントリへのアクセスを参照してください。
既定のイニシアティブに追加された新しい AKS セキュリティ ポリシー
Kubernetes ワークロードが既定でセキュリティで保護されていることを確認するために、Defender for Cloudには Kubernetes レベルのポリシーと、Kubernetes アドミッション制御を使用した強制オプションなど、強化に関する推奨事項が含まれています。
このプロジェクトの一部として、Kubernetes クラスターでの展開を制御するためのポリシーと推奨事項 (既定では無効) を追加しました。 ポリシーは既定のイニシアチブにありますが、関連するプレビューに登録する組織にのみ関連します。
ポリシーと推奨事項 ("Kubernetes クラスターで、脆弱性のあるイメージのデプロイを制限する必要がある") は無視しても問題はなく、環境には影響しません。
プレビューに参加する場合は、プレビュー リングのメンバーである必要があります。 まだメンバーでない場合は、ここでリクエストを送信 してください。 プレビューが開始されると、メンバーに通知されます。
オンプレミスのマシンのインベントリ表示で、リソース名に別のテンプレートが適用されます
資産インベントリ内のリソースの表示を改善するために、オンプレミスのマシンに名前を付けるためのテンプレートから "source-computer-IP" 要素を削除しました。
-
前の形式:
machine-name_source-computer-id_VMUUID -
この更新プログラムから:
machine-name_VMUUID
2021 年 10 月
10 月の更新プログラムには次のものが含まれます。
- Microsoft脆弱性評価ソリューションとして脅威と脆弱性の管理が追加されました (プレビュー段階)
- 脆弱性評価ソリューションを自動で有効化できるようになりました (プレビュー段階)
- 資産インベントリにソフトウェア インベントリ フィルターが追加されました (プレビュー段階)
- 一部のアラートの種類のプレフィックスを "ARM_" から "VM_" に変更
- Kubernetes クラスターのセキュリティに関する推奨事項のロジックの変更
- 推奨事項の詳細ページに、関連する推奨事項が表示されるようになりました
Kubernetes (プレビュー段階)
Microsoft脅威と脆弱性の管理が脆弱性評価ソリューションとして追加されました (プレビュー段階)
Azure Defender for Servers と Microsoft Defender for Endpoint の統合を拡張し、マシンの新しい脆弱性評価プロバイダー (Microsoft脅威と脆弱性の管理をサポートしました。
セキュリティに関する推奨事項の [A vulnerability assessment solution should be enabled on your virtual machines](脆弱性評価ソリューションを仮想マシンで有効にする必要がある) を使用して、脅威と脆弱性の管理によって検出されたサポート対象マシンの脆弱性を表示します。
既存および新規のマシンで、手動で推奨事項を修正することなく、自動的に脆弱性を表示するには、「脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー段階)」を参照してください。
詳細については、Microsoft Defender for Endpointの脅威と脆弱性の管理に関するページを参照してください。
脆弱性評価ソリューションを自動で有効にできるようになりました (プレビュー)
Security Center の自動プロビジョニング ページには、Azure Defender for Servers で保護されているサブスクリプション上の仮想マシンとAzure Arc マシンをAzureする脆弱性評価ソリューションを自動的に有効にするオプションが含まれるようになりました。
Microsoft Defender for Endpoint統合>が有効になっている場合、Defender for Cloudは脆弱性評価ソリューションの選択肢を提示します。
- (
NEW )Microsoft Defender for EndpointのMicrosoft脅威と脆弱性管理モジュール (リリース ノート ) - 統合された Qualys エージェント
選択したソリューションは、サポート対象のマシン上で自動的に有効になります。
詳細については、「マシンの脆弱性評価を自動的に構成する」を参照してください。
資産インベントリにソフトウェア インベントリ フィルターが追加されました (プレビュー段階)
資産インベントリ ページには、特定のソフトウェアを実行しているマシンを選択するためのフィルターが含まれるようになりました。また、対象のバージョンを指定することもできます。
さらに、Azure Resource Graph Explorer でソフトウェア インベントリ データのクエリを実行できます。
これらの新機能を使用するには、Microsoft Defender for Endpoint で
Azure Resource Graphの Kusto クエリのサンプルなど、詳細については、「ソフトウェア インベントリへのアクセスを参照してください。
一部のアラートの種類のプレフィックスを "ARM_" から "VM_" に変更
2021年7月、Resource ManagerアラートのAzure Defenderの論理的再編成を発表しました
Defenderプランの再編成中に、Resource ManagerAzure Defender から
この更新プログラムでは、次の表に示すように、この再割り当てに一致するようにこれらのアラートのプレフィックスを変更し、"ARM_" を "VM_" に置き換えました。
| 元の名前 | この変更以降 |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Resource Managerの
Kubernetes クラスターのセキュリティに関する推奨事項のロジックの変更
「Kubernetesクラスターはデフォルトの名前空間を使用しないでください」という推奨事項により、さまざまなリソースタイプでデフォルトの名前空間を使用できません。 この推奨事項に含まれる2 つのリソースの種類が削除されました:ConfigMap と Secret。
この推奨事項の詳細と、kubernetes クラスターのUnderstand Azure Policyでの Kubernetes クラスターの強化。
推奨事項の詳細ページに、関連する推奨事項が表示されるようになりました
さまざまな推奨事項間の関係を明確にするために、多くの推奨事項の詳細ページに 関連する推奨事項 領域を追加しました。
これらのページに表示される 3 種類の関係は次のとおりです。
- 前提条件 - 選択した推奨事項の前に完了する必要がある推奨事項
- 代替 - 選択した推奨事項の目標を達成するための別の方法を提供する別の推奨事項
- 依存 - 選択した推奨事項が前提条件である推奨事項
それぞれの関連推奨事項に対して、[影響を受けるリソース] 列に異常なリソースの数が表示されます。
Tip
関連推奨事項が淡色表示されている場合、その依存関係はまだ完了していないため、使用できません。
関連推奨事項の例を次に示します。
脆弱性評価ソリューションがサポートされているか、お使いのコンピューターが Security Center によって確認されます。
脆弱性評価ソリューションを仮想マシンで有効にする必要がある見つかった場合は、検出された脆弱性に関する通知が表示されます。
仮想マシンの脆弱性を修復する必要がある
言うまでもなく、サポートされている脆弱性評価ソリューションが見つからない限り、Security Center では検出された脆弱性を通知できません。
Therefore:
- 推奨事項 #1 は推奨事項 #2 の前提条件となる
- 推奨事項 #2 は推奨事項 #1 に依存する
Kubernetes のAzure Defenderの新しいアラート (プレビュー段階)
Kubernetes のAzure Defenderによって提供される脅威保護を拡張するために、2 つのプレビュー アラートを追加しました。
これらのアラートは、新しい機械学習モデルと Kubernetes の高度な分析に基づいて生成され、クラスター内の以前のアクティビティと、Azure Defenderによって監視されているすべてのクラスターに対して、複数のデプロイとロールの割り当ての属性を測定します。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
|
Anomalous pod deployment (Preview) (異常なポッドのデプロイ (プレビュー)) (K8S_AnomalousPodDeployment) |
Kubernetes 監査ログ分析では、以前のデプロイ アクティビティに基づいて異常なポッドのデプロイが検出されました。 このアクティビティは、デプロイ操作のさまざまな機能が相互にどのように関連しているかを調べると、異常と見なされます。 監視される機能には、使用されるコンテナー イメージ レジストリ、デプロイ アカウント、曜日、このアカウントのデプロイ頻度、使用されるユーザー エージェント、名前空間のデプロイ パターン、およびその他の特性が含まれます。 アラートの拡張プロパティでは、これを異常なアクティビティとして識別する主な原因について詳しく説明します。 | Execution | Medium |
|
Excessive role permissions assigned in Kubernetes cluster (Preview) (Kubernetes クラスターで割り当てられた過剰なロール権限 (プレビュー)) (K8S_ServiceAcountPermissionAnomaly) |
Kubernetes 監査ログの分析で、クラスターへの過剰なアクセス許可ロールの割り当てが検出されました。 ロールの割り当ての調査から判断して、リストされているアクセス許可は、特定のサービス アカウントにとって一般的ではありません。 この検出では、Azureによって監視されるクラスター間で同じサービス アカウントへの以前のロールの割り当て、アクセス許可ごとのボリューム、および特定のアクセス許可の影響が考慮されます。 このアラートに使用される異常検出モデルでは、Azure Defenderによって監視されているすべてのクラスターでこのアクセス許可がどのように使用されるかが考慮されます。 | 特権エスカレーション | Low |
Kubernetes アラートの完全な一覧については、Kubernetes クラスターのアラートに関するセクションをご覧ください。
2021 年 9 月
9 月に、次の更新プログラムがリリースされました。
Azure セキュリティ ベースライン コンプライアンスの OS 構成を監査するための 2 つの新しい推奨事項 (プレビュー段階)
Windows セキュリティ ベースラインと Linux セキュリティ ベースラインに対するマシンのコンプライアンスを評価するために、次の 2 つの推奨事項がリリースされました。
- Windows マシンの場合、 Windows マシンのセキュリティ構成のVulnerabilities を修復する必要があります (ゲスト構成を使用)
- Linux マシンの場合は、Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (ゲスト構成を利用)
これらの推奨事項では、Azure Policyのゲスト構成機能を使用して、コンピューターの OS 構成を、Azure セキュリティ ベンチマークで定義されているベースラインと比較します。
これらの推奨事項を使用する方法の詳細については、ゲスト構成を使用したマシンの OS 構成の強化に関するページをご覧ください。
2021 年 8 月
8 月の更新プログラムには次のものが含まれます。
Microsoft Defender for Endpoint for Linux は、Azure Defender for Servers (プレビュー段階) - エンドポイント保護ソリューションを管理するための 2 つの新しい推奨事項 (プレビュー)
- 一般的な問題を解決するための組み込みのトラブルシューティングとガイダンス
一般公開 (GA) エージェントの正常性に関する問題Log Analytics、マシンの - コンテナー レジストリの
Azure Defenderは、Azure Private Link Security Center で、Azure Policyのゲスト構成拡張機能 (プレビュー段階) - 推奨事項で "強制" がサポートされるようになりました。
- 推奨事項データの CSV エクスポートを 20 MB に制限
- [推奨事項] ページに複数のビューが含まれる
Azure Defender for Servers で Linux 用のMicrosoft Defender for Endpointがサポートされるようになりました (プレビュー段階)
Azure Defender for Servers には、Microsoft Defender for Endpoint の統合ライセンスが含まれています。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。
エンドポイントDefenderが脅威を検出すると、アラートがトリガーされます。 アラートは Security Center に表示されます。 Security Center からエンドポイント コンソールのDefenderにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。
プレビュー期間中は、Defender for Endpoint for Linux センサーを、Windows マシンに既にデプロイしているかどうかに応じて、次の 2 つの方法のいずれかでサポートされている Linux マシンにデプロイします。
Defender for Cloudの強化されたセキュリティ機能を有効にし、Windows - WindowsのMicrosoft Defender for Endpointとの統合を有効にしたことがない新しいユーザー
詳細については、「 Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint。
エンドポイント保護ソリューションを管理するための 2 つの新しい推奨事項 (プレビュー)
マシンにエンドポイント保護ソリューションをデプロイして維持するための 2 つの プレビュー の推奨事項が追加されました。 どちらの推奨事項にも、Azure仮想マシンと、Azure Arc対応サーバーに接続されているマシンのサポートが含まれます。
| Recommendation | Description | Severity |
|---|---|---|
| エンドポイント保護をマシンにインストールする必要がある | 脅威と脆弱性からマシンを保護するには、サポートされているエンドポイント保護ソリューションをインストールします。
マシンのエンドポイント保護を評価する方法の詳細をご覧ください。 (関連ポリシー: Monitor missing Endpoint Protection in Azure Security Center) |
High |
| Endpoint Protection の正常性の問題を、お使いのコンピューターで解決する必要があります | 仮想マシンでエンドポイント保護の正常性の問題を解決して、それらを最新の脅威と脆弱性から保護します。 サポートAzure Security Centerエンドポイント保護ソリューションについては、こちらに記載されています。 エンドポイント保護の評価については、 こちらを参照してください。 (関連ポリシー: Monitor missing Endpoint Protection in Azure Security Center) |
Medium |
Note
推奨事項の更新間隔は 8 時間と表示されますが、シナリオによっては、さらに長くかかる場合があります。 たとえば、オンプレミスのマシンが削除されると、Security Center で削除が識別されるまでに 24 時間かかります。 その後、評価によって情報が返されるまでに最大 8 時間かかります。 そのため、その特定の状況では、影響を受けるリソースの一覧からマシンが削除されるまでに 32 時間かかる場合があります。
一般的な問題を解決するための組み込みのトラブルシューティングとガイダンス
Azure ポータルの Security Center ページの新しい専用領域には、Security Center とAzure Defenderに関する一般的な課題を解決するための、拡大し続けるセルフヘルプ資料のセットが用意されています。
問題が発生している場合、またはサポート チームからのアドバイスを求めている場合には、 [問題の診断と解決] は、ソリューションを探すために役立つもう 1 つのツールです。
![Security Center の [問題の診断と解決] ページ](media/release-notes/solve-problems.png)
規制コンプライアンス ダッシュボードのAzure一般公開 (GA) 用にリリースされた監査レポート
規制コンプライアンス ダッシュボードのツール バーには、サブスクリプションに適用される標準のAzureとDynamics認定レポートが用意されています。
関連するレポートの種類 (PCI、SOC、ISO など) のタブを選択し、フィルターを使用すると、必要なレポートを見つけることができます。
詳細については、コンプライアンス状態レポートと証明書の生成に関するページを参照してください。
非推奨の推奨事項 "Log Analytics エージェントの正常性の問題をマシンで解決する必要があります"
推奨事項 Log Analytics エージェントの正常性の問題は、コンピューターで解決する必要があることがわかりました Security Center のクラウド セキュリティ体制管理 (CSPM) の焦点と矛盾する方法でセキュリティ スコアに影響します。 通常、CSPM はセキュリティ構成の誤りを特定する方法に関連するものです。 エージェントの正常性の問題は、このカテゴリの問題には該当しません。
また、この推奨事項は、Security Center に関連する他のエージェントと比較した場合、特異なものです。これは、正常性の問題に関する推奨事項を持つ唯一のエージェントだからです。
推奨事項は非推奨になりました。
この廃止の結果、Log Analytics エージェント (Log Analytics エージェントのインストールに関する推奨事項も少し変更されました。...)。
この変更は、セキュリティ スコアに影響を与える可能性があります。 ほとんどのサブスクリプションでは、変更によってスコアが上がることが期待できますが、インストールの推奨事項を更新すると、場合によってはスコアが下がる可能性があります。
Tip
また、資産インベントリ ページには、マシンの監視状態 (監視対象、監視されていない状態、または部分的に監視されている状態 - 正常性の問題があるエージェントを参照する状態) が表示されるため、この変更の影響を受けます。
コンテナー レジストリのAzure Defenderで、Azure Private Linkで保護されているレジストリの脆弱性をスキャンするようになりました
コンテナー レジストリのAzure Defenderには、Azure Container Registry レジストリ内のイメージをスキャンする脆弱性スキャナーが含まれています。 レジストリをスキャンし、
Azure Container Registryでホストされているレジストリへのアクセスを制限するには、仮想ネットワークのプライベート IP アドレスをレジストリ エンドポイントに割り当て、
追加の環境とユース ケースをサポートするための継続的な取り組みの一環として、Azure Defenderでは、Azure Private Link で保護されたコンテナー レジストリもスキャンされるようになりました。
Security Center で、Azure Policyのゲスト構成拡張機能を自動プロビジョニングできるようになりました (プレビュー段階)
Azure Policyでは、Azureで実行されているマシンと Arc に接続されたマシンの両方について、コンピューター内の設定を監査できます。 検証は、クライアントとゲスト構成拡張機能によって実行されます。 詳細については、Understand Azure Policy のゲスト構成を参照してください。
この更新プログラムにより、サポートされているすべてのコンピューターにこの拡張機能を自動的にプロビジョニングするように Security Center を設定できるようになりました。
自動プロビジョニングのしくみの詳細については、エージェントと拡張機能の自動プロビジョニングの構成に関する記事を参照してください。
推奨事項で "強制" がサポートされるようになりました
Security Center には、新しく作成されたリソースをセキュリティで保護された方法でプロビジョニングするのに役立つ 2 つの機能 ( 強制 と 拒否) が含まれています。 推奨事項によってこれらのオプションが提供されると、だれかがリソースを作成しようとするとき常に、セキュリティ要件が満たされていることを保証できます。
- Deny は、異常なリソースの作成を停止します
- 非 準拠リソースの作成時に自動的に修復を強制する
この更新プログラムでは、Azure Defender プラン (App Service で
これらのオプションの詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。
推奨事項データの CSV エクスポートを 20 MB に制限
Security Center の推奨事項データをエクスポートする際に 20 MB に制限します。
![推奨事項に関するデータをエクスポートするための Security Center の [CSV レポートのダウンロード] ボタン。](media/upcoming-changes/download-csv-report.png)
大量のデータをエクスポートする必要がある場合は、選択する前に使用可能なフィルターを使用するか、またはサブスクリプションのサブセットを選択してデータをバッチでダウンロードします。
詳細については、セキュリティに関する推奨事項の CSV エクスポートの実行に関するページを参照してください。
[推奨事項] ページに複数のビューが含まれる
[推奨事項] ページに、リソースに関連する推奨事項を別の方法で表示できるように 2 つのタブが用意されました。
- [Secure score recommendations](セキュア スコア推奨事項) - このタブを使用して、セキュリティ コントロール別にグループ化された推奨事項の一覧を表示します。 これらのコントロールの詳細については、「セキュリティ コントロールとその推奨事項」を参照してください。
- すべての推奨事項 - このタブを使用して、推奨事項の一覧をフラット リストとして表示します。 このタブは、推奨事項を生成したイニシアチブ (規制コンプライアンス基準を含む) を理解するのにも役立ちます。 イニシアチブと、推奨事項との関係の詳細については、「セキュリティ ポリシー、イニシアチブ、および推奨事項とは」を参照してください。
2021 年 7 月
7 月の更新プログラムには次のものが含まれます。
Microsoft Sentinel コネクタに、オプションの双方向アラート同期 (プレビュー段階) - Resource ManagerアラートのAzure Defenderの論理的な再編成
Azure Disk Encryption (ADE) - セキュア スコアと規制コンプライアンス データの連続エクスポートを一般提供 (GA) としてリリース
- 規制コンプライアンス評価の変更によるワークフロー自動化のトリガー (GA)
- Assessments API フィールド 'FirstEvaluationDate' および 'StatusChangeDate' がワークスペース スキーマとロジック アプリで使用可能
- 'Compliance over time' workbook template added to Azure Monitor Workbooks gallery
Microsoft Sentinel コネクタにオプションの双方向アラート同期が含まれるようになりました (プレビュー段階)
Security Center は、Azureのクラウドネイティブ SIEM および SOAR ソリューションである Microsoft Sentinel とネイティブに統合されます。
Microsoft Sentinelには、サブスクリプションレベルとテナント レベルでのAzure Security Center用の組み込みコネクタが含まれています。 詳細については、Microsoft Sentinel への
Azure DefenderをMicrosoft Sentinelに接続すると、Microsoft Sentinelに取り込まれるAzure Defenderアラートの状態が 2 つのサービス間で同期されます。 そのため、たとえば、アラートがAzure Defenderで閉じられた場合、そのアラートはMicrosoft Sentinelでも閉じられた状態で表示されます。 Azure Defenderのアラートの状態を変更すると、同期されたMicrosoft Sentinelアラートを含むMicrosoft Sentinel incidentsの状態にのみ影響します。
プレビュー機能 双方向アラート同期 を有効にすると、元のAzure Defenderアラートの状態が、それらのAzure Defenderアラートのコピーを含むMicrosoft Sentinelインシデントと自動的に同期されます。 そのため、たとえば、Azure Defenderアラートを含むMicrosoft Sentinel インシデントが閉じられた場合、Azure Defenderは対応する元のアラートを自動的に閉じます。
詳細については、Azure Security Center からの
Resource ManagerアラートのAzure Defenderの論理的な再編成
以下に示すアラートは、Resource Manager プランの
一部のAzure Defenderプランの論理的な再編成の一環として、いくつかのアラートを Azure Defender for Resource Manager から Azure Defender for Servers に移動しました。
アラートは、次の 2 つの主要原則に従って編成されます。
- 多くのAzure リソースの種類にわたってコントロール プレーン保護を提供するアラートは、Resource ManagerのAzure Defenderの一部です
- 特定のワークロードを保護するアラートは、対応するワークロードに関連するAzure Defenderプランに含まれています
Resource ManagerのAzure Defenderの一部であり、この変更の結果、サーバーのAzure Defenderの一部となったアラートを次に示します。
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Resource Managerの
Azure Disk Encryption (ADE) を有効にするための推奨事項の機能強化
ユーザーからのフィードバックに従い、 [仮想マシンにディスク暗号化を適用する必要がある] という推奨事項の名前を変更しました。
新しい推奨事項には同じ評価 ID が使用され、 [コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある] と呼ばれます。
このセキュリティ強化推奨事項の目的をわかりやすくするために説明も更新しています。
| Recommendation | Description | Severity |
|---|---|---|
| コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある | 既定では、仮想マシンの OS とデータ ディスクは、プラットフォーム マネージド キーを使用して保存時に暗号化されます。一時ディスクとデータ キャッシュは暗号化されません。また、データがコンピューティング リソースとストレージ リソース間でやり取りされる際には暗号化されません。 詳細については、Azure のさまざまなディスク暗号化テクノロジの Azure Disk Encryptionを使用して、このすべてのデータを暗号化します。 この推奨事項は、(1) ホストでの暗号化機能を使用している場合、または (2) Managed Disksでのサーバー側暗号化がセキュリティ要件を満たしている場合は無視してください。 詳細については、Azure Disk Storageのサーバー側暗号化に関するページを参照してください。 |
High |
セキュア スコアと規制コンプライアンス データの連続エクスポートを一般提供 (GA) としてリリース
継続的エクスポート では、環境内の他の監視ツールを使用して追跡するためのセキュリティ アラートと推奨事項をエクスポートするためのメカニズムが提供されます。
連続エクスポートを設定するときに、エクスポートする内容とエクスポート先の場所を構成します。 詳細については、連続エクスポートの概要に関するページを参照してください。
時間経過と共に、この機能の強化および拡張を行っています。
2020 年 11 月に、セキュリティ スコアへの変更をストリーミングするためのプレビュー オプションが追加されました。
2020 年 12 月に、規制コンプライアンス評価データに変更をストリーミングするプレビュー オプションが追加されました。
この更新プログラムでは、これら 2 つのオプションが一般提供 (GA) としてリリースされます。
規制コンプライアンス評価の変更によるワークフロー自動化のトリガー (GA)
2021 年 2 月に、ワークフロー自動化のトリガー オプション (規制コンプライアンス評価の変更) に プレビュー の 3 番目のデータ型が追加されました。 詳細については、「規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能」を参照してください。
この更新プログラムでは、このトリガー オプションが一般提供 (GA) としてリリースされます。
ワークフローの自動化ツールの使い方については、「Security Center のトリガーへの応答を自動化する」を参照してください。
Assessments API フィールド 'FirstEvaluationDate' および 'StatusChangeDate' がワークスペース スキーマとロジック アプリで使用可能
2021 年 5 月に、 FirstEvaluationDate と StatusChangeDate の 2 つの新しいフィールドで Assessment API を更新しました。 詳細については、「Assessments API を 2 つの新しいフィールドで拡張」を参照してください。
これらのフィールドには、REST API、Azure Resource Graph、連続エクスポート、CSV エクスポートを使用してアクセスできます。
この変更により、Log Analytics ワークスペース スキーマとロジック アプリから情報を使用できるようになります。
Azure Monitor ブック ギャラリーに追加された "時間の経過に伴うコンプライアンス" ブック テンプレート
3 月に、Security Center での統合された Azure Monitor Workbooks エクスペリエンスを発表しました (Azure Monitor Security Center に統合されたブックと、3 つのテンプレートが提供を参照)。
最初のリリースには、組織のセキュリティ体制に関して動的レポートとビジュアル レポートを構築するための 3 つのテンプレートが含まれていました。
ここでは、適用される規制または業界標準に関するサブスクリプションのコンプライアンスを追跡する専用のブックを追加しました。
ここに挙げたレポートを使用する方法や、独自のレポートを作成する方法の詳細については、「豊富な機能を備えた対話型の Security Center データ レポートを作成する」を参照してください。
2021 年 6 月
6 月の更新プログラムには次のものが含まれます。
Key Vault - 既定では無効になっているカスタマー マネージド キー (CMK) を使用して暗号化するための推奨事項
- Kubernetes アラートのプレフィックスを "AKS_" から "K8S_" に変更
- "システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
Key VaultのAzure Defenderに関する新しいアラート
Key VaultのAzure Defenderによって提供される脅威保護を拡張するために、次のアラートを追加しました。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
| Access from a suspicious IP address to a key vault (疑わしい IP アドレスからのキー コンテナーへのアクセス) (KV_SuspiciousIPAccess) |
Microsoft脅威インテリジェンスによって疑わしい IP アドレスとして識別された IP によってキー コンテナーに正常にアクセスされました。 これは、インフラストラクチャが侵害されたことを示している可能性があります。 さらに詳しく調査することをお勧めします。 | 資格情報アクセス | Medium |
詳細については、次のトピックを参照してください。
Key Vault - Key VaultアラートのAzure Defenderに応答します
Key Vault
既定では無効になっているカスタマー マネージド キー (CMK) を使用して暗号化するための推奨事項
Security Center には、カスタマー マネージド キーを使用して保存データを暗号化するための次のような複数の推奨事項があります。
- コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります
- Azure Machine Learningワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
Azure内のデータはプラットフォームマネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、組織が適用することを選択している特定のポリシーへの準拠に必要な場合にのみ適用する必要があります。
この変更に伴い、CMK を使用するための推奨事項は、既定では無効になりました。 組織に関連する場合は、対応するセキュリティ ポリシーの Effect パラメーターを AuditIfNotExists または Enforce に変更することで有効にすることができます。 詳細については、「セキュリティの推奨事項を有効にする」を参照してください。
この変更は、次の例で示すように、新しいプレフィックス [必要に応じて有効にする] を使用して推奨事項の名前に反映されています。
- [必要に応じて有効にする] ストレージ アカウントでは、カスタマー マネージド キーを使用して保存データを暗号化する必要がある
- [必要に応じて有効にする] コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- [必要に応じて有効にする]Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります
Kubernetes アラートのプレフィックスを "AKS_" から "K8S_" に変更
Kubernetes のAzure Defenderは最近、オンプレミスおよびマルチクラウド環境でホストされている Kubernetes クラスターを保護するために拡張されました。 詳細については、 Kubernetes のAzure Defenderを使用してハイブリッドおよびマルチクラウドの Kubernetes デプロイを保護する (プレビュー段階)を参照してください。
kubernetes のAzure Defenderによって提供されるセキュリティ アラートがAzure Kubernetes Service上のクラスターに制限されなくなったことを反映するために、アラートの種類のプレフィックスを "AKS_" から "K8S_" に変更しました。必要に応じて、名前と説明も更新されました。 たとえば、このアラートです。
| アラート (アラートの種類) | Description |
|---|---|
| Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました) (AKS_PenTestToolsKubeHunter) |
Kubernetes 監査ログ分析で 、AKS クラスターでの Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 |
このアラートに変更されました。
| アラート (アラートの種類) | Description |
|---|---|
| Kubernetes penetration testing tool detected (Kubernetes 侵入テスト ツールが検出されました) (K8S_PenTestToolsKubeHunter) |
Kubernetes 監査ログ分析で、Kubernetes クラスター内の Kubernetes 侵入テスト ツールの使用が検出されました。 この動作は、正当である可能性もありますが、攻撃者はこのような公開ツールを悪意のある目的で使用する可能性があります。 |
"AKS_" から始まるアラートを参照する抑制ルールは自動的に変換されています。 SIEM エクスポート、またはアラートの種類別に Kubernetes アラートを参照するカスタム自動化スクリプトを設定している場合は、それらを新しいアラートの種類で更新する必要があります。
Kubernetes アラートの完全な一覧については、Kubernetes クラスターのアラートに関するセクションをご覧ください。
"システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
次の 2 つの推奨事項は非推奨になりました。
- OS のバージョンは、クラウド サービス ロールに対して更新する必要があります - 既定では、Azureは、サービス構成 (.cscfg) で指定した OS ファミリ内でサポートされている最新のイメージ (Windows Server 2016 など) にゲスト OS を定期的に更新します。
- Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある - この推奨事項の評価は、目標とする広範囲には及んでいません。 推奨事項は、よりお客様のセキュリティ ニーズに合った強化バージョンに置き換えられる予定です。
2021 年 5 月
5 月の更新プログラムには次のものが含まれます。
Azure Defender一般提供 (GA) Azure Defender一般提供 (GA) Resource Manager - GitHub ワークフローとAzure Defender (プレビュー)CI/CD の脆弱性スキャン>
- 一部の推奨事項に使用できる Resource Graph クエリを増加
- SQL データ分類の推奨事項の重要度を変更
- トラステッド起動機能を有効にするための新しい推奨事項 (プレビュー段階)
- Kubernetes クラスターを強化するための新しい推奨事項 (プレビュー段階)
- Assessments API を 2 つの新しいフィールドで拡張
- 資産インベントリでクラウド環境フィルターを取得
一般公開 (GA) 用にリリースされたResource Managerの DNS とAzure DefenderのAzure Defender
これら 2 つのクラウドネイティブの広範な脅威保護計画が GA になりました。
これらの新しい保護により、脅威アクターからの攻撃に対する回復性が大幅に向上し、Azure Defenderによって保護されるAzureリソースの数が大幅に増加します。
Resource Manager の
Azure Defender - 組織内で実行されたすべてのリソース管理操作を自動的に監視します。 詳細については、次のトピックを参照してください。 Resource Manager - Resource ManagerアラートのAzure Defenderに応答します
Resource Manager
Azure Defender for DNS - Azure リソースからのすべての DNS クエリを継続的に監視します。 詳細については、次のトピックを参照してください。
これらの計画を有効にするプロセスを簡略化するには、次の推奨事項を使用します。
- Resource ManagerのAzure Defenderを有効にする必要があります
- DNS Azure Defenderを有効にする必要があります
Note
Azure Defenderプランを有効にすると、料金が発生します。 Security Center の価格ページで、リージョンごとの価格の詳細について説明 します。
一般提供 (GA) 用にリリースされたオープンソース リレーショナル データベースのAzure Defender
Azure Security Centerでは、オープンソースのリレーショナル データベースをカバーする新しいバンドルを使用して、SQL 保護のオファーを拡張します。
- Azure SQL データベース サーバーのAzure Defender - Azureネイティブ SQL Server を保護します
- マシン上の SQL サーバーのAzure Defender - ハイブリッド環境、マルチクラウド環境、オンプレミス環境の SQL サーバーにも同じ保護を拡張します
- オープン ソース リレーショナル データベースのAzure Defender - mySQL、PostgreSQL、MariaDB の単一サーバーのAzure データベースを保護します
オープンソース リレーショナル データベースのAzure Defenderは、サーバーのセキュリティ上の脅威を常に監視し、Azure Database for MySQL、PostgreSQL、MariaDB に対する潜在的な脅威を示す異常なデータベース アクティビティを検出します。 いくつかの例を次に示します。
- ブルート フォース攻撃の検出 - オープンソース リレーショナル データベースのAzure Defenderは、ブルート フォース攻撃の試行と成功に関する詳細情報を提供します。 これにより、調査を行い、お使いの環境に対する攻撃の性質や状態について理解を深め、対処することができます。
- Behavioral アラート検出 - オープンソース リレーショナル データベースのAzure Defenderは、データベースへのアクセス パターンの変更など、サーバー上で疑わしい動作や予期しない動作を警告します。
- 脅威インテリジェンスベースの検出 - Azure Defenderは、脅威アラートを表示するためにMicrosoftの脅威インテリジェンスと膨大なナレッジ ベースを適用して、それらに対して対処できるようにします。
詳細については、オープンソース リレーショナル データベースのAzure Defenderへの導入に関するページを参照してください。
Resource ManagerのAzure Defenderの新しいアラート
Resource ManagerのAzure Defenderによって提供される脅威保護を拡張するために、次のアラートを追加しました。
| アラート (アラートの種類) | Description | MITRE の戦術 | Severity |
|---|---|---|---|
(ARM_AnomalousRBACRoleAssignment) |
Resource ManagerのAzure Defender、割り当て時間、割り当て先の場所、割り当て先、認証方法、割り当て済みエンティティ、クライアント ソフトウェア、割り当てエクステントなど、同じ割り当て担当者によって実行された他の割り当て/同じ割り当て先/テナント内で実行された他の割り当てと比較すると、異常な RBAC ロールの割り当てが検出されました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、自分が所有する追加のユーザー アカウントにアクセス許可を付与しようとしていることを示している場合もあります。 | 侵入の拡大、防御回避 | Medium |
|
Privileged custom role created for your subscription in a suspicious way (Preview) (不審な方法でサブスクリプション用に作成された特権付きカスタム ロール (プレビュー)) (ARM_PrivilegedRoleDefinitionCreation) |
Resource ManagerのAzure Defenderは、サブスクリプションで特権カスタム ロール定義の疑わしい作成を検出しました。 この操作は、組織内の正当なユーザーによって実行された可能性があります。 または、組織内のアカウントが侵害されたこと、および脅威アクターが、将来検出を回避するために使用する特権ロールを作成しようとしていることを示している場合もあります。 | 侵入の拡大、防御回避 | Low |
(ARM_OperationFromSuspiciousIP) |
脅威インテリジェンス フィードで疑わしいとマークされている IP アドレスからの操作が検出されたResource ManagerのAzure Defender。 | Execution | Medium |
(ARM_OperationFromSuspiciousProxyIP) |
Resource ManagerのAzure Defenderは、TOR などのプロキシ サービスに関連付けられている IP アドレスからのリソース管理操作を検出しました。 この動作は正当である可能性もありますが、悪意のあるアクティビティで脅威アクターがソース IP を隠そうとするときに多く見られます。 | 防御回避 | Medium |
詳細については、次のトピックを参照してください。
Resource Manager - Resource ManagerアラートのAzure Defenderに応答します
Resource Manager
GitHub ワークフローとAzure Defenderを使用したコンテナー イメージの CI/CD 脆弱性スキャン (プレビュー)
コンテナー レジストリのAzure Defenderにより、DevSecOps チームがGitHub Actionsワークフローに可観測性を提供できるようになりました。
Trivy を利用したコンテナー イメージの新しい脆弱性スキャン機能は、コンテナー レジストリにイメージをプッシュする 前に 、コンテナー イメージの一般的な脆弱性をスキャンするのに役立ちます。
コンテナー スキャン レポートはAzure Security Centerにまとめられており、セキュリティ チームは脆弱なコンテナー イメージのソースと、発生元のワークフローとリポジトリに関するより良い分析情報と理解を提供します。
詳細については、「CI/CD ワークフローで脆弱なコンテナー イメージを特定する」を参照してください。
一部の推奨事項に使用できる Resource Graph クエリを増加
Security Center のすべての推奨事項には、Open クエリのAzure Resource Graphを使用して、影響を受けるリソースの状態に関する情報を表示するオプションがあります。 この強力な機能の詳細については、Azure Resource Graph エクスプローラーのReview の推奨事項データを参照してください。
Security Center には、VM、SQL サーバーとそのホスト、コンテナー レジストリでセキュリティ上の脆弱性をスキャンするための脆弱性スキャンが組み込まれています。 結果は、各リソースの種類ごとに個別のすべての結果が単一のビューに収集され、推奨事項として返されます。 推奨事項は次のとおりです。
- Azure Container Registryイメージの脆弱性を修復する必要がある (Qualys を利用)
- 仮想マシンの脆弱性を修復する必要がある
- SQL データベースでは脆弱性の検出結果を解決する必要がある
- マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある
この変更により、[ クエリを開く ] ボタンを使用して、セキュリティの結果を示すクエリを開くこともできます。
![[クエリを開く] ボタンを使用して、より詳細なクエリを実行し、脆弱性スキャナー関連の推奨事項に関するセキュリティの結果を表示できるようになりました。](media/release-notes/open-query-menu-security-findings.png)
[ クエリを開く ] ボタンには、関連するその他の推奨事項に関する追加のオプションが用意されています。
Security Center の脆弱性スキャナーの詳細については、次のページを参照してください。
- Azure DefenderのAzureおよびハイブリッド マシン用の Qualys の統合された脆弱性スキャナー
- Azure Defenderの SQL サーバー用の統合された脆弱性評価スキャナー
- Azure Defenderのコンテナー レジストリ用の統合された脆弱性評価スキャナー
SQL データ分類の推奨事項の重要度を変更
推奨事項 "SQL データベースの機密データを分類する必要がある" の重要度が高から低に変更されました。
これは、今後予定されている変更ページで発表されたこのレコメンデーションに対する継続的な変更の一部です。
トラステッド起動機能を有効にするための新しい推奨事項 (プレビュー段階)
Azureは、generation 2 VM のセキュリティを向上させるシームレスな方法として、信頼できる起動を提供します。 トラステッド起動により、高度で永続的な攻撃手法から保護されます。 トラステッド起動は、個別に有効にできる、複数の連携するインフラストラクチャ テクノロジで構成されています。 テクノロジごとに、高度な脅威に対する防御の別のレイヤーが提供されます。 詳細については、Azure仮想マシンのTrusted 起動に関するページを参照してください。
Important
トラステッド起動を使用するには、新しい仮想マシンを作成する必要があります。 最初に作成されたときにトラステッド起動が有効にされていない既存の仮想マシンで、トラステッド起動を有効にすることはできません。
トラステッド起動は、現在パブリック プレビュー段階にあります。 このプレビュー版はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することはお勧めできません。 特定の機能はサポート対象ではなく、機能が制限されることがあります。
Security Center の推奨事項である vTPM は、サポートされている仮想マシンで有効にする必要があります、Azure VM が vTPM を使用していることを確認します。 この仮想化バージョンのハードウェア トラステッド プラットフォーム モジュールでは、VM のブート チェーン全体 (UEFI、OS、システム、ドライバー) を測定することにより、構成証明を有効にします。
vTPM を有効にすると、Guest Attestation 拡張機能により、セキュア ブートをリモートで検証できます。 次の推奨事項により、この拡張機能が確実にデプロイされます。
- サポートされているWindows仮想マシンでセキュア ブートを有効にする必要があります
- Guest Attestation 拡張機能は、サポートされているWindows仮想マシンにインストールする必要があります
Guest Attestation 拡張機能は、サポートされている Windows Virtual Machine Scale Sets - Guest Attestation 拡張機能を、サポートしている Linux 仮想マシンにインストールする必要があります
Guest Attestation 拡張機能は、サポートされている Linux Virtual Machine Scale Sets
詳細については、Azure仮想マシンのTrusted 起動に関するページを参照してください。
Kubernetes クラスターを強化するための新しい推奨事項 (プレビュー段階)
次の推奨事項を使用すると、Kubernetes クラスターをさらに強化できます。
- Kubernetes クラスターで既定の名前空間を使用しない - ConfigMap、Pod、Secret、Service、ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。
- Kubernetes クラスターでは、API 資格情報の自動マウントを無効にする必要がある - 侵害されたおそれがある Pod リソースにより、Kubernetes クラスターに対して API コマンドが実行されるのを防ぐには、API 資格情報の自動マウントを無効にします。
- Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない
お使いのコンテナー化された環境を Security Center で保護する方法については、「Security Center のコンテナーのセキュリティ」を参照してください。
Assessments API を 2 つの新しいフィールドで拡張
Assessments REST API に次の 2 つのフィールドを追加しました。
- FirstEvaluationDate – 推奨事項が作成され、最初に評価された時刻。 ISO 8601 形式の UTC 時刻として返されます。
- StatusChangeDate – 推奨事項の状態が最後に変更された時刻。 ISO 8601 形式の UTC 時刻として返されます。
これらのフィールドに使用される初期の既定値は、すべての推奨事項で 2021-03-14T00:00:00+0000000Z です。
この情報には、次の表に示したいずれかの方法でアクセスできます。
| Tool | Details |
|---|---|
| REST API の呼び出し | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| 連続エクスポート | 2 つの専用フィールドは、Log Analytics ワークスペース データで使用できます |
| CSV エクスポート | CSV ファイルには、2 つのフィールドが含まれています |
Assessments REST API の詳細をご覧ください。
資産インベントリでクラウド環境フィルターを取得
Security Center の資産インベントリのページには、表示されるリソースの一覧をすばやく絞り込むために多数のフィルターが用意されています。 詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
新しいフィルターでは、Security Center のマルチクラウド機能に接続したクラウド アカウントに応じて一覧を絞り込むオプションが提供されます。
マルチクラウド機能の詳細については、次を参照してください:
AWS アカウントを Azure Security Center GCP プロジェクトを Azure Security Center
2021 年 4 月
4 月の更新プログラムには次のものが含まれます。
- 更新された [リソース正常性] ページ (プレビュー)
- 最近プルされたコンテナー レジストリ イメージを毎週再スキャン (一般提供 (GA) リリース)
Kubernetes のAzure Defenderを使用して、ハイブリッドおよびマルチクラウドの Kubernetes デプロイ (プレビュー段階) Microsoft Defender for Endpoint Azure Defender との統合で、一般公開 (GA) - DNS とResource ManagerのAzure Defenderを有効にする (プレビュー段階)
CIS 1.3.0、CMMC レベル 3、およびニュージーランド ISM Restricted - ゲスト構成に関連する 4 つの新しい推奨事項 (プレビュー)
- CMK の推奨事項をベスト プラクティスのセキュリティ コントロールに移動
- Eleven Azure Defender アラートは非推奨になりました
- "システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
- Azure Defender Azure Defender ダッシュボードから削除されたマシン上の SQL タイル
- 21 個の推奨事項をセキュリティ コントロール間で移動
更新された [リソース正常性] ページ (プレビュー)
リソース正常性が拡張、強化、改善され、1 つのリソースの全体的な正常性のスナップショット ビューが提供されるようになりました。
リソースに関する詳細情報と、そのリソースに適用されるすべての推奨事項を確認できます。 また、 Microsoft Defender の高度な保護計画を使用している場合は、その特定のリソースに対する未処理のセキュリティ アラートも表示されます。
リソースの [リソース正常性] ページを開くには、資産インベントリ ページでリソースを選択します。
Security Center のポータル ページにあるこのプレビュー ページには、次の情報が表示されます。
- リソース情報 - アタッチされているリソース グループとサブスクリプション、地理的な場所など。
- Applied セキュリティ機能 - リソースに対してAzure Defenderが有効になっているかどうか。
- 未処理の推奨事項とアラートの数 - 未解決のセキュリティに関する推奨事項とAzure Defenderアラートの数。
- 実行可能な推奨事項とアラート - リソースに適用される推奨事項とアラートが 2 つのタブに一覧表示されます。
詳細については、「チュートリアル: リソースの正常性を調査する」をご覧ください。
最近プルされたコンテナー レジストリ イメージを毎週再スキャン (一般提供 (GA) リリース)
コンテナー レジストリのAzure Defenderには、組み込みの脆弱性スキャナーが含まれています。 このスキャナーは、レジストリにプッシュされたイメージと、過去 30 日以内にプルされたすべてのイメージを即座にスキャンします。
新しい脆弱性は毎日検出されます。 この更新プログラムでは、過去 30 日間にレジストリからプルされたコンテナー イメージが毎週 再スキャンされます 。 これにより、新しく検出された脆弱性をイメージ内で確実に識別できます。
スキャンはイメージごとに課金されるため、これらの再スキャンに対する追加料金は発生しません。
このスキャナーの詳細については、コンテナー レジストリのAzure Defenderを使用してイメージの脆弱性をスキャンします。
Kubernetes のAzure Defenderを使用してハイブリッドおよびマルチクラウドの Kubernetes デプロイを保護する (プレビュー段階)
Kubernetes のAzure Defenderは、クラスターがデプロイされている場所を問わず、クラスターを防御するために脅威保護機能を拡張しています。 これは、Azure Arc 対応の Kubernetes とその新しい extensions 機能と統合することで実現されました。
Azure以外の Kubernetes クラスターでAzure Arcを有効にした場合、Azure Security Centerからの新しい推奨事項では、数回クリックするだけでAzure Defender エージェントをデプロイできます。
推奨事項 (Azure Arc が有効な Kubernetes クラスターには、Azure Defenderの拡張機能がインストールされている必要があります) と拡張機能を使用して、マネージド Kubernetes サービスではなく、他のクラウド プロバイダーにデプロイされた Kubernetes クラスターを保護します。
Azure Security Center、Azure Defender、Azure Arc対応 Kubernetes の統合により、次の機能が実現します。
- 保護されていないAzure Arc対応 Kubernetes クラスターへのAzure Defender エージェントの簡単なプロビジョニング (手動および大規模)
- Azure Arc ポータルからのAzure Defender エージェントとそのプロビジョニング状態の監視
- Security Center のセキュリティに関する推奨事項は、Azure Arc ポータルの新しい [セキュリティ] ページで報告されます
- Azure Defenderから特定されたセキュリティの脅威は、Azure Arc ポータルの新しい [セキュリティ] ページで報告されます
- Azure Arc対応 Kubernetes クラスターは、Azure Security Center プラットフォームとエクスペリエンスに統合されます
詳細については、オンプレミスとマルチクラウドの Kubernetes クラスターで Kubernetes のAzure Defenderを使用するを参照してください。
Azure Defenderとの統合Microsoft Defender for Endpoint、一般公開 (GA) のためにリリースされた Windows Virtual Desktop でのWindows Server 2019とWindows 10がサポートされるようになりました
Microsoft Defender for Endpointは、包括的なクラウド提供のエンドポイント セキュリティ ソリューションです。 リスクベースによる脆弱性の管理と評価、およびエンドポイントでの検出と対応 (EDR) を提供します。 Defender for Endpoint と Azure Security Center を併用する利点の完全な一覧については、「 Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください。
Windows Serverを実行しているサーバーのAzure Defenderを有効にすると、エンドポイントのDefenderのライセンスがプランに含まれます。 既にサーバーのAzure Defenderを有効にしていて、サブスクリプションにWindows Server 2019サーバーがある場合は、この更新プログラムを使用してエンドポイントのDefenderを自動的に受け取ります。 特に何か操作をする必要はありません。
サポートが拡張され、Windows Virtual Desktop のWindows Server 2019とWindows 10が含まれるようになりました。
Note
Windows Server 2019 サーバーでエンドポイントのDefenderを有効にする場合は、Microsoft Defender for Endpoint統合を有効にするで説明されている前提条件を満たしていることを確認します。
DNS とResource ManagerのAzure Defenderを有効にするための推奨事項 (プレビュー段階)
Resource ManagerAzure Defender を有効にし、DNS に対して
- Resource ManagerのAzure Defenderを有効にする必要があります - Resource ManagerのDefenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。
- Azure Defender for DNS を有効にする必要があります - DNS のDefenderは、Azure リソースからのすべての DNS クエリを継続的に監視することで、クラウド リソースの保護層を強化します。 Azure Defender DNS レイヤーでの疑わしいアクティビティについてアラートが表示されます。
Azure Defenderプランを有効にすると、料金が発生します。 Security Center の価格ページで、リージョンごとの価格の詳細について説明 します。
Tip
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法の詳細については、Azure Security Center の
3 つの規制コンプライアンス標準が追加されました:Azure CIS 1.3.0、CMMC レベル 3、およびニュージーランド ISM Restricted
Azure Security Centerで使用する 3 つの標準が追加されました。 規制コンプライアンス ダッシュボードを使用して、次の標準への準拠を追跡できるようになりました。
「規制コンプライアンス ダッシュボードで標準セットをカスタイマイズする」で説明するように、これらをサブスクリプションに割り当てることができます。
詳細情報:
ゲスト構成に関連する 4 つの新しい推奨事項 (プレビュー)
Azureの Guest Configuration 拡張機能 は、仮想マシンのゲスト内設定が確実に強化されるように Security Center に報告します。 この拡張機能は Arc 接続マシン エージェントに含まれているため、Arc 対応サーバーには必要ありません。 この拡張機能を使用するには、マシンにシステムマネージド ID が必要です。
この拡張機能を最大限に活用するために、Security Center に 4 つの新しい推奨事項が追加されました。
2 つの推奨事項では、拡張機能と、その必須のシステムマネージド ID をインストールすることを求めています。
- ゲスト構成拡張機能をマシンにインストールする必要がある
- 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある
拡張機能がインストールされて実行されると、マシンの監査が開始され、オペレーティング システムの構成や環境設定などの設定を強化するように求められます。 次の 2 つの推奨事項により、次の説明に従って、Windowsマシンと Linux マシンを強化するように求められます。
- Microsoft Defender Exploit Guard をマシンで有効にする必要があります
- Linux マシンに対する認証では SSH キーを要求する必要がある
詳細については、Understand Azure Policy のゲスト構成を参照してください。
CMK の推奨事項をベスト プラクティスのセキュリティ コントロールに移動
すべての組織のセキュリティ プログラムには、データ暗号化要件が含まれています。 既定では、Azureのお客様のデータは、サービスマネージド キーを使用して保存時に暗号化されます。 ただし、規制コンプライアンス基準を満たすためには、一般にカスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、ユーザーが作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 これにより、ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。
Azure Security Centerのセキュリティ制御は、関連するセキュリティに関する推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。 コントロールごとに、すべてのリソースについて、コントロールに示されているすべての推奨事項を修復した場合にセキュリティ スコアに追加できる最大ポイント数があります。 [セキュリティのベスト プラクティスの実装] セキュリティ コントロールは、0 ポイントです。 したがって、このコントロールの推奨事項は、セキュリティ スコアに影響しません。
次に示す推奨事項は、オプションとしての性質をより適切に反映するために、 [セキュリティのベスト プラクティスの実装] セキュリティ コントロールに移動されています。 この移動によって、これらの推奨事項は、その目標を達成するために最も適したコントロールに含められます。
- Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります
- Azure Machine Learningワークスペースは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
- Azure AI サービス アカウントでは、カスタマー マネージド キー (CMK) を使用したデータ暗号化を有効にする必要があります
- コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある
- SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある
- ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
11 Azure Defender アラートの非推奨
以下に示す 11 個のAzure Defenderアラートは非推奨となりました。
次の 2 つのアラートは、新しいアラートで置き換えられ、より適切なカバレッジが提供されます。
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW - MicroBurst toolkit "Get-AzureDomainInfo" function run detected (プレビュー - MicroBurst ツールキット "Get-AzureDomainInfo" 関数の実行が検出されました) ARM_MicroBurstRunbook PREVIEW - MicroBurst toolkit "Get-AzurePasswords" function run detected (プレビュー - MicroBurst ツールキット "Get-AzurePasswords" 関数の実行が検出されました) 次の 9 つのアラートは、既に非推奨になっている Microsoft Entra Identity Protection コネクタ (IPC) に関連しています。
AlertType AlertDisplayName UnfamiliarLocation 見慣れないサインイン プロパティ AnonymousLogin 匿名 IP アドレス InfectedDeviceLogin マルウェアにリンクした IP アドレス ImpossibleTravel 通常とは異なる移動 MaliciousIP 悪意のある IP アドレス LeakedCredentials 漏洩した資格情報 PasswordSpray パスワード スプレー LeakedCredentials 脅威インテリジェンスのMicrosoft Entra ID AADAI Microsoft Entra ID AI Tip
これらの 9 つの IPC アラートは、Security Center アラートではありませんでした。 これらは、Security Center に送信していた Microsoft Entra Identity Protection コネクタ (IPC) の一部です。 過去 2 年間、これらのアラートが表示されているのは、2019 以前に (コネクタから ASC に) エクスポートを構成した組織だけです。 Microsoft Entra ID IPC は、独自のアラート システムでそれらを表示し続け、Microsoft Sentinelで引き続き利用できます。 唯一の変更は、Security Center に表示されなくなったということです。
"システムの更新プログラムを適用する" セキュリティ コントロールの 2 つの推奨事項を非推奨化
次の 2 つの推奨事項は非推奨とされ、この変更によってセキュリティ スコアにわずかな影響が生じる可能性があります。
- システムの更新プログラムを適用するには、マシンを再起動する必要があります
- お使いのマシンに監視エージェントをインストールする必要があります。 この推奨事項はオンプレミスのマシンにのみ関連し、そのロジックの一部は別の推奨事項に転送されます。Log Analytics エージェントの正常性の問題は、マシンで解決する必要があります
連続エクスポートとワークフロー自動化の構成をチェックして、該当する推奨事項が含まれているかどうかを確認することをお勧めします。 また、ダッシュボードまたはそれらを使用する他の監視ツールを適宜更新する必要があります。
Azure Defender ダッシュボードから削除されたマシン上の SQL のAzure Defender タイル
Azure Defender ダッシュボードのカバレッジ領域には、環境に関連するAzure Defender プランのタイルが含まれています。 保護されたリソースと保護されていないリソースの数の報告に関する問題により、問題が解決されるまで、Azure Defender の SQL のリソース カバレッジの状態を一時的に削除することにしました。
セキュリティ コントロール間で移動された推奨事項
次の推奨事項は、別のセキュリティ コントロールに移動されました。 セキュリティ コントロールは、関連するセキュリティ推奨事項の論理グループであり、脆弱な攻撃対象領域を反映しています。 この移動によって、これらの各推奨事項は、その目標を達成するために最も適したコントロールに含められます。
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
| Recommendation | 変更と影響 |
|---|---|
| 脆弱性評価を SQL サーバー上で有効にする必要がある 脆弱性評価を SQL マネージド インスタンス上で有効にする必要がある SQL データベースの脆弱性を新たに修復する必要がある VM 内の SQL データベースの脆弱性を修復する必要があります |
脆弱性の修復 (6 ポイント分) から セキュリティ構成の修復 (4 ポイント分) に移動されます。 お客様の環境によっては、これらの推奨事項がスコアに与える影響が少なくなります。 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある Automation アカウント変数は、暗号化する必要がある IoT デバイス - Auditd プロセスでイベントの送信が停止された IoT デバイス - オペレーティング システムのベースラインの検証に失敗した IoT デバイス - TLS 暗号スイートのアップグレードが必要 IoT デバイス - デバイス上でポートを開く IoT デバイス - チェーンのうちの 1 つに制限の緩すぎるファイアウォール ポリシーが見つかりました IoT デバイス - 入力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました IoT デバイス - 出力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました IoT Hubの診断ログを有効にする必要がある IoT デバイス - エージェントで低使用率のメッセージが送信されている IoT デバイス - 既定の IP フィルター ポリシーを拒否にする必要がある IoT デバイス - IP フィルター ルールの IP 範囲が広い IoT デバイス - エージェントのメッセージ間隔とサイズを調整する必要がある IoT デバイス - 認証の資格情報が同一 IoT デバイス - 監査対象プロセスでイベントの送信が停止された IoT デバイス - オペレーティング システム (OS) のベースライン構成を修正する必要がある |
セキュリティのベスト プラクティスの実装に移動されます。 推奨事項が「セキュリティのベスト プラクティスの実装」セキュリティ コントロールに移動される (ポイントは発生しない) と、この推奨事項はセキュリティ スコアに影響を及ぼさなくなります。 |
2021 年 3 月
3 月の更新プログラムには次のものが含まれます。
- Azure Firewall管理が Security Center に統合されました
- SQL 脆弱性評価に "ルールの無効化" エクスペリエンスを追加 (プレビュー)
- Azure Monitor Security Center に統合されたブックと、3 つのテンプレートが用意されています
監査レポート (プレビュー) - Recommendation データは、"ARG で探索" を使用してAzure Resource Graphで表示できます>
- ワークフローの自動化をデプロイするためのポリシーを更新
- アクティビティ ログにデータ Azureを直接書き込まなくなりました
- 推奨事項ページの拡充
Security Center に統合されたAzure Firewall管理
Azure Security Centerを開くと、最初に表示されるページが概要ページになります。
この対話式のダッシュボードでは、ハイブリッド クラウド ワークロードのセキュリティ対策について一元的なビューが提供されます。 また、セキュリティ アラート、カバレッジ情報なども表示されます。
一元的なエクスペリエンスからセキュリティの状態を表示する一環として、このダッシュボードにAzure Firewall Managerが統合されています。 すべてのネットワークのファイアウォール カバレッジの状態を確認し、Security Center から開始Azure Firewallポリシーを一元的に管理できるようになりました。
このダッシュボードの詳細については、Azure Security Center の概要ページを参照してください。
SQL 脆弱性評価に "ルールの無効化" エクスペリエンスを追加 (プレビュー)
Security Center には、データベースの脆弱性となりうる問題を検出、追跡、および修復するうえで役立つ脆弱性スキャナーが組み込まれています。 評価スキャンの結果では、SQL マシンのセキュリティ状態の概要と、セキュリティに関する検出結果の詳細が示されます。
組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 無効化された検出結果は、セキュリティ スコアに影響を与えたり、不要なノイズを生成したりすることはありません。
詳細については、「特定の検出結果を無効にする」を参照してください。
Security Center に統合された Azure Monitor ブックと、3 つのテンプレートが用意されています
Ignite Spring 2021 の一環として、Security Center で統合された Azure Monitor Workbooks エクスペリエンスを発表しました。
新しい統合を使用して、Security Center のギャラリーからすぐに使用できるテンプレートの使用を開始できます。 ブック テンプレートを使用すると、動的レポートとビジュアル レポートにアクセスして作成し、組織のセキュリティ体制を追跡できます。 さらに、Security Center のデータやその他のサポートされているデータ型に基づいて新しいブックを作成し、Security Center の GitHub コミュニティからコミュニティ ブックをすばやく展開できます。
用意されているテンプレート レポートは次の 3 つです。
- セキュリティ スコアの推移 - サブスクリプションのスコアと、リソースに対する推奨事項の変化を追跡できます
- システム更新プログラム - 不足しているシステム更新プログラムをリソース、OS、重大度など別に表示する
- Vulnerability Assessment の結果 - Azure リソースの脆弱性スキャンの結果を表示する
ここに挙げたレポートを使用する方法や、独自のレポートを作成する方法の詳細については、「豊富な機能を備えた対話型の Security Center データ レポートを作成する」を参照してください。
規制コンプライアンス ダッシュボードにAzure監査レポートが含まれるようになりました (プレビュー)
規制コンプライアンス ダッシュボードのツール バーから、AzureとDynamics認定レポートをダウンロードできるようになりました。
関連するレポートの種類 (PCI、SOC、ISO など) のタブを選択し、フィルターを使用すると、必要なレポートを見つけることができます。
詳細は、「規制コンプライアンス ダッシュボードでの標準の管理」を参照してください。
レコメンデーション データは、Azure Resource Graphで "ARG で探索" で表示できます
推奨事項の詳細ページに、[Explore in ARG](ARG で探索) ツールバー ボタンが含まれるようになりました。 このボタンを使用して、Azure Resource Graphクエリを開き、推奨事項のデータを調査、エクスポート、共有します。
Azure Resource Graph (ARG) を使用すると、堅牢なフィルター処理、グループ化、並べ替え機能を使用して、クラウド環境全体のリソース情報にすばやくアクセスできます。 プログラムによって、またはAzure ポータル内から、Azure サブスクリプション間で情報を照会する迅速かつ効率的な方法です。
詳細については、Azure Resource Graphを参照してください。
ワークフローの自動化をデプロイするためのポリシーを更新
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。
組織全体に自動化をデプロイできるように、ワークフロー自動化プロシージャを作成および構成する 3 つのAzure Policy "DeployIfNotExist" ポリシーが用意されています。
| Goal | Policy | ポリシー ID |
|---|---|---|
| セキュリティ アラートのワークフローの自動化 | Azure Security Center アラートにワークフローオートメーションをデプロイする | f1525828-9a90-4fcf-be48-268cdd02361e |
| セキュリティに関する推奨事項のワークフローの自動化 | ワークフローオートメーションをデプロイしてAzure Security Centerの推奨事項を作成します | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| 規制コンプライアンスの変化に関するワークフローの自動化 | 規制コンプライアンスをAzure Security Centerするためのワークフロー自動化のデプロイ | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
ここに挙げたポリシーの機能について、2 点更新を実施しました。
- 割り当てると適用され、そのまま有効な状態が維持されます。
- 既にデプロイされている場合でも、ポリシーをカスタマイズしたり、パラメーターを更新したりできるようになりました。 たとえば、評価キーを追加または編集できます。
workflow オートメーション テンプレートの使用を開始します。
方法の詳細については、「Security Center のトリガーへの応答を自動化する」を参照してください。
2 つの従来の推奨事項では、アクティビティ ログに直接データAzure書き込めなくなりました
Security Center では、ほぼすべてのセキュリティに関する推奨事項のデータがAzure Advisorに渡され、Azure アクティビティ ログに書き込まれます。
2 つの推奨事項の場合、データは同時にアクティビティ ログAzure直接書き込まれます。 この変更により、Security Center によって、これらの従来のセキュリティに関する推奨事項のデータがアクティビティ ログに直接書き込まれなくなります。 代わりに、他のすべての推奨事項と同様に、データをAzure Advisorにエクスポートします。
この 2 つの従来の推奨事項は次のとおりです。
- - お使いのマシンで Endpoint Protection の正常性の問題を解決する必要があります
- 使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある
アクティビティ ログの "TaskDiscovery タイプの推奨事項" カテゴリでこの 2 つの推奨事項の情報にアクセスしていた場合、これは使用できなくなります。
推奨事項ページの拡充
推奨事項一覧の改良版がリリースされ、一目で詳細情報を確認できるようになりました。
これにより、ページには以下が表示されます。
- 各セキュリティ コントロールの最大スコアと現在のスコア。
- [修正] や [プレビュー] などのタグを置き換えるアイコン。
- 各推奨事項に関連する ポリシー イニシアチブ を示す新しい列 。[コントロールでグループ化] が無効になっている場合に表示されます。
詳細については、
2021 年 2 月
2 月の更新プログラムには次のものが含まれます。
一般公開 (GA) - Kubernetes ワークロード保護の推奨事項が一般提供 (GA) リリース
Microsoft Defender for Endpoint Azure Defender との統合で、Windows Virtual Desktop (プレビュー段階) - [推奨事項の詳細] ページからポリシーへの直接リンク
- SQL データ分類の推奨事項がセキュリティ スコアに影響しなくなった
- 規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能 (プレビュー)
- 資産インベントリ ページの拡充
一般公開 (GA) 用にリリースされたAzure ポータルの [新しいセキュリティ アラート] ページ
Azure Security Centerのセキュリティ アラート ページは、次の機能を提供するように再設計されました。
- アラートのトリアージ エクスペリエンスの向上 - アラートに対応する労力を減らし、最も関連性の高い脅威に焦点を絞りやすくするために、一覧にはカスタマイズ可能なフィルターとグループ化のオプションが追加されました。
- アラート一覧への情報の追加 - MITRE ATT & ACK の戦術など。
- サンプル アラートを作成するボタン - Azure Defender機能を評価し、アラートをテストします。 構成 (SIEM 統合、電子メール通知、ワークフロー自動化用) では、すべてのAzure Defenderプランからサンプル アラートを作成できます。
- Azure Sentinel のインシデント エクスペリエンスを使用した配置 - 両方の製品を使用するお客様にとって、切り替えがより簡単になり、もう一方から簡単に学習できるようになりました。
- 大規模なアラート リストのパフォーマンスが向上しました。
- アラート 一覧のキーボード ナビゲーション。
Azure Resource Graph - すべてのリソースに対して Kusto に似た API である Azure Resource Graph でアラートを照会できます。 これは、独自のアラート ダッシュボードを作成している場合にも役立ちます。 Azure Resource Graphの詳細を参照してください。- サンプル アラート機能の作成 - 新しいアラート エクスペリエンスからサンプル アラートを作成するには、「Generate sample Azure Defender alertsを参照してください。
Kubernetes ワークロード保護の推奨事項が一般提供 (GA) リリース
Kubernetes ワークロード保護に関する一連の推奨事項が一般提供 (GA) されたことをお知らせします。
Security Center では、Kubernetes ワークロードが既定で確実に保護されるように、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベルの強化の推奨事項が追加されました。
kubernetes のAzure Policyが Azure Kubernetes Service (AKS) クラスターにインストールされている場合、Kubernetes API サーバーに対するすべての要求は、クラスターに永続化される前に、定義済みの一連のベスト プラクティス (13 のセキュリティ推奨事項として表示) に対して監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。
たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。
詳細については、Kubernetes 受付制御を使用したワークロード保護のベスト プラクティスに関するページを参照してください。
Note
推奨事項がプレビュー段階の間、これらによって AKS クラスター リソースが異常な状態にあると表示されることはありませんでした。これらの推奨事項は、セキュリティ スコアの計算には含まれていませんでした。 この GA アナウンスでは、これらはスコア計算に含まれます。 その修復がまだ済んでいない場合、これが原因でセキュア スコアに若干の影響が生じる可能性があります。 Azure Security Centerの推奨事項を
Azure Defender との統合Microsoft Defender for Endpoint、Windows Virtual Desktop でのWindows Server 2019とWindows 10がサポートされるようになりました (プレビュー段階)
Microsoft Defender for Endpointは、包括的なクラウド提供のエンドポイント セキュリティ ソリューションです。 リスクベースによる脆弱性の管理と評価、およびエンドポイントでの検出と対応 (EDR) を提供します。 Defender for Endpoint と Azure Security Center を併用する利点の完全な一覧については、「 Security Center の統合 EDR ソリューションを使用してエンドポイントを保護する: Microsoft Defender for Endpoint」を参照してください。
Windows Serverを実行しているサーバーのAzure Defenderを有効にすると、エンドポイントのDefenderのライセンスがプランに含まれます。 既にサーバーのAzure Defenderを有効にしていて、サブスクリプションにWindows Server 2019サーバーがある場合は、この更新プログラムを使用してエンドポイントのDefenderを自動的に受け取ります。 特に何か操作をする必要はありません。
サポートが拡張され、Windows Virtual Desktop のWindows Server 2019とWindows 10が含まれるようになりました。
Note
Windows Server 2019 サーバーでエンドポイントのDefenderを有効にする場合は、Microsoft Defender for Endpoint統合を有効にするで説明されている前提条件を満たしていることを確認します。
[推奨事項の詳細] ページからポリシーへの直接リンク
推奨事項の詳細を確認しているときに、基になるポリシーを参照できると有益な場合が多くあります。 ポリシーによってサポートされているすべての推奨事項について、[推奨事項の詳細] ページに新しいリンクが追加されました。
ポリシー定義を表示し、評価ロジックを確認するには、このリンクを使用します。
SQL データ分類の推奨事項がセキュリティ スコアに影響しなくなった
SQL データベースの機密データを分類する必要があるという推奨事項が、セキュリティ スコアに影響することはなくなりました。 セキュリティ コントロール 含まれるデータ分類 セキュリティ スコアの値は 0 になりました。
すべてのセキュリティ コントロールの完全な一覧と、それぞれのスコアと推奨事項の一覧については、「 セキュリティ コントロールとその推奨事項」を参照してください。
規制コンプライアンス評価の変更によって、ワークフロー自動化をトリガー可能 (プレビュー)
ワークフロー自動化のトリガー オプションに、規制コンプライアンス評価の変更という 3 つ目のデータの種類が追加されました。
ワークフローの自動化ツールの使い方については、「Security Center のトリガーへの応答を自動化する」を参照してください。
資産インベントリ ページの拡充
Security Center の資産インベントリ ページが次のように改善されました。
ページの上部にある概要に、 未登録のサブスクリプションが含まれるようになり、Security Center が有効になっていないサブスクリプションの数が表示されるようになりました。
![[資産インベントリ] ページ上部のサマリーに表示される未登録のサブスクリプション数。](media/release-notes/unregistered-subscriptions.png)
フィルターが拡張され、次の項目が追加されました。
カウント - 各フィルターは、各カテゴリの条件を満たすリソースの数を示します
Azure Security Center. Contains exemptions (適用除外を含む) フィルター (省略可) - 適用除外が設定されている (または設定されていない) リソースに結果を絞り込みます。 このフィルターは既定では表示されませんが、[ フィルターの追加] ボタンからアクセスできます。
詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
2021 年 1 月
1 月の更新プログラムには次のものが含まれます。
Azureセキュリティ ベンチマークが、Azure Security Center - オンプレミスおよびマルチクラウド マシンの脆弱性評価が一般提供 (GA) リリース
- 管理グループのセキュア スコア (プレビュー) が利用可能に
- Secure Scores API が一般提供 (GA) リリース
- App Service のAzure Defenderに追加された DNS 保護
- マルチクラウド コネクタが一般提供 (GA) リリース
- サブスクリプションと管理グループのセキュア スコアから推奨事項全体を除外する
- テナント全体の可視性をユーザーがグローバル管理者にリクエスト可能に
- 35 プレビューの推奨事項が追加され、Azureセキュリティ ベンチマークの対象範囲が広がります
- フィルター処理された推奨事項一覧の CSV エクスポート
- "適用できません" リソースが、Azure Policy評価で "準拠" として報告されるようになりました
- セキュア スコアと規制コンプライアンス データの週単位のスナップショットを連続エクスポートでエクスポート (プレビュー)
Azureセキュリティ ベンチマークが、Azure Security Centerの既定のポリシー イニシアチブになりました
Azureセキュリティ ベンチマークは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するMicrosoft作成されたAzure固有のガイドラインセットです。 この広く遵守されているベンチマークは、クラウド中心のセキュリティに重点を置いた Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の統制に基づいています。
ここ数か月で、Security Center の組み込みのセキュリティ推奨事項が大幅に拡充され、このベンチマークのカバー範囲が広がってきています。
このリリースから、ベンチマークは Security Center の推奨事項の基礎であり、既定のポリシー イニシアチブとして完全に統合されています。
すべてのAzure サービスには、ドキュメントにセキュリティ ベースライン ページがあります。 これらのベースラインは、セキュリティ ベンチマークAzure基づいて構築されています。
Security Center の規制コンプライアンス ダッシュボードを使用している場合、切り替え期間中は、ベンチマークのインスタンスが 2 つ表示されます。
既存の推奨事項は影響を受けず、ベンチマークが増えるにつれて、Security Center 内に変更が自動的に反映されます。
詳細については、次のページを参照してください。
セキュリティ ベンチマーク - 規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズ
オンプレミスおよびマルチクラウド マシンの脆弱性評価が一般提供 (GA) リリース
10 月に、Azure Defender for Servers の統合された脆弱性評価スキャナー (Qualys を搭載) を使用して、Azure Arc対応サーバーをスキャンするためのプレビューを発表しました。
このほど、それが一般提供 (GA) リリースとなりました。
Azure以外のマシンでAzure Arcを有効にすると、Security Center では、統合された脆弱性スキャナーを手動で大規模に展開できます。
この更新プログラムを使用すると、Azure Defender for Servers の機能を最大限に活用して、AzureとAzure以外のすべての資産にわたって脆弱性管理プログラムを統合できます。
主な機能:
- Azure Arc マシンでの VA (脆弱性評価) スキャナーのプロビジョニング状態の監視
- 保護されていない Windows および Linux Azure Arc マシンへの統合 VA エージェントのプロビジョニング (手動および大規模)
- デプロイされたエージェントで検出された脆弱性を受け取って分析する (手動で大規模に)
- Azure VM とAzure Arc マシンの統合されたエクスペリエンス
ハイブリッド マシンへの統合された Qualys 脆弱性スキャナーのデプロイについての詳細を参照してください。
Azure Arc対応サーバーの詳細についてはを参照してください。
管理グループのセキュア スコア (プレビュー) が利用可能に
セキュア スコア ページに、サブスクリプション レベルに加え、管理グループの集計セキュア スコアが表示されるようになりました。 そのため、組織内の管理グループと各管理グループのスコアを一覧表示することが可能になりました。
安全なスコアとセキュリティコントロールの詳細については、Azure Security Centerを参照してください。
Secure Scores API が一般提供 (GA) リリース
Secure Scores API を使用してスコアにアクセスできるようになりました。 この API メソッドを使用すると、データに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築したりするための柔軟性が得られます。 例えば次が挙げられます。
- Secure Score API を使用して特定のサブスクリプションのスコアを取得する
- Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示する
安全なスコアとセキュリティコントロールの詳細については、Azure Security Centerを参照してください。
App Service のAzure Defenderに追加された未解決の DNS 保護
サブドメインの乗っ取りは、組織にとって重大度の高い一般的な脅威です。 サブドメインの乗っ取りは、プロビジョニング解除された Web サイトを参照する DNS レコードがある場合に発生する可能性があります。 このような DNS レコードは、"未解決の DNS" エントリとも呼ばれます。 CNAME レコードは、この脅威に対して特に脆弱です。
サブドメインの引き継ぎにより、脅威アクターは、悪意のあるアクティビティを実行しているサイトに組織のドメインを対象としたトラフィックをリダイレクトできます。
App Service のAzure Defenderは、App Service Web サイトの使用停止時に未解決の DNS エントリを検出するようになりました。 このような場合、DNS エントリの参照先リソースが存在せず、Web サイトがサブドメインの乗っ取りに対して無防備になります。 これらの保護は、ドメインが Azure DNS または外部ドメイン レジストラーを使用して管理されていて、Windows と App Service on Linux の両方の App Service に適用されるかどうかに関係なく使用できます。
詳細情報:
- App Service アラート参照テーブル - 未解決の DNS エントリが検出されたときにトリガーされる 2 つの新しいAzure Defender アラートが含まれています
- 未解決の DNS エントリを防ぎ、サブドメインの乗っ取りを回避する - サブドメインの乗っ取りの脅威と未解決の DNS に関する事柄について説明しています
- App Service のAzure Defenderへの導入
マルチクラウド コネクタが一般提供 (GA) リリース
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。
Azure Security Centerは、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のワークロードを保護します。
AWS または GCP プロジェクトを接続すると、AWS Security Hub や GCP Security Command Center などのネイティブセキュリティツールがAzure Security Centerに統合されます。
この機能は、あらゆる大手クラウド環境が、Security Center によってもたらされる可視性と保護の対象になることを意味します。 この統合のメリットをいくつか紹介します。
- エージェントの自動プロビジョニング - Security Center では、Azure Arcを使用して AWS インスタンスにLog Analytics エージェントをデプロイします
- ポリシー管理
- 脆弱性の管理
- 埋め込まれたエンドポイント検出と応答 (EDR)
- セキュリティ構成ミスの検出
- すべてのクラウド プロバイダーからのセキュリティに関する推奨事項を一元的に表示
- Security Center のセキュリティ スコアの計算へのすべてのリソースの組み込み
- AWS リソースと GCP リソースの規制コンプライアンスの評価
Defender for Cloudのメニューから Multicloud コネクタ を選択すると、新しいコネクタを作成するためのオプションが表示されます。
![Security Center の [マルチ クラウド コネクタ] ページの [AWS アカウントの追加] ボタン](media/quickstart-onboard-aws/add-aws-account.png)
詳細情報:
AWS アカウントを Azure Security Center GCP プロジェクトを Azure Security Center
サブスクリプションと管理グループのセキュア スコアから推奨事項全体を除外する
現在、Microsoft では、推奨事項全体を除外できるように機能を拡張しています。 サブスクリプション、管理グループ、またはリソースに対して Security Center が行うセキュリティの推奨事項を微調整できるよう、さまざまなオプションを追加しているところです。
まれに、サードパーティ ツールによって問題が解決済みであるにもかかわらず、Security Center で検出されず、リソースが異常として表示されてしまうことがあります。 または、推奨事項が属していないと思われるスコープに表示されます。 この推奨事項は、特定のサブスクリプションに適していない可能性があります。 または、ご自分の組織が、特定のリソースまたは推奨事項に関連するリスクを受け入れることにしたのかもしれません。
このプレビュー機能では、推奨事項の除外を作成できるようになりました。
リソースを除外して、将来、問題のあるリソースと共に一覧に表示されないようにします。セキュリティ スコアには影響しません。 リソースは適用外として表示され、その理由は "除外" として、選択した特定の正当な理由と共に示されます。
サブスクリプションまたは管理グループを除外して、推奨事項がセキュリティ スコアに影響を与えないようにします。サブスクリプションまたは管理グループには今後表示されません。 これは、既存のリソースと、今後作成するすべてのリソースに関係してきます。 推奨事項は、選択したスコープに対して選択した特定の理由でマークされます。
詳細については、「セキュリティ スコアからのリソースと推奨事項の除外」を参照してください。
テナント全体の可視性をユーザーがグローバル管理者にリクエスト可能に
Security Center のデータを表示するアクセス許可がないユーザーには、その組織のグローバル管理者にアクセス許可をリクエストするためのリンクが表示されるようになりました。 リクエストには、希望するロールとそれが必要な理由を添えることになります。
詳細については、「テナント全体のアクセス許可が不十分な場合に要求する」を参照してください。
Azureセキュリティ ベンチマークの対象範囲を拡大するために追加された 35 のプレビュー推奨事項
Azure セキュリティ ベンチマーク は、Azure Security Centerの既定のポリシー イニシアチブです。
このベンチマークのカバー範囲を拡大するために、次の 35 個のプレビュー推奨事項が Security Center に追加されています。
Tip
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法の詳細については、Azure Security Center の
| セキュリティ コントロール | 新しい推奨事項 |
|---|---|
| 保存時の暗号化を有効にする | - Azure Cosmos DBアカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります - Azure Machine Learningワークスペースはカスタマー マネージド キー (CMK) を使用して暗号化する必要があります - MySQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある - PostgreSQL サーバーに対して Bring Your Own Key データ保護を有効にする必要がある - Azure AI サービス アカウントでは、カスタマー マネージド キー (CMK) を使用したデータ暗号化を有効にする必要があります - コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要がある - SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある - ストレージ アカウントでは暗号化にカスタマー マネージド キー (CMK) を使用する必要がある |
| セキュリティのベストプラクティスを実装する | - サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある - サブスクリプションでLog Analytics エージェントの自動プロビジョニングを有効にする必要がある - 重要度が高いアラートの電子メール通知を有効にする必要がある - 重要度が高いアラートについて、サブスクリプション所有者に対する電子メール通知を有効にする必要がある - キー コンテナーで消去保護が有効になっている必要がある - キー コンテナーで論理的な削除が有効になっている必要がある |
| アクセスおよびアクセス許可の管理 | - 関数アプリで "クライアント証明書 (着信クライアント証明書)" を有効にする必要がある |
| DDoS 攻撃からアプリケーションを保護する | - Application Gateway に対して Web Application Firewall (WAF) を有効にする必要がある - Azure Front Door Service サービスに対して Web Application Firewall (WAF) を有効にする必要がある |
| 承認されていないネットワーク アクセスの制限 | - Key Vaultでファイアウォールを有効にする必要がある - プライベート エンドポイントを Key Vault 用に構成する必要がある - App Configuration ではプライベート リンクを使用する必要がある - Azure Cache for Redisは仮想ネットワーク内に存在する必要があります - ドメインAzure Event Gridプライベート リンクを使用する必要がある - Azure Event Gridトピックではプライベート リンクを使用する必要がある - ワークスペースAzure Machine Learningプライベート リンクを使用する必要がある - Azure SignalR Serviceはプライベート リンクを使用する必要があります - Spring Cloud Azureネットワーク インジェクションを使用する必要がある - コンテナー レジストリでは無制限のネットワーク アクセスを許可しない - コンテナー レジストリではプライベート リンクを使用する必要がある - MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある - ストレージ アカウントではプライベート リンク接続を使用する必要がある - ストレージ アカウントでは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある - VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある |
関連リンク:
セキュリティ ベンチマーク Azure Database for MariaDB Azure Database for MySQL Azure Database for PostgreSQL
フィルター処理された推奨事項一覧の CSV エクスポート
2020 年 11 月に、推奨事項ページにフィルターを追加しました。
今回は、フィルター処理された一覧に表示されている推奨事項のみが CSV エクスポートの対象となるよう、 [Download to CSV](CSV にダウンロード) ボタンの動作を変更しています。
たとえば、以下の画像を見ると、一覧がフィルター処理されて 2 つの推奨事項が表示されていることがわかります。 生成された CSV ファイルには、それらの 2 つの推奨事項に関係する各リソースの状態情報が含まれています。
詳細については、
Azure Policyの評価で "準拠" として報告された "該当しない" リソース
以前は、推奨事項について評価され、
唯一の影響は、準拠しているリソースの数が増えるAzure Policyに見られます。 Azure Security Centerのセキュリティ スコアに影響はありません。
セキュア スコアと規制コンプライアンス データの週単位のスナップショットを連続エクスポートでエクスポート (プレビュー)
セキュリティ スコアと規制コンプライアンス データの週単位のスナップショットをエクスポートするための 継続的エクスポート ツールに新しいプレビュー機能が追加されました。
エクスポートの頻度は、連続エクスポートを定義するときに設定します。
- ストリーミング – リソースの正常性状態が更新されたときに評価が送信されます (更新が行われなければ、データは送信されません)。
- スナップショット – すべての規制コンプライアンス評価の現在の状態のスナップショットが毎週送信されます (これは、セキュリティ スコアと規制コンプライアンス データの毎週のスナップショットのプレビュー機能です)。
この機能の全容については、「Security Center のデータを連続的にエクスポートする」を参照してください。
2020 年 12 月
12 月の更新プログラムには次のものが含まれます。
- マシン上の SQL サーバーのAzure Defenderは一般公開されています
- Azure Defender専用 SQL プールの SQL サポートAzure Synapse Analytics一般公開されています
- グローバル管理者が自分にテナントレベルのアクセス許可を付与できるようになりました
- 2 つの新しいAzure Defenderプラン: DNS のAzure DefenderとResource ManagerのAzure Defender (プレビュー段階)
Azure ポータル (プレビュー) Azure SQL Database&Bでの Security Center のエクスペリエンスの提供SQL Managed Instance - 資産インベントリ ツールとフィルターの更新
- SSL 証明書を要求する Web アプリに関する推奨事項がセキュリティ スコアの対象から除外
- 環境、重大度、利用可能な応答用の新しいフィルターが推奨事項のページに追加
- 連続エクスポートで新しいデータ型が利用可能になり、deployifnotexist ポリシーが改善
マシン上の SQL サーバーのAzure Defenderが一般公開されました
Azure Security Centerには、SQL Server 用の 2 つのAzure Defender プランが用意されています。
- Azure SQL データベース サーバーのAzure Defender - Azureネイティブ SQL Server を保護します
- マシン上の SQL サーバーのAzure Defender - ハイブリッド環境、マルチクラウド環境、オンプレミス環境の SQL サーバーにも同じ保護を拡張します
この発表により、Azure Defender for SQL は、データベースとそのデータが場所を問わず保護されるようになりました。
SQL のAzure Defenderには、脆弱性評価機能が含まれています。 脆弱性評価ツールには、次の高度な機能が含まれています。
- 脆弱性スキャンの結果を、実際のセキュリティの問題を表す可能性のあるものにインテリジェントに絞り込むためのベースライン構成 (新規!)。 ベースラインのセキュリティ状態を確立した後は、脆弱性評価ツールによって、そのベースラインからの逸脱のみがレポートされます。 ベースラインに一致する結果は、それ以降のスキャンで合格と見なされます。 これにより、ユーザーとアナリストは、重要な問題に注意を集中できます。
- 詳細なベンチマーク情報は、検出された結果や、それらとリソースの関連性を "把握する" のに役立ちます。
- 特定されたリスクを軽減するのに役立つ修復スクリプト。
SQLAzure Defenderの詳細を確認>。
Azure Synapse Analytics専用 SQL プールの SQL サポートのAzure Defenderが一般公開されています
Azure Synapse Analytics (旧称 SQL DW) は、エンタープライズ データ ウェアハウスとビッグ データ分析を組み合わせた分析サービスです。 専用 SQL プールは、Azure Synapseのエンタープライズ データ ウェアハウス機能です。 詳細については、Azure Synapse Analytics(旧称 SQL DW)?を参照してください。
SQL のAzure Defenderでは、次の機能を使用して専用 SQL プールが保護されます。
- 高度な脅威保護 - 脅威と攻撃を検出します
- 脆弱性評価機能 - セキュリティに関する構成ミスを特定して修復します
Azure Synapse Analytics SQL プールに対する SQL のサポートのAzure Defenderは、Azure Security CenterのAzure SQL データベース バンドルに自動的に追加されます。 Azure ポータルの Synapse ワークスペース ページに、SQL 用の新しい
SQLAzure Defenderの詳細を確認>。
グローバル管理者が自分にテナントレベルのアクセス許可を付与できるようになりました
グローバル管理者のMicrosoft Entra IDロールを持つユーザーは、テナント全体の責任を負う可能性がありますが、Azure Security Centerでその組織全体の情報を表示するためのAzureアクセス許可がありません。
テナントレベルのアクセス許可を自分に割り当てるには、「テナント全体のアクセス許可を自分に付与する」セクションの手順に従います。
2 つの新しいAzure Defenderプラン: DNS のAzure DefenderとResource ManagerのAzure Defender (プレビュー段階)
Azure環境に 2 つの新しいクラウドネイティブの広範な脅威保護機能が追加されました。
これらの新しい保護により、脅威アクターからの攻撃に対する回復性が大幅に向上し、Azure Defenderによって保護されるAzureリソースの数が大幅に増加します。
Resource Manager の
Azure Defender - 組織内で実行されたすべてのリソース管理操作を自動的に監視します。 詳細については、次のトピックを参照してください。 Resource Manager - Resource ManagerアラートのAzure Defenderに応答します
Resource Manager
Azure Defender for DNS - Azure リソースからのすべての DNS クエリを継続的に監視します。 詳細については、次のトピックを参照してください。
Azure ポータルの [新しいセキュリティ アラート] ページ (プレビュー)
Azure Security Centerのセキュリティ アラート ページは、次の機能を提供するように再設計されました。
- アラートのトリアージ エクスペリエンスの向上 - アラートに対応する労力を減らし、最も関連性の高い脅威に焦点を絞りやすくするために、一覧にはカスタマイズ可能なフィルターとグループ化のオプションが追加されました
- アラート一覧への情報の追加 - MITRE ATT & ACK の戦術など
- サンプル アラートを作成するためのボタン - Azure Defender機能を評価し、アラートの構成をテストします (SIEM 統合、電子メール通知、ワークフロー自動化の場合)、すべてのAzure Defenderプランからサンプル アラートを作成できます
- Azure Sentinel のインシデント エクスペリエンスを使用した配置 - 両方の製品を使用するお客様にとって、切り替えがより簡単になり、もう一方から簡単に学習できるようになりました
- 大規模なアラート リストのパフォーマンスの向上
- アラート 一覧のキーボード ナビゲーション
Azure Resource Graph - すべてのリソースに対して Kusto に似た API である Azure Resource Graph でアラートを照会できます。 これは、独自のアラート ダッシュボードを作成している場合にも役立ちます。 Azure Resource Graphの詳細を参照してください。
新しいエクスペリエンスにアクセスするには、セキュリティ アラート ページの上部にあるバナーの "今すぐ試す" リンクを使用します。
新しいアラート エクスペリエンスからサンプル アラートを作成するには、「Generate sample Azure Defender alertsを参照してください。
Azure SQL Database&セキュリティセンター体験SQL Managed Instance
SQL 内の Security Center エクスペリエンスでは、次の Security Center と SQL 機能のAzure Defenderにアクセスできます。
- セキュリティに関する推奨事項 – Security Center は、接続されているすべてのAzure リソースのセキュリティ状態を定期的に分析して、潜在的なセキュリティ構成の誤りを特定します。 その後、これらの脆弱性を修復し、組織のセキュリティ体制を改善する方法に関する推奨事項が提供されます。
- セキュリティ アラート – SQL インジェクション、ブルート フォース攻撃、特権の悪用などの脅威Azure SQLアクティビティを継続的に監視する検出サービスです。 このサービスは、Security Center で詳細なアクション指向のセキュリティ アラートをトリガーし、Microsoft Sentinel、MicrosoftのAzureネイティブ SIEM ソリューションを使用して調査を続行するためのオプションを提供します。
- Findings – Azure SQL構成を継続的に監視し、脆弱性の修復に役立つ脆弱性評価サービスです。 評価スキャンでは、Azure SQLセキュリティ状態の概要と詳細なセキュリティ結果が提供されます。
資産インベントリ ツールとフィルターの更新
Azure Security Centerのインベントリ ページは、次の変更で更新されました。
[Guides and feedback](ガイドとフィードバック) がツール バーに追加されました。 これにより、関連する情報やツールへのリンクがあるペインが開きます。
リソースで 使用できる既定のフィルターに追加されたサブスクリプション フィルター。
クエリを開く現在のフィルター オプションをAzure Resource Graph クエリとして開くリンク (以前は "リソース グラフ エクスプローラーで表示" と呼ばれます)。
各フィルターの演算子オプション。 "=" に加えて他の論理演算子も選択できるようになりました。 たとえば、タイトルに "encrypt" という文字列が含まれているアクティブな推奨事項があるすべてのリソースを検索することができます。
インベントリの詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
SSL 証明書を要求する Web アプリに関する推奨事項がセキュリティ スコアの対象から除外
推奨事項 "Web apps should request an SSL certificate for all incoming requests (Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある)" が、[アクセスおよびアクセス許可の管理] (最大 4 ポイントに相当) セキュリティ コントロールから [セキュリティのベスト プラクティスを実装する] (ポイントなしに相当) に移動されました。
Web アプリが証明書を要求するようにすることで、確実にセキュリティが向上します。 ただし、公開されている Web アプリの場合は関係ありません。 HTTPS ではなく HTTP 経由でサイトにアクセスする場合は、クライアント証明書を受信しません。 したがって、アプリケーションにクライアント証明書が必要な場合は、HTTP 経由でのアプリケーションへの要求を許可しないでください。 詳細については、 Azure App Serviceの TLS 相互認証の構成に関するページを参照してください。
この変更により、この推奨事項は、スコアに影響を与えない、推奨のベスト プラクティスになりました。
各セキュリティ コントロールに含まれる推奨事項については、「セキュリティ コントロールとその推奨事項」を参照してください。
環境、重大度、利用可能な応答用の新しいフィルターが推奨事項のページに追加
Azure Security Centerは、接続されているすべてのリソースを監視し、セキュリティに関する推奨事項を生成します。 これらの推奨事項を使用して、ハイブリッド クラウドの体制を強化し、組織、業界、国およびリージョンに関連するポリシーと標準へのコンプライアンス状況を追跡します。
Security Center のカバレッジと機能が拡張されるにつれて、セキュリティに関する推奨事項の一覧が毎月増えていきます。 たとえば、セキュリティ ベンチマークの対象範囲を拡大するために追加された 9 つのプレビュー推奨事項Azure参照してください。
一覧が増加するのに伴い、最も関心のあるものを見つけることができるように、フィルターを使用して推奨事項を絞り込む機能が求められるようになりました。 11 月に、推奨事項のページにフィルターを追加しました (「推奨事項の一覧にフィルターを追加」を参照してください)。
この月に追加されたフィルターには、次の条件で推奨事項の一覧を絞り込むためのオプションがあります。
Environment - AWS、GCP、またはAzureリソース (または任意の組み合わせ) に関する推奨事項を表示します
重大度 - Security Center によって設定された重大度分類に従って推奨事項を表示する
応答アクション - Security Center の応答オプションの可用性に応じて推奨事項を表示する: 修正、拒否、強制
Tip
応答アクション フィルターは、 [Quick fix available (Yes/No)](クイック修正を使用できます (はい/いいえ)) フィルターに置き換わるものです。
これらの応答オプションの詳細については、次を参照してください。
連続エクスポートで新しいデータ型が利用可能になり、deployifnotexist ポリシーが改善
Azure Security Centerの連続エクスポート ツールを使用すると、環境内の他の監視ツールで使用するために Security Center の推奨事項とアラートをエクスポートできます。
連続エクスポートを使用して、エクスポートする "内容" とエクスポート先の "場所" を完全にカスタマイズできます。 詳細については、「Security Center のデータを連続的にエクスポートする」を参照してください。
これらのツールは、次の点で強化および拡張されました。
連続エクスポートの deployifnotexist ポリシーの強化。 これらのポリシーで、以下のことが可能になりました。
構成が有効になっているかどうかの確認。 有効になっていない場合、ポリシーによって非準拠として表示され、準拠しているリソースが作成されます。 提供されているAzure Policy テンプレートの詳細については、
連続エクスポートを設定する 」を参照>。セキュリティ調査結果のエクスポートのサポート。 Azure Policy テンプレートを使用する場合は、結果を含むように連続エクスポートを構成できます。 これは、"サブ" 推奨事項 (たとえば、脆弱性評価スキャナーからの調査結果) や、"親" 推奨事項 "システム更新プログラムをマシンにインストールする必要がある" に対する特定のシステム更新プログラムを含む推奨事項をエクスポートする場合に関連します。
セキュリティ スコア データのエクスポートのサポート。
規制コンプライアンス評価データの追加 (プレビュー)。 カスタム イニシアチブを含む規制コンプライアンス評価の更新プログラムを、Log Analytics ワークスペースまたは Event Hubs に継続的にエクスポートできるようになりました。 この機能は、各国のクラウドでは使用できません。
2020 年 11 月
11 月の更新プログラムには次のものが含まれます。
- 29 プレビューの推奨事項が追加され、Azureセキュリティ ベンチマークの対象範囲が広がります
- Security Center の法令遵守ダッシュボードに追加された NIST SP 800 171 R2
- 推奨事項の一覧にフィルターを追加
- 自動プロビジョニング エクスペリエンスの向上と拡張
- 連続エクスポートでセキュア スコアが利用可能に (プレビュー)
- "システム更新プログラムをマシンにインストールする必要がある" 推奨事項にサブ推奨事項を追加
- Azure ポータルの Policy 管理ページに、既定のポリシー割り当ての状態が表示されるようになりました
Azureセキュリティ ベンチマークの対象範囲を拡大するために、29 個のプレビューの推奨事項が追加されました
Azureセキュリティ ベンチマークは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するMicrosoft作成された、Azure固有のガイドラインのセットです。 Azure セキュリティ ベンチマークの詳細を参照してください。
ベンチマークのカバレッジを拡大するために、次の 29 個のプレビュー推奨事項が Security Center に追加されています。
プレビューの推奨事項によってリソースが異常な状態になることはありません。これらの推奨事項は、セキュリティ スコアの計算には含まれません。 これらの推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復してください。 これらの推奨事項に対応する方法の詳細については、Azure Security Center の
| セキュリティ コントロール | 新しい推奨事項 |
|---|---|
| 転送中のデータを暗号化する | - PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない - API アプリに対して TLS を最新バージョンに更新する必要がある - 関数アプリに対して TLS を最新バージョンに更新する必要がある - Web アプリに対して TLS を最新バージョンに更新する必要がある - API アプリでは FTPS を必須とする - 関数アプリでは FTPS を必須とする - Web アプリでは FTPS を必須とする |
| アクセスおよびアクセス許可の管理 | - Web アプリではすべての受信要求に対して SSL 証明書を要求する必要がある - API アプリではマネージド ID を使用する必要がある - 関数アプリではマネージド ID を使用する必要がある - Web アプリではマネージド ID を使用する必要がある |
| 承認されていないネットワーク アクセスの制限 | - PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある - MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある - MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある |
| 監査とログ記録を有効にする | - App Services の診断ログを有効にする必要があります |
| セキュリティのベストプラクティスを実装する | - 仮想マシンAzure Backup有効にする必要がある - geo 冗長バックアップをAzure Database for MariaDBに対して有効にする必要がある - geo 冗長バックアップをAzure Database for MySQLに対して有効にする必要がある - geo 冗長バックアップをAzure Database for PostgreSQLに対して有効にする必要がある - API アプリに対して PHP を最新バージョンに更新する必要がある - Web アプリに対して PHP を最新バージョンに更新する必要がある - Javaは、API アプリの最新バージョンに更新する必要があります - Java関数アプリの最新バージョンに更新する必要があります - Javaは、Web アプリの最新バージョンに更新する必要があります - Pythonは、API アプリの最新バージョンに更新する必要があります - Python関数アプリの最新バージョンに更新する必要があります - Pythonは、Web アプリの最新バージョンに更新する必要があります - SQL サーバーの監査のリテンション期間は少なくとも 90 日に設定する必要がある |
関連リンク:
セキュリティ ベンチマーク - Azure API アプリの詳細については
- Azure関数アプリの詳細
- Azure Web アプリの詳細については
Azure Database for MariaDB Azure Database for MySQL Azure Database for PostgreSQL
Security Center の法令遵守ダッシュボードに追加された NIST SP 800 171 R2
NIST SP 800-171 R2 標準は、Azure Security Centerの規制コンプライアンス ダッシュボードで使用するための組み込みイニシアチブとして利用できるようになりました。 コントロールのマッピングの詳細については、「NIST SP 800-171 R2 規制コンプライアンスの組み込みイニシアチブの詳細」を参照してください。
標準をサブスクリプションに適用し、コンプライアンス状態を継続的に監視するには、「規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズ」の手順を使用します。
このコンプライアンス標準の詳細については、NIST SP 800-171 R2 に関するページを参照してください。
推奨事項の一覧にフィルターを追加
さまざまな条件に従って、セキュリティに関する推奨事項の一覧をフィルター処理できるようになりました。 次の例では、以下の条件を満たす推奨事項を表示するように、推奨事項の一覧がフィルター処理されています。
- は 一般公開 されています (つまり、プレビューではありません)
- はストレージ アカウント用です
- クイック修正の修復をサポートする
自動プロビジョニング エクスペリエンスの向上と拡張
自動プロビジョニング機能は、Security Center の保護の恩恵を受けることができるように、必要な拡張機能を新規および既存の Azure VM にインストールすることで、管理オーバーヘッドを削減するのに役立ちます。
Azure Security Centerが増えるにつれて、より多くの拡張機能が開発され、Security Center はリソースの種類のより大きな一覧を監視できます。 自動プロビジョニング ツールは、Azure Policyの機能を利用して、他の拡張機能やリソースの種類をサポートするように拡張されました。
次の自動プロビジョニングを構成できるようになりました。
- Log Analytics エージェント
- (新規)Kubernetes のAzure Policy
- (新規)Microsoft Dependency Agent
詳細については、
連続エクスポートでセキュア スコアが利用可能に (プレビュー)
セキュア スコアを継続的にエクスポートすると、スコアへの変更をリアルタイムでAzure Event HubsまたはLog Analytics ワークスペースにストリーミングできます。 この機能を使用すると、次のことができます。
- 動的レポートを使用し、一定期間にわたってセキュア スコアを追跡する
- セキュリティ スコア データをMicrosoft Sentinel (またはその他の SIEM) にエクスポートする
- そのデータを、組織内でセキュア スコアを監視する目的で既に使用しているプロセスに統合する
Security Center のデータを連続的にエクスポートする方法についての詳しい情報をご覧ください。
"システム更新プログラムをマシンにインストールする必要がある" 推奨事項にサブ推奨事項を追加
システム更新プログラムをマシンにインストールする必要がある推奨事項が強化されています。 新しいバージョンには、不足している更新プログラムごとのサブ推奨事項が含まれているほか、次の点が改善されています。
Azure ポータルのAzure Security Center ページで再設計されたエクスペリエンス。 "システム更新プログラムをマシンにインストールする必要がある" に関する推奨事項の詳細ページには、次に示すような結果の一覧が表示されます。 1 つの結果を選択すると、詳細ウィンドウが開き、修復情報および影響を受けるリソースの一覧へのリンクが表示されます。
Azure Resource Graph (ARG) からの推奨事項の強化されたデータ。 ARG は、効率的なリソース探索を提供するように設計されたAzure サービスです。 ARG を使用すると、特定のサブスクリプション セットの大規模なクエリを実行し、環境を効果的に管理できます。
Azure Security Centerでは、ARG と Kusto Query Language (KQL) を使用して、さまざまなセキュリティ体制データに対してクエリを実行できます。
以前は、この推奨事項を ARG で照会した場合、取得できるのは、マシン上でその推奨事項を修復する必要があるという情報のみでした。 次に示す強化されたバージョンのクエリを実行すると、不足している各システム更新プログラムがマシン別にグループ化されて返されます。
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Azure ポータルの [ポリシー管理] ページに、既定のポリシー割り当ての状態が表示されるようになりました
Azure ポータルの Security Center の セキュリティ ポリシー ページで、サブスクリプションに既定の Security Center ポリシーが割り当てられているかどうかを確認できるようになりました。
2020 年 10 月
10 月の更新プログラムには次のものが含まれます。
- オンプレミスおよびマルチクラウド マシンの脆弱性評価 (プレビュー)
- Azure Firewall推奨事項が追加されました (プレビュー)
- "Kubernetes Services では承認された IP 範囲を定義する必要があります" という推奨事項のクイック修正による更新
- 規制コンプライアンス ダッシュボードへの、標準を削除するオプションの追加
Microsoft。security/securityStatuses テーブルが Azure Resource Graph
オンプレミスおよびマルチクラウド マシンの脆弱性評価 (プレビュー)
Azure Defender for Servers の統合された脆弱性評価スキャナー (Qualys を搭載) は、Azure Arc対応サーバーをスキャンするようになりました。
Azure以外のマシンでAzure Arcを有効にすると、Security Center では、統合された脆弱性スキャナーを手動で大規模に展開できます。
この更新プログラムを使用すると、Azure Defender for Servers の機能を最大限に活用して、AzureとAzure以外のすべての資産にわたって脆弱性管理プログラムを統合できます。
主な機能:
- Azure Arc マシンでの VA (脆弱性評価) スキャナーのプロビジョニング状態の監視
- 保護されていない Windows および Linux Azure Arc マシンへの統合 VA エージェントのプロビジョニング (手動および大規模)
- デプロイされたエージェントで検出された脆弱性を受け取って分析する (手動で大規模に)
- Azure VM とAzure Arc マシンの統合されたエクスペリエンス
ハイブリッド マシンへの統合された Qualys 脆弱性スキャナーのデプロイについての詳細を参照してください。
Azure Arc対応サーバーの詳細についてはを参照してください。
Azure Firewall推奨事項が追加されました (プレビュー)
Azure Firewallを使用してすべての仮想ネットワークを保護するための新しい推奨事項が追加されました。
詳細については、Azure Firewallを参照してください。
"Kubernetes Services では承認された IP 範囲を定義する必要があります" という推奨事項のクイック修正による更新
Kubernetes Services では承認された IP 範囲を定義する必要がありますという推奨事項に、クイック修正オプションが追加されました。
規制コンプライアンス ダッシュボードへの、標準を削除するオプションの追加
Security Center の規制コンプライアンス ダッシュボードでは、特定のコンプライアンスのコントロールと要件をどのように満たしているかに基づいて、コンプライアンス体制に関する分析情報が提供されます。
ダッシュボードには、規制標準の既定のセットが含まれています。 提供されている標準に、組織に関連していないものが含まれている場合、簡単なプロセスでサブスクリプションの UI から削除できるようになりました。 標準は サブスクリプション レベルでのみ削除できます。管理グループスコープではありません。
詳細については、「ダッシュボードから標準を削除する」を参照してください。
Microsoft。Azure Resource Graph (ARG) から削除された Security/securityStatuses テーブル
Azure Resource GraphはAzureのサービスであり、環境を効果的に管理できるように、特定のサブスクリプションのセット全体で大規模にクエリを実行する機能を備えた効率的なリソース探索を提供するように設計されています。
Azure Security Centerでは、ARG と Kusto Query Language (KQL) を使用して、さまざまなセキュリティ体制データに対してクエリを実行できます。 例えば次が挙げられます。
- 資産インベントリで ARG を利用する
- 多要素認証 (MFA) が有効になっていないアカウントを識別する方法を示すために、サンプル ARG クエリのドキュメントを作成しました
ARG 内には、クエリで使用できるデータのテーブルがあります。
Tip
ARG ドキュメントには、Azure Resource Graph テーブルとリソースの種類のリファレンスで使用可能なすべてのテーブルが一覧表示されています。
この更新プログラムから、Microsoft。Security/securityStatuses テーブルが削除されました。 securityStatuses API は引き続き使用できます。
データの置換は、Microsoftで使用できます。Security/Assessments テーブル。
Microsoftの主な違い。Security/securityStatuses とMicrosoft。Security/Assessments は、1 つ目は評価の集計を示しますが、秒はそれぞれの 1 つのレコードを保持することです。
たとえば、Microsoft。Security/securityStatuses は、次の 2 つの policyAssessments の配列を持つ結果を返します。
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
一方、Microsoft。セキュリティ/評価には、次のようなポリシー評価ごとにレコードが保持されます。
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
securityStatuses を使用する既存の ARG クエリを、評価テーブルを使用するように変換する例:
SecurityStatuses を参照するクエリ:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Assessments テーブル用の置換クエリ:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
詳細については、以下のリンクを参照してください。
2020 年 9 月
9 月の更新プログラムには次のものが含まれます。
- Security Center の外観の変更
- Azure Defenderリリース
- Key VaultのAzure Defenderは一般公開されています
- Azure Defender ファイルと ADLS Gen2 のストレージ保護は一般提供されています
- 資産インベントリ ツールの一般提供開始
- コンテナー レジストリと仮想マシンのスキャンに対する特定の脆弱性の検出結果の無効化
- 推奨事項からリソースを除外する
- Security Center の AWS および GCP コネクタによるマルチクラウド エクスペリエンスの実現
- Kubernetes ワークロード保護の推奨事項バンドル
- 連続エクスポートで脆弱性評価の結果が利用可能
- 新しいリソースを作成するときに推奨事項を適用してセキュリティ構成ミスを防止
- ネットワーク セキュリティ グループ推奨事項の改善
- プレビューの AKS 推奨事項 "Kubernetes Services でポッドのセキュリティ ポリシーを定義する必要がある" の非推奨化
- Azure Security CenterからのEmail通知が改善されました
- セキュリティ スコアからのプレビューの推奨事項の除外
- 推奨事項への重大度インジケーターと更新間隔の追加
Security Center の外観の変更
Security Center のポータル ページの UI が更新されました。 新しいページには、セキュリティ スコア、資産インベントリ、およびAzure Defender用の新しい概要ページとダッシュボードが含まれます。
再設計された概要ページに、セキュリティ スコア、資産インベントリ、およびAzure Defender ダッシュボードにアクセスするためのタイルが追加されました。 規制コンプライアンス ダッシュボードにリンクしているタイルもあります。
概要ページの詳細を確認します。
リリースAzure Defender
Azure Defender は、Security Center 内に統合されたクラウド ワークロード保護プラットフォーム (CWPP) であり、Azureとハイブリッド ワークロードの高度でインテリジェントな保護を実現します。 これは Azure Security Center の Standard 価格レベル オプションに代わるものです。
Azure Security Centerの Pricing と settings 領域からAzure Defenderを有効にすると、次のDefenderプランがすべて同時に有効になり、環境のコンピューティング、データ、およびサービス レイヤーに対して包括的な防御が提供されます。
- Azure Defender for Servers
- App Service のAzure Defender
- Azure Defender for Storage
- Azure Defender for SQL
- Key VaultAzure Defender>
- Kubernetes のAzure Defender
- コンテナー レジストリのAzure Defender
これらのプランについてはそれぞれ、Security Center のドキュメントで個別に説明されています。
専用のダッシュボードを使用すると、Azure Defenderは、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなどのセキュリティ アラートと高度な脅威保護を提供します。
Key VaultのAzure Defenderは一般公開されています
Azure Key Vaultは、証明書、接続文字列、パスワードなどの暗号化キーとシークレットを保護するクラウド サービスです。
Key VaultAzure Defender>は、Azure Key Vaultに対するAzureネイティブの高度な脅威保護を提供し、セキュリティ インテリジェンスの追加レイヤーを提供します。 拡張すると、Key VaultのAzure Defenderによって、Key Vault アカウントに依存するリソースの多くが保護されます。
このオプション プランの一般提供が開始されました。 この機能は、「Azure Key Vaultの高度な脅威保護」としてプレビュー段階でした。
また、Azure ポータルのKey Vault ページには、
詳細については、Key Vault の
ファイルと ADLS Gen2 のストレージ保護のAzure Defenderが一般公開されました
Azure Defender for Storage は、Azure Storage アカウントで有害な可能性のあるアクティビティを検出します。 BLOB コンテナー、ファイル共有、またはデータ レイクのいずれに格納されているデータでも保護できます。
Azure Files および Azure Data Lake Storage Gen2 のサポートが一般公開されました。
2020 年 10 月 1 日から、これらのサービスのリソースの保護に対して課金が開始されます。
詳細については、ストレージのAzure Defenderを参照してください。
資産インベントリ ツールの一般提供開始
Azure Security Centerの資産インベントリ ページには、Security Center に接続したリソースのセキュリティ体制を表示するための 1 つのページが用意されています。
Security Center は、Azure リソースのセキュリティ状態を定期的に分析して、潜在的なセキュリティの脆弱性を特定します。 その後、これらの脆弱性を修正する方法に関する推奨事項が提供されます。
いずれかのリソースに未処理の推奨事項がある場合は、インベントリに表示されます。
詳細については、「資産インベントリを使用してリソースの調査と管理を行う」を参照してください。
コンテナー レジストリと仮想マシンのスキャンに対する特定の脆弱性の検出結果の無効化
Azure Defenderには、Azure Container Registryと仮想マシン内の画像をスキャンするための脆弱性スキャナーが含まれています。
組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 無効化された検出結果は、セキュリティ スコアに影響を与えたり、不要なノイズを生成したりすることはありません。
無効化のルールで定義した条件と一致する検出結果は、検出結果の一覧には表示されません。
このオプションは、次の推奨事項の詳細ページから使用できます。
- Azure Container Registryイメージ内のVulnerabilitiesを修復する必要があります
- 仮想マシンの脆弱性を修復する必要がある
推奨事項からリソースを除外する
場合によっては、特定の推奨事項に関するリソースが、異常ではないはずなのに、異常として表示されることがあります (これによりセキュリティ スコアが低くなります)。 それは、Security Center によって追跡されていないプロセスによって修復された可能性があります。 あるいは、ご自身の組織が、その特定のリソースのリスクを受け入れることにしたのかもしれません。
このような場合は、除外規則を作成して、今後そのリソースが異常なリソースの一覧に表示されないようにすることができます。 これらの規則には、以下で説明するように、文書化された妥当性を含めることができます。
詳細については、「推奨事項とセキュリティ スコアからリソースを除外する」を参照してください。
Security Center の AWS および GCP コネクタによるマルチクラウド エクスペリエンスの実現
通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。
Azure Security Centerは、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) のワークロードを保護するようになりました。
AWS および GCP プロジェクトを Security Center にオンボードすると、AWS Security Hub、GCP Security Command、Azure Security Centerが統合されます。
詳細については、「
Kubernetes ワークロード保護の推奨事項バンドル
Kubernetes ワークロードが既定で確実に保護されるように、Security Center によって、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベルの強化の推奨事項が追加されます。
Kubernetes のAzure Policyを AKS クラスターにインストールすると、クラスターに永続化される前に、Kubernetes API サーバーに対するすべての要求が定義済みのベスト プラクティスセットに照らして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。
たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。
詳細については、Kubernetes 受付制御を使用したワークロード保護のベスト プラクティスに関するページを参照してください。
連続エクスポートで脆弱性評価の結果が利用可能
継続的エクスポートを使用して、アラートと推奨事項をストリーミングして、Azure Event Hubs、ワークスペースLog Analytics、またはAzure Monitorします。 そこから、このデータを、Microsoft Sentinel、Power BI、Azure Data Explorerなどの SIEM と統合できます。
Security Center の統合された脆弱性評価ツールは、"仮想マシンの脆弱性を修復する必要がある" などの "親" の推奨事項内で、ご自身のリソースに関する結果を実行可能な推奨事項として返します。
推奨事項を選択し [セキュリティに関する調査結果を含める] オプションを有効にすることで、連続エクスポートを介して、セキュリティに関する調査結果をエクスポートに利用できるようにるようになりました。
関連ページ:
- Azure仮想マシン用のセキュリティ センターの統合 Qualys 脆弱性評価ソリューション
- Azure Container Registryイメージ用のセキュリティ センターの統合された脆弱性評価ソリューション
- 連続エクスポート
新しいリソースを作成するときに推奨事項を適用してセキュリティ構成ミスを防止
セキュリティ構成ミスは、セキュリティ インシデントの大きな原因です。 Security Center には、特定の推奨事項に関する新しいリソースの構成ミスを 防ぐ 機能が追加されました。
この機能は、ワークロードの安全性を確保し、ご自身のセキュリティ スコアを安定させるうえで役立ちます。
特定の推奨事項に基づいたセキュリティで保護された構成は、次の 2 つのモードで適用できます。
Azure Policyの拒否モードを使用すると、異常なリソースの作成を停止できます
強制オプションを使用すると、Azure Policyの DeployIfNotExist 効果を利用し、作成時に非準拠リソースを自動的に修復できます。
これは、選択したセキュリティの推奨事項で利用でき、リソースの詳細ページの上部にあります。
詳細については、「適用/拒否の推奨事項を使用した構成ミスの防止」を参照してください。
ネットワーク セキュリティ グループ推奨事項の改善
ネットワーク セキュリティ グループに関連する次のセキュリティ推奨事項が、一部の擬陽性のインスタンスを減らすために改善されました。
- すべてのネットワーク ポートは、VM に関連付けられた NSG で制限する必要があります
- 仮想マシンの管理ポートを閉じておく必要がある
- インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある
- サブネットはネットワーク セキュリティ グループに関連付けられている必要がある
プレビューの AKS 推奨事項 "Kubernetes Services でポッドのセキュリティ ポリシーを定義する必要がある" の非推奨化
Azure Kubernetes Service ドキュメントで説明されているように、プレビューの推奨事項 "Kubernetes Services でポッド セキュリティ ポリシーを定義する必要があります" は非推奨です>。
ポッド セキュリティ ポリシー (プレビュー) 機能は非推奨に設定されており、2020 年 10 月 15 日以降、AKS のAzure Policyを優先して使用できなくなります。
ポッド セキュリティ ポリシー (プレビュー) が非推奨になった後は、非推奨の機能を使用して既存のクラスターで機能を無効にして、将来のクラスターのアップグレードを実行し、Azure サポート内に留める必要があります。
Azure Security Centerからの電子メール通知の改善
セキュリティ アラートに関する次の電子メール領域が改善されました。
- すべての重大度レベルのアラートに関する電子メール通知の送信機能を追加
- サブスクリプションで異なるAzure ロールを持つユーザーに通知する機能を追加しました
- (本当の侵害である可能性が高い) 重大度が高いアラートについては、サブスクリプションの所有者に事前に送信されます
- 電子メール通知の構成ページから電話番号フィールドが削除されました
詳細については、「セキュリティ アラートのメール通知を設定する」を参照してください。
セキュリティ スコアからのプレビューの推奨事項の除外
Security Center は、セキュリティの問題について、リソース、サブスクリプション、および組織を継続的に評価します。 その後、すべての結果を 1 つのスコアに集約して、現在のセキュリティの状況を一目で確認できるようにします。スコアが高くなるほど、識別されたリスク レベルが低下します。
新しい脅威が発見されると、新しいセキュリティに関するアドバイスが、新しい推奨事項を介して Security Center で利用できるようになります。 セキュリティ スコアの予期しない変更を回避し、スコアに影響を与える前に新しい推奨事項を調査できる猶予期間を設けるために、 プレビュー としてフラグが設定された推奨事項は、セキュリティ スコアの計算に含まれなくなりました。 それでも、その推奨事項はプレビュー期間が終了した時点でスコアに反映されるため、可能な限り修復しておく必要があります。
また、 プレビュー の推奨事項では、リソース "異常" はレンダリングされません。
プレビューの推奨事項の例を次に示します。
推奨事項への重大度インジケーターと更新間隔の追加
推奨事項の詳細ページに、更新間隔インジケーター (関連する場合) が追加され、推奨事項の重大度が明確に表示されるようになりました。
2020 年 8 月
8 月の更新プログラムには次のものが含まれます。
- 資産インベントリ - 資産のセキュリティ態勢の強力な新しいビュー
Microsoft Entra ID セキュリティの既定値 (多要素認証の場合) - サービス プリンシパルに関する推奨事項の追加
- VM の脆弱性評価 - 推奨事項とポリシーの統合
- ASC_default イニシアチブに追加された新しい AKS セキュリティ ポリシー
資産インベントリ - 資産のセキュリティ態勢の強力な新しいビュー
Security Center の資産インベントリ (現在プレビュー) を使用すると、Security Center に接続したリソースのセキュリティ態勢を確認することができます。
Security Center は、Azure リソースのセキュリティ状態を定期的に分析して、潜在的なセキュリティの脆弱性を特定します。 その後、これらの脆弱性を修正する方法に関する推奨事項が提供されます。 いずれかのリソースに未処理の推奨事項がある場合は、インベントリに表示されます。
ビューとそのフィルターを使用して、セキュリティの態勢データを調査し、結果に基づいてさらにアクションを実行できます。
資産インベントリの詳細を確認します。
Microsoft Entra ID セキュリティの既定値のサポートを追加しました (多要素認証の場合)
Security Center では、Microsoftの無料の ID セキュリティ保護である security defaults の完全なサポートが追加されました。
セキュリティの既定値群により、構成済みの ID セキュリティ設定が提供され、組織は一般的な ID 関連の攻撃から保護されます。 セキュリティの既定値群により、500 万個以上のテナント全体が既に保護されています。50,000 個のテナントも Security Center によって保護されています。
Security Center では、セキュリティの既定値が有効になっていないAzure サブスクリプションが識別されるたびに、セキュリティに関する推奨事項が提供されるようになりました。 これまで、Security Center では、Microsoft Entra ID Premium ライセンスの一部である条件付きアクセスを使用して多要素認証を有効にすることをお勧めします。 Microsoft Entra ID無料で使用しているお客様には、セキュリティの既定値を有効にすることをお勧めします。
Microsoft の目標は、より多くのお客様に MFA を使用してクラウド環境をセキュリティで保護し、セキュリティ スコアに最も影響を与える最も高いリスクの 1 つを軽減できるようにすることです。
セキュリティの既定値について詳しくは、こちらをご覧ください。
サービス プリンシパルに関する推奨事項の追加
管理証明書を使用してサブスクリプションを管理している Security Center のお客様に対してサービス プリンシパルへの切り替えを推奨するための、新しい推奨事項が追加されました。
推奨事項
Microsoft Entra ID の
VM の脆弱性評価 - 推奨事項とポリシーの統合
Security Center では、VM を調べて脆弱性評価ソリューションが実行されているかどうかを検出します。 脆弱性評価ソリューションが検出されない場合、Security Center によって、展開を簡略化するための推奨事項が示されます。
脆弱性が発見された場合、調査結果をまとめた推奨事項が Security Center によって示され、必要に応じて調査および修復できるようにします。
使用されているスキャナーの種類に関係なく、すべてのユーザーに一貫したエクスペリエンスを提供できるように、4 つの推奨事項を次の 2 つに統合しました。
| 統合された推奨事項 | 変更の説明 |
|---|---|
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 次の 2 つの推奨事項の代わりとなります。 ***** 組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用) (現在は非推奨) (Standard レベルに組み込み) ***** 脆弱性評価ソリューションを仮想マシンにインストールする必要がある (現在は非推奨) (Standard と Free レベル) |
| 仮想マシンの脆弱性を修復する必要がある | 次の 2 つの推奨事項の代わりとなります。 ***** 仮想マシンで検出された脆弱性を修復する (Qualys を利用) (現在は非推奨) ***** 脆弱性評価ソリューションによって脆弱性を修復する必要がある (現在は非推奨) |
これで、同じ推奨事項を利用して、Security Center の脆弱性評価拡張機能、または Qualys や Rapid 7 などの、パートナーからプライベートにライセンス供与されたソリューション ("BYOL") をデプロイすることになります。
また、脆弱性が検出され、Security Center に報告された場合、その脆弱性を特定した脆弱性評価ソリューションに関係なく、1 つの推奨事項によって調査結果がアラートとして通知されます。
依存関係の更新
以前の推奨事項またはポリシーのキー/名前を参照するスクリプト、クエリ、または自動化がある場合は、次の表を利用してその参照を更新します。
2020 年 8 月より前
| Recommendation | Scope |
|---|---|
|
組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用) キー: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
仮想マシンで検出された脆弱性を修復する (Qualys を利用) キー: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
脆弱性評価ソリューションを仮想マシンにインストールする必要があります キー: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
脆弱性評価ソリューションによって脆弱性を修復する必要がある キー: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
仮想マシンで脆弱性評価を有効にする必要がある ポリシー ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
脆弱性評価ソリューションによって脆弱性を修復する必要がある ポリシー ID:760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
2020 年 8 月以降
| Recommendation | Scope |
|---|---|
|
脆弱性評価ソリューションを仮想マシンで有効にする必要がある キー: ffff0522-1e88-47fc-8382-2a80ba848f5d |
組み込み + BYOL |
|
仮想マシンの脆弱性を修復する必要がある キー: 1195afff-c881-495e-9bc5-1486211ae03f |
組み込み + BYOL |
| Policy | Scope |
|---|---|
|
仮想マシンで脆弱性評価を有効にする必要がある ポリシー ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
組み込み + BYOL |
ASC_default イニシアチブに追加された新しい AKS セキュリティ ポリシー
Kubernetes ワークロードが既定で確実に保護されるように、Security Center によって、Kubernetes 受付制御を含む適用オプションなど、Kubernetes レベル ポリシーが追加され、レコメンデーションが強化されます。
このプロジェクトの初期段階には、プレビューと、ASC_default イニシアチブへの新しい (既定で無効になっている) ポリシーの追加が含まれています。
このようなポリシーは無視しても問題ありません。お使いの環境に影響が出ることはありません。 有効にする場合は、Microsoft Cloud Security Private Community を使用してプレビューにサインアップし、次のオプションから選択します。
- 単一プレビュー – このプレビューにのみ参加します。 参加するプレビューとして "ASC Continuous Scan" を明示的に伝えます。
- 継続的なプログラム – このプレビューと今後のプレビューに追加されます。 プロファイルとプライバシー契約を完了する必要があります。
2020 年 7 月
7 月の更新プログラムには次のものが含まれます。
- マーケットプレースにないイメージに対して、仮想マシンの脆弱性評価を利用できるようになりました
Azure Storageの保護が拡張され、Azure FilesとAzure Data Lake Storage Gen2 (プレビュー) - 脅威の防止機能を有効にするための 8 つの新しい推奨事項
- コンテナーのセキュリティ強化 - レジストリのスキャンの高速化とドキュメントの更新
- 新しい推奨事項とパス規則でのワイルドカードのサポートによって適応型アプリケーション制御を更新
- 非推奨となった SQL の高度なデータ セキュリティの 6 つのポリシー
仮想マシンの脆弱性評価をマーケットプレース以外のイメージで使用可能に
脆弱性評価ソリューションをデプロイする際、以前はデプロイ前に Security Center によって検証チェックが実行されていました。 このチェックは、接続先の仮想マシンのマーケットプレース SKU を確認するために行われていました。
この更新プログラムからチェックが削除され、脆弱性評価ツールを "カスタム" Windowsおよび Linux マシンに展開できるようになりました。 カスタム イメージは、マーケットプレースの既定値からユーザーが変更したものです。
統合された脆弱性評価拡張機能 (Qualys を使用) をより多くのマシンに展開できるようになりましたが、サポートは、「統合された脆弱性スキャナーを Standard レベルの VM にデプロイする」に記載されている OS を使用している場合にのみ受けることができます
仮想マシン用のintegrated 脆弱性スキャナー (Azure Defenderが必要) の詳細を確認します。
Qualys の独自のプライベート ライセンス脆弱性評価ソリューションの使用、またはパートナーの脆弱性スキャン ソリューションの展開Rapid7について説明します。
Azure FilesとAzure Data Lake Storage Gen2を含むように拡張されたAzure Storageの脅威保護 (プレビュー)
Azure Storageの脅威保護は、Azure Storage アカウントで有害な可能性のあるアクティビティを検出します。 Security Center では、ストレージ アカウントへのアクセスまたはストレージ アカウントの悪用の試行が検出されたときにアラートが表示されます。
BLOB コンテナー、ファイル共有、またはデータ レイクのいずれに格納されているデータでも保護できます。
脅威の防止機能を有効にするための 8 つの新しい推奨事項
仮想マシン、App Service プラン、Azure SQL Database サーバー、マシン上の SQL サーバー、Azure Storage アカウントなど、Azure Security Centerの脅威保護機能を有効にする簡単な方法を提供する 8 つの新しい推奨事項が追加されました。クラスター、Azure Container Registry レジストリ、Azure Key Vault コンテナーをAzure Kubernetes Serviceします。
新しい推奨事項は次のとおりです。
- Azure SQL Database サーバーでAdvanced データ セキュリティを有効にする必要があります
- マシン上の SQL サーバーで Advanced Data Security を有効にする必要がある
- Azure App Service プランでAdvanced Threat Protection を有効にする必要があります
- Azure Container Registry レジストリでAdvanced Threat Protection を有効にする必要があります
- Azure Key Vault コンテナーでAdvanced Threat Protection を有効にする必要があります
- Azure Kubernetes Service クラスターでAdvanced Threat Protection を有効にする必要があります
- Azure Storage アカウントでAdvanced Threat Protection を有効にする必要があります
- 仮想マシンで Advanced Threat Protection を有効にする必要がある
推奨事項には、クイック修正機能も含まれています。
Important
これらの推奨事項を 1 つでも修復すると、関連するリソースを保護するための料金が発生します。 現在のサブスクリプションに関連するリソースがある場合、直ちに料金が発生します。 後で追加した場合は、後で行われます。
たとえば、サブスクリプションにAzure Kubernetes Service クラスターがなく、脅威保護を有効にした場合、料金は発生しません。 将来、同じサブスクリプションにクラスターを追加すると、そのクラスターは自動的に保護され、その時点で料金が発生します。
Azure Security Center での
コンテナーのセキュリティ強化 - レジストリのスキャンの高速化とドキュメントの更新
コンテナー セキュリティ ドメインへの継続的な投資の一環として、Azure Container Registryに格納されているコンテナー イメージの Security Center の動的スキャンにおけるパフォーマンスの大幅な向上を共有できます。 スキャンは、通常約 2 分で完了するようになりました。 場合によっては、最大 15 分かかることがあります。
Azure Security Centerのコンテナー セキュリティ機能に関する明確さとガイダンスを向上させるために、コンテナー のセキュリティ ドキュメント ページも更新しました。
新しい推奨事項とパス規則でのワイルドカードのサポートによって適応型アプリケーション制御を更新
適応型アプリケーション制御の機能に、2 つの重要な更新プログラムが適用されています。
新しい推奨事項により、以前は許可されていなかった、正当である可能性のある動作が識別されます。 新しい推薦事項の「適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある」により、既存のポリシーに新しいルールを追加して、適応型アプリケーション制御違反アラートの擬陽性の数を減らすよう求めるメッセージが表示されます。
パス規則でワイルドカードがサポートされるようになっています。 この更新プログラムから、ワイルドカードの使用が許可されたパス規則を構成できます。 サポートされているシナリオは 2 つあります。
パスの末尾でワイルドカードを使用し、そのフォルダーとサブフォルダー内のすべての実行可能ファイルを許可します。
パスの途中でワイルドカードを使用し、変化するフォルダー名を備えた既知の実行可能ファイルの名前 (既知の実行可能ファイルを含む個人ユーザー フォルダー、自動生成されたフォルダー名など) を有効にします。
非推奨となった SQL の高度なデータ セキュリティの 6 つのポリシー
SQL マシンの高度なデータ セキュリティに関連する 6 つのポリシーが非推奨になります。
- SQL マネージド インスタンスの高度なデータ セキュリティ設定で、Advanced Threat Protection の種類を [すべて] に設定する必要がある
- SQL Server の高度なデータ セキュリティ設定で、Advanced Threat Protection の種類を [すべて] に設定する必要がある
- SQL マネージド インスタンスの高度なデータ セキュリティ設定に、セキュリティ アラートを受信するためのメール アドレスが含まれている必要がある
- SQL Server の高度なデータ セキュリティ設定に、セキュリティ アラートを受信するためのメール アドレスが含まれている必要がある
- SQL マネージド インスタンスの Advanced Data Security 設定で管理者とサブスクリプションの所有者に対するメール通知を有効にする必要がある
- SQL Server の Advanced Data Security 設定で、管理者とサブスクリプションの所有者に対するメール通知を有効にする必要がある
組み込みポリシーの詳細を確認します。
2020 年 6 月
6 月の更新プログラムには次のものが含まれます。
- セキュリティ スコア API (プレビュー)
- SQL マシン (Azure、その他のクラウド、オンプレミス) のデータ セキュリティ (プレビュー)
Log Analytics エージェントを Azure Arc マシン (プレビュー) - 連続エクスポートとワークフローの自動化の構成を大規模に作成するための新しいポリシー
- NSG を使用してインターネットに接続していない仮想マシンを保護するための新しい推奨事項
- 脅威の防止と Advanced Data Security を有効にするための新しいポリシー
セキュリティ スコア API (プレビュー)
セキュリティ スコア API (現在プレビュー段階) を使用して、スコアにアクセスできるようになりました。 この API メソッドを使用すると、データに対してクエリを実行したり、一定期間のセキュリティ スコアをレポートする独自のメカニズムを構築したりするための柔軟性が得られます。 たとえば、 Secure Score API を使用して、特定のサブスクリプションのスコアを取得できます。 また、Secure Score Controls API を使用して、サブスクリプションのセキュリティ コントロールと現在のスコアを一覧表示できます。
セキュリティ スコア API で可能になった外部ツールの例については、 GitHub コミュニティのセキュリティ スコア領域を参照してください。
安全なスコアとセキュリティコントロールの詳細については、Azure Security Centerを参照してください。
SQL マシン (Azure、その他のクラウド、オンプレミス) の高度なデータ セキュリティ (プレビュー)
Azure Security Centerの SQL マシンの高度なデータ セキュリティにより、Azure、他のクラウド環境、さらにはオンプレミスのマシンでホストされている SQL Server が保護されるようになりました。 これにより、Azureネイティブ SQL Server の保護が拡張され、ハイブリッド環境が完全にサポートされます。
Advanced Data Security では、SQL マシンに対して、場所によらず脆弱性評価と高度な脅威の防止が提供されます。
セットアップには、次の 2 つの手順があります。
Log Analytics エージェントをSQL Serverのホスト コンピューターにデプロイして、Azure アカウントへの接続を提供します。
Security Center の [価格と設定] ページで、オプションのバンドルを有効にします。
詳細については、SQL マシン向けの Advanced Data Security に関するページを参照してください。
Log Analytics エージェントを Azure Arc マシンにデプロイするための 2 つの新しい推奨事項 (プレビュー)
Azure Arc マシンに Log Analytics Agent をデプロイし、Azure Security Centerによって保護されるようにするために、2 つの新しい推奨事項が追加されました。
Log Analytics エージェントは、Windows ベースの Azure Arc マシン (プレビュー) Log Analytics エージェントは、Linux ベースの Azure Arc マシン (プレビュー)
これらの新しい推奨事項は、既存の (関連する) 推奨事項である、「お使いのマシンに監視エージェントをインストールする必要があります」と同じ、セキュリティ構成の修復、適応型アプリケーション制御の適用、システムの更新プログラムの適用、Endpoint Protection を有効にするという 4 つのセキュリティ コントロールに表示されます。
推奨事項には、デプロイ プロセスを加速するためのクイック修復機能も含まれています。
Azure Security Centerが
Azure Arc マシンのextensionsの詳細を確認します。
連続エクスポートとワークフローの自動化の構成を大規模に作成するための新しいポリシー
組織の監視とインシデント対応プロセスを自動化すると、セキュリティ インシデントの調査と軽減にかかる時間を大幅に短縮できます。
自動化構成を組織全体にデプロイするには、次の組み込みの 'DeployIfdNotExist' Azure ポリシーを使用して、連続エクスポートおよび workflow automation 手順を作成して構成します。
ポリシー定義は、Azure Policyにあります。
| Goal | Policy | ポリシー ID |
|---|---|---|
| イベント ハブへの連続エクスポート | アラートと推奨事項をAzure Security Centerするために Event Hubs にエクスポートをデプロイします | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Log Analytics ワークスペースへの連続エクスポート | アラートと推奨事項をAzure Security CenterするためにLog Analyticsワークスペースにエクスポートをデプロイします | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| セキュリティ アラートのワークフローの自動化 | Azure Security Center アラートにワークフローオートメーションをデプロイする | f1525828-9a90-4fcf-be48-268cdd02361e |
| セキュリティに関する推奨事項のワークフローの自動化 | ワークフローオートメーションをデプロイしてAzure Security Centerの推奨事項を作成します | 73d6ab6c-2475-4850-afd6-43795f3492ef |
workflow オートメーション テンプレートの使用を開始します。
2 つのエクスポート ポリシーの使用の詳細については、「提供されているポリシーを使用してワークフローの自動化を大規模に構成する」と「連続エクスポートを設定する」を参照してください。
NSG を使用してインターネットに接続していない仮想マシンを保護するための新しい推奨事項
"セキュリティのベスト プラクティスの実装" セキュリティ コントロールに、次の新しい推奨事項が含まれるようになりました。
- インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある
既存の推奨事項である「インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある」では、インターネットに接続された仮想マシンとインターネットに接続されていない仮想マシンが区別されていませんでした。 どちらの場合でも、VM がネットワーク セキュリティ グループに割り当てられていないと、重大度の高い推奨事項が生成されていました。 この新しい推奨事項では、インターネットに接続されていないマシンを分離することで擬陽性を減らし、不必要な重要度の高いアラートを回避します。
脅威の防止と Advanced Data Security を有効にするための新しいポリシー
次の新しいポリシー定義が、ASC の既定のイニシアティブに追加されました。これらは関連するリソースの種類に対して、脅威の防止または Advanced Data Security の有効化を促進するよう設計されています。
ポリシー定義は、Azure Policyにあります。
| Policy | ポリシー ID |
|---|---|
| Azure SQL Database サーバーでAdvanced データ セキュリティを有効にする必要があります | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| マシン上の SQL サーバーで Advanced Data Security を有効にする必要がある | 6581d072-105e-4418-827f-bd446d56421b |
| Azure Storage アカウントでAdvanced Threat Protection を有効にする必要があります | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Azure Key Vault コンテナーでAdvanced Threat Protection を有効にする必要があります | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Azure App Service プランでAdvanced Threat Protection を有効にする必要があります | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Azure Container Registry レジストリでAdvanced Threat Protection を有効にする必要があります | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Azure Kubernetes Service クラスターでAdvanced Threat Protection を有効にする必要があります | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Azure Security CenterThreat protection の詳細を確認>。
2020 年 5 月
5 月の更新プログラムには次のものが含まれます。
- アラート抑制ルール (プレビュー)
- 仮想マシンに対する脆弱性評価の一般提供の開始
- Just-In-Time (JIT) 仮想マシン (VM) へのアクセスの変更
- 別のセキュリティ コントロールへのカスタム推奨事項の移動
- 推奨事項をコントロールまたは単純なリストで表示するためのトグルの追加
- 拡張されたセキュリティ コントロール "セキュリティのベスト プラクティスの実装"
- カスタム メタデータを使用したカスタム ポリシーの一般提供の開始
- ファイルレス攻撃検出へのクラッシュ ダンプ分析機能の移行
アラート抑制ルール (プレビュー)
この新機能 (現在プレビュー段階) は、アラート疲れを減らすのに役立ちます。 ルールを使用して、無害であることが判明している、または組織内の通常の活動に関連しているアラートを自動的に非表示にします。 これにより、最も重要な脅威に集中できます。
有効にした抑制ルールと一致するアラートは、引き続き生成されますが、その状態は "無視" に設定されます。 Azure ポータルで状態を確認することも、Security Center のセキュリティ アラートにアクセスすることもできます。
抑制ルールでは、アラートが自動的に無視される条件を定義します。 通常は、次のような場合に抑制ルールを使用します。
ユーザーが擬陽性と判断したアラートを抑制する
あまりにも頻繁にトリガーされるため有用ではないアラートを抑制する
Azure Security Centerの脅威保護からのアラートの抑制について説明します。
仮想マシンに対する脆弱性評価の一般提供の開始
Security Center の Standard レベルに、追加料金なしで仮想マシンの統合脆弱性評価が追加されました。 この拡張機能には Qualys が利用されていますが、結果は Security Center に直接レポートされます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。
この新しいソリューションでは、お客様の仮想マシンを継続的にスキャンし、脆弱性を検出してその結果を Security Center に表示できます。
ソリューションをデプロイするには、新しいセキュリティの推奨事項を使用します。
"組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用)"
詳しくは、仮想マシンに対する Security Center の統合脆弱性評価に関するページを参照してください。
Just-In-Time (JIT) 仮想マシン (VM) へのアクセスの変更
Security Center には、VM の管理ポートを保護するオプションの機能が備わっています。 これにより、最も一般的な形式のブルート フォース攻撃を防ぐことができます。
この更新では、この機能に次の変更が加えられました。
VM での JIT の有効化を勧める推奨事項の名前が変更されました。 以前は "Just-In-Time ネットワーク アクセス制御を仮想マシンに適用する必要があります" だったものが、現在は "仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御で保護する必要があります" になりました。
この推奨事項は、オープンな管理ポートがある場合にのみトリガーされます。
詳しくは、JIT アクセス機能に関するページを参照してください。
別のセキュリティ コントロールへのカスタム推奨事項の移動
強化されたセキュア スコアと共に導入されたセキュリティ コントロールの 1 つが、"セキュリティのベスト プラクティスの実装" です。お客様のサブスクリプションで作成されたカスタム推奨事項は自動的に、このコントロールに配置されていました。
カスタム推奨事項は見つけやすいように、専用のセキュリティ コントロールである "カスタム推奨事項" に移行しました。このコントロールは、お客様のセキュア スコアに影響しません。
推奨事項をコントロールまたは単純なリストで表示するためのトグルの追加
セキュリティ コントロールは、関連するセキュリティ推奨事項の論理グループです。 これらはお客様の脆弱な攻撃対象領域を反映します。 コントロールは、セキュリティに関する一連の推奨事項と、これらの推奨事項を実装するための指示内容です。
組織が個々の攻撃対象領域をどの程度セキュリティで保護しているかをすぐに確認するには、各セキュリティ コントロールのスコアを確認します。
既定では、推奨事項がセキュリティ コントロールに表示されます。 この更新プログラムから、それらをリストとしても表示できるようになりました。 影響を受けるリソースの正常性状態で並べ替えられた単純なリストとして表示するには、新しいトグル "コントロールによるグループ化" を使用します。 このトグルはポータル内のリストの上にあります。
セキュリティ コントロール (およびこのトグル) は、新しいセキュア スコア エクスペリエンスの一部です。 ポータル内からフィードバックをお送りいただけますとさいわいです。
拡張されたセキュリティ コントロール "セキュリティのベスト プラクティスの実装"
強化されたセキュア スコアと共に導入されたセキュリティ コントロールの 1 つが、"セキュリティのベスト プラクティスの実装" です。このコントロールに推奨事項があっても、セキュア スコアに影響はありません。
この更新により、3 つの推奨事項が当初配置されていたコントロールからこのベスト プラクティス コントロールに移動されました。 この操作が行われたのは、これら 3 つの推奨事項のリスクが当初考えていたよりも低いことが判明したためです。
さらに、2 つの新しい推奨事項が導入され、このコントロールに追加されました。
移動された 3 つの推奨事項は次のとおりです。
- ご利用のサブスクリプションに対して読み取りアクセス許可があるアカウントでは、MFA を有効にする必要があります (当初は "MFA の有効化" コントロール内)
- 読み取りアクセス許可がある外部アカウントは、ご使用のサブスクリプションから削除する必要があります (当初は "アクセスとアクセス許可の管理" コントロール内)
- お使いのサブスクリプションに、最大 3 人の所有者を指定する必要があります (当初は "アクセスとアクセス許可の管理" コントロール内)
コントロールに追加された 2 つの新しい推奨事項は次のとおりです。
Guest 構成拡張機能は、Windows仮想マシン (プレビュー) - Azure Policy ゲスト構成 を使用して、仮想マシン内のサーバーとアプリケーションの設定を表示する必要があります (Windowsのみ)。
Microsoft Defender Exploit Guard をマシンで有効にする必要があります (プレビュー) - Microsoft Defender Exploit Guard は、Azure Policyゲスト構成エージェントを利用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックするように設計された 4 つのコンポーネントがあり、企業はセキュリティ リスクと生産性の要件のバランスを取ることができます (Windowsのみ)。
Exploit Guard ポリシーを作成してデプロイするMicrosoft Defenderの詳細についてはを参照してください。
セキュリティ コントロールの詳細については、強化されたセキュリティ スコア (プレビュー) に関するページを参照してください。
カスタム メタデータを使用したカスタム ポリシーの一般提供の開始
カスタム ポリシーは、Security Center の推奨事項エクスペリエンス、セキュア スコア、規制コンプライアンス標準ダッシュボードに含まれました。 この機能の一般提供が開始され、お客様は Security Center で組織のセキュリティ評価の範囲を拡大できるようになりました。
Azure Policyでカスタム イニシアチブを作成し、ポリシーを追加してAzure Security Centerにオンボードし、推奨事項として視覚化します。
さらに、カスタム推奨事項のメタデータを編集するオプションも追加されました。 メタデータ オプションには、重要度、修復手順、脅威情報などが含まれます。
詳しくは、「詳細情報でのカスタム推奨事項の拡張」を参照してください。
ファイルレス攻撃検出へのクラッシュ ダンプ分析機能の移行
Windows クラッシュ ダンプ分析 (CDA) 検出機能を fileless 攻撃検出に統合しています。 ファイルレス攻撃検出分析により、Windows マシンに対するセキュリティ アラートのバージョンが改善されました。コードインジェクションの検出、検出されたモジュールWindowsマスカレード、検出されたシェル コード、疑わしいコード セグメントの検出。
この移行のメリットをいくつか紹介します。
プロアクティブかつタイムリーなマルウェア検出 - CDA のアプローチでは、クラッシュが発生して初めて分析を実行し、悪意のあるアーティファクトを検出する必要がありました。 ファイルレス攻撃検出を使用すると、メモリ内の脅威が活動しているのをプロアクティブに特定できます。
強化されたアラート - ファイルレス攻撃検出からのセキュリティ アラートには、アクティブなネットワーク接続情報など、CDA から利用できないエンリッチメントが含まれます。
アラートの集計 - CDA が 1 つのクラッシュ ダンプ内で複数の攻撃パターンを検出すると、複数のセキュリティ アラートがトリガーされました。 ファイルレス攻撃検出では、同じプロセスから特定された攻撃パターンをすべて単一のアラートにまとめて、複数のアラートを関連付ける必要をなくしています。
Log Analytics ワークスペースでの要件の推定 - 潜在的に機密性の高いデータを含むクラッシュ ダンプは、Log Analytics ワークスペースにアップロードされなくなります。
2020 年 4 月
4 月の更新プログラムには次のものが含まれます。
動的コンプライアンス パッケージの一般提供の開始
Azure Security Center規制コンプライアンス ダッシュボードには、追加の業界および規制基準を追跡するための dynamic compliance packages (現在は一般公開) が含まれるようになりました。
動的コンプライアンス パッケージは、Security Center のセキュリティ ポリシー ページからサブスクリプションまたは管理グループに追加できます。 標準またはベンチマークをオンボードすると、評価として、マップされた関連するすべてのコンプライアンス データと共に、標準が規制コンプライアンス ダッシュボードに表示されます。 オンボードされた標準の概要レポートがダウンロードできるようになります。
次のような標準を追加できるようになりました。
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK OFFICIAL および UK NHS
- カナダ連邦の PBMM
- Azure CIS 1.1.0 (新規) (これは、AZURE CIS 1.1.0 のより完全な表現です)
さらに、最近、Azure セキュリティ ベンチマークを追加しました。これは、一般的なコンプライアンス フレームワークに基づくセキュリティとコンプライアンスのベスト プラクティスに関するMicrosoft作成されたAzure固有のガイドラインです。 追加の標準が使用可能になると、ダッシュボードでサポートされます。
詳しくは、「規制コンプライアンス ダッシュボードでの動的コンプライアンス パッケージへの更新」を参照してください。
ID に関する推奨事項Azure Security Center Free レベルに含まれるようになりました
Azure Security Center Free レベルでの ID とアクセスに関するセキュリティに関する推奨事項が一般公開されました。 これは、クラウドのセキュリティ体制管理 (CSPM) 機能を無料化する取り組みの一環です。 これまで、これらの推奨事項を利用できるのは、Standard 価格レベルだけでした。
ID とアクセスに関する推奨事項の例を次に示します。
- "ご利用のサブスクリプションに対して所有者アクセス許可があるアカウントでは、MFA を有効にする必要があります。"
- "お使いのサブスクリプションに、最大 3 人の所有者を指定する必要があります。"
- "非推奨のアカウントは、ご利用のサブスクリプションから削除する必要があります。"
Free 価格レベルのサブスクリプションをお持ちのお客様は、ID とアクセスのセキュリティについて評価されることがなかったため、この変更により、セキュア スコアに影響が生じます。
2020 年 3 月
3 月の更新プログラムには次のものが含まれます。
- ワークフロー自動化の一般提供の開始
Windows Admin Center - Azure Kubernetes ServiceProtection>
- Just-In-Time エクスペリエンスの改善
- Web アプリケーションに関する 2 つのセキュリティ推奨事項の非推奨化
ワークフロー自動化の一般提供の開始
Azure Security Centerのワークフロー自動化機能が一般公開されました。 これを使用すると、セキュリティ アラートと推奨事項が出されたときにロジック アプリを自動でトリガーできます。 さらに、クイック修復オプションが利用可能なすべての推奨事項とアラートでは、手動のトリガーが使用可能です。
すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、直接の利害関係者への通知、変更管理プロセスの開始、および特定の修復手順の適用が含まれます。 これらのプロシージャの手順をできるだけ多く自動化することがセキュリティの専門家によって推奨されています。 自動化を行うと、オーバーヘッドが減少します。また、迅速かつ一貫した方法で、定義済みの要件に従ってプロセスの手順が実行されるようにして、セキュリティを向上させることができます。
ワークフローを実行するための自動および手動の Security Center 機能の詳細については、 ワークフローの自動化に関する記事を参照してください。
詳しくは、ロジック アプリの作成に関するページを参照してください。
Azure Security CenterとWindows Admin Centerの統合
オンプレミスのWindows サーバーをWindows Admin CenterからAzure Security Centerに直接移動できるようになりました。 Security Center は、オンプレミスのサーバー、仮想マシン、追加の PaaS ワークロードなど、すべてのWindows Admin Center リソースのセキュリティ情報を表示するための 1 つのウィンドウになります。
サーバーを Windows Admin Center から Azure Security Center に移動すると、次のことができるようになります。
- Windows Admin Centerの Security Center 拡張機能で、セキュリティアラートと推奨事項を表示します。
- セキュリティ体制を表示し、Azure ポータル内 (または API を介して) Security Center でWindows Admin Centerマネージド サーバーの追加情報を取得します。
Azure Kubernetes Serviceの保護
Azure Security Centerは、Azure Kubernetes Service (AKS)を保護するためにコンテナーのセキュリティ機能を拡張しています。
Kubernetes は人気のオープンソース プラットフォームとして広く普及しており、現在コンテナー オーケストレーションの業界標準となっています。 その実装が広まっているにもかかわらず、Kubernetes 環境をセキュリティで保護する方法については、まだ十分に理解されていません。 コンテナー化されたアプリケーションの攻撃対象領域を保護するには、潜在的な脅威を確実かつ継続的に監視するようインフラストラクチャを構成するための専門知識が必要です。
Security Center には以下の防御機能があります。
- 検出と可視化 - Security Center に登録されているサブスクリプション内のマネージド AKS インスタンスの継続的な検出。
- セキュリティに関する推奨事項 - AKS のセキュリティのベスト プラクティスに準拠するのに役立つ実用的な推奨事項。 組織のセキュリティ体制の一環として確認できるように、これらの推奨事項はお客様のセキュア スコアに含まれています。 AKS に関する推奨事項の例としては、"Kubernetes Service クラスターへのアクセスを制限するには、ロールベースのアクセス制御を使用する必要があります" などがあります。
- 脅威の防止 - AKS デプロイの継続的な分析を通じて、Security Center は、ホストおよび AKS クラスター レベルで検出された脅威と悪意のあるアクティビティに対してアラートを生成します。
Azure Kubernetes Services と Security Center の統合について説明します。
詳しくは、Security Center のコンテナー セキュリティ機能に関するページを参照してください。
Just-In-Time エクスペリエンスの改善
管理ポートをセキュリティで保護するAzure Security Centerの Just-In-Time ツールの機能、操作、UI は、次のように強化されています。
- Justification フィールド - Azure ポータルの Just-In-Time ページを使用して仮想マシン (VM) へのアクセスを要求する場合、要求の正当な理由を入力するための新しい省略可能なフィールドを使用できます。 このフィールドに入力された情報は、アクティビティ ログで追跡できます。
- 冗長な Just-In-Time (JIT) 規則の自動クリーンアップ - JIT ポリシーを更新するたびに、クリーンアップ ツールが自動的に実行され、規則セット全体の有効性がチェックされます。 このツールでは、ポリシー内の規則と NSG 内の規則の不一致が検索されます。 クリーンアップ ツールで不一致が検出されると、原因が特定され、削除した方が安全と見なされる場合には不要な組み込み規則が削除されます。 ユーザーが作成した規則がこのツールによって削除されることはありません。
詳しくは、JIT アクセス機能に関するページを参照してください。
Web アプリケーションに関する 2 つのセキュリティ推奨事項の非推奨化
Web アプリケーションに関する 2 つのセキュリティ推奨事項が非推奨になります。
IaaS NSG 上の Web アプリケーションに対する規則を強化する必要があります。 (関連ポリシー:IaaS 上の Web アプリケーションに対する NSG 規則を強化する必要がある)
App Services へのアクセスを制限する必要があります。 (関連ポリシー:App Services へのアクセスを制限する必要があります (プレビュー))
これらの推奨事項は、Security Center の推奨事項リストに表示されなくなります。 関連ポリシーは、"Security Center の既定" という名前のイニシアチブに含まれなくなります。
2020 年 2 月
Linux 向けのファイルレス攻撃検出 (プレビュー)
攻撃者の増加に伴い、検出を回避するために、Azure Security Centerは、Windowsに加えて Linux のファイルレス攻撃検出を拡張しています。 ファイルレス攻撃では、ソフトウェアの脆弱性が悪用されて、悪意のあるペイロードが正常なシステム プロセスに挿入され、メモリ内に隠されます。 次の手法を使用します。
- ディスク上のマルウェアの痕跡を最小化または排除する
- ディスクベースのマルウェア スキャン ソリューションによる検出の可能性を大幅に下げる
この脅威に対抗するために、Azure Security Centerは 2018 年 10 月に Windows のファイルレス攻撃検出をリリースし、Linux でもファイルレス攻撃検出を拡張しました。
2020 年 1 月
強化されたセキュア スコア (プレビュー)
Azure Security Centerのセキュリティ スコア機能の拡張バージョンがプレビューで利用可能になりました。 このバージョンでは、複数の推奨事項が、脆弱な攻撃対象領域をより正確に反映するセキュリティ コントロールにグループ化されています (例: 管理ポートへのアクセスの制限)。
プレビュー段階でセキュア スコアの変更に慣れていただけるほか、ご自分の環境のセキュリティを高めるのに役立つその他の修復機能をご確認いただけます。
詳細については、強化されたセキュア スコア (プレビュー) に関するページを参照してください。
2019 年 11 月
11 月の更新プログラムには次のものが含まれます。
- 北米リージョンでのAzure Key Vaultの保護 (プレビュー)
マルウェア評判スクリーニング - Logic Apps を使用したワークフローの自動化 (プレビュー)
- 大量のリソースのクイック修正の一般提供を開始
- コンテナー イメージの脆弱性スキャン (プレビュー)
- 規制コンプライアンス標準の追加 (プレビュー)
- threat Protection for Azure Kubernetes Service (プレビュー)
- 仮想マシンの脆弱性評価 (プレビュー)
Azure 仮想マシン (プレビュー) - カスタム ポリシーのサポート (プレビュー)
- コミュニティとパートナー向けのプラットフォームを使用したAzure Security Centerカバレッジの拡張
- 推奨事項とアラートのエクスポートによる高度な統合 (プレビュー)
オンプレミス サーバーを Windows Admin Center (プレビュー)
北米リージョンでのAzure Key Vaultの脅威の防止 (プレビュー)
Azure Key Vaultは、クラウド内のキー、シークレット、暗号化キー、ポリシーを一元的に管理する機能を提供することで、データを保護し、クラウド アプリケーションのパフォーマンスを向上させるために不可欠なサービスです。 Azure Key Vaultは機密性の高いビジネス クリティカルなデータを格納するため、キー コンテナーとキー コンテナーに格納されるデータのセキュリティを最大限に高める必要があります。
Azure Security Centerの脅威保護 for Azure Key Vaultのサポートにより、キー コンテナーへのアクセスや悪用を試みる、通常とは異なる潜在的に有害な試行を検出するセキュリティ インテリジェンスの追加レイヤーが提供されます。 この新しい保護レイヤーにより、お客様は、セキュリティ専門家でなくてもキー コンテナーに対する脅威に対処することが可能となり、セキュリティ監視システムを管理できるようになります。 この機能は、北米リージョンでパブリック プレビュー段階にあります。
Azure Storageの脅威の防止には、マルウェアの評判のスクリーニングが含まれます
Azure Storageの脅威保護では、Microsoft脅威インテリジェンスを利用して、ハッシュ評判分析とアクティブな Tor 出口ノード (匿名化プロキシ) からの疑わしいアクセスを使用してAzure Storageへのマルウェアのアップロードを検出するための新しい検出が提供されます。 Azure Security Centerを使用して、ストレージ アカウント全体で検出されたマルウェアを表示できるようになりました。
Logic Apps を使用したワークフローの自動化 (プレビュー)
セキュリティと IT/運用が一元管理されている組織では、環境で不一致が見つかった場合に組織内で必要なアクションを実行する内部ワークフロー プロセスを実装しています。 多くの場合、これらのワークフローは反復可能なプロセスであるため、自動化によって組織内のプロセスを大幅に効率化できます。
現在、Security Center では、お客様がAzure Logic Appsを利用して自動化構成を作成し、推奨事項やアラートなどの特定の ASC の結果に基づいて自動的にトリガーされるポリシーを作成できる新機能が導入されました。 Azureロジック アプリは、ロジック アプリ コネクタの広大なコミュニティでサポートされているカスタム アクションを実行するように構成することも、電子メールの送信や ServiceNow™ チケットの開き方など、Security Center によって提供されるテンプレートのいずれかを使用するように構成することもできます。
ワークフローを実行するための自動および手動の Security Center 機能の詳細については、 ワークフローの自動化に関する記事を参照してください。
Logic Apps の作成の詳細については、「Azure Logic Appsを参照してください。
大量のリソースのクイック修正の一般提供を開始
セキュリティ スコアの一部として、ユーザーには多くのタスクが示されるため、大規模なフリートで問題を効果的に修復するのが困難になる可能性があります。
クイック修正の修復を使用して、セキュリティ構成の誤りを修正し、複数のリソースに関する推奨事項を修復し、セキュリティ スコアを向上させます。
この操作により、ユーザーは修復を適用するリソースを選択し、ユーザーに代わって設定を構成する修復アクションを起動できます。
このたび、Security Center の推奨事項ページの一部として、クイック修正の一般提供が開始されました。
コンテナー イメージの脆弱性スキャン (プレビュー)
Azure Security Centerは、Azure Container Registry内のコンテナー イメージをスキャンして脆弱性を検出できるようになりました。
イメージのスキャンでは、コンテナー イメージ ファイルを解析し、(Qualys を利用して) 既知の脆弱性が存在するかどうかが確認されます。
新しいコンテナー イメージをAzure Container Registryにプッシュすると、スキャン自体が自動的にトリガーされます。 検出された脆弱性は Security Center の推奨事項として表示され、修正プログラムを適用してそれらの脆弱性による攻撃対象領域を削減する方法に関する情報と共にセキュリティ スコアに含められます。
規制コンプライアンス標準の追加 (プレビュー)
規制コンプライアンス ダッシュボードは、Security Center の評価に基づいて、コンプライアンス体制に関する分析情報を提供します。 ダッシュボードでは、お使いの環境が特定の規制基準や業界ベンチマークで指定されたコントロールと要件にどのように準拠しているかが示され、これらの要件に対処する方法に関する規範的な推奨事項が提供されます。
規制コンプライアンス ダッシュボードでは、これまで 4 つの組み込み標準 (Azure CIS 1.1.0、PCI-DSS、ISO 27001、SOC-TSP) がサポートされています。 現在、サポートされている追加標準のパブリック プレビュー リリース (NIST SP 800-53 R4、SWIFT CSP CSCF v2020、カナダ連邦 PBMM、UK Official と UK NHS) をお知らせします。 また、CIS 1.1.0 Azureの更新バージョンもリリースされ、標準からのより多くの制御がカバーされ、拡張性が強化されています。
規制コンプライアンス ダッシュボードでの標準セットのカスタイマイズの詳細については、こちらをご覧ください。
Azure Kubernetes Serviceの脅威の防止 (プレビュー)
Kubernetes は、ソフトウェアをクラウドにデプロイして管理するための新しい標準になりつつあります。 Kubernetes の豊富な経験を持つ人はほとんどおらず、多くの人が一般的なエンジニアリングと管理にのみ注目し、セキュリティ面を見落としています。 コンテナーに焦点を合わせた攻撃対象領域が無防備な状態で攻撃者にさらされないように、Kubernetes 環境のセキュリティを慎重に構成する必要があります。 Security Center では、コンテナー領域でのサポートを、Azureで最も急速に成長しているサービスの 1 つである Azure Kubernetes Service (AKS) に拡大しています。
このパブリック プレビュー リリースの新しい機能は次のとおりです。
- 検出と可視化 - Security Center の登録済みサブスクリプション内のマネージド AKS インスタンスの継続的な検出。
- セキュリティ スコアの推奨事項 - お客様が AKS のセキュリティに関するベストプラクティスに準拠し、セキュリティ スコアを上げるのに役立つ実用的な項目。 「Kubernetes Service クラスターへのアクセスを制限するには、ロールベースの Access Control を使用する必要がある」などの項目を含む推奨事項。
- 脅威の検出 - ホストとクラスターベースの分析 ("特権コンテナーが検出されました" など)。
仮想マシンの脆弱性評価 (プレビュー)
多くの場合、仮想マシンにインストールされているアプリケーションには、仮想マシンの侵害につながるおそれのある脆弱性が存在する可能性があります。 Security Center Standard レベルには、追加料金なしで仮想マシンの脆弱性評価が組み込まれていることが発表されています。 Qualys を利用した脆弱性評価 (パブリック プレビュー) を使用すると、仮想マシンにインストールされているすべてのアプリケーションを継続的にスキャンして脆弱なアプリケーションを検出し、Security Center ポータルのエクスペリエンスに結果を表示できます。 Security Center がすべてのデプロイ操作を処理するため、ユーザーが追加の作業を行う必要はありません。 今後は、お客様固有のビジネス ニーズをサポートするための脆弱性評価オプションの提供を計画しています。
Azure 仮想マシンの脆弱性評価の詳細を確認します。
Azure 仮想マシン上の SQL サーバーの高度なデータ セキュリティ (プレビュー)
IaaS VM で実行されている SQL DB の脅威保護と脆弱性評価に対するAzure Security Centerのサポートがプレビュー段階になりました。
脆弱性評価 は、データベースの潜在的な脆弱性を検出、追跡、修復するのに役立つサービスを簡単に構成できます。 セキュリティ スコアの一部としてセキュリティ体制が可視化され、セキュリティの問題を解決してデータベースの防御機能を強化するための手順が含まれます。
Advanced Threat Protection では、SQL Server へのアクセスや SQL Server の悪用を試みる、害を及ぼす可能性のある通常とは異なる試行を示す異常なアクティビティが検出されます。 データベースでの不審なアクティビティを継続的に監視し、異常なデータベース アクセス パターンに対してアクション指向のセキュリティ通知を提供します。 このようなアラートからは、不審なアクティビティの詳細と、脅威の調査や危険性の軽減のために推奨されるアクションが提示されます。
カスタム ポリシーのサポート (プレビュー)
Azure Security Centerでは、カスタム ポリシー (プレビュー段階) がサポートされるようになりました。
お客様は、Azure Policyで作成したポリシーに基づいて、Security Center の現在のセキュリティ評価範囲を独自のセキュリティ評価で拡張したいと考えています。 カスタム ポリシーのサポートにより、これが可能になりました。
これらの新しいポリシーは、Security Center の推奨事項エクスペリエンス、セキュリティ スコア、規制コンプライアンス標準ダッシュボードに含まれるようになります。 カスタム ポリシーのサポートにより、Azure Policyでカスタム イニシアチブを作成し、Security Center でポリシーとして追加し、推奨事項として視覚化できるようになりました。
コミュニティとパートナー向けのプラットフォームを使用したAzure Security Centerカバレッジの拡張
Security Center を使用して、Microsoftからだけでなく、Check Point、Tenable、CyberArk などのパートナーから既存のソリューションから推奨事項を受け取り、さらに多くの統合が行われます。 Security Center のシンプルなオンボード フローにより、既存のソリューションを Security Center に接続することで、セキュリティ体制に関する推奨事項を 1 か所で表示し、統合レポートを実行することが可能になります。組み込みの推奨事項とパートナーの推奨事項の両方に対して、Security Center のすべての機能を活用することもできます。 また、Security Center の推奨事項をパートナー製品にエクスポートすることもできます。
推奨事項とアラートのエクスポートによる高度な統合 (プレビュー)
Security Center 上でエンタープライズ レベルのシナリオを有効にするために、Azure ポータルまたは API を除く追加の場所で Security Center のアラートと推奨事項を使用できるようになりました。 これらは、イベント ハブとLog Analyticsワークスペースに直接エクスポートできます。 これらの新しい機能を使用して作成できるワークフローは次のとおりです。
- Log Analytics ワークスペースへのエクスポートを使用すると、Power BIを使用してカスタム ダッシュボードを作成できます。
- Event Hubs へのエクスポートを使用すると、Security Center のアラートと推奨事項をサードパーティの SIEM、サード パーティのソリューション、またはAzure Data Explorerにエクスポートできます。
Windows Admin Center (プレビュー) からオンプレミス サーバーを Security Center にオンボードする
Windows Admin Centerは、バックアップやシステムの更新など、いくつかのAzure管理機能を提供Azureに展開されていないWindows サーバーの管理ポータルです。 最近、WINDOWS ADMIN CENTER エクスペリエンスから直接 ASC によって保護されるように、これらの非Azure サーバーをオンボードする機能が追加されました。
ユーザーは WAC サーバーをオンボードしてAzure Security Centerし、Windows Admin Center エクスペリエンスでセキュリティ アラートと推奨事項を直接表示できるようになりました。
2019 年 9 月
9 月の更新プログラムには次のものが含まれます。
- 適応型アプリケーション制御のルール管理の改善
Azure Policy
適応型アプリケーション制御のルール管理の改善
適応型アプリケーション制御を使用した仮想マシンのルール管理のエクスペリエンスが改善されました。 Azure Security Centerのアダプティブ アプリケーション制御は、仮想マシンで実行できるアプリケーションを制御するのに役立ちます。 ルール管理の全般的な改善に加え、新たに追加される機能により、新しいルールを追加するときに保護するファイルの種類を制御できるようになります。
適応型アプリケーション制御の詳細については、こちらをご覧ください。
Azure Policyを使用してコンテナーのセキュリティに関する推奨事項を制御する
コンテナー セキュリティの脆弱性を修復するためのAzure Security Centerの推奨事項は、Azure Policyを使用して有効または無効にできるようになりました。
有効なセキュリティ ポリシーを表示するには、Security Center から [セキュリティ ポリシー] ページを開きます。
2019 年 8 月
8 月の更新プログラムには次のものが含まれます。
Azure Firewallの Just-In-Time (JIT) VM アクセス
Azure Firewallの Just-In-Time (JIT) VM アクセスが一般公開されました。 これを使用して、NSG で保護された環境に加えて、Azure Firewall保護された環境をセキュリティで保護します。
JIT VM アクセスでは、NSG とAzure Firewallルールを使用して、必要なときにのみ VM への制御されたアクセスを提供することで、ネットワークボリューム攻撃への露出を軽減します。
VM で JIT を有効にする場合は、保護するポート、ポートを開放しておく時間、これらのポートにアクセスできる承認済み IP アドレスを指定したポリシーを作成します。 このポリシーは、ユーザーがアクセスを要求したときに実行できる操作を制御するのに役立ちます。
要求は Azure アクティビティ ログに記録されるため、アクセスを簡単に監視および監査できます。 Just-In-Time ページは、JIT が有効になっている既存の VM や JIT が推奨される VM をすばやく特定する際にも役立ちます。
Azure Firewallの詳細を参照してください。
セキュリティ体制を強化するシングル クリック修復 (プレビュー)
セキュリティ スコアは、ワークロードのセキュリティに対する姿勢を評価するのに役立つツールです。 セキュリティの推奨事項が見直され、優先順位が自動的に示されるので、どの推奨事項を最初に実行すべきかがわかります。 これは、最も重大なセキュリティの脆弱性を見つけて、調査に優先順位を付けるのに役立ちます。
セキュリティの構成の誤りを簡単に修復し、セキュリティ スコアを速やかに向上させるために、大量のリソースに関する推奨事項をシングル クリックで修復できる新しい機能が追加されました。
この操作により、ユーザーは修復を適用するリソースを選択し、ユーザーに代わって設定を構成する修復アクションを起動できます。
テナント間管理
Security Center では、Azure Lighthouseの一部としてテナント間管理シナリオがサポートされるようになりました。 これにより、Security Center で複数のテナントのセキュリティ体制を可視化し、管理できるようになります。
テナント間の管理エクスペリエンスの詳細については、こちらをご覧ください。
2019 年 7 月
ネットワークの推奨事項の更新
Azure Security Center (ASC) は、新しいネットワークに関する推奨事項を開始し、既存の推奨事項をいくつか改善しました。 Security Center を使用することで、リソースのネットワーク保護をさらに強化できます。
2019 年 6 月
アダプティブ ネットワークのセキュリティ強化機能 - 一般提供の開始
パブリック クラウドで実行されているワークロードの最大の攻撃対象領域の 1 つは、パブリック インターネットとの間の接続です。 お客様は、Azureワークロードが必要なソース範囲でのみ使用できるように、どのネットワーク セキュリティ グループ (NSG) 規則を適用する必要があるのかを把握するのが難しいと考えています。 この機能により、Security Center は、Azure ワークロードのネットワーク トラフィックと接続パターンを学習し、インターネットに接続する仮想マシンに関する NSG ルールの推奨事項を提供します。 これにより、お客様は、ネットワーク アクセス ポリシーをより適切に構成し、攻撃にさらされるリスクを抑えることができます。