FIXER cloud.config Tech Blog

Azureのセキュリティー確保に！「Microsoft Defender for Cloud」評価機能のススメ

この記事はFIXER Advent Calendar 2021 21日目の記事です。

　エンタープライズ事業部の田邊です。

　Azureは色々なサービスを作成できるし、簡単にデプロイできて便利！

　だけど、セキュリティーまで考えるのは、なかなか面倒ですね……。

　そこで、今回はマイクロソフト社があなたのリソースを”自動的にセキュリティー評価してくれる”Azureの機能をご紹介します。

　その名も『Microsoft Defender for Cloud』といいます。

　※2021年11月2日まで「Azure Security Center」と呼ばれているサービスでしたが、名称が変わりました。

Microsoft Defender for Cloudとは？？

　Microsoft Defender for Cloud（仮にDfCと呼びます）は、マイクロソフト社のセキュリティー部門により開発されているセキュリティー診断機能を、ユーザーのみなさんでご利用のAzureリソースへ適用していきます。

　同社でご用意したセキュリティー基準をもとに診断して、その結果と、Azureの観点からご提案できる推奨事項を表示します。

　利用者側としては、システムをより堅牢にするために、ご活用していくことを期待できるサービスです。

　推奨事項は、必ずしもすべてを対応しなければならないものではなく、ユーザーのみなさんのセキュリティー対応方針に応じて採用していくので大丈夫です。

　また推奨事項の中には単に「Azureでご提供しているセキュリティー機能が設定されていないので、有効化を推奨する」というようなものからありますので、「抜け漏れがないかのチェックシート」代わりに使用していただくことも出来ます。

　もしくは踏み込んで、「よりシステムを堅牢にするための手段を探す」観点で利用することも可能です。

※公式情報については、下記をご参照ください。
　https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction

※表示例

例えばどうやって利用したか？

　例えば、「あるところからストレージアカウントへ、多数のアクセスがあったことを検知した」ことをアラートとして表示してくれます。

　あるとき推奨項目が1件あがりましたので、その内容を分析したときの状況を載せますね。そのときDfCは、該当ストレージアカウントへの多数のアクセスを脅威として判定し、アラートを通知しました。

　このアラートからは、「DfC が今回の事象を攻撃として検知して、どれも失敗していると判断した」と読み取れます。また該当の事象がどのようなものだったか、その結果どうなったか、どのように対策するべきかが以下のように記載されます。

・DfC は「MITRE ATT&CK」フレームワークで言う「収集」が、該当ストレージアカウントに対して仕掛けられた疑いがあると判定しました。

・発生元は、（欧州のある国）に割り当てられているIPアドレスでした。そこから xx言語のHTTP エージェントによるHTTPアクセスを150回仕掛けられたと考えられます。

・発生元は、様々な単語をHTTPリクエストに入れ込んで匿名アクセスを試行しましたが、Blobコンテナまで到達したアクセスは1度もありませんでした。

・該当ストレージアカウント内にあるデータストレージはコンテナだけで、パブリックアクセスレベルはすべて「プライベート」になっているため、今後同様のアクセスがあっても同様の結果に終わる見込みです。

・DfCから今後の対策案として、3種類の推奨事項が提案されています。

・また同様にアラートの[アクションの実行]にて、4件の脅威の軽減方法が提案されています。

※MITRE ATT&CK については、他社情報で恐縮ですが下記をご参照ください。
　https://attack.mitre.org/
　https://www.intellilink.co.jp/article/column/attack-mitre-sec01.html

※どのような種類のセキュリティーアラートがあるかについては、下記をご参照ください。
　https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-reference

その評価を元にして、どう役に立てたか？

・DfC の推奨事項にある対策案については、それぞれ「そもそもストレージアカウントへの不要なアクセスを遮断する」ことを図った対策でした。必要に応じて、該当ストレージアカウントの用途に次第で、適切なものの適用をご検討していきます。

・[アクションの実行]内の「脅威の軽減」にて、最小特権アクセスの原則など、データ保護のために有用な情報が記載されていたので、それらをご参考にしてどのようにするかを決めていきました。

補足

【補足事項】
・DfCのセキュリティーアラートの診断項目は、同社により随時追加・または更新・削除されていきますので、今後も過去にはなかった診断項目によりインシデントを検知される可能性があります。その都度、アラート内容を確認していく必要があります。

・Azure の機能の区分として、「インシデント」と「セキュリティーアラート」があります。インシデントは簡潔に言って、複数のアラートを多面的に分析した結果を、ある1件の事象としてまとめ上げたものです。ASCセキュリティーアラートと セキュリティーインシデントの概要については、下記をご参照ください。
　https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-overview

・今回のアラートはまだ「プレビュー」扱いですので、まだAzureとして正式にサポートしている診断ではありません。今後廃止になる可能性もあります。

～～ Microsoft Defender for Cloud に限らず、Microsoft Azure についてのお問い合わせはこちらへ ～～
　https://www.fixer.co.jp/ja-jp/contact/

[転載元]
　貴社のAzure セキュリティ確保に！Microsoft Defender for Cloud 評価機能のススメ