1本目の記事はこちら。
Amazon InspectorとMicrosoft Defender for Cloudの比較①脆弱な環境準備AWS編
2本目の記事はこちら。
Amazon InspectorとMicrosoft Defender for Cloudの比較②Amazon Inspector有効化と分析結果編
3本目の記事はこちら。
Amazon InspectorとMicrosoft Defender for Cloudの比較③脆弱な環境準備Azure編
はい。
さっきまで3本目の記事書いてました。
懲りずに別の記事書き出します。
現在12月3日23時26分。
明日は月曜日だぜ!
早く寝な!
Microsoft Defender for Cloudの有料版の有効化
この赤枠内のボタン[すべてのプランを有効にします]を押すだけ。
逆に言うとこの下につらつら並んでる[オフ]と[オン]のボタンを押せば、その機能だけオン/オフが可能で、課金もコントロールできます。
あと注意事項としては
左ペインの[電子メールの通知]からメールの送付先やメールを送るトリガー設定を行ってください。
これがMicrosoft Defender for Cloudの指摘事項として挙がってくるんですが、指摘への対処のURL記載の場所と全然違います。
UIが変わったのに案内が追い付いてないですね。
で、そもそもこの画面までどうやって来るんだというと、
Azure Porta左ペインの[すべてのサービス]をクリックして検索窓に[Defender for Cloud]と打ち込んでトップに出てくるアイコンをクリックです。
Defender for Cloud のダッシュボードが出てくるので
ダッシュボードの左ペイン、下方にある[環境設定]をクリックします。
画面下方にある鍵マーク、サブスクリプションを意味しているアイコンなのですが、これをクリックすると
最初にご紹介したMicrosoft Defender for Cloudのオン/オフ画面が出てきます。
これはもう前の記事で描いている脆弱なLAMP環境が動いているので、どこまで検出してくれているのか見てみましょう。
概要
4Kのディスプレイにぎりぎり収まりました。
リソース14とかなってますが、Terraformで消したリソースもまだカウントされています。
1時間くらい経っても消えないので、トリガーがよくわかんないです。
概要の下にある[はじめに]はMicrosoft Defender for Cloudの有効化、というか有料版使いましょうっていう案内なのでスキップします。
推奨事項
はい。
メインの[推奨事項]ですね。
ちょっとUIが残念な感じがありますが、気にせず中身を見ていきましょう。
まず上の赤枠内ですが、2つストレージアカウントがあって、1つがパブリックアクセス可能、みたいになってますが、実際は1つしか無くて存在してる方のストレージアカウントはパブリックアクセス無効にしてあるので問題ないです。
Terraformで削除したストレージアカウントの残骸をパブリックアクセス可能と判定しています。
実際削除したストレージアカウントはパブリックアクセス可能でしたので、判定そのものは正しいです。
下の赤枠、めんどうなんで2つの項目とも囲んだので順にみていきましょう。
ゲスト構成拡張機能インストール
こんな感じでVM2台、ゲスト構成拡張機能をインストールしてください、って出てますね。
Linux版も用意されており、今回のAlmaLinuxも対象です。
これを入れることで色々わかるみたいなので後程(たぶん別記事)インストールしてみます。
ここまで出てくるのに、このVMを構築してから6時間くらいかかりました。
やっぱりこういう脆弱性検査的なのは時間がかかりますね。
ストレージアカウント共有キーのアクセス禁止
結構丁寧に説明してくれていますね。
ただ今回はこの2つのストレージアカウントは少し特殊な使い方をしているので共有キーは無効化できないため、[適用除外]とします。
さっき敢えて飛ばした[Azureリソースに対する書き込みアクセス許可を持つ、ゲストアカウントを削除する]もちょっと現時点では厳しいため[適用除外]です。
強化されたセキュリティ機能を有効にする
Microsoft Defender for DNSの有効化
1つ目のMicrosoft Defender for DNSの有効化ですが、これ、項目としてMicrosoft Defender for DNSってのが無いんですよね。
先ほどの[すべてのプランを有効にします]の中に項目が存在しない・・・
どうやって有効化すればええんや・・・
まさかPowerShellか?
SR行きやな。
これ方法ありました。
24時間以上経ってから出てくる変化の様です。
Microsoft Defender for Cloudの[環境設定]→[Defender プラン]の設定項目内に出てくる[DNS]の設定項目を[オン](赤枠内)に変えるだけです。
でも赤枠内に(非推奨)の文字が・・・
[推奨事項]に挙げてくるのに(非推奨)とは、これ如何に?
どっちにしてもSR行ですかね・・・
Microsoft Defender for SQL on machineをワークスペース上で有効にする必要がある
GUI的にはチェック入れて、下の[修正]入れたら直してくれそうな雰囲気ですね。
一回やってみましょう。
また課金されんのかいな・・・
ホンマかいな・・・
かなわんなぁ・・・
おぉ、自動でやってくるっぽい!
更新の間隔が24時間ってなってるんで、今が12月4日0時22分なんで、12月5日0時22分ですね。
はい。
わかりました。
やっぱり日付超えてしまいましたね。
めっちゃ中途半端ですが、今日はこれにてご容赦ください!
本日はこれまで!
現在12月5日22時28分です。
24時間以上経ちました。
前回の続きから書きます。
なんと、24時間経つと変化がありました!
Microsoft Defender for Cloudを有効化して、24時間経過すると起きる変化
まずはおさらいから。
こちらが12月4日0時22分時点のセキュア スコアです。
71%ですね。
こちらが12月5日22時33分現在のスコアです。
スコアが80%に上がっています。
更にアクティブな推奨事項の分母が増えて分子が減り、チェック項目が6個から14個に増えています!
何にもしてないのに、スコアが良くなった!
調べてみると、24時間経ったくらいでVM2台にMicrosoft Defender for Cloudのエージェントが自動でVMにインストールされているようで、VM内の検査項目が増え、かつ増えた検査項目で合格が多かったからだと思います。
SE Linuxを有効化していたり、firewallで必要なサービスのみを許可してたりと、脆弱な環境作りを行うのが目的としつつも結構硬い構成にしているのが評価されたのでしょう。
この辺の設定を変更すればスコアが下がる可能性がありますが、今回はいったんそこまでは行いません。(予算の都合です。)
証跡として、12月3日18時頃(24時間以上前)に作成したVMの拡張機能がこちら
つい先ほど、12月5日23時に作成したVMの拡張機能がこちらです。
はい。
つい先ほど構築したVMは拡張機能が空っぽですね。
手動でインストールは行っていないので、いつか勝手にMicrosoft Defender for Cloudの機能でインストールしてくれるんでしょう。
もっと詳細にみていきたいのですが、予算の都合上これで検証を終わります。
しかしまぁ、推奨事項がたくさん並びますね。
下の赤枠ですが、14個です。
お金もかかりますが、それでも指摘事項が多く(それだけたくさん検査している)、自動でエージェントインストールをやってくれて詳細に中身まで見てくれる、というのはかなり嬉しいですね。
予算の都合で中途半端になりましたが、また機会を見てもう少し詳細にみていこうと思います。
本日はここまで!