SC-200の勉強です。
今回はDefender for Cloudについてまとめていきます。
Hands Onは以下LinkのLearning Path 3。
Defender for Cloudの有効化
まずはLog Analytics Workspaceを作成(省略)
Getting StartedのUpgradeから。Defender for Cloudを有効化する。
最初は1か月の無料期間がある。
Defender for Cloudのオススメの使い方
ちなみにPoCやAgileでも、AzureのSubscriptionを使い始めたらすぐDefender for Cloudを有効化するのが望ましいと個人的には考える。
たまに見かけるのが、セキュリティのことを何も考えずに開発を進めてしまい、ずっと後のフェーズになってお客さんにセキュリティ運用などを質問されて慌てるパターン。
リソースが何十個もできてから、Defender for Cloudをようやく有効化しても、低いセキュアスコアとRecommendationの数に圧倒される。
Subscriptionを建てるのと同時にお客さんに説明してDefender for Cloudを有効化にして、リソースを追加するのと同時にDefender for Cloudのセキュアスコアも少しずつ改善していくのが望ましい。Defender for Cloudは金額的にはそんなに高くない。本番COの目安は80点程度とも言われるが、少しずつ取り組んでいけば案外難しくはなかったりする。
Subscriptionの設定(Planの選択)
Management > Environment SettingsのSubscriptionを選択すると、個別にどのPlanを有効化したいかが確認できる。
必要なものをONにすればよく、例えばコンテナスキャンをONにしても、リソースがなければ課金はされない。
更にそれぞれのPlanのPricing、Monitoring Coverageを選択して詳細を決定する。例えばDefender for ServersはPlan1とPlan2がある。
Plan2はMalwareスキャン、JIT等諸々足りない。
Defender for ServersのMonitoring Coverageをクリックするとこんな感じでLog Analytics Agentを自動インストールするか、Log Analytics Workspaceどれを使うか、Defender for Endpoint使うか等が設定できる。
ちなみにLog Analytics Agentの廃止について
Log Analytics Agentは廃止予定なので、これはOnにしない方がよい、というのがまず最初の結論になる。ここから設定できるUI自体も廃止予定らしい。
以下のブログを見る限り、後継のAzure Monitor AgentですらDefender for Endpointさえ入っていればよいということらしい。となるとAzure Monitor Agentの立ち位置がちょっとあいまいなのだが。Defender for Cloudとの連携はAgentがなくてもできるが、ログ連携にはMonitor Agentは手動で入れてもいいよ、というスタンスのように読める。
all Defender for Servers features and capabilities will be provided through Microsoft Defender for Endpoint (MDE) as a single agent, complemented by agentless capabilities, without dependency on either Log Analytics Agent (MMA) or Azure Monitoring Agent (AMA).
To ensure your servers are secured, receive all the security content of Defender for Servers, verify Defender for Endpoint (MDE) integration and agentless disk scanning are enabled on your subscriptions. This will ensure you’ll seamlessly be up-to-date and receive all the alternative deliverables once they are provided.
Microsoft Defender for Cloud。以前は Azure Monitor エージェントを使用する移行手順も存在しておりましたが、Microsoft Defender for Cloud (以下、MDC) では エージェントを廃止する方向で進んでおりまして、MDC からは既に Azure Monitor エージェントのプロビジョニングをする設定ができないように変更されております。
Agentを入れないでもDefender for Cloudと連携できるようになる、というのが基本路線ということか。その代わりにDefender for EndpointとAgentless disk scanを有効にしろと。
組織のルールでDefender for Endpointは無効化し、指定のサードパーティ製品(McAfeeとかCrowdStrikeとか)をインストールすることが求められている場合はDisk scanだけ有効にすればいいのか。
後で調べた限り、Sentinelにログ連携などをする場合はAzure Monitor Agentが必要になったりする。
Log Analyticsの設定
今度はManagement > Environment SettingsのLog Analyticsも確認し、全てを有効にする。
Resource Groupを見ると自動的にいろんなLog Analyticsができてた。
試しにVMをデプロイしてみると
この状態でVMをデプロイしてみると、Defender for ServersがOnになっていることが表示される。
Deployされてから少し時間が経ったら、InventoryにもVMが表示されるようになった。基本的に自動的に検知されるということかな。
VMのExtensions+Applicationsを確認するとOmsAgentForLinuxというのがインストールされているのが確認できた。
これは上に述べた2024年8月廃止予定のLog Analytics Agentなので、Azure Monitor Agentではない。今の移行時期はAgentのインストールは手動にしておくしかなさそうだ。
MDE.LinuxはDefender for Endpointのことらしい。
コンプライアンス標準の管理
Environment Settings > Security Policiesに適用するコンプライアンス標準を設定することができる。
一番上にあるのはMicrosoft Cloud Security Benchmarkでデフォルトで、各サブスクリプションに既定で割り当てられている。Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の各種標準に基づくようにMicrosoftが作ってくれた標準。リソースの脆弱性検出、ベストプラクティス準拠に役に立つ。もうこれがOnになっていればとりあえずいい。
(ドキュメントによると既定でOnになっているはずだが、Onになっていなかったので手動でOnにした。)
以下はMicrosoftの中の人によるMCSBについての説明。
Secure Score
Recommendationsの方を確認してみると、Security Scoreが表示されるようになっている。
Subscriptionを掘ってみるとVMにEDR製品(Defender for Endpoint等)が入っていないという警告が出ているのが見えた。
詳細には推奨の詳細、警告にオーナーの割り当て等が設定できるようになっている。
試しに自分をアサインしたらこんなメールが届いた。
自動Fixを試してみる
Take actionのところには、修正手順が掲載されており、単純なものであればFixボタンが提供されている場合があり、ものによってはボタン押下だけで設定を推奨に合わせてくれる。
例えば以下はVMのシステムアップデートを自動化しろという例。
押してみるとVMのUpdate Settingsが自動的に更新された。
Attack Path Analysis
これはCSPM本来の役割。
例えばStorage AccountがPublicでアクセスできてしまうとか、古いプロトコルを使っているとかの警告が表示される。
Alert
アラートはMicrosoftの機械学習に基づき、行動分析を絡めた異常検出により飛んでくる。
アラートはSecurity Alertsから確認できる。
アラートの詳細、とるべき対応策なども記載してくれる。
事前に定義しておいたLogic Appsの実行などもここからできる。
Management > Workflow automationという項目からWorkflowを定義する。
トリガーにはアラート、推奨事項、規制コンプライアンス標準が選択できる。
- Microsoft Defender for Cloud の推奨事項が作成またはトリガーされたとき: ロジックアプリが非推奨または置換された推奨事項に依存している場合は、自動化が動作を停止し、トリガーを更新する必要があります。
推奨事項の変更を追跡するには、 リリースノートを使用します。- クラウドの Defender アラートが作成またはトリガーされたとき に、対象となる重大度レベルのアラートのみに関連するようにトリガーをカスタマイズできます。
- クラウドの規制遵守評価のための Defender が作成またはトリガーされたとき:規制遵守評価の更新に基づいて自動化をトリガーします。
通知
Management > Environment Settings > Subscription
このEmail notificationからDefender for Cloudからのアラートを挙げrことができる。AlertやAttack PathでHigh以上のものが見つかった場合とか。
ログストリーミングについては、Management > Environment Settings > Subscription > Continuous Exportから、Defender for CloudのログをEvent HubやLog Analyticsに送ることができる。
