SC-200の勉強です。
今回はDefender for Cloudについてまとめていきます。
Hands Onは以下LinkのLearning Path 3。
Defender for Cloudの有効化
まずはLog Analytics Workspaceを作成(省略)
Getting StartedのUpgradeから。Defender for Cloudを有効化する。
最初は1か月の無料期間がある。
Subscriptionの設定(Planの選択)
Management > Environment SettingsのSubscriptionを選択すると、個別にどのPlanを有効化したいかが確認できる。
更にそれぞれのPlanのPricing、Monitoring Coverageを選択して詳細を決定する。例えばDefender for ServersはPlan1とPlan2がある。
Plan2はMalwareスキャン、JIT等諸々足りない。
Defender for ServersのMonitoring Coverageをクリックするとこんな感じでLog Analytics Agentを自動インストールするか、Log Analytics Workspaceどれを使うか、Defender for Endpoint使うか等が設定できる。
ちなみにLog Analytics Agentの廃止について
Log Analytics Agentは廃止予定なので、これはOnにしない方がよい、というのがまず最初の結論になる。ここから設定できるUI自体も廃止予定らしい。
以下のブログを見る限り、後継のAzure Monitor AgentですらDefender for Endpointさえ入っていればよいということらしい。となるとAzure Monitor Agentの立ち位置がちょっとあいまいなのだが。Defender for Cloudとの連携はAgentがなくてもできるが、ログ連携にはMonitor Agentは手動で入れてもいいよ、というスタンスのように読める。
all Defender for Servers features and capabilities will be provided through Microsoft Defender for Endpoint (MDE) as a single agent, complemented by agentless capabilities, without dependency on either Log Analytics Agent (MMA) or Azure Monitoring Agent (AMA).
To ensure your servers are secured, receive all the security content of Defender for Servers, verify Defender for Endpoint (MDE) integration and agentless disk scanning are enabled on your subscriptions. This will ensure you’ll seamlessly be up-to-date and receive all the alternative deliverables once they are provided.
Microsoft Defender for Cloud。以前は Azure Monitor エージェントを使用する移行手順も存在しておりましたが、Microsoft Defender for Cloud (以下、MDC) では エージェントを廃止する方向で進んでおりまして、MDC からは既に Azure Monitor エージェントのプロビジョニングをする設定ができないように変更されております。
Agentを入れないでもDefender for Cloudと連携できるようになる、というのが基本路線ということか。その代わりにDefender for EndpointとAgentless disk scanを有効にしろと。
組織のルールでDefender for Endpointは無効化し、指定のサードパーティ製品(McAfeeとかCrowdStrikeとか)をインストールすることが求められている場合はDisk scanだけ有効にすればいいのか。
Log Analyticsの設定
今度はManagement > Environment SettingsのLog Analyticsも確認し、全てを有効にする。
Resource Groupを見ると自動的にいろんなLog Analyticsができてた。
試しにデプロイしてみると
この状態でVMをデプロイしてみると、Defender for ServersがOnになっていることが表示される。
Deployされてから少し時間が経ったら、InventoryにもVMが表示されるようになった。基本的に自動的に検知されるということかな。
VMのExtensions+Applicationsを確認するとOmsAgentForLinuxというのがインストールされているのが確認できた。
これは上に述べた2024年8月廃止予定のLog Analytics Agentなので、Azure Monitor Agentではない。今の移行時期はAgentのインストールは手動にしておくしかなさそうだ。
MDE.LinuxはDefender for Endpointのことらしい。
コンプライアンス標準の管理
Environment Settings > Security Policiesに適用するコンプライアンス標準を設定することができる。
一番上にあるのはMicrosoft Cloud Security Benchmarkでデフォルトで、各サブスクリプションに既定で割り当てられている。Center for Internet Security (CIS) と National Institute of Standards and Technology (NIST) の各種標準に基づくようにMicrosoftが作ってくれた標準。リソースの脆弱性検出、ベストプラクティス準拠に役に立つ。もうこれがOnになっていればとりあえずいい。
(ドキュメントによると既定でOnになっているはずだが、Onになっていなかったので手動でOnにした。)
以下はMicrosoftの中の人によるMCSBについての説明。
Recommendationsの方を確認してみると、Security Scoreが表示されるようになっている。
Subscriptionを掘ってみるとVMにEDR製品(Defender for Endpoint等)が入っていないという警告が出ているのが見えた。
詳細には推奨の詳細、警告にオーナーの割り当て等が設定できるようになっている。
試しに自分をアサインしたらこんなメールが届いた。
自動Fixを試してみる
Take actionのところには、修正手順が掲載されており、単純なものであればFixボタンが提供されている場合があり、ものによってはボタン押下だけで設定を推奨に合わせてくれる。
例えば以下はVMのシステムアップデートを自動化しろという例。
押してみるとVMのUpdate Settingsが自動的に更新された。
Alert
アラートはMicrosoftの機械学習に基づき、行動分析を絡めた異常検出により飛んでくる。
アラートはSecurity Alertsから確認できる。
アラートの詳細、とるべき対応策なども記載してくれる。
事前に定義しておいたLogic Appsの実行などもここからできる。
Management > Workflow automationという項目からWorkflowを定義する。
