貴社のAzure セキュリティ確保に!Microsoft Defender for Cloud 評価機能のススメ
2021-12-21
azblob://2022/11/11/eyecatch/2021-12-20-microsoft-defender-for-cloud-recommendations-000.jpg

この記事はFIXER Advent Calendar 2021 21日目 の記事です。

エンタープライズ事業部の田邊です。

Azure は色々なサービスを作成できるし、簡単にデプロイできて便利!
だけど、セキュリティまで考えるのは、なかなか面倒ですね・・・・。

そこで、今回は マイクロソフト社があなたのリソースを”自動的にセキュリティ評価してくれる” Azure の機能をご紹介します。

その名も『Microsoft Defender for Cloud』といいます。
 ※2021年11月2日まで「Azure Security Center」と呼ばれているサービスでしたが、名称が変わりました。

■Microsoft Defender for Cloud とは??

Microsoft Defender for Cloud (仮に DfC と呼びます)は、
マイクロソフト社のセキュリティ部門により開発されているセキュリティ診断機能を、ユーザーのみなさんでご利用の Azure リソースへ適用していきます。

同社でご用意したセキュリティ基準をもとに診断して、その結果と、Azure の観点からご提案できる推奨事項を表示します。
利用者側としては、システムをより堅牢にするために、ご活用していくことを期待できるサービスです。

推奨事項は、必ずしもすべてを対応しなければならないものではなく、
ユーザーのみなさんのセキュリティ対応方針に応じて採用していくので大丈夫です。

また推奨事項の中には単に「Azure でご提供しているセキュリティ機能が設定されていないので、有効化を推奨する」というようなものからありますので、
「抜け漏れがないかのチェックシート」代わりに使用していただくことも出来ます。
もしくは踏み込んで、「よりシステムを堅牢にするための手段を探す」観点で利用することも可能です。

 (※)公式情報については、下記をご参照ください。
    https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/defender-for-cloud-introduction

※表示例

■例えばどうやって利用したか?

例えば、「あるところからストレージアカウントへ、多数のアクセスがあったことを検知した」ことをアラートとして表示してくれます。
あるとき推奨項目が1件あがりましたので、その内容を分析したときの状況を載せますね。

そのとき DfC は、該当ストレージアカウントへの多数のアクセスを脅威として判定し、アラートを通知しました。
このアラートからは、「DfC が今回の事象を攻撃として検知して、どれも失敗していると判断した」と読み取れます。
また該当の事象がどのようなものだったか、その結果どうなったか、どのように対策するべきかが以下のように記載されます。

 ・DfC は「MITRE ATT&CK」フレームワークで言う「収集」が、該当ストレージアカウントに対して仕掛けられた疑いがあると判定しました。
 ・発生元は、(欧州のある国)に割り当てられているIPアドレスでした。そこから xx言語の HTTP エージェントによる HTTP アクセスを 150 回仕掛けられたと考えられます。
 ・発生元は、様々な単語を HTTPリクエストに入れ込んで匿名アクセスを試行しましたが、Blob コンテナまで到達したアクセスは1度もありませんでした。
 ・該当ストレージアカウント内にあるデータストレージはコンテナだけで、パブリックアクセスレベルはすべて「プライベート」になっているため、今後同様のアクセスがあっても同様の結果に終わる見込みです。
 ・DfC から今後の対策案として、3種類の推奨事項が提案されています。
 ・また同様にアラートの[アクションの実行]にて、4件の脅威の軽減方法が提案されています。

 (※)MITRE ATT&CK については、他社情報で恐縮ですが下記をご参照ください。
    https://attack.mitre.org/
    https://www.intellilink.co.jp/article/column/attack-mitre-sec01.html

 (※)どのような種類のセキュリティアラートがあるかについては、下記をご参照ください。
    https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-reference

■その評価を元にして、どう役に立てたか?

・DfC の推奨事項にある対策案については、
それぞれ「そもそもストレージアカウントへの不要なアクセスを遮断する」ことを図った対策でした。
必要に応じて、該当ストレージアカウントの用途に次第で、適切なものの適用をご検討していきます。

・[アクションの実行]内の「脅威の軽減」にて、
最小特権アクセスの原則など、データ保護のために有用な情報が記載されていたので、
それらをご参考にしてどのようにするかを決めていきました。

■補足

【補足事項】
・DfC のセキュリティアラートの診断項目は、同社により随時追加・または更新・削除されていきますので、
今後も過去にはなかった診断項目によりインシデントを検知される可能性があります。
その都度、アラート内容を確認していく必要があります。

・Azure の機能の区分として、「インシデント」と「セキュリティアラート」があります。
インシデントは簡潔に言って、複数のアラートを多面的に分析した結果を、ある1件の事象としてまとめ上げたものです。
ASC セキュリティアラートと セキュリティインシデントの概要については、下記をご参照ください。
https://docs.microsoft.com/ja-jp/azure/defender-for-cloud/alerts-overview

・今回のアラートはまだ「プレビュー」扱いですので、まだAzureとして正式にサポートしている診断ではありません。
今後廃止になる可能性もあります。

~~ Microsoft Defender for Cloud に限らず、Microsoft Azure についてのお問い合わせはこちらへ ~~

https://www.fixer.co.jp/ja-jp/contact/