Zenn
🍣

[Azure] セキュリティサービスについて(ネットワーク以外)

2023/02/15に公開
Azure
Security
tech

Microsoft Defender for Cloud への Azure Policy適用

ポリシーの適用は可能であるが、前提条件としてイニシアチブ定義になっている必要がある。

PIMで役割の利用を許可するユーザを登録するとき

割り当ての種類に、「対象」と「アクティブ」の選択肢が存在する。
前者は「申請ができる」、後者は「申請をせずに役割を割り当てる」という違いのようである。
PIMなので申請が基本かと思っていたが、こういうオプションもあるらしい。


https://www.illuminate-j.jp/blog/m365_security21_aad_pim#:~:text=されています。-,役割の利用を許可するユーザーを登録する,期間も指定します。

JIT(ジャストインタイム)VMアクセスの要件

NSGがVMにアタッチされていること。厳密には、VM直接のアタッチではなく、上位のリソース(サブネットなど)にアタッチされていればOKである。
https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/just-in-time-access-usage

PIMとJITの関係

PIMの中にJITもある?
 → PIMのJITと、Microsoft DefenderのJITが少なくとも存在する。前者はPIMなので特権IDに関するJIT、後者はVMの一時的なポート開放によるJITという感じで役割は異なる。

Azue ランディングゾーン × 脅威モデリング


ランディングゾーンとは:
Azureにおいてセキュリティ・ガバナンス・ネットワークといった、Azureで作成すべき各機能を出力した概念図?みたいなもの。このランディングを考慮しながら、クラウド設計をしていくといいよという指針みたいなもの。
https://aadojo.alterbooth.com/entry/2021/06/17/182530
脅威モデリングとは:

https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
https://www.microsoft.com/en-us/securityengineering/sdl/practices

PIMのアクティベーションとは。PIMの条件付きアクセスとの違い

PIMはあくまで、特権ID管理としての機能になるため、条件付きアクセスとは一線を引かれる存在になる。(同じ権限セキュリティ系のサービスなので、内包関係になっているかなと思ったりしたが)
アクティベーションとはいわゆる、有効化のことで、時間を指定した上で一時的に権限を対象者に付与することになる。

Azure Sentinel のプレイブックの編集方法

https://learn.microsoft.com/en-us/azure/sentinel/tutorial-respond-threats-playbook?tabs=LAC%2Cincidents

プレイブックとランブックの違い

プレイブック:Microsoft Sentinelのオートメーションで利用される。自動修復タスクなど。中身はLogic Appsになっている。
ランブック:Azure Automationの中で利用される、Powershellスクリプトのこと。

https://learn.microsoft.com/ja-jp/azure/sentinel/automate-responses-with-playbooks

オンプレでMicrosoft Defenderを有効化してMicrosoft Monitor Agent(MMA)を展開する。

オンプレサーバをMfDにオンボードするためには、MMAが必要。エージェントインストールすることでログの収集と評価を行ってくれる。
https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/microsoft-defender-for-cloud-monitoring-agent-deployment-options/ba-p/817520

PIMにはAzure Premiumラインセス P2が必要

アクセスレビューには?
 → Identity Governance(アクセスレビュー)にも、Premium P2ライセンスが必要になる。

Microsoft Intuneのアプリ保護ポリシー

昨今のリモート推進によって、個人デバイスを利用(BYOD)も増えてきた。そうなると、デバイス内のアプリから企業データと個人テータが入り混じることになったり、企業データを個人デバイスにダウンロードされることにもなる。企業のデータが確実にマネージドサービス内に保存されることを保証する保護ポリシー。詳細は以下の図がわかりやすいので載せておく。
https://learn.microsoft.com/ja-jp/mem/intune/apps/app-protection-policy#how-app-protection-policies-protect-app-data

Microsoft Defender for Cloud と Microsoft Sentinelの違い

どちらもセキュリティ対策の製品でいまいち違いが分かりにくかった。結局脅威を検出してアラート出すのでは?というイメージだった。

DfC:CSPM CWPP を提供する。
Sentinel:SIEM SOAR を提供する。
という違いがある。

  • CSPM:クラウドサービスのセキュリティ設定が正しいかをチェックしてくれる。例えばストレージアカウントが不用意に公開設定になっていないかといった推奨事項。

  • CWPP:クラウドサービス上で動くワークロード(VM・DB・コンテナとか)のセキュリティ対策を行う。(IDSとかIPSのイメージ?)
    https://zenn.dev/tomot/articles/445f9a2bc379d9

  • SIEM:IT環境セキュリティイベント・インシデントの監視・検出・通知。サーバやFWやIDSネットワーク機器からログを収集して組織全体の分析を行う。

  • SOAR::IT環境全体のセキュリティの運用タスクへの自動対応
    Sentinelの場合は、以下のようなLogic Appsでの自動対応がある。

Azure Sentinelはオンプレ・クラウド・様々なデータソース(AWSとか別のSaaSとか)などの環境全体をターゲットとした、脅威の検出と自動対応を実施したい場合。以下のように様々なデータソースが選択可能。

DfCは、クラウド環境をターゲットとして、推奨事項の管理やワークロード(個別リソース)の脅威検出を実施したい場合。Sentinel に比べるとミクロ感じか。どのリソースでどういった脅威が起きているのかを検出したい感じか。分析機能に関しては、Sentinelのほうが優れているらしい。(以下の記事を参考)
https://the-tech-guy.in/2023/05/12/azure-sentinel-vs-azure-security-center/

Discussion