[Azure] セキュリティサービスについて(ネットワーク以外)
Microsoft Defender for Cloud への Azure Policy適用
ポリシーの適用は可能であるが、前提条件としてイニシアチブ定義になっている必要がある。
PIMで役割の利用を許可するユーザを登録するとき
割り当ての種類に、「対象」と「アクティブ」の選択肢が存在する。
前者は「申請ができる」、後者は「申請をせずに役割を割り当てる」という違いのようである。
PIMなので申請が基本かと思っていたが、こういうオプションもあるらしい。
JIT(ジャストインタイム)VMアクセスの要件
NSGがVMにアタッチされていること。厳密には、VM直接のアタッチではなく、上位のリソース(サブネットなど)にアタッチされていればOKである。
PIMとJITの関係
PIMの中にJITもある?
→ PIMのJITと、Microsoft DefenderのJITが少なくとも存在する。前者はPIMなので特権IDに関するJIT、後者はVMの一時的なポート開放によるJITという感じで役割は異なる。
Azue ランディングゾーン × 脅威モデリング
ランディングゾーンとは:
Azureにおいてセキュリティ・ガバナンス・ネットワークといった、Azureで作成すべき各機能を出力した概念図?みたいなもの。このランディングを考慮しながら、クラウド設計をしていくといいよという指針みたいなもの。
脅威モデリングとは:
PIMのアクティベーションとは。PIMの条件付きアクセスとの違い
PIMはあくまで、特権ID管理としての機能になるため、条件付きアクセスとは一線を引かれる存在になる。(同じ権限セキュリティ系のサービスなので、内包関係になっているかなと思ったりしたが)
アクティベーションとはいわゆる、有効化のことで、時間を指定した上で一時的に権限を対象者に付与することになる。
Azure Sentinel のプレイブックの編集方法
プレイブックとランブックの違い
プレイブック:Microsoft Sentinelのオートメーションで利用される。自動修復タスクなど。中身はLogic Appsになっている。
ランブック:Azure Automationの中で利用される、Powershellスクリプトのこと。
オンプレでMicrosoft Defenderを有効化してMicrosoft Monitor Agent(MMA)を展開する。
オンプレサーバをMfDにオンボードするためには、MMAが必要。エージェントインストールすることでログの収集と評価を行ってくれる。
PIMにはAzure Premiumラインセス P2が必要
アクセスレビューには?
→ Identity Governance(アクセスレビュー)にも、Premium P2ライセンスが必要になる。
Discussion