😎

サーバーの脆弱性確認におけるDefender for CloudとDefender ポータルの使い分け

に公開
Azure
Microsoft
defender
Defender for Cloud
defenderポータル
tech

背景

Defender 関連のUIはDefenderポータル上に統合されつつあるが、Azure Portalベースで利用してきた人間にとっては、利用しにくさがあった。

また、業務においてDefender ポータルを利用する機会もあったため、ある特定の操作だけではあるが操作感を残すことにする。特に、Defender for Cloud上で確認するときと、Defender ポータル上で確認するときの差分を中心に解説する。

ゴール

サーバの脆弱性の管理の検出結果を見る

脆弱性の検出まで

  • Defender for Serversのプラン2の有効化が必要
  • MDE.Linux(windows の場合は、MDE.Windows)のインストールが必須。インストールはDefender for Cloud(DfC)側から自動的に実施してくれる。
  • DfC側で検知するのにそれなりに時間はかかる。
    • MDEエージェントの自動デプロイまでに1時間くらい
    • 検出結果がDfCに送られるのに12~24時間くらい

検出結果の確認

Defender for Cloud画面

DfCのインベントリから特定のサーバを選択することで確認できる。サーバ単位で確認するならインベントリから確認するのが分かりやすそうである。
調査結果のタブから、該当サーバで発生している脆弱性を重要度別に知ることができる。確認したい脆弱性のIDを選択することで、紐づくCVE番号まで確認できる。
alt text

推奨事項単位でどのサーバに影響があるかをまとめて見たい時は、以下の画面が分かりやすそうである。DfCの推奨事項→クラシックビューから確認が可能である。「検出結果」から見たい項目を選択することで、その推奨事項がどのサーバで発生しているかを確認できる。
alt text

Defender ポータル画面

DfCの画面でも十分な内容が確認できるが、例えば、ソフトウェア単位でどういった脆弱性が発生しているか、発生しているCVEの一覧を知りたい時などはDefender ポータルを利用した方が便利である。Defender ポータルへの接続は、https://security.microsoft.com/ から接続することができる。

「アセット」→「デバイス」から、該当のマシンを選択する。その後に、確認したい項目のタブを選択することになる。ここでは、セキュリティに関する推奨事項のタブを選択した。DfCの調査結果画面でも確認できた内容が表示される。画像より、DfCで表記されていたUpdate 7-zipが、日本語化されているがDefender ポータル上でも確認できる。

「ソフトウェアページを開く」を選択することで、実際に本推奨事項が紐づくソフトウェア(ここでは7-zip)を確認することができる。(残念がら筆者は試用版を利用しているの、ソフトウェアの一覧ページではデータが無いと表示されてしまったため、本記事では割愛する。)
alt text

発見された脆弱性のタブからは、当該サーバで抱えている脆弱性のCVE一覧を確認することができる。サーバ単位で、かつ、CVE単位でどういった脆弱性を抱えているのかを知りたい時にはDefender ポータルが有効そうである。
alt text

一方でDefender ポータル上からは、DfCで表示されていたランダムIDの推奨事項(EPK3K8など)の表記は確認できなかった。この情報の使い道はあまり無いので、表示されないことによる不具合は無いと考える。

(まとめ)エンドポイント管理における使い分け

以下のように感じた。

  • ソフトウェア単位でどういった脆弱性を抱えているのかを知りたい時にはDefender ポータルを利用する。
  • CVEの一覧で発生している脆弱性を知りたい時にはDefender ポータルを利用する。確認したいCVEから、どのサーバで発生しているのか?まで確認できる。運用上でのユースケースとしては、このCVEがヤバイという周知があった時に、「じゃあどのサーバで発生しているのか?」をいち早く知るために活用できそうである。

まだまだ見切れていない部分はあるが、情報量としてDefender ポータル上から確認する方が全体的に豊富な印象は受けた。今後はDefender ポータルの使い方にももっと慣れていこう思う。

Discussion