はじめに
2024/3/12 に Microsoft Defender for Cloud での重要な資産の保護機能がプレビューで提供開始になり、以下のように環境設定ページに [リソースの重要度(プレビュー)] が増えています。
ドキュメントはこちらです。
こちらは、Defender XDR で提供開始している重要な資産管理機能の一部で Microsoft Security Exposure Management (MSEM) によって作成された重要資産エンジンを使用して Azure リソースに対して重要資産のタグを付与します。利用するには Defender CSPM が必要です。MSEM としては デバイス、ID、クラウド リソースが対象となり、このうち Defender for Cloud と連携されるのはクラウド リソースになります。今回はこちらの機能を見ていきます。
設定の確認
Defender for Cloud の画面の [環境の設定] から [リソースの重要度 (プレビュー)] をクリックします。
[Defender ポータルを開く] をクリックします。
[設定] > [Microsoft Defender XDR] > [ルール] > [重要な資産管理] のページが開きます。
Defender for Cloud としてはクラウド リソースのみになりますが、以下のようにデバイスや ID のルールもあります。
クラウド リソースに関する組み込みの分類ルールは Databases with sensitive data のみのようです。
クラウド リソースに関係する分類ルールを新規作成する場合、以下のようなフィルタを利用可能す。その他、プレビューで対象リソースが選択されているかを確認し、重大度を割り当てます。
Defender for Cloud 側の画面で確認
Defender for Cloud 側で分類ルールに該当するリソースがある場合、以下のように [重要な資産] マークがつきます。
プレビューのリスク別の推奨事項でも考慮されていることが分かります。
まとめ
従来では Compliance ポータルなどと連携して機密情報の検出が可能でしたが、今回の重要な資産の保護機能によって、機密情報だけでなくさらに詳細な条件に基づいて重要資産の分類が可能になりました。こちらの情報を攻撃パス分析やリスク別の推奨事項にも考慮されるため、機密情報の有無に関わらずシステム内の重要リソースを特定しておくことで、推奨事項等の優先順位付けに生かすことができるようになります。
Discussion