はじめに
最近、Defender for Cloud の機能強化として、ストレージなどに格納された機密情報を検出する機能がプレビューでリリースされました。ドキュメントや設定画面によってブレている気がするのですが、以下あたりが機能の名称かと思います。
- Data-aware security posture (データ対応セキュリティ態勢)
- Data sensitivity (データの秘密度)
- Sensitive data discovery
関連ドキュメントはこちら。
気になる仕様がいくつか
動作を試す前に気になる仕様がいくつかありましたので、書き出しておきます。2023/4 現在プレビューなので、一般提供時に仕様は変わるかもしれません。
- Defender CSPM もしくは Defender for Storage を有効化することで使用可能
- 対象は Azure のストレージ アカウント、Data Lake Storage と AWS S3 バケット
- ストレージ アカウントは ブロック BLOB のみ、Files は対象外
- パブリック ネットワーク アクセスを無効にした構成は対象外
- 初回スキャンで結果が表示されるまで最大で 24 時間
- 既存ファイル更新後の結果は 8 日以内に更新
- 新しいストレージアカウントは24 時間以内に検出
- 新しい AWS S3バケットは48 時間以内に検出
パブリック ネットワーク アクセスが必要なのと、検出までに時間がかかりそうなのがネックになりそうだなと思います。
そういえば Purview カタログは?
同じような機能 (というよりもデータベースなどより広範囲のリソースで検出可能) で、もともと Microsoft Purview カタログ (旧 Azure Purview) という機能があるのですが、どう使い分けるのか?と考えました。で、ドキュメントを確認したのですが、以下の通り共存する仕組みのようです。(解釈間違っていたらご指摘を、、、)
- Microsoft Purview カタログは Data-aware security posture と関係なく独立して動作
- Microsoft Purview カタログと Defender for Cloud を統合する場合、
- Data-aware security posture の対象となっているリソースは Data-aware security posture からの検出結果が付与され、Microsoft Purview カタログの結果は適用されない
- Data-aware security posture の対象となっていないリソースは Microsoft Purview カタログの検出結果が付与される、ただし Data-aware security posture の秘密度の設定は考慮されない
ということは、ルールの管理が煩雑なので Purview カタログ使っているのであれば、Data-aware security posture は使わず、ストレージに限定して低コストで検出したい場合には Data-aware security posture を使用するという形でしょうか。
初期設定
本機能は Defender CSPM もしくは Defender for Storage を有効化することで使用可能になります。
Defender for Cloud から [環境設定] > 対象のサブスクリプションを選択 > [Defender プラン] を開き、対象を [オン] にします。
オンにした後、[構成の編集] をクリックします。[自動プロビジョニング - 拡張機能] の画面が開くので、[Sensitive data discovery (preview)] を [オン] にします。
AWS の場合はアカウントで設定します。
最後に検出ルールを設定します。[環境設定] > [Data sensitivity] をクリックします。M365 Compliance の Purview 秘密度ラベルと連携できるのですが、今回は組み込みのルールのみを使います。
検出結果
今回はストレージ アカウントにテスト用のクレジットカード番号を含む xlsx ファイルをアップロードしました。能動的な確認はセキュリティ グラフ (Cloud Security Explorer) かインベントリからの確認になります。Purview カタログのように専用の可視化ツールがあればいいのですが、いまのところそういう作りにはなっていないようです。
Discussion