🛡️

Defender for Cloud で CVE を検索する

2024/05/29に公開

はじめに

Defender for Cloud ではエージェントベース / エージェントレスの脆弱性スキャン機能がありますが、組み込みではシンプルに CVE ID を検索する機能がなく、推奨事項から関連の脆弱性をたどっていく必要があります。エージェントベース (MDE) を使用していれば Defender ポータルで検索可能ですが、アクセス権を持っていない、もしくはエージェントレスを使用しているなどの場合、個別に Azure Resource Graph で KQL クエリを書いて検索するなどの操作が必要です。
そのため、今回は Microsoft が GitHub で公開している Azure Workbook テンプレートを使用して、CVE ID での検索を試してみます。

Workbook テンプレート

テンプレートはこちらです。[Deploy to Azure] から自身の Azure 環境にデプロイ可能です。
https://github.com/Azure/Microsoft-Defender-for-Cloud/tree/main/Workbooks/CVE Dashboard

操作確認

Workbook が Defender for Cloud に紐づく形で構成されているため、Defender for Cloud の [ブック] から [CVE Dashboard] で開くことができます。


以下のように CVE ベースで検索が可能です。ひとつ CVE ID をクリックすると、影響を受けるマシン、ソフトウェアがフィルタされます。


[Vulnerabilities by machine] タブではマシンごとに脆弱性を確認できます。


その他の検索方法

今回の Workbook を使わなくてもほかに CVE ID での検索を実現する方法があります。

1. 脆弱性評価の調査結果 Workbook を使用する

組み込みの Workbook にある [脆弱性評価の調査結果] を開きます。


[マシン] タブの下部の [脆弱性] から CVE ID で検索が可能です。ただし CVE の詳細は確認できず、該当マシンと脆弱性情報のみになります。

なお、こちらの Workbook ではマシンのほかにコンテナー、SQL の脆弱性も併せて可視化可能となるため、まとめて脆弱性を分析したい場合にはこちらがお勧めです。

2. クラウド セキュリティ エクスプローラー

Defender CSPM プランを有効化していることが前提ですが、クラウド セキュリティ エクスプローラーで CVE ID を使用した検索が可能です。

こちらでは単純な CVE ID による検索だけではなく、他の条件 (インターネットに公開している、高い権限のユーザーがアクセス可能、マネージド ID でストレージ アカウントへアクセス可能など) と組み合わせることができるため、より高度な検索が可能になります。

脆弱性確認後の対処

脆弱性を確認したらパッチを当てる必要がある、ということでマシンごとに Update してもいいですが、Azure では Update Manager を使用してオンデマンド (要求したタイミング) でパッチ適用が可能です。詳細はリンクをご確認いただければと思いますが、Azure VM であればコストがかからないため、ぜひ活用してみてください。
https://learn.microsoft.com/ja-jp/azure/update-manager/deploy-updates?tabs=install-single-overview%2Cinstall-scale-overview

Microsoft (有志)

Discussion