モチベ
- 2023年3月末にMicrosoft Defender CSPMがGA
- 概要を調べていて特にセキュリティグラフ、攻撃パス分析が有用そうだったので、試したい
Microsoft Defender CSPM
- Foundational CSPMとDefender CSPMがある
- Foundational CSPMは無料で以下の機能が利用可能
- セキュリティ設定のアセスメント
- 推奨事項
- セキュアスコア
- Defender CSPMは有料で下記の機能が含まれる
- ID とネットワーク露出の検出
- Network exposure detection
- 攻撃パスの分析
- リスク追求用のクラウド セキュリティ エクスプローラー
- エージェントレスの脆弱性スキャン
- タイムリーに修復と説明責任を促進するためのガバナンス ルール
- 規制コンプライアンスと業界のベスト プラクティス
- Data-aware security posture
- Agentless discovery for Kubernetes - coming soon (mid-April)
- Agentless vulnerability assessments for container images, including registry scanning - coming soon (mid-April)
セキュリティグラフとは
クラウド セキュリティ グラフは、Defender for Cloud 内に存在するグラフベースのコンテキスト エンジンです。 クラウド セキュリティ グラフは、マルチクラウド環境やその他のデータ ソースからデータを収集します。 たとえば、クラウド資産のインベントリ、リソース間の接続と横移動の可能性、インターネットへの露出、アクセス許可、ネットワーク接続、脆弱性などです。 収集されたデータは、マルチクラウド環境を表すグラフを作成するために使用されます。
つまり、マルチクラウド環境を表すグラフを作成し、クラウドセキュリティエクスプローラーからクエリをかけて分析できる状態となっている
攻撃パス分析とは
クラウド セキュリティ グラフをスキャンするグラフベースのアルゴリズムです。 スキャンにより、攻撃者が環境を侵害して影響の大きい資産に到達するために使用する可能性のある悪用可能なパスが公開されます。 攻撃パス分析は、攻撃パスを公開し、攻撃パスを中断し、侵害の成功を防ぐ問題を修復する最善の方法に関するレコメンデーションを提案します。
つまり、作成されたセキュリティグラフに対してDefenderがスキャンをかけて外部から攻撃され得るパスを提示してくれる
検証
Defender CSPMの有効化
- [環境設定]からサブスクリプションを選択
- Defender CSPMをオンに設定する
セキュリティグラフ
- [セキュリティグラフ]を開き、クラウドセキュリティエクスプローラーを表示
- クエリのテンプレートを選択(ここでは、インターネットに公開されているVM)
- クエリのテンプレートを選択(ここでは、インターネットに公開されているVM)
- 検索を実行する
- 結果として、インターネットに面しているVM一覧が出力される
-
Exposed to the internetの条件としてポートの設定も可能
複雑な条件
-
Exposed to the internetに加えて、その他の条件も加えることでユーザの見たい条件でリスクを評価できる - +ボタンをクリックすると条件を追加でき、その条件の中身は組み込みの項目を選択可能
- ここでは
Vulnerable to remote code executionを選択
- ここでは
- それぞれに合致するVMが出力される
対象リソースの変更
- 画像赤枠部分から対象リソースの選択が可能
攻撃パス分析
- 場所が非常にわかりにくいが[推奨事項]の中にある
- セキュリティグラフを分析し、攻撃パスが存在するものについてのリストが確認できる
- 攻撃パスの項目をクリックすると、より詳細なビューを確認出来る
- ここでは、どこをエントリポイントにしてどこまで到達可能なのかというマップが表示され、文字通りパスが見えるようになっている
- この例だと、「このVMにはパッチ当てないとヤバいよね」ということが見えていることになる
おわり
- Defender CSPMによって今までよりDefender for Cloudの可能性が大分広がった気がする
- 依然としてUIはところどころ使いづらいので、そこが何とかなれば、、、という感じ
GitHubで編集を提案
Discussion