演習 2 - Microsoft Defender for Cloud ダッシュボードについて

ラボのシナリオ

あなたは、Microsoft Defender for Cloud を実装している企業で働くセキュリティ運用アナリストです。 Microsoft Defender for Cloud が生成する推奨事項とセキュリティ アラートに対応する必要があります。

タスク 1:規制コンプライアンスを調べる

このタスクでは、Microsoft Defender for Cloud の規制コンプライアンスの構成を確認します。

  1. 管理者として WIN1 仮想マシンにログインします。パスワードは Pa55w.rd です。

  2. Microsoft Edge ブラウザーで、Azure portal (https://portal.azure.com) を開きます。

  3. [サインイン] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントの電子メール アカウントをコピーして貼り付け、[次へ] を選択します。

  4. [パスワードの入力] ダイアログ ボックスで、ラボ ホスティング プロバイダーから提供されたテナントパスワードをコピーして貼り付け、[サインイン] を選択します。

  5. Microsoft Azure portal の検索バーに「Defender」と入力し、[Microsoft Defender for Cloud] を選択します。

  6. [クラウドのセキュリティ] で、左側のメニュー項目から [規制コンプライアンス] を選択します。

  7. ツール バー の [コンプライアンス標準の管理] を選択します。

  8. サブスクリプションを選択します。

    ヒント: 管理グループの階層がある場合、サブスクリプションを見つけるには [すべて展開] を選びます。

  9. [設定] で、ポータル メニューの [セキュリティ ポリシー] を選択します。

  10. 下にスクロールして、既定で使用可能な “セキュリティ標準” を確認します。

  11. 検索ボックスを使用して ISO 27001:2013 を見つけます。

  12. ISO 27001:2013 の右にある [ステータス] スライダーを選択して動かし、[オン] にします。

    注: 一部の標準では、Azure Policy イニシアティブを割り当てる必要があります。

  13. ページ メニューの [更新] を選択して、ISO 27001:2013 がサブスクリプションに対して [オン] に設定されていることを確認します。

  14. 次に、[セキュリティ ポリシー] ページの検索バーで、SOC 2 Type 2 を検索します。 トグル ボタンを選択して、ステータスを [オン] に変更します。

  15. [パラメーターの設定] ブレードで、次の詳細を入力し、[保存] を選択します。

    • 許可されるレジストリまたはレジストリの正規表現: []
    • 許可される CPU ユニットの最大数: 200m
    • 許可されるメモリの最大バイト数: 1

  16. ページの右上にある ‘X’ を選択することで [セキュリティ ポリシー] ページを閉じ、[環境設定] に戻ります。

  17. [規制コンプライアンス] に戻ります。 最近追加した標準を表示するには、[すべて表示] を選択します。

    注: 新しく追加された標準が最小のコンプライアンス規制基準の下に表示されるまでに最大 2 時間かかることがあります。 次の手順に進んでください。後で標準を確認できます。

タスク 2: ワークロード保護を調べる

このタスクでは、ワークロード保護を確認します。

  1. 左側のナビゲーション メニューで、[クラウド セキュリティ] セクションを展開し、[ワークロード保護] を選択します。

  2. ワークロード保護では、現在選択しているサブスクリプションでの接続済みのリソース範囲を確認できます。 現在のリソース範囲は、完全な保護を意味する 100% を完全にカバーする必要があります。 さらに、重大度別に色分けされた最新のセキュリティ アラートを表示することもできます。

  3. 次に、Microsoft Defender for Cloud の [全般] セクションから [インベントリ] をクリックします。 監視対象外の VM の数と、対象となるリソースの合計が表示されます。監視対象外の VM は 0 個であると予想されます。 リソースは正常性状態に応じて分類されます。

タスク 3:セキュリティ・アラートを軽減する

このタスクでは、サンプルのセキュリティ アラートを読み込み、アラートの詳細を確認します。

  1. ポータル メニューの [全般] で、 [セキュリティ アラート] を選択します。

  2. コマンド バーから [サンプル アラート] を選択します。 ヒント: コマンド バーから省略記号 (…) ボタンを選択することが必要な場合があります。

  3. [サンプル アラートの作成 (プレビュー)] ウィンドウで、ご使用のサブスクリプションが選択されていることと、”Defender for Cloud プラン” 領域ですべてのサンプル アラートが選択されていることを確認します。**

  4. [アラートのサンプルの作成] を選択します。

    注: このサンプル アラートの作成プロセスの完了には、数分かかる場合があります。”サンプル アラートが正常に作成されました” という通知が表示されるのを待ちます。

  5. 完了したら、[最新の情報に更新] (必要な場合) を選んで [セキュリティ警告] 領域にアラートを表示します。**

  6. [重大度] が [高] の関心があるアラートを選択し、次のアクションを実行します。**

    • アラートのチェック ボックスを選択すると、アラートの詳細ペインが表示されます。 View full details を選択します。

    • [アラートの詳細] タブを確認して読みます。

    • [アクションを取る] タブを選択するか、下にスクロールしてページの末尾の [次へ:アクションの実行] ボタンを選択します。

    • [アクションの実行] の情報を確認します。 アクションの実行のセクションは、次のアラートの種類によることに注意してください。リソース コンテキストの検査、脅威の軽減、将来の攻撃の防止、自動応答のトリガー、類似のアラートの抑制。

これでラボは完了です