セキュリティデータを収集するために、監視エージェントの自動プロビジョニングを有効にします。

[Azure VM のログ分析エージェント] が有効になっている場合、Microsoft Defender for Cloud は、サポートされている既存のすべての Azure 仮想マシンと、作成される新しい仮想マシンに Microsoft Monitoring エージェントをプロビジョニングします。Microsoft Monitoring Agent は、システムの更新、OS の脆弱性、エンドポイント保護など、さまざまなセキュリティ関連の構成とイベントをスキャンし、アラートを提供します。

Microsoft Defender for Cloud は、サブスクリプションに対して重大度の高いアラートがトリガーされるたびに、サブスクリプション所有者にメールを送信します。追加のメールアドレスとして、セキュリティ連絡先のメールアドレスを指定する必要があります。

Microsoft Defender for Cloud は、サブスクリプション所有者に電子メールを送信して、セキュリティ アラートについて通知します。セキュリティ連絡先のメールアドレスを [追加のメールアドレス] フィールドに追加すると、組織のセキュリティチームがこれらのアラートに含まれるようになります。これにより、適切な担当者が潜在的な侵害を認識し、タイムリーにリスクを軽減できます。

サブスクリプション所有者またはその他の指定されたセキュリティ連絡先にセキュリティアラートをメールで送信できるようにします。

セキュリティアラートメールを有効にすると、Microsoft からセキュリティアラートメールが確実に受信されます。これにより、適切なユーザーが潜在的なセキュリティ問題を認識し、リスクを軽減できるようになります。

サブスクリプション所有者へのセキュリティアラートメールを有効にします。

サブスクリプション所有者へのセキュリティ アラート メールを有効にすると、サブスクリプション所有者は Microsoft からセキュリティ アラート メールを確実に受信できます。これにより、潜在的なセキュリティの問題を認識し、タイムリーにリスクを軽減できます。

ストレージ BLOB サービスは、スケーラブルでコスト効率の高い目標ストレージをクラウドに提供します。

ストレージ ログはサーバー側で行われ、成功した要求と失敗した要求の両方の詳細をストレージ アカウントに記録できます。これらのログを使用すると、ユーザーは BLOB に対する読み取り、書き込み、削除操作の詳細を確認できます。ストレージログ記録ログエントリには、個々の要求に関する次の情報が含まれています。 開始時間、エンドツーエンドの遅延、サーバー遅延などのタイミング情報、認証の詳細、同時実行情報、要求メッセージと応答メッセージのサイズ。

Storage Analytics ログには、ストレージ サービスに対する成功した要求と失敗した要求に関する詳細情報が含まれています。この情報を使用して、ストレージ サービスに対する個々の要求を監視し、セキュリティや診断を強化できます。要求はベストエフォートベースでログに記録されます。ストレージ アカウントでは、Storage Analytics のログ記録は既定で有効になっていません。

Storage Table ストレージは、構造 NoSQL データをクラウドに格納し、スキーマレス設計のキー/属性ストアを提供するサービスです。ストレージ ログはサーバー側で行われ、成功した要求と失敗した要求の両方の詳細をストレージ アカウントに記録できます。これらのログにより、ユーザーはテーブルに対する読み取り、書き込み、および削除操作の詳細を確認できます。ストレージログ記録ログエントリには、個々の要求に関する次の情報が含まれています。 開始時間、エンドツーエンドの遅延、サーバー遅延などのタイミング情報、認証の詳細、同時実行情報、要求メッセージと応答メッセージのサイズ。

Storage Analytics ログには、ストレージ サービスに対する成功した要求と失敗した要求に関する詳細情報が含まれています。この情報を使用して、ストレージ サービスに対する個々の要求を監視し、セキュリティや診断を強化できます。要求はベストエフォートベースでログに記録されます。ストレージ アカウントでは、Storage Analytics のログ記録は既定で有効になっていません。

記憶域キュー サービスには、ストレージ アカウントにアクセスできる任意のクライアントが読み取ることができるメッセージが格納されます。キューに含めることができるメッセージの数に制限はありません。バージョン 2011-08-18 以降を使用した場合、各メッセージのサイズは最大 64 KB になります。ストレージ ログはサーバー側で行われ、成功した要求と失敗した要求の両方の詳細をストレージ アカウントに記録できます。これらのログにより、ユーザーはキューに対する読み取り、書き込み、および削除操作の詳細を確認できます。ストレージログ記録ログエントリには、個々の要求に関する次の情報が含まれています。 開始時間、エンドツーエンドの遅延、サーバー遅延などのタイミング情報、認証の詳細、同時実行情報、要求メッセージと応答メッセージのサイズ。

Storage Analytics ログには、ストレージ サービスに対する成功した要求と失敗した要求に関する詳細情報が含まれています。この情報は、個々の要求を監視し、ストレージ サービスの問題を診断するために使用できます。要求はベストエフォートベースでログに記録されます。ストレージ アカウントでは、Storage Analytics のログ記録は既定で有効になっていません。

重要な SQL サーバーおよび対応する SQL データベースの脆弱性アセスメント (VA) サービススキャンを有効にします。

脆弱性アセスメント (VA) を有効にする 重要な SQL サーバーおよび対応する SQL データベースの定期的な繰り返しスキャン。

重要な SQL サーバーの関係するデータ所有者/ステークホルダーのメール ID を使用して、[スキャンレポートの送信先] を構成します。

脆弱性アセスメント (VA) 設定の [管理者およびサブスクリプション所有者にもメール通知を送信する] を有効にします。

SQL Database での認証に Azure Active Directory 認証を使用して、資格情報を 1 か所で管理します。

顧客管理キーをサポートする TDE は、TDE 保護機能に対する透明性と制御の向上、HSM ベースの外部サービスによるセキュリティの強化、および職務の分離の促進を提供します。TDE では、データは、データベースまたはデータ ウェアハウスのディストリビューションに格納されている対称キー (データベース暗号化キーと呼ばれます) を使用して保存時に暗号化されます。以前は、このデータ暗号化キー (DEK) を保護するために、Azure SQL Service で管理されている証明書のみを使用できました。

TDE のカスタマー マネージド キーのサポートにより、Key Vault に格納されている非対称キーを使用して DEK を保護できるようになりました。Key Vault は、可用性と拡張性に優れたクラウドベースのキーストアであり、一元的なキー管理を提供し、FIPS 140-2 レベル 2 検証済みハードウェアセキュリティモジュール (HSM) を活用し、キーとデータの管理を分離してセキュリティを強化します。SQL Server でホストされているデータ/データベースのビジネス ニーズまたは重要度に基づいて、TDE 保護機能は、データ所有者によって管理されるキー (カスタマー マネージド キー) によって暗号化することをお勧めします。

診断設定は、コントロール/管理プレーンから適切なアクティビティをログに記録するように構成する必要があります。診断設定では、診断ログのエクスポート方法を制御します。適切な制御/管理プレーン アクティビティの診断設定カテゴリをキャプチャすると、適切なアラートが可能になります

診断設定では、診断ログのエクスポート方法を制御します。適切な制御/管理プレーン アクティビティの診断設定カテゴリをキャプチャすると、適切な警告が可能になります。

Key Vault インスタンスの AuditEvent ログ記録を有効にして、Key Vault とのやり取りがログに記録され、使用可能になるようにします。

キー コンテナーにいつ、誰がアクセスしたかを監視すると、Azure Keyvault によって管理される機密情報、キー、証明書との対話の監査証跡が有効になります。Key Vault のログ記録を有効にすると、ユーザーが指定した Azure ストレージ アカウントに情報が保存されます。これにより、指定したストレージ アカウントに対して insights-logs-auditevent という名前の新しいコンテナーが自動的に作成され、この同じストレージ アカウントを使用して複数のキー コンテナーのログを収集できます。

サブスクリプション内の未接続ディスクが顧客管理キー (CMK) で暗号化されていることを確認します。

マネージド ディスクは、既定でプラットフォーム マネージド キーで暗号化されます。

カスタマーマネージドキーを使用すると、セキュリティレベルが向上したり、組織の規制要件を満たしたりする場合があります。

管理対象ディスクを暗号化すると、キーがないとコンテンツ全体が完全に回復不可能になり、ボリュームが不当な読み取りから保護されます。

ディスクがどの VM にも接続されていない場合でも、VM サービスへの管理アクセス権を持つ侵害されたユーザー アカウントがこれらのデータ ディスクをマウント/アタッチし、機密情報の開示や改ざんにつながるリスクが常にあります。

Key Vault には、オブジェクトキー、シークレット、および証明書が含まれています。Key Vault が誤って使用できなくなると、データがすぐに失われたり、Key Vault オブジェクトでサポートされているセキュリティ機能 (認証、検証、検証、否認防止など) が失われたりする可能性があります。

"消去しない" 機能と "論理的な削除" 機能を有効にして、キー コンテナーを回復可能にすることをお勧めします。これは、ユーザーによる偶発的な削除や悪意のあるユーザーによる破壊的なアクティビティによって発生する可能性のある、ストレージ アカウント、SQL データベース、キー コンテナー オブジェクトによって提供される依存サービス (キー、シークレット、証明書) などを含む暗号化されたデータの損失を防ぐためです。

ユーザーが誤ってキー コンテナーで削除/消去コマンドを実行したり、攻撃者/悪意のあるユーザーが意図的に中断を引き起こしたりするシナリオが考えられます。キー コンテナーを削除または消去すると、アクセス/サービスを許可するキーとシークレット/証明書を暗号化するキーにアクセスできなくなるため、データがすぐに失われます。キー コンテナーが永続的に使用できなくなる原因となるキー コンテナー プロパティは 2 つあります。1.enableSoftDelete:キー コンテナーに対してこのパラメーターを true に設定すると、キー コンテナーが削除されても、キー コンテナー自体またはそのオブジェクトは今後 90 日間回復可能なままになります。この 90 日間であれば、キー コンテナー/オブジェクトを復旧または消去 (完全な削除) できます。アクションが実行されない場合、90 日後にキー コンテナーとそのオブジェクトが消去されます.2.enablePurgeProtection:enableSoftDelete は、キー コンテナーが完全に削除されず、削除日から 90 日間回復可能であることを保証するだけです。ただし、キー コンテナーやそのオブジェクトが誤って消去され、復旧できない可能性があります。enablePurgeProtection を "true" に設定すると、キー コンテナーとそのオブジェクトをパージできなくなります。キー コンテナーで両方のパラメーターを有効にすると、キー コンテナーとそのオブジェクトを完全に削除/消去できなくなります。

Azure Web Apps では、既定で HTTP と HTTPS の両方でサイトを動作させることができます。デフォルトでは、セキュリティで保護されていない HTTP リンクを使用して、誰でも Web アプリにアクセスできます。セキュアでない HTTP 要求を制限し、すべての HTTP 要求をセキュアな HTTPS ポートにリダイレクトできます。HTTPS のみのトラフィックを適用することをお勧めします。

HTTPS のみのトラフィックを有効にすると、セキュアでないすべての HTTP 要求が HTTPS ポートにリダイレクトされます。HTTPS は TLS/SSL プロトコルを使用して、暗号化と認証の両方を備えたセキュア接続を提供します。そのため、セキュリティ上の利点のために HTTPS をサポートすることが重要です。