忙しい人のためのセキュリティ・インテリジェンス - 2021/03/01

今週のおすすめ/一言所管

Microsoft Igniteを見ましょう

IgniteのAzure AD関連セッション

MFA扱いされる一次パスワードがpublic previewに。

yubikeyを登録するまでこれを使うことで、初回だけパスワードにすることができ、その後は完全にパスワードレスにできる

temporaryu access passは時間経過で失効する

管理者はGraph Api経由で使う。

去年から特にアプデはなしだが、public previewがでるみたいだ

条件付きアクセスのauthentication contextがそのうちpreviewでくる模様

また、アクセスライフサイクル管理のためにはEntitle managentが役に立つ

条件付きアクセスのaccess packageすごそう

PIMと受験月アクセスも紐付いた

Widnows10/Intune/Endpoint

Pluotn security processorの話

root of trustとして intel chipとかに入ることでosのSecure bootが保証される

従来のやり方ではTpmを使っていたが、TPMとcpu間の通信に不安があった。その通信にはいりこまれるとお手上げ

また、そういった脆弱性発生時に完全分離されたTpmはアプデしにくい

ファームウェア更新をマイクロソフトアップデートに載せられるよ

以下がリリース

インスコされたアプリのクラッシュ状態などをしらべる「Application reliability」

デバイスのエクスポート

MAMに対するMDfEのリスクシグナル

enroll notificationができるみたい。

WIndows Updateにfirmwareとドライバの更新が含まれるようになる

iOS/macOSのIntune Enrollで、初回ログインからAzure ADに向けることができる

そうすると、Company Portalでログインをしなくてよくなるなどメリットが生まれる

Jamf Connectみたいなもの。ｲｲﾈ

Microsoft Enterprise SSO plug-in, Universal apps in Microsoft Endpoint Mnager

Defenderのダッシュボードが、securitycenter.microsoft.com から security.microsoft.comへ

Office 365 ATPがDefender配下に。名前がかわっただけ。

Azure Defender でWIndows server 2019とWVDがサポート対象に

当然KQLで調査可能

以下がリリース

Microsoft 365 defednerインシデントの完全な統合

コネクターの充実

インシデントのautomation ruleで、actionsかplaybookのシーケンシャルな実行が可能に

Compliance

他

Google printみたいなもん。特にドライバとかもいれずに繋げられる。

Azure ADテナントと繋げられるといいな

各プリンタベンダーとの統合も進んでいる

中身自体はAzureの話だが、エンプラでよくみるセキュリティフレームワークはCIS, NIST CSF

全体的なMicrosoftのセキュリティロードマップが把握できる

あんま2020と変わってない気もする

recommendations

embrace zero trust, segregate high privileged, shore up supply chain, invest in pen test, comprehensive investigation visibilities(ep, identity, cross cloud)

sovereinty and decentralized identity

sovereign data and ambient intelligence

data governance

empowered crators

trust by design

チームの規模関係なく、AWSの考え方に通じるセキュアなAWS設計？（Foundation)

以下のカテゴリにわけて概要と代表的なサービス、およびLabsが紹介されてる

Security Foundation, IAM, Detection, Data Protection, Incident Response

Welcome 大阪region~

vpcフローログに追加されたメタデータフィールド

flow-direction, traffice-path, pkt-src-aws-service, pkt-dst-aws-service

オプションなので自分で追加しないといけない（もしかしてflow logの再作成が必要？）

https://gyazo.com/eb7cdbfcfa6c8911b8cef7e1fa03245d

そのまま

インシデント時は、まず対象を隔離するところから始める。このブログはそれをCloudFormationで自動化するやつ

順序は下記の通り

特定のEC2インスタンスにタグ付け

Cloudwatch Eventで拾う

Lambdaがec2 iam profile剥奪 / 専用iam profile付与

隔離用security groupの設定

Google

Bazelのカンファレンス・イベント（終了）

不正時間をうけた監査の厳格化によるコストが増している

金融機関では、金融商取引法ベースの監査は16%増え、4391時間にまで。減る見込みはない

ソーシャルボンド（社会貢献債）の発行拡大

インフラのバリアフリー化や教育、医療など社会課題の解決につながる事業向けに発行する債券

SDG債

WealthNavi創業記

最初は「いやあ、もうすぐ取れるんじゃないですか」ってかわしてたんですけど、だんだん説明が厳しくなってきて、祈るような気持ち

わかる

B2C -> B2Bへ

若年・新規層の投資未経験な層は暑かったが、それがサービスに流れ込むことはなかった

行政/会社/団体

買収額 $65億

duo labsのAWS分析ツール

イベント/勉強会/発表資料

Isabellaを使って定理証明をしながら書く方法

CAEPのhanasi

CAEPとRISKの違いが平常時のチェックと緊急時のチェック、という説明がおもしろかった

その他