忙しい人のためのセキュリティ・インテリジェンス - 2021/03/01
今週のおすすめ/一言所管
Microsoft Igniteを見ましょう
IgniteのAzure AD関連セッション
MFA扱いされる一次パスワードがpublic previewに。
yubikeyを登録するまでこれを使うことで、初回だけパスワードにすることができ、その後は完全にパスワードレスにできる
temporaryu access passは時間経過で失効する
管理者はGraph Api経由で使う。
去年から特にアプデはなしだが、public previewがでるみたいだ
条件付きアクセスのauthentication contextがそのうちpreviewでくる模様
また、アクセスライフサイクル管理のためにはEntitle managentが役に立つ
条件付きアクセスのaccess packageすごそう
PIMと受験月アクセスも紐付いた
Widnows10/Intune/Endpoint
Pluotn security processorの話
root of trustとして intel chipとかに入ることでosのSecure bootが保証される
従来のやり方ではTpmを使っていたが、TPMとcpu間の通信に不安があった。その通信にはいりこまれるとお手上げ
また、そういった脆弱性発生時に完全分離されたTpmはアプデしにくい
ファームウェア更新をマイクロソフトアップデートに載せられるよ
以下がリリース
インスコされたアプリのクラッシュ状態などをしらべる「Application reliability」
デバイスのエクスポート
MAMに対するMDfEのリスクシグナル
enroll notificationができるみたい。
WIndows Updateにfirmwareとドライバの更新が含まれるようになる
iOS/macOSのIntune Enrollで、初回ログインからAzure ADに向けることができる
そうすると、Company Portalでログインをしなくてよくなるなどメリットが生まれる
Jamf Connectみたいなもの。イイネ
Microsoft Enterprise SSO plug-in, Universal apps in Microsoft Endpoint Mnager
Defenderのダッシュボードが、securitycenter.microsoft.com から security.microsoft.comへ
Office 365 ATPがDefender配下に。名前がかわっただけ。
Azure Defender でWIndows server 2019とWVDがサポート対象に
当然KQLで調査可能
以下がリリース
Microsoft 365 defednerインシデントの完全な統合
コネクターの充実
インシデントのautomation ruleで、actionsかplaybookのシーケンシャルな実行が可能に
Compliance
他
Google printみたいなもん。特にドライバとかもいれずに繋げられる。
Azure ADテナントと繋げられるといいな
各プリンタベンダーとの統合も進んでいる
中身自体はAzureの話だが、エンプラでよくみるセキュリティフレームワークはCIS, NIST CSF
全体的なMicrosoftのセキュリティロードマップが把握できる
あんま2020と変わってない気もする
recommendations
embrace zero trust, segregate high privileged, shore up supply chain, invest in pen test, comprehensive investigation visibilities(ep, identity, cross cloud)
sovereinty and decentralized identity
sovereign data and ambient intelligence
data governance
empowered crators
trust by design
チームの規模関係なく、AWSの考え方に通じるセキュアなAWS設計?(Foundation)
以下のカテゴリにわけて概要と代表的なサービス、およびLabsが紹介されてる
Security Foundation, IAM, Detection, Data Protection, Incident Response
Welcome 大阪region~
vpcフローログに追加されたメタデータフィールド
flow-direction, traffice-path, pkt-src-aws-service, pkt-dst-aws-service
オプションなので自分で追加しないといけない(もしかしてflow logの再作成が必要?)
https://gyazo.com/eb7cdbfcfa6c8911b8cef7e1fa03245d
そのまま
インシデント時は、まず対象を隔離するところから始める。このブログはそれをCloudFormationで自動化するやつ
順序は下記の通り
特定のEC2インスタンスにタグ付け
Cloudwatch Eventで拾う
Lambdaがec2 iam profile剥奪 / 専用iam profile付与
隔離用security groupの設定
Google
Bazelのカンファレンス・イベント(終了)
不正時間をうけた監査の厳格化によるコストが増している
金融機関では、金融商取引法ベースの監査は16%増え、4391時間にまで。減る見込みはない
ソーシャルボンド(社会貢献債)の発行拡大
インフラのバリアフリー化や教育、医療など社会課題の解決につながる事業向けに発行する債券
SDG債
WealthNavi創業記
最初は「いやあ、もうすぐ取れるんじゃないですか」ってかわしてたんですけど、だんだん説明が厳しくなってきて、祈るような気持ち
わかる
B2C -> B2Bへ
若年・新規層の投資未経験な層は暑かったが、それがサービスに流れ込むことはなかった
行政/会社/団体
買収額 $65億
duo labsのAWS分析ツール
イベント/勉強会/発表資料
Isabellaを使って定理証明をしながら書く方法
CAEPのhanasi
CAEPとRISKの違いが平常時のチェックと緊急時のチェック、という説明がおもしろかった
その他