Microsoft Defender for Cloud (MDfc) には、セキュリティ ポリシーという設定があります。
この機能を有効にした際に追加される設定についての覚書を。
セキュリティ ポリシーを有効にした際に追加される設定
MDfC のセキュリティポリシーを有効にすると、規制コンプライアンスに有効化したポリシーの準拠状況が表示されるようになります。
この情報は、Resource Graph の securityresources テーブルの情報を基にして表示 が行われていますので、Resource Graph エクスプローラーを使用して情報の確認を行うこともできます。
securityresources
| where type == "microsoft.security/regulatorycompliancestandards/regulatorycompliancecontrols/regulatorycomplianceassessments"
| extend scope = properties.scope
| where isempty(scope) or scope in~("Subscription", "MultiCloudAggregation")
| parse id with * "regulatoryComplianceStandards/" standardId "/regulatoryComplianceControls/" controlId "/regulatoryComplianceAssessments/" assessmentId
| extend standardId = replace( "-", " ", standardId)
| summarize count() by standardId
セキュリティ ポリシーの設定ですが、「オン」にすることで、該当のポリシーが Azure Policy として割り当てが行われた状態となります。
MDfC のセキュリティポリシーは、ビルトインのイニシアティブとして設定されているものとなり、ポリシーの定義から次の画像のようなフィルターをすることで確認をすることが可能です。
ビルトインのポリシーについては、Microsoft クラウド セキュリティ ベンチマーク規制コンプライアンスの組み込みイニシアティブの詳細 のようなドキュメントツリーで情報を確認することができますので、どのような確認が行われるかについてはドキュメントから確認を行うことも可能です。
MDfC のセキュリティ ポリシーは Azure Policy の該当のイニシアティブを有効にし、規制コンプライアンスによる適用状況の可視化ができる機能というイメージでよいのではないでしょうか。