Explanation:

https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/concept-identity-protection-risks
https://docs.microsoft.com/ja-jp/defender-cloud-apps/policies-threat-protection#detect-mass-download-data-exfiltrate
https://docs.microsoft.com/ja-jp/microsoft-365/security/defender/investigate-users

トピック2、Fabrikam, Inc.
概要
Fabrikam, Inc. は、ニューヨークに本社、パリに支店を持つ保険会社です。
オンプレミス環境
オンプレミス ネットワークには、corp.fabrikam.com という名前の単一の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
Azure環境
Fabrikam には次の Azure リソースがあります。
* corp.fabnkam.com と同期する fabrikam.onmicrosoft.com という名前の Azure Active Directory (Azure AD) テナント
* Sub1 という名前の単一の Azure サブスクリプション
* 米国東部 Azure リージョンの Vnet1 という仮想ネットワーク
* 西ヨーロッパの Azure リージョンにある Vnet2 という仮想ネットワーク
* Azure Web アプリケーション ファイアウォール (WAR が有効) を備えた FD1 という名前の Azure Front Door インスタンス
* Microsoft Sentinel ワークスペース
* ClaimDetailsというテーブルを含むClaimsDBというAzure SQLデータベース
* アプリケーション サーバーとして構成され、Segment Microsoft Defender for Cloud にオンボードされていない仮想マシン 20 台
* テスト目的のみに使用される TestRG という名前のリソース グループ
* 個人に割り当てられたセッション ホストを含む Azure Virtual Desktop ホスト プール Sub1 のすべてのリソースは、米国東部または西ヨーロッパ リージョンにあります。
パートナー
Fabrikamは、アプリケーション開発をContoso社と委託しています。Contoso社は以下のインフラストラクチャを保有しています。
* contoso.onmicrosoft.com という名前の Azure AD テナント
* ContosoAWS1 という名の Amazon Web Services (AWS) 実装には、Contoso の Fabrikam Developers のアプリケーションのテストワークロードをホストする AWS EC2 インスタンスが含まれており、Fabrikam のリソースに接続してアプリケーションのテストや更新を行います。開発者は、fabrikam.onmicrosoft.com の Contoso Developers というセキュリティグループに追加され、Sub1 のロールに割り当てられます。
ContosoDevelopers グループには、ClaimsDB データベースの db.owner ロールが割り当てられています。
コンプライアンスイベント
Fabrikam は次のコンプライアンス環境を展開しています。
* Defender for Cloud は、Sub1 内のすべてのリソースが HIPAA HITRUST 標準に準拠しているかどうかを評価するように構成されています。
* 現在、HIPAA HITRUST 標準に準拠していないリソースは手動で修復されます。
* Qualys は、サーバーの標準的な脆弱性評価ツールとして使用されています。
問題ステートメント
Defender for Cloud のセキュリティスコアは、すべての仮想マシンが次の推奨事項を生成していることを示しています。マシンには脆弱性評価ソリューションが必要です。
すべての仮想マシンは Defender for Cloud に準拠している必要があります。
ClaimAppの展開
Fabrikamは、次の仕様を持つClaimsAppというインターネットアクセス可能なアプリケーションを実装する予定です。
* ClaimsApp は、Vnetl および Vnet2 に接続する Azure App Service インスタンスにデプロイされます。
* ユーザーは、https://claims.fabrikam.com の URL を使用して ClaimsApp に接続します。
* ClaimsApp は ClaimsDB 内のデータにアクセスします。
* ClaimsDB は Azure 仮想ネットワークからのみアクセスできる必要があります。
* ClaimsApp のアプリ サービス権限を ClaimsDB に割り当てる必要があります。
アプリケーション開発要件
Fabrikam は、アプリケーション開発に次のような要件があると考えています。
* Azure DevTest ラボは開発者がテストに使用します。
* すべてのアプリケーション コードは GitHub Enterprise に保存する必要があります。
* アプリケーションのデプロイメントを管理するために Azure Pipelines が使用されます。
* すべてのアプリケーションコードの変更は、セキュリティ脆弱性がないかスキャンする必要があります。これには、平文で機密情報を含むアプリケーションコードや設定ファイルも含まれます。スキャンは、コードをリポジトリにプッシュする時点で実施する必要があります。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
* インターネットにアクセス可能なアプリケーションは、北朝鮮からの接続を防ぐ必要があります。
* InfraSec というグループのメンバーのみが、ネットワーク セキュリティ グループ (NSG) と、Sub1 の Azure Firewall、VJM、および Front Door のインスタンスを構成できるようにする必要があります。
* 管理者は、仮想マシンのリモート管理を実行するために、セキュアホストに接続する必要があります。セキュアホストは、カスタムオペレーティングシステムイメージからプロビジョニングする必要があります。
AWS 要件
Fabrikam は、ContosoAWSV でホストされるデータに対して次のセキュリティ要件を特定しています。
* AWS EC2 インスタンスがセキュア スコアの推奨事項に準拠していない場合は、Fabrikam のセキュリティ管理者に通知します。
* セキュリティ管理者が Azure 環境から AWS サービス ログを直接クエリできることを確認します。
Contoso 開発者の要件
Fabrikam は、Contoso 開発者に対して次の要件を特定しています。
* 毎月、ContosoDevelopers グループのメンバーシップを検証する必要があります。
* Contoso の開発者は、Sub1 のリソースにアクセスするために、既存の contoso.onmicrosoft.com 資格情報を使用する必要があります。
* コモロの開発者が ClaimDetails テーブルの MedicalHistory という列のデータを表示できないようにする必要があります。
コンプライアンス要件
Fabrikam は、Sub1 の仮想マシンを HIPPA HITRUST 標準に準拠させるため、自動的に修復したいと考えています。TestRG の仮想マシンはコンプライアンス評価から除外する必要があります。

説明
https://docs.microsoft.com/en-us/advanced-threat-analytics/suspicious-activity-guide#honeytoken-activity Sensitiveタグは、高価値資産（ユーザー / デバイス / グループ）を識別するために使用されます。ハニートークンエンティティは、悪意のある攻撃者を罠にかけるために使用されます。これらのハニートークンエンティティに関連付けられた認証はすべてアラートをトリガーします。Defender for IdentityはExchangeサーバーを高価値資産と見なし、自動的にSensitiveタグを付与します。