Microsoft Defender for Cloud を使用してシステム セキュリティを管理する (プレビュー)

適用対象: Azure Stack HCI バージョン 23H2 および 22H2

この記事では、Microsoft Defender for Cloud を使用して、さまざまなサイバー脅威や脆弱性から Azure Stack HCI システムを保護する方法について説明します。

Defender for Cloud は、Azure Stack HCI 環境のセキュリティ体制を向上させ、既存の脅威や進化する脅威から保護するのに役立ちます。

Microsoft Defender for Cloud の詳細については、 Microsoft Defender for Cloud のドキュメントを参照してください。

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

開始する前に、次の前提条件が満たされていることを確認してください。

  • Azure Stack HCI バージョン 23H2 または Azure Stack HCI バージョン 22H2 システムにアクセスできます。このシステムは、Azure にデプロイ、登録、接続されています。
  • Azure サブスクリプションに少なくとも Owner または Contributor ロールがあり、基本的なクラウド セキュリティ体制管理 (CSPM) を有効にします。

Defender for Cloud for Azure Stack HCI を有効にする

Defender for Cloud for Azure Stack HCI を有効にするには、次の手順に従います。

  • 手順 1: Foundational CSPM を有効にします。
  • 手順 2: 個々のサーバーと Arc VM に対して Defender for Servers を有効にする。

手順 1: Foundational CSPM を有効にする

この手順では、基本的な Defender for Cloud プランを追加料金なしで有効にします。 このプランを使用すると、Azure Stack HCI システムをセキュリティで保護するために実行できる手順を、他の Azure および Arc リソースと共に監視および特定できます。 手順については、Azure サブスクリプションの Enable Defender for Cloud に関するページを参照してください

手順 2: 個々のサーバーと Arc VM に対して Defender for Servers を有効にする

この手順では、個々のサーバーと Arc VM のセキュリティ アラートを含むセキュリティ機能を強化します。

これを行うには、「 Defender for Servers プランを有効にする 」セクションのすべての手順に従います。これには次のものが含まれます。

  • プランの選択
  • 監視対象範囲の構成:
    • Log Analytics エージェント
    • 脆弱性評価
    • エンドポイント保護

Microsoft クラウド セキュリティ ベンチマーク イニシアチブを適用する

Microsoft Defender for Cloud Foundational CSPM プランを有効にした後、Microsoft Cloud Security Benchmark (MCSB) イニシアチブを適用する必要があります。 セキュリティ設定は、MCSB が適用されている場合にのみ Azure portal から表示できます。 MCSB イニシアチブを適用するには、次のいずれかの方法を使用します。

  • 以下の説明に従って、ポータルから MCSB を適用します。
  • Azure ポリシーの Azure コンピューティング セキュリティ ベースラインをすべてのクラスター サーバーに手動で適用します。 「 Windows セキュリティ ベースラインを参照してください。

サブスクリプション レベルで MCSB イニシアチブを適用するには、次の手順に従います。

  1. Azure portal にサインインし、 Microsoft Defender for Cloud を検索して選択します。

    Azure portal で Defender for Cloud を検索する方法を示すスクリーンショット。

  2. 左側のウィンドウで、 Management セクションまで下にスクロールし、 Environment 設定を選択します。

  3. Environment の設定ページで、ドロップダウンから使用中のサブスクリプションを選択します。

    Azure サブスクリプションを選択する方法を示すスクリーンショット。

  4. [セキュリティ ポリシー] ブレードを選択します。

  5. Microsoft クラウド セキュリティ ベンチマークの場合Status ボタンを On に切り替えます。

    [状態] ボタンを切り替える方法を示すスクリーンショット。

  6. Azure ポリシー イニシアチブが含まれているリソースを評価するまで、少なくとも 1 時間待ちます。

セキュリティに関する推奨事項を表示する

セキュリティに関する推奨事項は、潜在的なセキュリティの脆弱性が特定されたときに作成されます。 これらの推奨事項では、必要なコントロールを構成するプロセスについて説明します。

Defender for Cloud for Azure Stack HCI を有効 したら次の手順に従って、Azure Stack HCI システムのセキュリティに関する推奨事項を確認します。

  1. Azure portal で、Azure Stack HCI クラスター リソース ページに移動し、クラスターを選択します。

  2. 左側のウィンドウで、 Security (プレビュー) セクションまで下にスクロールし、Microsoft Defender for Cloud 選択

  3. Microsoft Defender for Cloud ページの Recommendations で、選択した Azure Stack HCI システムとそのワークロードに関する現在のセキュリティに関する推奨事項を表示できます。 既定では、推奨事項はリソースの種類別にグループ化されます。

    Azure Stack HCI システムのセキュリティに関する推奨事項を示す Microsoft Defender for Cloud ページのスクリーンショット。

  4. (省略可能)複数の Azure Stack HCI システムのセキュリティに関する推奨事項を表示するには、Defender for Cloud の View リンクを選択します。 これにより、Microsoft Defender for Cloud ポータルの Recommendations ページが開きます。 このページでは、Azure Stack HCI システムを含むすべての Azure リソースのセキュリティに関する推奨事項を示します。

    Defender for Cloud ポータルの [推奨事項] ページのスクリーンショット。

    Note

    Azure Stack HCI 専用の推奨事項は、Azure Stack HCI バージョン 23H2 でのみ使用できます。 Azure Stack HCI バージョン 22H2 では、Windows Server でも使用できる推奨事項が表示されます。

    Azure Stack HCI に固有のセキュリティに関する推奨事項の詳細については、Compute のセキュリティに関する推奨事項記事の「Azure コンピューティングの推奨事項」セクションを参照してください。

サーバーと Arc VM の監視

Microsoft Defender for Cloud ポータルに移動して、Azure Stack HCI システムで実行されている個々のサーバーと Arc VM のアラートを監視します。 その他の強化されたセキュリティ機能の中でも、規制コンプライアンスと攻撃パス分析機能を利用できます。

個々のサーバーと Arc VM を監視するために Microsoft Defender for Cloud ポータルのページにアクセスするには、次の手順に従います。

  1. Azure portal にサインインし、 Microsoft Defender for Cloud を検索して選択します。

    Azure portal で Defender for Cloud を検索する方法を示すスクリーンショット。

  2. Microsoft Defender for Cloud ポータルの Overview ページには、環境の全体的なセキュリティ体制が表示されます。 左側のナビゲーション ウィンドウから、Recommendations など、さまざまなポータル ページに移動して Azure Stack HCI システムで実行されている個々のサーバーと Arc VM のセキュリティに関する推奨事項を表示するか、アラートを監視するためにセキュリティ アラートを表示します。

    Defender for Cloud の [概要] ページのスクリーンショット。

次のステップ