Defender for Cloud によるデータの収集方法
Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシンスケールセット、IaaS コンテナー、および非 Azure (オンプレミスを含む) マシンからデータを収集します。 一部の Defender プランでは、ワークロードからデータを収集するために監視コンポーネントが必要になります。
不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護のステータス、正常性と脅威の防止を可視化するためには、データ収集が欠かせません。 データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューターなど) だけです。
エージェントのプロビジョニング以外でも、Microsoft Defender for Cloud にはメリットがあります。 ただし、セキュリティには制限があり、一覧された機能はサポートされていません。
データは以下を使用して収集されます。
- Azure Monitor エージェント (AMA)
- Microsoft Defender for Endpoint (MDE)
- Log Analytics エージェント
- Kubernetes 用の Azure Policy などのセキュリティ コンポーネント
Defender for Cloud を使用して監視コンポーネントをデプロイする理由
ワークロードのセキュリティの可視性は、監視コンポーネントが収集するデータによって異なります。 このコンポーネントにより、セキュリティの適用範囲が、サポートされているすべてのリソースに及びます。
拡張機能を手動でインストールするプロセスを省くために、Defender for Cloud では、必要なすべての拡張機能を既存のマシンと新しいマシンにインストールすることで、管理オーバーヘッドが削減されます。 Defender for Cloud では、サブスクリプション内のワークロードに、適切な DeployIfNotExists ポリシーを割り当てます。 このポリシーの種類により、その種類および将来のリソースすべてに拡張機能がプロビジョニングされることが保証されます。
ヒント
DeployIfNotExists など、Azure Policy の効果の詳細については、「Azure Policy の効果について」をご覧ください。
監視コンポーネントを使用するプラン
これらのプランでは、データの収集に監視コンポーネントを使用します。
- Defender for Servers
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Microsoft Defender for Endpoint
- 脆弱性評価
- Azure Monitor エージェントまたは Log Analytics エージェント
- マシン上の Defender for SQL サーバー
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Azure Monitor エージェントまたは Log Analytics エージェント
- SQL Server の自動検出および登録
- Defender for Containers
- Azure Arc エージェント (マルチクラウド サーバーとオンプレミス サーバーの場合)
- Defender センサー、Kubernetes 用の Azure Policy、Kubernetes の監査ログ データ
拡張機能の可用性
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
Azure Monitor エージェント (AMA)
| 特徴 | 詳細 |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 関連する Defender プラン: | マシン上の Defender for SQL サーバー |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 |
| サポートされる宛先: |  Azure 仮想マシン Azure Arc 対応マシン |
| ポリシーベース: | はい |
| クラウド: | 商用クラウド Azure Government、21Vianet によって運営される Microsoft Azure |
Defender for Cloud での Azure Monitor エージェントの使用の詳細を確認してください。
Log Analytics エージェント
| 特徴 | Azure の仮想マシン | Azure Arc 対応マシン |
|---|---|---|
| リリース状態: | 一般提供 (GA) | 一般提供 (GA) |
| 関連する Defender プラン: | エージェントベースのセキュリティに関する推奨事項のための基本的なクラウド セキュリティ態勢管理 (CSPM) Microsoft Defender for Servers Microsoft Defender for SQL |
エージェントベースのセキュリティに関する推奨事項のための基本的なクラウド セキュリティ態勢管理 (CSPM) Microsoft Defender for Servers Microsoft Defender for SQL |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 | 所有者 |
| サポートされる宛先: | Azure 仮想マシン |
Azure Arc 対応マシン |
| ポリシーベース: | いいえ |
はい |
| クラウド: | 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
Log Analytics エージェントでサポートされるオペレーティング システム
Defender for Cloud は Log Analytics エージェントに依存します。 次のページの説明に従って、このエージェントでサポートされているオペレーティング システムのいずれかがマシンで実行されていることを確認してください。
- Windows 用の Log Analytics エージェントでサポートされているオペレーティング システム
- Linux 用の Log Analytics エージェントでサポートされているオペレーティング システム
また、Log Analytics エージェントが Defender for Cloud にデータを送信するように適切に構成されていることを確認してください。
既存のエージェントがインストールされている場合の Log Analytics エージェントのデプロイ
次のユース ケースでは、エージェントまたは拡張機能が既にインストールされている場合の Log Analytics エージェントのデプロイの動作について説明します。
Log Analytics エージェントがマシンにインストールされているが、拡張機能としてではない (ダイレクト エージェント) - Log Analytics エージェントが (Azure 拡張機能としてではなく) VM に直接インストールされている場合は、Defender for Cloud によって Log Analytics エージェント拡張機能がインストールされ、Log Analytics エージェントが最新バージョンにアップグレードされる可能性があります。 インストールされているエージェントは、既に構成されているワークスペースと Defender for Cloud に構成されているワークスペースに引き続きレポートします。 (Windows マシンではマルチホームがサポートされています。)
Log Analytics が Defender for Cloud の既定のワークスペースではなく、ユーザー ワークスペースを使用して構成されている場合は、そのワークスペースにレポートする VM およびコンピューターからのイベントの処理を Defender for Cloud で開始するために、"Security" または "SecurityCenterFree" ソリューションをインストールする必要があります。
Linux マシンの場合、エージェントのマルチホームはまだサポートされていません。 既存のエージェントのインストールが検出された場合、Log Analytics エージェントはデプロイされません。
2019 年 3 月 17 日より前に Defender for Cloud にオンボードされたサブスクリプションの既存のマシンでは、既存のエージェントが検出されると、Log Analytics エージェント拡張機能はインストールされず、マシンに影響はありません。 これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。
System Center Operations Manager エージェントがマシンにインストールされている - Defender for Cloud によって、Log Analytics エージェント拡張機能が既存の Operations Manager と並行してインストールされます。 通常、既存の Operations Manager エージェントは引き続き Operations Manager サーバーに報告します。 Operations Manager エージェントと Log Analytics エージェントは、このプロセス中に最新バージョンに更新される、共通のランタイム ライブラリを共有します。
既存の VM 拡張機能が存在する:
- Monitoring Agent が拡張機能としてインストールされている場合、拡張機能の構成では 1 つのワークスペースにのみレポートできます。 Defender for Cloud は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。 Defender for Cloud は、既に接続されているワークスペースに "Security" または "SecurityCenterFree" ソリューションがインストールされている場合、そこに VM からのセキュリティ データを保存します。 Defender for Cloud では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。
- 既存の拡張機能からデータが送信されているワークスペースを確認するには、「Log Analytics へのエージェント接続を確認する」に従い、TestCloudConnection.exe ツールを実行して、Microsoft Defender for Cloud との接続を検証します。 または、Log Analytics ワークスペースを開いてワークスペースを選択し、対象の VM を選択して、Log Analytics エージェント接続を調べることもできます。
- Log Analytics エージェントがクライアント ワークステーションにインストールされ、既存の Log Analytics ワークスペースにレポートする環境が整っている場合は、Microsoft Defender for Cloud でサポートされるオペレーティング システムの一覧で、ご利用のオペレーティング システムがサポートされているかどうかを確認します。
Log Analytics エージェントの操作の詳細については、こちらをご覧ください。
Microsoft Defender for Endpoint
| 特徴 | Linux | Windows |
|---|---|---|
| リリース状態: | 一般提供 (GA) | 一般提供 (GA) |
| 関連する Defender プラン: | Microsoft Defender for Servers | Microsoft Defender for Servers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | - 統合を有効または無効にするには: セキュリティ管理者または所有者 - Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者、閲覧者、リソース グループの共同作成者、リソース グループの所有者、セキュリティ管理者、サブスクリプションの所有者、またはサブスクリプションの共同作成者 |
- 統合を有効または無効にするには: セキュリティ管理者または所有者 - Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者、閲覧者、リソース グループの共同作成者、リソース グループの所有者、セキュリティ管理者、サブスクリプションの所有者、またはサブスクリプションの共同作成者 |
| サポートされる宛先: | Azure Arc 対応マシン Azure 仮想マシン |
Azure Arc 対応マシン Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1 を実行している Azure VM、Azure Virtual Desktop、Windows 10 Enterprise マルチセッション Windows 10 を実行している Azure VM |
| ポリシーベース: | いいえ |
いいえ |
| クラウド: | 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
Microsoft Defender for Endpoint の詳細をご確認ください。
脆弱性評価
| 特徴 | 詳細 |
|---|---|
| リリース状態: | 一般提供 (GA) |
| 関連する Defender プラン: | Microsoft Defender for Servers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 |
| サポートされる宛先: | Azure 仮想マシン Azure Arc 対応マシン |
| ポリシーベース: | はい |
| クラウド: | 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
ゲスト構成
| 特徴 | 詳細 |
|---|---|
| リリース状態: | プレビュー |
| 関連する Defender プラン: | プラン不要 |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 |
| サポートされる宛先: | Azure 仮想マシン |
| クラウド: | 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
Azure のゲスト構成拡張機能の詳細については、こちらをご覧ください。
Defender for Containers 拡張機能
この表は、Microsoft Defender for Containers による保護に必要なコンポーネントの提供状況の詳細を示しています。
既定では、Azure portal から Defender for Containers を有効にすると、必要な拡張機能が有効になります。
| 特徴 | Azure Kubernetes Service クラスター | Azure Arc 対応 Kubernetes クラスター |
|---|---|---|
| リリース状態: | • Defender センサー: GA • Kubernetes 用の Azure Policy: 一般提供 (GA) |
• Defender センサー: プレビュー • Kubernetes 用の Azure Policy: プレビュー |
| 関連する Defender プラン: | Microsoft Defender for Containers | Microsoft Defender for Containers |
| 必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 または ユーザー アクセス管理者 | 所有者 または ユーザー アクセス管理者 |
| サポートされる宛先: | AKS Defender センサーでは、RBAC が有効になっている AKS クラスターのみをサポートしています。 | Arc 対応 Kubernetes でサポートされている Kubernetes ディストリビューションを参照してください |
| ポリシーベース: | はい |
はい |
| クラウド: | Defender センサー: 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure Kubernetes 用の Azure Policy: 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
Defender センサー: 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure Kubernetes 用の Azure Policy: 商用クラウドAzure Government、21Vianet によって運営される Microsoft Azure |
Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。
トラブルシューティング
- 監視エージェントのネットワーク要件を確認するには、「監視エージェントのネットワーク要件のトラブルシューティング」を参照してください。
- 手動によるオンボーディングの問題を特定するには、「操作の管理スイートの契約時の問題をトラブルシューティングする方法 」を参照してください。
次のステップ
このページでは、監視コンポーネントと、それらを有効にする方法について説明しました。
各項目の詳細情報
- セキュリティ アラートのメール通知の設定
- Defender プランを使用したワークロードの保護