Defender for Cloud によるデータの収集方法

Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシンスケールセット、IaaS コンテナー、および非 Azure (オンプレミスを含む) マシンからデータを収集します。 一部の Defender プランでは、ワークロードからデータを収集するために監視コンポーネントが必要になります。

不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護のステータス、正常性と脅威の防止を可視化するためには、データ収集が欠かせません。 データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューターなど) だけです。

エージェントのプロビジョニング以外でも、Microsoft Defender for Cloud にはメリットがあります。 ただし、セキュリティには制限があり、一覧された機能はサポートされていません。

データは以下を使用して収集されます。

Defender for Cloud を使用して監視コンポーネントをデプロイする理由

ワークロードのセキュリティの可視性は、監視コンポーネントが収集するデータによって異なります。 このコンポーネントにより、セキュリティの適用範囲が、サポートされているすべてのリソースに及びます。

拡張機能を手動でインストールするプロセスを省くために、Defender for Cloud では、必要なすべての拡張機能を既存のマシンと新しいマシンにインストールすることで、管理オーバーヘッドが削減されます。 Defender for Cloud では、サブスクリプション内のワークロードに、適切な DeployIfNotExists ポリシーを割り当てます。 このポリシーの種類により、その種類および将来のリソースすべてに拡張機能がプロビジョニングされることが保証されます。

ヒント

DeployIfNotExists など、Azure Policy の効果の詳細については、「Azure Policy の効果について」をご覧ください。

監視コンポーネントを使用するプラン

これらのプランでは、データの収集に監視コンポーネントを使用します。

拡張機能の可用性

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Azure Monitor エージェント (AMA)

特徴 詳細
リリース状態: 一般提供 (GA)
関連する Defender プラン: マシン上の Defender for SQL サーバー
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
Azure Arc 対応マシン
ポリシーベース: はい
クラウド: 商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

Defender for Cloud での Azure Monitor エージェントの使用の詳細を確認してください。

Log Analytics エージェント

特徴 Azure の仮想マシン Azure Arc 対応マシン
リリース状態: 一般提供 (GA) 一般提供 (GA)
関連する Defender プラン: エージェントベースのセキュリティに関する推奨事項のための基本的なクラウド セキュリティ態勢管理 (CSPM)
Microsoft Defender for Servers
Microsoft Defender for SQL
エージェントベースのセキュリティに関する推奨事項のための基本的なクラウド セキュリティ態勢管理 (CSPM)
Microsoft Defender for Servers
Microsoft Defender for SQL
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者 所有者
サポートされる宛先: Azure 仮想マシン Azure Arc 対応マシン
ポリシーベース: いいえ はい
クラウド: 商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

Log Analytics エージェントでサポートされるオペレーティング システム

Defender for Cloud は Log Analytics エージェントに依存します。 次のページの説明に従って、このエージェントでサポートされているオペレーティング システムのいずれかがマシンで実行されていることを確認してください。

また、Log Analytics エージェントが Defender for Cloud にデータを送信するように適切に構成されていることを確認してください。

既存のエージェントがインストールされている場合の Log Analytics エージェントのデプロイ

次のユース ケースでは、エージェントまたは拡張機能が既にインストールされている場合の Log Analytics エージェントのデプロイの動作について説明します。

  • Log Analytics エージェントがマシンにインストールされているが、拡張機能としてではない (ダイレクト エージェント) - Log Analytics エージェントが (Azure 拡張機能としてではなく) VM に直接インストールされている場合は、Defender for Cloud によって Log Analytics エージェント拡張機能がインストールされ、Log Analytics エージェントが最新バージョンにアップグレードされる可能性があります。 インストールされているエージェントは、既に構成されているワークスペースと Defender for Cloud に構成されているワークスペースに引き続きレポートします。 (Windows マシンではマルチホームがサポートされています。)

    Log Analytics が Defender for Cloud の既定のワークスペースではなく、ユーザー ワークスペースを使用して構成されている場合は、そのワークスペースにレポートする VM およびコンピューターからのイベントの処理を Defender for Cloud で開始するために、"Security" または "SecurityCenterFree" ソリューションをインストールする必要があります。

    Linux マシンの場合、エージェントのマルチホームはまだサポートされていません。 既存のエージェントのインストールが検出された場合、Log Analytics エージェントはデプロイされません。

    2019 年 3 月 17 日より前に Defender for Cloud にオンボードされたサブスクリプションの既存のマシンでは、既存のエージェントが検出されると、Log Analytics エージェント拡張機能はインストールされず、マシンに影響はありません。 これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。

  • System Center Operations Manager エージェントがマシンにインストールされている - Defender for Cloud によって、Log Analytics エージェント拡張機能が既存の Operations Manager と並行してインストールされます。 通常、既存の Operations Manager エージェントは引き続き Operations Manager サーバーに報告します。 Operations Manager エージェントと Log Analytics エージェントは、このプロセス中に最新バージョンに更新される、共通のランタイム ライブラリを共有します。

  • 既存の VM 拡張機能が存在する:

    • Monitoring Agent が拡張機能としてインストールされている場合、拡張機能の構成では 1 つのワークスペースにのみレポートできます。 Defender for Cloud は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。 Defender for Cloud は、既に接続されているワークスペースに "Security" または "SecurityCenterFree" ソリューションがインストールされている場合、そこに VM からのセキュリティ データを保存します。 Defender for Cloud では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。
    • 既存の拡張機能からデータが送信されているワークスペースを確認するには、「Log Analytics へのエージェント接続を確認する」に従い、TestCloudConnection.exe ツールを実行して、Microsoft Defender for Cloud との接続を検証します。 または、Log Analytics ワークスペースを開いてワークスペースを選択し、対象の VM を選択して、Log Analytics エージェント接続を調べることもできます。
    • Log Analytics エージェントがクライアント ワークステーションにインストールされ、既存の Log Analytics ワークスペースにレポートする環境が整っている場合は、Microsoft Defender for Cloud でサポートされるオペレーティング システムの一覧で、ご利用のオペレーティング システムがサポートされているかどうかを確認します。

Log Analytics エージェントの操作の詳細については、こちらをご覧ください。

Microsoft Defender for Endpoint

特徴 Linux Windows
リリース状態: 一般提供 (GA) 一般提供 (GA)
関連する Defender プラン: Microsoft Defender for Servers Microsoft Defender for Servers
必要なロールとアクセス許可 (サブスクリプションレベル): - 統合を有効または無効にするには: セキュリティ管理者または所有者
- Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者閲覧者リソース グループの共同作成者リソース グループの所有者セキュリティ管理者サブスクリプションの所有者、またはサブスクリプションの共同作成者
- 統合を有効または無効にするには: セキュリティ管理者または所有者
- Defender for Endpoint のアラートを Defender for Cloud で表示するには: セキュリティ閲覧者閲覧者リソース グループの共同作成者リソース グループの所有者セキュリティ管理者サブスクリプションの所有者、またはサブスクリプションの共同作成者
サポートされる宛先: Azure Arc 対応マシン
Azure 仮想マシン
Azure Arc 対応マシン
Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1 を実行している Azure VM、Azure Virtual DesktopWindows 10 Enterprise マルチセッション
Windows 10 を実行している Azure VM
ポリシーベース: いいえ いいえ
クラウド: 商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

Microsoft Defender for Endpoint の詳細をご確認ください。

脆弱性評価

特徴 詳細
リリース状態: 一般提供 (GA)
関連する Defender プラン: Microsoft Defender for Servers
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
Azure Arc 対応マシン
ポリシーベース: はい
クラウド: 商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

ゲスト構成

特徴 詳細
リリース状態: プレビュー
関連する Defender プラン: プラン不要
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
クラウド: 商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

Azure のゲスト構成拡張機能の詳細については、こちらをご覧ください。

Defender for Containers 拡張機能

この表は、Microsoft Defender for Containers による保護に必要なコンポーネントの提供状況の詳細を示しています。

既定では、Azure portal から Defender for Containers を有効にすると、必要な拡張機能が有効になります。

特徴 Azure Kubernetes Service クラスター Azure Arc 対応 Kubernetes クラスター
リリース状態: • Defender センサー: GA
• Kubernetes 用の Azure Policy: 一般提供 (GA)
• Defender センサー: プレビュー
• Kubernetes 用の Azure Policy: プレビュー
関連する Defender プラン: Microsoft Defender for Containers Microsoft Defender for Containers
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者 または ユーザー アクセス管理者 所有者 または ユーザー アクセス管理者
サポートされる宛先: AKS Defender センサーでは、RBAC が有効になっている AKS クラスターのみをサポートしています。 Arc 対応 Kubernetes でサポートされている Kubernetes ディストリビューションを参照してください
ポリシーベース: はい はい
クラウド: Defender センサー:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure
Kubernetes 用の Azure Policy:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure
Defender センサー:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure
Kubernetes 用の Azure Policy:
商用クラウド
Azure Government、21Vianet によって運営される Microsoft Azure

Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

トラブルシューティング

次のステップ

このページでは、監視コンポーネントと、それらを有効にする方法について説明しました。

各項目の詳細情報