Defender for Servers に関する一般的な質問

Microsoft Defender for Servers に関する一般的な質問が掲載されています。

サブスクリプション内のマシンのサブセットで Defender for Servers を有効にすることはできますか?

はい。 サブスクリプション内の特定のリソースで Defender for Servers を管理できるようになり、保護戦略を完全に制御できます。 この機能を使用すると、サブスクリプション レベルで構成されている設定とは異なるカスタム構成で特定のリソースを構成できます。 リソース レベルでの Defender for Servers の有効化の詳細について学習します。 ただし、接続されている AWS アカウントまたは GCP プロジェクトで Microsoft Defender for Servers を有効にすると、接続されているすべてのマシンが Defender for Servers によって保護されます。

Microsoft Defender for Endpoint のライセンスを既に持っている場合、割引を受けることはできますか?

Microsoft Defender for Endpoint for Servers のライセンスを既にお持ちの場合は、Microsoft Defender for Servers Plan 1 または 2 のライセンスの該当部分について料金を払う必要はありません。

割引を要求するには、ヘルプとサポート センターで新しいサポート リクエストを作成し、Azure ポータルを通じて Defender for Cloud サポート チームにお問い合わせください。

  1. Azure portal にサインインします。

  2. [サポートとトラブルシューティング] を選択します

    Azure ホーム画面上の [サポートとトラブルシューティング] ボタンの場所を示すスクリーンショット

  3. [ヘルプとサポート] を選択します。

  4. [サポート リクエストの作成] を選択します。

  5. 次の情報を入力します。

    情報が入力された状態のサポートチケットの記述方法を示すスクリーンショット。

  6. [次へ] を選択します。

  7. [次へ] を選択します。

  8. [追加情報] タブで、お客様の組織名、テナント ID、購入したMicrosoft Defender for Endpoint for Servers のライセンス数、購入したMicrosoft Defender for Endpoint for Servers のライセンスの有効期限、その他すべての必須フィールドを入力します。

  9. [次へ] を選択します。

  10. [作成] を選択します

注意

割引は承認日から適用されます。 割引は期間をさかのぼっては適用されません。

サブスクリプションで支払うサーバーは何ですか?

サブスクリプションで Defender for Servers を有効にすると、電源状態に基づいて、すべてのマシンに対して課金されます。

Azure VM:

State 詳細 課金
開始中 VM 起動中。 課金されません
実行中 通常の動作状態。 課金されます
停止中 移行中。 完了すると、停止状態に移行します。 課金されます
停止済み VM は、ゲスト OS 内から、または PowerOff API を使用してシャットダウンされます。 ハードウェアは引き続き割り当てられ、マシンはホスト上に残ります。 課金されます
割り当て解除中 移行中。 完了すると、割り当て解除状態に移行します。 課金されません
割り当て解除済み VM は停止し、ホストから削除されました。 課金されません

Azure Arc マシン:

State 詳細 Billing
接続 接続されているがハートビートがまだ受信されていないサーバー。 課金されません
接続済み Connected Machine エージェントからの定期的なハートビートの受信。 課金されます
オフライン/切断 15 分から 30 分でハートビートが受信されない。 課金されません
有効期限切れ 45 日間切断された場合、状態が [期限切れ] に変わる場合があります。 課金されません

サブスクリプションとワークスペースで Defender for Servers を有効にする必要がありますか?

Defender for Servers プラン 1 は Log Analytics に依存しません。 サブスクリプション レベルで Defender for Servers プラン 2 を有効にすると、既定の Log Analytics ワークスペースで Defender for Cloud によってそのプランが自動的に有効になります。 カスタム ワークスペースを使用する場合は、ワークスペースでプランを有効にするようにしてください。 詳細については、次を参照してください。

  • サブスクリプションと接続されたカスタム ワークスペースに対して Defender for Servers を有効にした場合、両方に対して課金されることはありません。 システムでは一意の VM が識別されます。
  • クロスサブスクリプション ワークスペースで Defender for Servers を有効にする場合:
    • Log Analytics エージェントの場合、Defender for Servers プランが有効になっていないサブスクリプションを含め、すべてのサブスクリプションの接続されたマシンが課金されます。
    • Azure Monitor エージェントの場合、Defender for Servers の課金と機能の対象範囲は、サブスクリプションで有効になっているプランのみに依存します。

(サブスクリプションではなく) ワークスペース レベルでのみ Defender for Servers プランを有効にした場合はどうなりますか?

Microsoft Defender for Servers は、Log Analytics ワークスペース レベルで有効にできますが、そのワークスペースに報告するサーバーのみが保護および課金され、それらのサーバーは、Microsoft Defender for Endpoint、脆弱性評価、Just-In-Time VM アクセスなど一部の利点を得られません。

500 MB の無料データ インジェスト許容量はワークスペースごとに適用されますか、それともマシンごとに適用されますか?

Defender for Servers プラン 2 を有効にすると、1 日あたり 500 MB の無料データ インジェストが得られます。 この許容量は具体的には、Defender for Cloud によって直接収集されたセキュリティ データ型が対象となります。

この許容量は、1 日あたりのレートを全ノードにわたって平均したものです。 1 日の空き容量の合計制限は [マシンの数] × 500 MB です。 100 MB を送信するマシンの他に 800 MB を送信するマシンがあったとしても、その合計が 1 日の無料の上限を超えなければ、余分に課金されることはありません。

1 日あたりの許容量に含まれるデータ型は何ですか?

Defender for Cloud の課金は、Log Analytics の課金と密接に関連しています。 Microsoft Defender for Servers では、セキュリティ データ型の以下のサブセットに対して、マシンで 1 日 1 ノード当たり 500 MB の割り当てが提供されます:

ワークスペースが従来のノードごとの価格レベルである場合、Defender for Cloud と Log Analytics の割り当てが結合されて、取り込まれたすべての課金対象データにまとめて適用されます。

Log Analytics がインストールされていないマシンには課金されますか?

はい。 Azure サブスクリプション、接続された AWS アカウント、接続された GCP プロジェクトで Defender for Servers によって保護されているすべてのマシンに対して請求が行われます。 マシンという用語には、Azure 仮想マシン、Azure Virtual Machine Scale Sets のインスタンス、Azure Arc 対応サーバーが含まれます。 Log Analytics がインストールされていないマシンには、Log Analytics エージェントに依存しない保護が適用されます。

マシンで "MDE.Windows" / "MDE.Linux" という拡張機能が動いていますが、これは何ですか。

以前、Microsoft Defender for Endpoint は Log Analytics エージェントにより提供されていました。 サポートを拡張して Windows Server 2019 と Linux を含めるようにした際に、Microsoft は、自動でオンボードを実行する拡張機能も追加しました。

Defender for Cloud によって、次のものを実行しているマシンに拡張機能が自動的にデプロイされます。

  • Windows Server 2019 および Windows Server 2022
  • MDE 統合ソリューションの統合が有効になっている場合は、Windows Server 2012 R2 および 2016
  • Azure Virtual Desktop 上の Windows 10
  • OS のバージョンが Defender for Cloud で認識されない場合は、Windows Server の他のバージョン (たとえば、カスタム VM イメージを使用している場合)。 この場合、Microsoft Defender for Endpoint は、引き続き Log Analytics エージェントにより提供されます。
  • Linux

重要

MDE.Windows/MDE.Linux 拡張機能を削除しても、Microsoft Defender for Endpoint は削除されません。 マシンをオフボードするには、「Windows サーバーをオフボードする」を参照してください。

ソリューションを有効にしたが、`MDE.Windows`/`MDE.Linux` 拡張機能がマシンに表示されない

統合を有効にしたのに拡張機能がマシンで実行されていない場合は、以下を確認してください。

  1. 調査する問題があると確定できるまでには、少なくとも 12 時間待つ必要があります。
  2. 12 時間を過ぎてもマシンで拡張機能が実行されていない場合、統合の前提条件を満たしていることを確認してください。
  3. 調査中のマシンに関連するサブスクリプションで Microsoft Defender for Servers プランが有効になっていることを確認してください。
  4. Azure のサブスクリプションを Azure テナント間で移動した場合、Defender for Cloud によって Defender for Endpoint がデプロイされる前に、いくつかの手動準備作業が必要です。 詳細については、Microsoft サポートにお問い合わせください

Microsoft Defender for Endpoint のライセンス要件はどのようなものですか。

Defender for Endpoint for Servers のライセンスは、Microsoft Defender for Servers に含まれています。

マシンを保護するために個別のマルウェア対策ソリューションを購入する必要がありますか。

不正解です。 Defender for Endpoint を Defender for Servers に統合することで、マシンでのマルウェア対策も得られます。

  • Defender for Endpoint 統合ソリューションの統合が有効になっている Windows Server 2012 R2 では、Defender for Servers は アクティブ モードMicrosoft Defender ウイルス対策をデプロイします。
  • 新しい Windows Server オペレーティング システムでは、Microsoft Defender ウイルス対策はオペレーティング システムに含まれており、"アクティブ モード" で有効になります。
  • Linux では、Defender for Servers はマルウェア対策コンポーネントを含む Defender for Endpoint をデプロイし、パッシブ モード でコンポーネントを設定します。

サードパーティ製の EDR ツールから切り替える方法について。

Microsoft 以外のエンドポイント ソリューションからの切り替えの詳しい手順については、Microsoft Defender for Endpoint の移行の概要に関するドキュメントを参照してください。

Defender for Servers でサポートされている Microsoft Defender for Endpoint プランはどれですか。

Defender for Servers プラン 1 とプラン 2 では、Microsoft Defender for Endpoint プラン 2 の機能が提供されます。

お勧めアプリケーションに Qualys アプリが表示されるのはなぜですか?

Microsoft Defender for Servers には、お使いのマシンの脆弱性スキャンが含まれています。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。 このスキャナーの詳細およびデプロイ方法の手順については、Defender for Cloud の統合された Qualys 脆弱性評価ソリューションに関する記事を参照してください。

資産インベントリにサブスクリプション、マシン、ストレージ アカウントなど、リソースがすべては表示されないのはなぜですか?

[インベントリ] ビューには、クラウドに接続されているリソースの Defender がクラウドセキュリティ対策管理 (CSPM) の観点から一覧表示されます。 フィルターには、アクティブな推奨事項があるリソースのみが表示されます。

たとえば、8 個のサブスクリプションにアクセス可能であるが、現時点で推奨事項があるのが 7 個のみである場合、[リソースの種類] = [サブスクリプション] でフィルター処理すると、アクティブな推奨事項を含む 7 個のサブスクリプションのみが表示されます。

アクティブなレコメンデーションがない場合、一部のサブスクリプションは返されません。

一部のリソースで Defender for Cloud または監視エージェントの列に空白の値が表示される理由

Defender for Cloud で監視されるすべてのリソースにエージェントが必要なわけではありません。 たとえば、Defender for Cloud では、Azure Storage アカウントや、ディスク、Logic Apps、Data Lake Analysis、Event Hubs などの PaaS リソースをエージェントが監視する必要はありません。

価格やエージェントの監視がリソースに関係しない場合、インベントリのこれらの列には何も表示されません。

一部のリソースについては、監視エージェントまたは Defender for Cloud の列に空白の情報が表示されます。

"すべてのトラフィックを拒否" ルールはいつ使用する必要がありますか?

アルゴリズムを実行した結果として、既存の NSG 構成に基づいて許可すべきトラフィックが Defender for Cloud で識別されなかった場合、すべてのトラフィックを拒否ルールが推奨されます。 そのため、推奨されるルールは、指定されたポートに届くすべてのトラフィックを拒否します。 このタイプのルールの名前は、"システム生成" として表示されます。 このルールを適用した後は、NSG の実際の名前は、プロトコル、トラフィックの方向、"DENY"、およびランダムな数値から成る文字列になります。

セキュリティ構成に関する推奨事項の前提条件をデプロイする方法を教えてください

前提条件を満たすゲスト構成拡張機能をデプロイするには、以下の手順を実行します。

  • 選択したマシンに対して、セキュリティのベスト プラクティスを実装するセキュリティ コントロールのセキュリティの推薦事項であるゲスト構成拡張機能がマシンにインストールされている必要があるに従います。

  • 規模が大きい場合は、ポリシー イニシアティブの仮想マシンでゲスト構成ポリシーを有効にするための前提条件をデプロイするを割り当てます。

マシンが該当なしと表示されるのはなぜですか?

[該当なし] タブに記載されているリソースのリストには、 [理由] 列も含まれています。 一般的な理由として、以下が挙げられます。

理由 詳細
マシン上に利用可能なスキャン データがない Azure Resource Graph に、このマシンのコンプライアンス結果がありません。 すべてのコンプライアンス結果は、ゲスト構成拡張機能によって Azure Resource Graph に書き込まれます。 Azure Resource Graph のデータは、Azure Policy ゲスト構成 - ARG クエリのサンプルに関するページのサンプル クエリを使用することで確認できます。
ゲスト構成拡張機能がマシンにインストールされていない Azure セキュリティ ベースラインへのコンプライアンスを評価するための前提条件である、ゲスト構成拡張機能がマシンに搭載されていません。
システム マネージド ID がマシンで構成されていない システム割り当てマネージド ID をマシンにデプロイする必要があります。
ポリシーで推奨事項が無効になっている OS ベースラインを評価するポリシー定義が、関連するマシンが含まれているスコープで無効になっています。

サブスクリプション レベルで Defender for Cloud サーバー プランを有効にした場合、ワークスペース レベルで有効にする必要がありますか?

サブスクリプション レベルで Servers プランを有効にすると、Defender for Cloud が既定のワークスペースで Servers プランを自動的に有効にします。 [Azure VM を Defender for Cloud で作成された既定のワークスペースに接続する] オプションを選択し、[適用] を選択することによって、既定のワークスペースに接続します。

ワークスペースを管理するために Defender for Cloud を自動プロビジョニングする方法を示すスクリーンショット。

ただし、既定のワークスペースの代わりにカスタム ワークスペースを使用している場合、サーバー プランが有効になっていないすべてのカスタム ワークスペースでサーバー プランを有効にする必要があります。

カスタム ワークスペースを使用していて、サブスクリプション レベルでのみプランを有効にしている場合は、レコメンデーション ページに Microsoft Defender for servers should be enabled on workspaces レコメンデーションが表示されます。 このレコメンデーションでは、[修正] ボタンを使用して、ワークスペース レベルでサーバー プランを有効にするオプションが提供されます。 サーバー プランがワークスペースに対して有効になっていない場合でも、サブスクリプション内のすべての VM が課金の対象となります。 VM では、Microsoft Defender for Endpoint、VA ソリューション (MDVM/Qualys)、Just-In-Time VM アクセスなど、Log Analytics ワークスペースに依存する機能は活用されません。

サブスクリプションとその接続されたワークスペースの両方でサーバー プランを有効にしても、2 倍の料金は発生しません。 システムは、各一意の VM を識別します。

クロス サブスクリプションのワークスペースでサーバー プランを有効にした場合、サーバー プランが有効になっていないサブスクリプションを含む、すべてのサブスクリプションの接続済み VM が課金の対象となります。

Log Analytics エージェントがインストールされていないマシンは課金されますか?

はい。 Azure サブスクリプションまたは接続されている AWS アカウントで Microsoft Defender for Servers を有効にすると、Azure サブスクリプションまたは AWS アカウントに接続されているすべてのマシンに対して課金されます。 マシンという用語には、Azure 仮想マシン、Azure 仮想マシン スケール セット インスタンス、および Azure Arc 対応サーバーが含まれます。 Log Analytics がインストールされていないマシンには、Log Analytics エージェントに依存しない保護が適用されます。

Log Analytics エージェントが複数のワークスペースにレポートする場合、二重に課金されるのですか?

マシンから複数のワークスペースに報告があり、そのすべてで Defender for Servers が有効な場合、接続されているワークスペースごとにマシンが課金されます。

Log Analytics エージェントが複数のワークスペースにレポートする場合、それらすべてで 500 MB 無料のデータ インジェストが利用できるのですか?

はい。 2 つ以上の異なる Log Analytics ワークスペース (マルチホーム) にデータを送信するように Log Analytics エージェントを構成した場合、ワークスペースごとに 500 MB のデータ インジェストが無料で提供されます。 これはノード単位、レポート先ワークスペース単位、日単位で計算され、"セキュリティ" または "マルウェア対策" ソリューションがインストールされているどのワークスペースでも利用できます。 500 MB の制限を超えて取り込まれたデータについては課金の対象となります。

500 MB 無料のデータ インジェストの計算対象は、ワークスペース全体ですか、それとも厳密にマシン単位ですか?

ワークスペースに接続されている仮想マシン (VM) ごとに、1 日あたり許容量 500 MB の無料データ インジェストを受け取れます。 この割り当ては具体的には、Defender for Cloud によって直接収集されるセキュリティ データ型に適用されます。

データ許容量は、接続されているすべてのマシンで計算される 1 日あたりのレートです。 1 日あたりの無料限度の合計は [マシンの数] x 500 MB です。 したがって、ある日にいくつかのマシンで 100 MB を送信し、他のマシンで 800 MB を送信したとしても、すべてのマシンからのデータの合計が、1 日の無料限度を超えなければ、余分に課金されることはありません。

500 MB のデータの 1 日あたりの許容量には、、どの種類のデータが含まれますか?

Defender for Cloud の課金は、Log Analytics の課金と密接に関連しています。 Microsoft Defender for Servers では、セキュリティ データ型の以下のサブセットに対して、マシンで 1 日当たり 500 MB/ノードの割り当てが提供されます:

ワークスペースが従来のノードごとの価格レベルである場合、Defender for Cloud と Log Analytics の割り当てが結合されて、取り込まれたすべての課金対象データにまとめて適用されます。 Microsoft Sentinel のお客様がメリットを得る方法の詳細については、Microsoft Sentinel の価格ページを参照してください。

毎日の使用状況を監視する方法

データの使用状況は、Azure portal、またはスクリプトを実行して、2 つの異なる方法で表示できます。

Azure portal で回線使用量を確認します:

  1. Azure portal にサインインします。

  2. Log Analytics ワークスペースに移動する

  3. ワークスペースを選択します。

  4. 使用量と推定コストの選択。

    Log Analytics ワークスペースのデータ使用量のスクリーンショット。

また、価格レベルごとに選択することで、さまざまな価格レベルで推定コストを 表示することもできます。

追加の価格レベルでの推定コストを表示する方法を示すスクリーンショット。

スクリプトを使用して使用状況を表示するには:

  1. Azure portal にサインインします。

  2. Log Analytics ワークスペース>に移動するLogs

  3. 時間の範囲を選択してください 時間範囲について説明します。

  4. 次のクエリをコピーして、[ ここにクエリを入力する] セクションに貼り付ける。

    let Unit= 'GB';
    Usage
    | where IsBillable == 'TRUE'
    | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
    | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
    | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
    | sort by DataConsumedPerDataType desc
    
  5. [実行] を選択します。

    クエリを入力する場所と、選択する [実行] ボタンの場所を示すスクリーンショット。

Log Analytics ワークスペースで使用状況を分析する方法について説明します。

使用量に基づいて、1 日の手当を使用するまでは課金されません。 課金される場合、500MB が消費された後に使用されたデータのみ、または Defender for Cloud のカバレッジに該当しないその他のサービスのみ課金の対象となります。

コストを管理するにはどうすればよいですか?

ソリューションを特定のエージェント セットに制限することで、コストを管理し、ソリューション用に収集されるデータの量を制限することもできます。 ソリューションのターゲット設定を使用して、ソリューションにスコープを適用し、ワークスペース内のコンピューターのサブセットを対象にします。 ソリューションのターゲット設定を使用している場合、Defender for Cloud では、ソリューションがないものとしてワークスペースが一覧表示されます。

重要

Log Analytics エージェントが Azure Monitor エージェントに置き換えられ、Azure Monitor のソリューションが Insights に置き換えられたため、ソリューションのターゲット設定は非推奨になりました。 ソリューション ターゲット設定を既に構成済みである場合は、それを引き続き使用できますが、新しいリージョンで使用することはできません。 この機能は、2024 年 8 月 31 日より後は、サポートされなくなる予定です。 非推奨日までソリューション ターゲット設定をサポートするリージョンは次のとおりです。

リージョン コード リージョン名
CCAN canadacentral
CHN switzerlandnorth
CID centralindia
CQ brazilsouth
CUS centralus
DEWC germanywestcentral
DXB UAENorth
EA eastasia
EAU australiaeast
EJP japaneast
EUS eastus
EUS2 eastus2
NCUS northcentralus
NEU NorthEurope
NOE norwayeast
PAR FranceCentral
SCUS southcentralus
SE KoreaCentral
SEA southeastasia
SEAU australiasoutheast
SUK uksouth
WCUS westcentralus
WEU westeurope
WUS westus
WUS2 westus2
エアギャップ クラウド リージョン コード リージョン名
UsNat EXE usnateast
UsNat EXW usnatwest
UsGov FF usgovvirginia
中国 MC ChinaEast2
UsGov PHX usgovarizona
UsSec RXE usseceast
UsSec RXW ussecwest