Azure サブスクリプションを接続する

このガイドでは、Azure サブスクリプションで Microsoft Defender for Cloud を有効にする方法について説明します。

Microsoft Defender for Cloud はクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) です。以下に示す機能が組み合わされており、クラウドベースのアプリケーションをエンドツーエンドで保護するように設計された一連のセキュリティ対策とプラクティスを備えています。

  • マルチクラウド環境および複数パイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション
  • 侵害を防ぐために実行できるアクションを提示するクラウド セキュリティ態勢管理 (CSPM) ソリューション
  • サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードに固有の保護を備えたクラウド ワークロード保護プラットフォーム (CWPP)

Defender for Cloud には、基本的な CSPM 機能と、 Microsoft Defender XDR への無料アクセスが含まれています。 追加の有料プランを追加して、クラウド リソースのすべての側面をセキュリティで保護できます。 Defender for Cloud は、最初の 30 日間無料で試用できます。 30 日後、環境内で有効になっているプランに従って課金が開始されます。 これらのプランとそのコストの詳細については、Defender for Cloud の 価格に関するページを参照してください。

重要

Defender for Storage でのマルウェア スキャンは、最初の 30 日間の試用版には無料で含まれていません。また、Defender for Cloud の価格ページで利用可能な価格スキームに従って、最初の日から課金されます。

Defender for Cloud は、セキュリティの脆弱性を見つけて修正するのに役立ちます。 Defender for Cloud は、悪意のあるアクティビティをブロックするためのアクセス制御とアプリケーション制御の適用、分析とインテリジェンスを使用した脅威の検出、攻撃を受けたときのすばやい対応を支援します。

前提条件

  • Defender for Cloud のリソースに関連する情報を表示するには、サブスクリプションまたはリソースが存在するリソース グループのロール (所有者、共同作成者、または閲覧者) が割り当てられている必要があります。

Azure サブスクリプションで Defender for Cloud を有効にする

ヒント

管理グループ内のすべてのサブスクリプションで Defender for Cloud を有効にするには、複数の Azure サブスクリプションの Defender for Cloud を有効にする方法に関するページを参照してください。

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

    Azure portal のスクリーンショット。Microsoft Defender for Cloud が選択されています。

    Defender for Cloud の概要ページが開きます。

    Defender for Cloud の概要ダッシュボードのスクリーンショット。

サブスクリプションで Defender for Cloud が有効になり、Defender for Cloud によって提供される基本的な機能にアクセスできるようになりました。 次のような機能が含まれています。

Defender for Cloud の概要ページでは、ハイブリッド クラウド ワークロードのセキュリティ対策の統合ビューが表示され、ワークロードのセキュリティを検出して評価したり、リスクを特定して軽減したりできます。 詳細については、Microsoft Defender for Cloud の概要ページを参照してください。

サブスクリプション メニューからサブスクリプションの一覧を表示およびフィルター処理することで、選択したサブスクリプションに対するセキュリティ態勢を反映するように Defender for Cloud の概要ページの表示を調整することができます。

Defender for Cloud を初めて起動してから数分以内に、以下が表示されます。

  • 接続されているリソースのセキュリティを向上させる方法についての推奨事項
  • Defender for Cloud によって評価されているリソースのインベントリと、それぞれのセキュリティ態勢。

サブスクリプションのすべての有料プランを有効にする

すべての Defender for Cloud 保護を有効にするには、保護するワークロードの対するプランを有効にする必要があります。

Note

  • Microsoft Defender for Storage アカウントMicrosoft Defender for SQLオープンソース リレーショナル データベース向けの Microsoft Defender はサブスクリプション レベルとリソース レベルのいずれかで有効にできます。
  • ワークスペース レベルで使用できる Microsoft Defender プランは、Microsoft Defender for ServersMicrosoft Defender for SQL servers on machines です。

重要

Microsoft Defender for SQL は、既定またはカスタム ワークスペースを使用するサブスクリプション レベルのバンドルです。

Azure サブスクリプション全体で Defender プランを有効にすると、サブスクリプション内のすべてのリソースに保護が適用されます。

サブスクリプションで追加の有料プランを有効にするには、次を行います

  1. Azure portal にサインインします。

  2. Microsoft Defender for Cloud」を検索して選択します。

  3. Defender for Cloud のメニューで、[環境設定] を選択します

    環境設定を選択するために移動する先の場所を示すスクリーンショット。

  4. 保護するサブスクリプションまたはワークスペースを選択します。

  5. [すべて有効にする] を選択して、Defender for Cloud のすべてのプランを有効にします。

    [プラン] ページで [有効にする] ボタンがある場所を示すスクリーンショット。

  6. [保存] を選択します。

すべてのプランが有効になり、各プランに必要な監視コンポーネントが保護されたリソースにデプロイされます。

いずれかのプランを無効にする場合は、個別のプランをオフに切り替えます。 プランで使用される拡張機能はアンインストールされませんが、しばらくすると、拡張機能はデータの収集を停止します。

ヒント

管理グループ内のすべてのサブスクリプションで Defender for Cloud を有効にするには、複数の Azure サブスクリプションの Defender for Cloud を有効にする方法に関するページを参照してください。

Microsoft Defender XDR との統合

Defender for Cloud を有効にすると、Defender for Cloud のアラートは Microsoft Defender ポータルに自動的に統合されます。 必要な手順は以上です。

Microsoft Defender for Cloud と Microsoft Defender XDR の統合により、クラウド環境が Microsoft Defender XDR に組み込まれます。 Defender for Cloud のアラートとクラウドの関連付けは Microsoft Defender XDR に統合されたため、SOC チームは 1 つのインターフェイスからすべてのセキュリティ情報にアクセスできるようになりました。

詳細については、「Microsoft Defender XDR での Microsoft Defender for Cloud のアラート」を参照してください。

次のステップ

このガイドでは、Azure サブスクリプションで Defender for Cloud を有効にしました。 次の手順では、ハイブリッド環境とマルチクラウド環境を設定します。