Microsoft Defender for Cloud

完了

セキュリティに関する最大の 2 つの課題は、保護する必要がある領域すべてを確認し、ハッカーより先に脆弱性を見つけられるようにすることです。 Azure では、これをはるかに簡単にする Microsoft Defender for Cloud と呼ばれるサービスが提供されています。

Microsoft Defender for Cloud とは

Microsoft Defender for Cloud は、Azure とオンプレミスの両方において、ご利用のすべてのサービスに対して脅威に対する保護を提供する監視サービスです。 次のことが可能です。

  • 構成、リソース、およびネットワークに基づいて、セキュリティに関するレコメンデーションを提供する。
  • オンプレミスおよびクラウドのワークロード全体のセキュリティ設定を監視し、新しいサービスがオンラインになると必要なセキュリティを自動的に適用する。
  • すべてのサービスを継続的に監視し、自動的なセキュリティ評価を実行して、潜在的脆弱性を、悪用される前に特定する。
  • 機械学習を使用して、マルウェアがサービスや仮想マシンにインストールされる前に検出してブロックする。 また、アプリケーションを許可リストに登録して、検証対象のアプリのみが確実に実行を許可されるようにすることもできます。
  • 受信攻撃の可能性を分析および特定し、脅威および発生した可能性がある侵害後のアクティビティの調査を支援する。
  • ポートに対する Just-In-Time アクセスの制御を有効にし、必要なトラフィックのみがネットワークで許可されるようにして、攻撃対象の領域を減らします。

Defender for Cloud は、Center for Internet Security (CIS) の推奨事項に含まれています。

Microsoft Defender for Cloud のアクティブ化

Microsoft Defender for Cloud は、ハイブリッド クラウド ワークロード用の統合されたセキュリティ管理と高度な脅威に対する保護を実現し、いくつかのプランが提供されています。 基本的なクラウド セキュリティ態勢管理 (CSPM) プランは無料で、既定でアクティブ化され、セキュリティ ポリシー、評価、推奨事項を提供します。 Defender CSPM プランでは、脅威インテリジェンスを含む堅牢な一連の機能が提供されます。 サーバー、App Service 向けのプランなどもあります。

Defender for Cloud の利点を考慮し、あなたの会社のセキュリティ チームは、それをオフィスのすべてのサブスクリプションに対して有効にすることにしました。 今朝、お使いのアプリケーションに対してそれを有効にするよう通知するメールが届きました。そこで、その方法を見てみましょう。

重要

Microsoft Defender for Cloud は、無料の Azure サンドボックスではサポートされていません。 これらの手順をご自分のサブスクリプションで実行することも、単に読み進んで Defender for Cloud をアクティブ化する方法を理解することもできます。

  1. Azure portalを開き、左側のメニューから [Microsoft Defender for Cloud] を選択してください。 これが表示されない場合は、[すべてのサービス] を選び、次の図に示されているようにセキュリティ セクションから [Microsoft Defender for Cloud] を見つけてください。

    Screenshot showing the All services pane with Defender for Cloud highlighted.

  2. これまで Defender for Cloud を開いたことがない場合、ウィンドウは [作業の開始] エントリで開始され、ここでご利用のサブスクリプションをアップグレードするように求められることがあります。 ここではそれを無視し、ページの下部にある [スキップ] を選択して、[概要] を選択してください。

    • これにより、お使いのサブスクリプションで使用可能な、すべての要素にわたる "セキュリティの全体像" が表示されます。
    • これには確認可能な有用な情報が大量に含まれています。
  3. [概要] に、Defender for Cloud の対象となっている (または対象となっていない) サブスクリプション要素が表示されます。 ここで、アクセスできるすべてのサブスクリプションに対して Defender for Cloud をオンにできます。

  4. サブスクリプションに対し Defender for Cloud をアクティブ化できます。 ページの上部にある [Azure サブスクリプション] を選択し、一覧でサブスクリプションを選択してください。 プランのオンとオフを切り替えるか、[すべてのプランを有効にする] を選択できます。

基本的な CSPM とDefender CSPM 価格レベル

Defender for Cloud は無料の Azure サブスクリプション レベルでも使用できますが、Azure リソースの評価と推奨のみに制限されています。 Defender for Cloud を本当に活用するには、前述したように、Defender CSPM サブスクリプションにアップグレードする必要があります。 サブスクリプションは、Defender for Cloud メニューの [作業の開始] ペインにある [アップグレード] ボタンからアップグレードすることができます。ここで、サブスクリプション レベルを順番に変更できます。 価格と機能はリージョンによって異なります。全体的な概要については、価格のページをご覧ください。

注意

サブスクリプションを Defender CSPM レベルにアップグレードするには、サブスクリプションの所有者、サブスクリプションの共同作成者、またはセキュリティ管理者のロールが割り当てられている必要があります。

重要

30 日間の試用期間が終わると、Defender CSPM の料金がご利用のアカウントに請求されます。

Microsoft Defender for Cloud を無効にする

運用システムについては、ご利用のリソースすべてで脅威を監視できるように、Microsoft Defender for Cloud を確実に有効にしておく必要があります。 ただし、Defender for Cloud を試す目的で有効にした場合は、課金の対象にならないように、無効にすることをお勧めします。 ここでは、その操作を行います。

  1. Azure portalを開き、左側のメニューから [Microsoft Defender for Cloud] を選択してください。 これが表示されない場合は、[すべてのサービス] を選び、次の図に示されているようにセキュリティ セクションから [Microsoft Defender for Cloud] を見つけてください。

    Screenshot showing the All services pane with Defender for Cloud highlighted.

  2. 左側のメニューから [環境設定] を選択してください。

  3. 次に、ダウングレードするサブスクリプションの横にある省略記号を選択し、次に [設定の編集] を選択してください。

  4. 次の図のような新しいページが表示されます。 [Defender CSPM] プランを[オフ] に切り替えます。

    Screenshot showing Foundational CSPM and Defender CSPM options.

  5. 画面上部にある [保存] を押します。

これで、サブスクリプションは Microsoft Defender for Cloud の Free レベルにダウングレードされました。

お疲れさまでした。これで、アプリケーション、データ、およびネットワークをセキュリティで保護するための最初の (最も重要な) 手順が完了しました。

知識を確認

1.

True または False: Microsoft Defender for Cloud は、Azure リソースとオンプレミス リソースに対して機能します。