Microsoft Defender for servers の概要

Microsoft Defender for Servers は、Microsoft Defender for Cloud の強化セキュリティ機能によって提供されるプランの 1 つです。 Defender for Servers によって、Azure、AWS、GCP、オンプレミスの Windows と Linux マシンが保護されます。

Defender for Servers のプラン

Defender for Servers では、次の 2 つのプランから選択できます。

  • プラン 1
  • プラン 2
    • プラン 1: Defender for Servers プラン 1 のすべてが含まれます。
    • 追加機能: その他すべての強化された Defender for Servers セキュリティ機能。

プランの機能

次の表に、各プランに含まれる内容の概略を示します。

機能 詳細 Defender for Servers プラン 1 Defender for Servers プラン 2
統合ビュー Defender for Cloud ポータルに、Defender for Endpoint のアラートが表示されます。 その後、Defender for Endpoint ポータルにドリルダウンして、アラート プロセス ツリー、インシデント グラフ、最大 6 か月間の履歴データを示す詳細なマシン タイムラインなどの追加情報を確認できます。
MDE の自動プロビジョニング Azure、AWS、GCP リソースへの Defender for Endpoint の自動プロビジョニング。
Microsoft Defender 脆弱性の管理 Microsoft Defender for Endpoint により、その他のエージェントや定期的なスキャンがなくても、リアルタイムで脆弱性と構成の誤りが検出されます。 詳細については、こちらを参照してください
OS レベルの脅威検出 (エージェントベース) Defender for Servers and Microsoft Defender for Endpoint (MDE) は、VM の動作検出やファイルレス攻撃の検出など、OS レベルで脅威を検出し、これによってアラートのトリアージ、相関付け、ダウン ストリームの応答時間を高速化する詳細なセキュリティ アラートが生成されます。
詳細情報
ネットワークレベルの脅威検出 (エージェントレス) Defender for Servers は、Azure 仮想マシンのネットワークベースの検出など、ネットワーク上のコントロール プレーンに対する脅威を検出します。
Microsoft Defender 脆弱性の管理アドオン ブラウザー拡張機能、ネットワーク共有、デジタル証明書に関連するリスクなど、保護対象サーバーのセキュリティ体制のより詳細な分析を参照します。 詳細については、こちらを参照してください
セキュリティ ポリシーと規制コンプライアンス サブスクリプションのセキュリティ ポリシーをカスタマイズし、さらに、リソースの構成を業界標準、規制、ベンチマークの要件と比較します。
Qualys を利用した統合脆弱性評価 Qualys スキャナーを使用して、Azure とハイブリッド VM の脆弱性をリアルタイムで識別します。 すべてが Defender for Cloud によって処理されます。 Qualys ライセンスも Qualys アカウントも必要ありません。 詳細については、こちらを参照してください
Log Analytics で 500MB の無料データ インジェスト Defender for Cloud は、Log Analytics エージェントを使用して、Azure VM およびサーバーからのデータ収集に Azure Monitor を活用します。
適応型アプリケーション制御 (AAC) Defender for Cloud の AAC では、マシンの既知の安全なアプリケーションの許可リストを定義します。
ファイルの整合性の監視 (FIM) FIM (変更監視) は、ファイルとレジストリで、攻撃を示す可能性のある変更を調べます。 ファイルに対して疑わしい変更が行われたかどうかを判断するために、比較の手段が使用されます。
管理ポートの Just-In-Time VM アクセス Defender for Cloud は JIT アクセスを提供し、マシンのポートをロックダウンしてマシンの攻撃面を削減します。
アダプティブ ネットワークのセキュリティ強化機能 ネットワーク セキュリティ グループ (NSG) を使用してリソースとの間のトラフィックをフィルター処理することで、ネットワークのセキュリティ態勢を向上させます。 実際のトラフィック パターンに基づいて NSG ルールを強化することで、セキュリティをさらに向上させることができます。
Docker ホストのセキュリティ強化機能 Defender for Cloud は、Docker コンテナーを実行している Linux マシンでホストされているコンテナーを評価し、それらを Center for Internet Security (CIS) の Docker ベンチマークと比較します。 詳細については、こちらを参照してください

Note

ワークスペース レベルでのみ Defender for Cloud を有効にする場合、Defender for Cloud では、Just-In-Time VM アクセス、適応型アプリケーション制御、Azure リソースのネットワーク検出は有効になりません。

もっと詳しい説明が必要でしょうか。 Defender for Cloud in the Field シリーズで Defender for Servers の強化されたワークロード保護機能の概要をご覧ください。

プロビジョニング

Defender for Servers のプラン 1 またはプラン 2 を有効にし、Defender for Endpoint 統合を有効にすると、Defender for Endpoint エージェントが、サブスクリプション内のサポートされているすべてのマシンに自動的にプロビジョニングされます。

  • Azure Windows マシン: Defender for Cloud によって MDE.Windows 拡張機能がデプロイされます。 この拡張機能は Defender for Endpoint をプロビジョニングし、Defender for Endpoint バックエンドに接続します。
  • Azure Linux マシン: Defender for Cloud は auditd (最も一般的な Linux 監査フレームワークの 1 つ) を使用して、Linux マシンから監査レコードを収集します。 Linux アラートの一覧については、アラートのリファレンス表に関するページを参照してください。
  • オンプレミス: Defender for Cloud は、Azure Connected Machine エージェントを使用して Azure Arc と統合されます。 オンプレミスのマシンを Microsoft Defender for Cloud に接続する方法について確認してください。
  • マルチクラウド: Defender for Cloud は Azure Arc を使用して、これらの Azure 以外のマシンが Azure リソースと見なされるようにします。 AWS アカウントGCP アカウントを Microsoft Defender for Cloud に接続する方法を参照してください。

ヒント

他のクラウド環境で実行されているマシンに関連する Defender for Servers の機能の詳細については、「仮想マシンとサーバーでサポートされている機能」を参照してください。

アラートのシミュレーション

アラートをシミュレートするには、次のいずれかのプレイブックをダウンロードします。

詳細情報

次のブログをご覧ください。

次のステップ

この記事では、Microsoft Defender for Servers について説明しました。