クイック スタート:AWS アカウントを Microsoft Defender for Cloud に接続する

通常、クラウド ワークロードは複数のクラウド プラットフォームにまたがるため、クラウド セキュリティサービスもそうである必要があります。 Microsoft Defender for Cloud により、Azure、アマゾン ウェブ サービス (AWS)、および Google Cloud Platform (GCP) のワークロードが保護されます。

AWS ベースのリソースを保護するには、次のいずれかを使用して AWS アカウントを接続できます。

  • ネイティブ クラウド コネクタ (推奨) - AWS アカウントへのエージェントレス接続を提供します。これを、AWS リソースをセキュリティで保護するための Defender for Cloud の Defender プランで拡張できます。

  • クラシック クラウド コネクタ - Defender for Cloud が AWS 環境に接続するために使用できるユーザーを作成するために、AWS アカウントでの構成が必要です。 クラシック クラウド コネクタがある場合は、それらのコネクタを削除し、ネイティブ コネクタを使用してアカウントに再接続することをお勧めします。 クラシックとネイティブ コネクタの両方を使用すると、重複する推奨事項が生成される可能性があります。

AWS リソースに対して Defender for Cloud が提供できるすべてのレコメンデーションの参照リストについては、「AWS リソースのセキュリティに関する推奨事項 - 参照ガイド」を参照してください。

こちらのスクリーンショットでは、Defender for Cloud の概要ダッシュボードに AWS アカウントが表示されています。

4 つの AWS プロジェクトが Defender for Cloud の概要ダッシュボードに表示されている

詳細については、Field ビデオ シリーズの Defender for Cloud に関する次のビデオをご覧ください。

可用性

側面 詳細
リリース状態: 一般提供 (GA)
価格: CSPM プランは無料です。
Defender for SQL プランは、Azure リソースと同じ価格で課金されます。
Defender for Containers プランは、プレビュー期間中は無料でご利用いただけます。 その後、Azure リソースと同じ価格で AWS に対して課金されます。
Azure に接続される AWS マシンごとに、Defender for Servers プランの料金が、Azure マシン用の Microsoft Defender for Servers プランと同じ価格で課金されます。
Defender プランの価格と課金の詳細を確認してください。
必要なロールとアクセス許可: 関連する Azure サブスクリプションの共同作成者アクセス許可。
AWS アカウントの管理者
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)

前提条件

ネイティブ クラウド コネクタには、次のものが必要です。

  • AWS アカウントへのアクセス。

  • Defender for Containers プランを有効にするには、次のものが必要です。

    • EKS K8s API サーバーにアクセスする権限を持つ、少なくとも 1 つの Amazon EKS クラスター。 新しい EKS クラスターを作成する必要がある場合は、「Amazon EKS の開始方法– eksctl」の手順に従ってください。
    • 新しい SQS キュー、Kinesis Firehose 配信ストリーム、および S3 バケットをクラスターのリージョンに作成するためのリソース容量。
  • Defender for SQL Plan を有効にするには、次のものが必要です。

    • サブスクリプションで有効になっている Microsoft Defender for SQL。 すべてのデータベースで保護を有効にする方法に関するページをご覧ください。

    • SQL Server または RDS Custom for SQL Server を実行する EC2 インスタンスがあるアクティブな AWS アカウント。

    • EC2 インスタンス/RDS Custom for SQL Server にインストールされている Azure Arc for servers。

      注意

      Azure Arc の自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者のアクセス許可が必要です。

    • Arc に接続されたコンピューターでは、追加の拡張機能を有効にする必要があります。

    • Arc マシン上の Log Analytics (LA) エージェント。また、選択したワークスペースにセキュリティ ソリューションがインストールされていることを確認します。 LA エージェントは、現在サブスクリプション レベルで構成されています。 同じサブスクリプションのすべてのマルチクラウド AWS アカウントと GCP プロジェクトは、そのサブスクリプション設定を継承します。

      サブスクリプションで自動プロビジョニングを構成する方法について説明します。

  • Defender for Servers Plan を有効にするには、次のものが必要です。

    • サブスクリプションで有効になっている Microsoft Defender for Servers。 プランを有効にする方法については、「セキュリティ強化機能の有効化」を参照してください。

    • EC2 インスタンスを含む、アクティブな AWS アカウント。

    • EC2 インスタンスにインストールされている Azure Arc for servers。

      注意

      Azure Arc の自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者のアクセス許可が必要です。

      • 既存および将来の EC2 インスタンスに Azure Arc を手動でインストールする場合は、EC2 インスタンスを Azure Arc に接続するレコメンデーションを使用して、Azure Arc がインストールされていないインスタンスを特定する必要があります。
    • Arc に接続されたコンピューターでは、追加の拡張機能を有効にする必要があります。

      • Microsoft Defender for Endpoint

      • VA ソリューション (TVM/Qualys)

      • Arc コンピューター上の Log Analytics (LA) エージェント。 選択したワークスペースにセキュリティ ソリューションがインストールされていることを確認します。

        LA エージェントは現在、サブスクリプション レベルで構成されています。これにより、同じサブスクリプションにおけるすべてのマルチクラウド アカウントとプロジェクト (AWS と GCP の両方から) で、LA エージェントに関するサブスクリプション設定が継承されます。

      サブスクリプションで自動プロビジョニングを構成する方法について説明します。

      注意

      Defender for Servers では、自動プロビジョニング プロセスを管理するために、AWS リソースにタグを割り当てます。 Defender for Cloud でリソースを管理できるよう、AccountIdCloudInstanceIdMDFCSecurityConnector のタグが適切に割り当てられている必要があります。

AWS アカウントを接続する

ネイティブ コネクタを使用して AWS アカウントを Defender for Cloud に接続するには、次のようにします。

  1. クラシック コネクタがある場合は、それらを削除してください。

    クラシックとネイティブ コネクタの両方を使用すると、重複する推奨事項が生成される可能性があります。

  2. Azure portal にサインインします。

  3. [Defender for Cloud][環境設定] に移動します。

  4. [環境の追加][アマゾン ウェブ サービス] を選択します。

    AWS アカウントを Azure サブスクリプションに接続します。

  5. コネクタのリソースを格納する場所を含め、AWS アカウントの詳細を入力します。

    AWS アカウントの追加ウィザードのステップ 1: アカウントの詳細を入力します。

    (省略可能) [管理アカウント] を選択して、管理アカウントへのコネクタを作成します。 コネクタは、指定された管理アカウントで検出されたメンバー アカウントごとに作成されます。 自動プロビジョニングは、新しくオンボードされたすべてのアカウントで有効になります。

  6. [次へ: プランの選択] を選択します。

    Note

    各プランには、アクセス許可に関する独自の要件があり、料金が発生する可能性があります。

    [Select plans]\(プランの選択\) タブで、この AWS アカウントに対して有効にする Defender for Cloud 機能を選択します。

    重要

    推奨事項の現在の状態を提示するために、CSPM プランでは AWS リソース API が 1 日に数回クエリされます。 これらの読み取り専用 API 呼び出しでは料金は発生しませんが、読み取りイベントの記録を有効にした場合は CloudTrail に登録されます AWS のドキュメントで説明されているように、記録を 1 つ維持するのに追加料金は発生しません。 AWS からデータをエクスポートしている場合 (たとえば、外部 SIEM に)、このような呼び出しの量が増加すると、取り込みのコストも増加する可能性があります。 このような場合、Defender for Cloud ユーザーまたはロール ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (これは既定のロール名です。アカウントに設定されているロール名を確認してください) から読み取り専用の呼び出しを除外することをお勧めします。

  7. 既定では、[サーバー] プランは [オン] に設定されています。 Defender for server の適用範囲を AWS ES2 まで拡大するために必要です。 Azure Arc のネットワーク要件を満たしていることを確認します。

    • (省略可能) 必要に応じて構成を編集するには、[構成] を選択します。
  8. 既定では、[コンテナー] プランは [オン] に設定されています。 これは、Defender for Containers が AWS EKS クラスターを保護するために必要です。 Defender for Containers プランのネットワーク要件を満たしていることを確認します。

    注意

    Azure Arc 対応 Kubernetes、Defender Arc 拡張機能、および Azure Policy Arc 拡張機能をインストールする必要があります。 「Amazon Elastic Kubernetes Service クラスターを保護する」の説明に従って、専用の Defender for Cloud の推奨事項を使用して拡張機能 (および必要に応じて Arc) をデプロイします。

    • (省略可能) 必要に応じて構成を編集するには、[構成] を選択します。 この構成を無効にすると、Threat detection (control plane) 機能は無効になります。 機能の可用性については、こちらをご覧ください。
  9. 既定では、[データベース] プランは [オン] に設定されています。 これは、Defender for SQL の対象範囲を AWS EC2 と RDS Custom for SQL Server に拡張するために必要です。

    • (省略可能) 必要に応じて構成を編集するには、[構成] を選択します。 既定の構成に設定したままにすることをお勧めします。
  10. [次: アクセスの構成] を選択します。

  11. CloudFormation テンプレートをダウンロードします。

  12. ダウンロードした CloudFormation テンプレートを使用して、画面上の指示に従って AWS にスタックを作成します。 管理アカウントをオンボードする場合は、Stack および StackSet として CloudFormation テンプレートを実行する必要があります。 オンボード後 24 時間以内に、メンバー アカウントのコネクタが作成されます。

  13. [Next : Review and update](次: 確認と生成) を選択します。

  14. [作成] を選択します

Defender for Cloud ですぐに AWS リソースのスキャンが開始され、数時間以内にセキュリティに関するレコメンデーションが表示されます。 AWS リソースに対して Defender for Cloud が提供できるすべてのレコメンデーションの参照リストについては、「AWS リソースのセキュリティに関する推奨事項 - 参照ガイド」を参照してください。

"'クラシック" コネクタを削除する

クラシック クラウド コネクタのエクスペリエンスで作成された既存のコネクタがある場合は、まずそれらを削除します。

  1. Azure portal にサインインします。

  2. [Defender for Cloud][環境設定] に移動します。

  3. 従来のコネクタ エクスペリエンスに戻るオプションを選択します。

    Defender for Cloud のクラシック クラウド コネクタ エクスペリエンスに切り替える。

  4. 各コネクタについて、行の最後にある 3 点ボタン ... を選択し、[削除] を選択します。

  5. AWS で、統合用に作成されたロール ARN または資格情報を削除します。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
価格: Microsoft Defender for Servers Plan 2 が必要
必要なロールとアクセス許可: 関連する Azure サブスクリプションの所有者
所有者がサービス プリンシパルの詳細を提供する場合は、共同作成者も AWS アカウントに接続できます
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)

AWS アカウントを接続する

以下の手順に従って AWS クラウド コネクタを作成します。

手順 1. AWS Security Hub を設定する:

  1. 複数のリージョンのセキュリティに関する推奨事項を表示するには、関連するリージョンごとに次の手順を繰り返します。

    重要

    AWS 管理アカウントを使用している場合は、これらの手順を繰り返して、関連するすべてのリージョンで、管理アカウントと、接続されたすべてのメンバー アカウントを構成します

    1. AWS Config を有効にします。
    2. AWS Security Hub を有効にします。
    3. データが Security Hub に送信されていることを確認します。 Security Hub を初めて有効にするときは、データが使用可能になるまで数時間かかることがあります。

手順 2. AWS で Defender for Cloud の認証を設定する

Defender for Cloud で AWS に対する認証を許可するには、次の 2 つの方法があります。

  • Defender for Cloud 用の IAM ロールを作成する (推奨) - 最も安全な方法です
  • Defender for Cloud 用の AWS ユーザー - IAM が有効になっていない場合の安全性が低いオプション

Defender for Cloud 用の IAM ロールを作成する

  1. アマゾン ウェブ サービス コンソールの [Security, Identity Compliance](セキュリティ、ID、およびコンプライアンス)[IAM] を選択します。 AWS サービス。

  2. [ロール][ロールの作成] の順に選択します。

  3. [別の AWS アカウント] を選択します。

  4. 次の詳細を入力します。

    • アカウント ID - Defender for Cloud の AWS コネクタ ページに示されているように、Microsoft アカウント ID (158177204117) を入力します。
    • 外部 ID が必要 - 選択する必要があります
    • 外部 ID - Defender for Cloud の AWS コネクタ ページに示されているように、サブスクリプション ID を入力します
  5. [次へ] を選択します。

  6. [Attach permission policies](アクセス許可ポリシーをアタッチ) セクションで、次の AWS マネージド ポリシーを選択します。

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)
  7. 必要に応じて、タグを追加します。 ユーザーにタグを追加しても、接続には影響しません。

  8. [次へ] を選択します。

  9. ロールの一覧で、作成したロールを選択します

  10. 後で使用できるように Amazon Resource Name (ARN) を保存します。

Defender for Cloud 用の AWS ユーザーを作成する

  1. [ユーザー] タブを開き、 [ユーザーの追加] を選択します。

  2. [詳細] ステップで Defender for Cloud のユーザー名を入力し、AWS アクセスの種類として [プログラムによるアクセス] が選択されていることを確認します。

  3. [次のステップ: アクセス権限] を選択します。

  4. [Attach existing policies directly](既存のポリシーを直接アタッチ) を選択し、次のポリシーを適用します。

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. タグを選択します。 必要に応じて、タグを追加します。 ユーザーにタグを追加しても、接続には影響しません。

  6. [レビュー] を選択します。

  7. 後で使用するために、自動的に生成されたアクセス キー IDシークレット アクセス キーの CSV ファイルを保存します。

  8. 概要を確認し、 [ユーザーの作成] を選択します。

手順 3. SSM エージェントを構成する

お使いの AWS リソース全体でタスクを自動化するには、AWS Systems Manager が必要です。 お使いの EC2 インスタンスに SSM エージェントがない場合は、Amazon の関連する指示に従ってください。

手順 4. Azure Arc の前提条件を満たす

  1. 適切な Azure リソース プロバイダーが登録されていることを確認します。

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. 大規模なオンボーディング用にサービス プリンシパルを作成します。 「大規模なオンボーディング用にサービス プリンシパルを作成する」で説明されているように、オンボードに使用するサブスクリプションの所有者として、Azure Arc オンボード用サービス プリンシパルを作成します。

手順 5. AWS から Defender for Cloud に接続する

  1. Defender for Cloud のメニューから [環境設定] を開き、クラシック コネクタ エクスペリエンスに切り替えるオプションを選択します。

    Defender for Cloud のクラシック クラウド コネクタ エクスペリエンスに切り替える。

  2. [Add AWS account](AWS アカウントの追加) を選択します。 Defender for Cloud のマルチ クラウド コネクタ ページの [Add AWS account] (AWS アカウントの追加) ボタン

  3. [AWS authentication](AWS 認証) タブでオプションを構成します。

    1. コネクタの表示名を入力します。
    2. サブスクリプションが正しいことを確認します。 これは、コネクタと AWS Security Hub の推奨事項が追加されるサブスクリプションです。
    3. 手順 2. AWS で Defender for Cloud の認証を設定する」で選択した認証オプションに応じて、次の操作を行います。
  4. [次へ] を選択します。

  5. [Azure Arc Configuration](Azure Arc 構成) タブでオプションを構成します。

    接続されている AWS アカウントの EC2 インスタンスが Defender for Cloud によって検出され、SSM を使用して Azure Arc にオンボードされます。

    ヒント

    サポートされるオペレーティング システムの一覧については、FAQ の「自身の EC2 インスタンスではどのオペレーティングシステムがサポートされていますか?」を参照してください。

    1. 選択したサブスクリプションで、検出された AWS EC2 がオンボードされるリソース グループAzure リージョンを選択します。

    2. こちらの「大規模なオンボーディング用にサービス プリンシパルを作成する」で説明されているように、Azure Arc のサービス プリンシパル IDサービス プリンシパルのクライアント シークレットを入力します

    3. マシンがプロキシ サーバー経由でインターネットに接続している場合は、プロキシ サーバーの IP アドレスか、マシンがプロキシ サーバーとの通信に使用する名前とポート番号を指定します。 http://<proxyURL>:<proxyport> の形式で値を入力します。

    4. [Review + create](レビュー + 作成) を選択します。

      概要情報をレビューする

      タグ セクションには、Azure で簡単に認識できるように、オンボード EC2 ごとに自動的に作成されるすべての Azure タグと、そのタグに関連する独自の詳細情報が記載されています。

      Azure タグの詳細については、「タグを使用して Azure リソースと管理階層を整理する」を参照してください。

手順 6. 確認

コネクタが正常に作成され、AWS Security Hub が正しく構成されたら、次のようになります。

  • Defender for Cloud では、環境をスキャンして AWS EC2 インスタンスを探し、Azure Arc にそれらをオンボードし、Log Analytics エージェントのインストールを可能にするほか、脅威の防止とセキュリティに関する推奨事項が提供されます。
  • Defender for Cloud サービスでは、新しい AWS EC2 インスタンスが 6 時間ごとにスキャンされ、構成に従ってそれらがオンボードされます。
  • Defender for Cloud の規制コンプライアンス ダッシュボードに AWS CIS 標準が表示されます。
  • Security Hub ポリシーが有効になっている場合、オンボードが完了してから 5 分から 10 分後、推奨事項が Defender for Cloud ポータルと規制コンプライアンス ダッシュボードに表示されます。

Defender for Cloud の推奨事項ページの AWS リソースと推奨事項

AWS リソースの監視

前のスクリーンショットでわかるように、Defender for Cloud のセキュリティに関する推奨事項のページには AWS リソースが表示されます。 環境フィルターを使用して、Defender for Cloud のマルチクラウド機能を利用できます。Azure、AWS、および GCP リソースの推奨事項がまとめて表示されます。

リソースの種類別に、リソースのアクティブな推奨事項をすべて表示するには、Defender for Cloud の資産インベントリ ページを使用し、関心のある AWS リソースの種類にフィルターを適用します。

AWS オプションを示す資産インベントリ ページのリソースの種類のフィルター

FAQ - Defender for Cloud の AWS

自身の EC2 インスタンスのではどのオペレーティングシステムがサポートされていますか?

SSM エージェントがプレインストールされている AMI の一覧については、AWS のドキュメントのこちらのページを参照してください。

その他のオペレーティング システムでは、次の手順に従って、SSM エージェントを手動でインストールする必要があります。

CSPM プランでは、AWS リソースを検出するのにどのような IAM アクセス許可が必要でしょうか?

AWS リソースを検出するには、次の IAM アクセス許可が必要です。

DataCollector AWS のアクセス許可
API ゲートウェイ apigateway:GET
アプリケーションの自動スケーリング application-autoscaling:Describe*
自動スケーリング autoscaling-plans:Describe*
autoscaling:Describe*
証明書マネージャー acm-pca:Describe*
acm-pca:List*
acm:Describe* <br>acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch ログ logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
構成サービス config:Describe*
config:List*
DMS - Database Migration Service dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
暗号化ファイル システム elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – Elastic Load Balancing (v1/2) elasticloadbalancing:Describe*
ElasticSearch es:Describe*
es:List*
EMR – エラスティック マップの削減 elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDute guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
LAMBDA lambda:GetPolicy
lambda:List*
ネットワーク ファイアウォール network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 と S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
シークレット マネージャー secretsmanager:Describe*
secretsmanager:List*
Simple Notification Service – SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

詳細情報

次のブログをご覧ください。

次の手順

AWS アカウントの接続は、Microsoft Defender for Cloud で利用できるマルチクラウド エクスペリエンスの一部です。 関連情報については、次のページを参照してください。