Domain |
機能 |
サポートされているリソース |
Linux リリース状態 1 |
Windows リリース状態 1 |
エージェントレス/エージェントベース |
価格レベル |
Azure クラウドの可用性 |
コンプライアンス |
Docker CIS |
VM、仮想マシン スケール セット |
GA |
- |
Log Analytics エージェント |
Defender for Servers プラン 2 |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
脆弱性評価 2 |
レジストリ スキャン - OS パッケージ |
ACR、プライベート ACR |
GA |
プレビュー |
エージェントレス |
Defender for Containers |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
脆弱性評価 3 |
レジストリ スキャン - 言語固有のパッケージ |
ACR、プライベート ACR |
プレビュー |
- |
エージェントレス |
Defender for Containers |
商用クラウド |
脆弱性評価 |
実行中のイメージの脆弱性を表示する |
AKS |
GA |
プレビュー |
Defender プロファイル |
Defender for Containers |
商用クラウド |
セキュリティ強化 |
コントロール プレーンの推奨事項 |
ACR、AKS |
GA |
プレビュー |
エージェントレス |
Free |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
セキュリティ強化 |
Kubernetes データ プレーンの推奨事項 |
AKS |
GA |
- |
Azure Policy |
Free |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
実行時の保護 |
脅威検出 (コントロール プレーン) |
AKS |
GA |
GA |
エージェントレス |
Defender for Containers |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
実行時の保護 |
脅威検出 (ワークロード) |
AKS |
GA |
- |
Defender プロファイル |
Defender for Containers |
商用クラウド |
検出とプロビジョニング |
保護されていないクラスターの検出 |
AKS |
GA |
GA |
エージェントレス |
Free |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
検出とプロビジョニング |
コントロール プレーンの脅威データの収集 |
AKS |
GA |
GA |
エージェントレス |
Defender for Containers |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
検出とプロビジョニング |
Defender プロファイルの自動プロビジョニング |
AKS |
GA |
- |
エージェントレス |
Defender for Containers |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
検出とプロビジョニング |
Azure ポリシー アドオンの自動プロビジョニング |
AKS |
GA |
- |
エージェントレス |
Free |
商用クラウド
各国のクラウド: Azure Government、Azure China 21Vianet |
1 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
2 VA はこれらの OS パッケージの脆弱性を検出できます。
3 VA はこれらの 言語固有のパッケージの脆弱性を検出できます。
レジストリとイメージ
側面 |
詳細 |
レジストリとイメージ |
サポートされています • Azure Private Link で保護された ACR レジストリ (プライベート レジストリには信頼されたサービスへのアクセス権が必要) • Windows OS バージョン 1709 以降 (プレビュー) を使用した Windows イメージ。 これは、プレビュー期間中は無料ですが、一般提供されるようになると、(Defender for Containers プランに基づいて) 料金が発生します。
サポート対象外 • Docker scratch イメージなどのスーパーミニマリスト イメージ • アプリケーションとそのランタイム依存関係のみが含まれ、パッケージ マネージャー、シェル、または OS は含まれない "ディストリビューションレス" イメージ • Open Container Initiative (OCI) のイメージ形式の仕様のイメージ • マルチアーキテクチャ イメージのイメージ タグ情報を提供することは、現在サポートされていません |
OS パッケージ |
サポートされています • Alpine Linux 3.12-3.16 • Red Hat Enterprise Linux 6, 7, 8 • CentOS 6, 7 • Oracle Linux 6、7、8 Amazon Linux 1, 2 • openSUSE Leap 42, 15 • SUSE Enterprise Linux 11、12、15 • Debian GNU/Linux wheezy, jessie, stretch, buster, bullseye • Ubuntu 10.10-22.04 • FreeBSD 11.1-13.1 • Fedora 32, 33, 34, 35 |
言語固有のパッケージ (プレビュー)
(Linux イメージのみサポートされています) |
サポートされています • Python • Node.js • .NET • JAVA • Go |
Kubernetes ディストリビューションと構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Kuberenetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
Note
ARM64 ノード プールを持つクラスターに Defender エージェントを追加すること (または Defender エージェントがインストールされているクラスターに ARM64 ノード プールを追加すること) は、現在サポートされていません。
ネットワークの制限
プライベート リンク
Defender for Containers は、いくつかの機能について Defender プロファイル/拡張機能に依存しています。 Defender プロファイル/拡張機能では、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace
>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
Domain |
機能 |
サポートされているリソース |
Linux リリース状態 1 |
Windows リリース状態 1 |
エージェントレス/エージェントベース |
価格レベル |
コンプライアンス |
Docker CIS |
EC2 |
プレビュー |
- |
Log Analytics エージェント |
Defender for Servers プラン 2 |
脆弱性評価 |
レジストリのスキャン |
ECR |
プレビュー |
- |
エージェントレス |
Defender for Containers |
脆弱性評価 |
実行中のイメージの脆弱性を表示する |
- |
- |
- |
- |
- |
セキュリティ強化 |
コントロール プレーンの推奨事項 |
- |
- |
- |
- |
- |
セキュリティ強化 |
Kubernetes データ プレーンの推奨事項 |
EKS |
プレビュー |
- |
Azure Policy 拡張機能 |
Defender for Containers |
実行時の保護 |
脅威検出 (コントロール プレーン) |
EKS |
プレビュー |
プレビュー |
エージェントレス |
Defender for Containers |
実行時の保護 |
脅威検出 (ワークロード) |
EKS |
プレビュー |
- |
Defender 拡張機能 |
Defender for Containers |
検出とプロビジョニング |
保護されていないクラスターの検出 |
EKS |
プレビュー |
- |
エージェントレス |
Free |
検出とプロビジョニング |
コントロール プレーンの脅威データの収集 |
EKS |
プレビュー |
プレビュー |
エージェントレス |
Defender for Containers |
検出とプロビジョニング |
Defender 拡張機能の自動プロビジョニング |
- |
- |
- |
- |
- |
検出とプロビジョニング |
Azure ポリシー拡張機能の自動プロビジョニング |
- |
- |
- |
- |
- |
1 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
画像
側面 |
詳細 |
レジストリとイメージ |
サポート対象外 • 2 GB を超えるレイヤーが少なくとも 1 つある画像 • パブリック リポジトリとマニフェスト リスト • AWS 管理アカウント内の画像はスキャンされないため、管理アカウントにはリソースを作成しません。 |
Kubernetes ディストリビューションと構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
注意
Kuberenetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
ネットワークの制限
プライベート リンク
Defender for Containers は、いくつかの機能について Defender プロファイル/拡張機能に依存しています。 Defender プロファイル/拡張機能では、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace
>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
送信プロキシのサポート
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
Domain |
機能 |
サポートされているリソース |
Linux リリース状態 1 |
Windows リリース状態 1 |
エージェントレス/エージェントベース |
価格レベル |
コンプライアンス |
Docker CIS |
GCP VM |
プレビュー |
- |
Log Analytics エージェント |
Defender for Servers プラン 2 |
脆弱性評価 |
レジストリのスキャン |
- |
- |
- |
- |
- |
脆弱性評価 |
実行中のイメージの脆弱性を表示する |
- |
- |
- |
- |
- |
セキュリティ強化 |
コントロール プレーンの推奨事項 |
- |
- |
- |
- |
- |
セキュリティ強化 |
Kubernetes データ プレーンの推奨事項 |
GKE |
プレビュー |
- |
Azure Policy 拡張機能 |
Defender for Containers |
実行時の保護 |
脅威検出 (コントロール プレーン) |
GKE |
プレビュー |
プレビュー |
エージェントレス |
Defender for Containers |
実行時の保護 |
脅威検出 (ワークロード) |
GKE |
プレビュー |
- |
Defender 拡張機能 |
Defender for Containers |
検出とプロビジョニング |
保護されていないクラスターの検出 |
GKE |
プレビュー |
- |
エージェントレス |
Free |
検出とプロビジョニング |
コントロール プレーンの脅威データの収集 |
GKE |
プレビュー |
プレビュー |
エージェントレス |
Defender for Containers |
検出とプロビジョニング |
Defender 拡張機能の自動プロビジョニング |
GKE |
プレビュー |
- |
エージェントレス |
Defender for Containers |
検出とプロビジョニング |
Azure ポリシー拡張機能の自動プロビジョニング |
GKE |
プレビュー |
- |
エージェントレス |
Defender for Containers |
1 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
Kubernetes ディストリビューションと構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
注意
Kuberenetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
ネットワークの制限
プライベート リンク
Defender for Containers は、いくつかの機能について Defender プロファイル/拡張機能に依存しています。 Defender プロファイル/拡張機能では、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace
>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
送信プロキシのサポート
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
Domain |
機能 |
サポートされているリソース |
Linux リリース状態 1 |
Windows リリース状態 1 |
エージェントレス/エージェントベース |
価格レベル |
コンプライアンス |
Docker CIS |
Arc 対応 VM |
プレビュー |
- |
Log Analytics エージェント |
Defender for Servers プラン 2 |
脆弱性評価 2 |
レジストリ スキャン - OS パッケージ |
ACR、プライベート ACR |
GA |
プレビュー |
エージェントレス |
Defender for Containers |
脆弱性評価 3 |
レジストリ スキャン - 言語固有のパッケージ |
ACR、プライベート ACR |
プレビュー |
- |
エージェントレス |
Defender for Containers |
脆弱性評価 |
実行中のイメージの脆弱性を表示する |
- |
- |
- |
- |
- |
セキュリティ強化 |
コントロール プレーンの推奨事項 |
- |
- |
- |
- |
- |
セキュリティ強化 |
Kubernetes データ プレーンの推奨事項 |
Arc 対応 K8s クラスター |
プレビュー |
- |
Azure Policy 拡張機能 |
Defender for Containers |
実行時の保護 |
脅威検出 (コントロール プレーン) |
Arc 対応 K8s クラスター |
プレビュー |
プレビュー |
Defender 拡張機能 |
Defender for Containers |
実行時の保護 4 |
脅威検出 (ワークロード) |
Arc 対応 K8s クラスター |
プレビュー |
- |
Defender 拡張機能 |
Defender for Containers |
検出とプロビジョニング |
保護されていないクラスターの検出 |
Arc 対応 K8s クラスター |
プレビュー |
- |
エージェントレス |
Free |
検出とプロビジョニング |
コントロール プレーンの脅威データの収集 |
Arc 対応 K8s クラスター |
プレビュー |
プレビュー |
Defender 拡張機能 |
Defender for Containers |
検出とプロビジョニング |
Defender 拡張機能の自動プロビジョニング |
Arc 対応 K8s クラスター |
プレビュー |
プレビュー |
エージェントレス |
Defender for Containers |
検出とプロビジョニング |
Azure ポリシー拡張機能の自動プロビジョニング |
Arc 対応 K8s クラスター |
プレビュー |
- |
エージェントレス |
Defender for Containers |
1 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
2 VA はこれらの OS パッケージの脆弱性を検出できます。
3 VA はこれらの 言語固有のパッケージの脆弱性を検出できます。
4 ランタイム保護は、 サポートされているこれらのホスト オペレーティング システムの脅威を検出できます。
レジストリとイメージ
側面 |
詳細 |
レジストリとイメージ |
サポートされています • Azure Private Link で保護された ACR レジストリ (プライベート レジストリには信頼されたサービスへのアクセス権が必要) • Windows OS バージョン 1709 以降 (プレビュー) を使用した Windows イメージ。 これは、プレビュー期間中は無料ですが、一般提供されるようになると、(Defender for Containers プランに基づいて) 料金が発生します。
サポート対象外 • Docker scratch イメージなどのスーパーミニマリスト イメージ • アプリケーションとそのランタイム依存関係のみが含まれ、パッケージ マネージャー、シェル、または OS は含まれない "ディストリビューションレス" イメージ • Open Container Initiative (OCI) のイメージ形式の仕様のイメージ • マルチアーキテクチャ イメージのイメージ タグ情報を提供することは、現在サポートされていません |
OS パッケージ |
サポートされています • Alpine Linux 3.12-3.15 • Red Hat Enterprise Linux 6, 7, 8 • CentOS 6, 7 • Oracle Linux 6、7、8 Amazon Linux 1, 2 • openSUSE Leap 42, 15 • SUSE Enterprise Linux 11、12、15 • Debian GNU/Linux wheezy, jessie, stretch, buster, bullseye • Ubuntu 10.10-22.04 • FreeBSD 11.1-13.1 • Fedora 32, 33, 34, 35 |
言語固有のパッケージ (プレビュー)
(Linux イメージのみサポートされています) |
サポートされています • Python • Node.js • .NET • JAVA • Go |
Kubernetes ディストリビューションと構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Kuberenetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
Note
ARM64 ノード プールを持つクラスターに Defender エージェントを追加すること (または Defender エージェントがインストールされているクラスターに ARM64 ノード プールを追加すること) は、現在サポートされていません。
サポートされているホスト オペレーティング システム
Defender for Containers は、いくつかの機能について Defender 拡張機能に依存しています。 Defender 拡張機能は、次のホスト オペレーティング システムでサポートされています。
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Kubernetes ノードが、サポートされている検証済みオペレーティング システムのいずれかで実行されていることを確認します。 ホスト オペレーティング システムが異なるクラスターでは、部分的なカバレッジのみが取得されます。 詳細については、環境別にサポートされている機能を確認してください。
ネットワークの制限
プライベート リンク
Defender for Containers は、いくつかの機能について Defender プロファイル/拡張機能に依存しています。 Defender プロファイル/拡張機能では、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace
>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
送信プロキシのサポート
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。