適用対象: Azure Local 2311.2 以降
この記事では、Microsoft Defender for Cloud を使用して、さまざまなサイバー脅威や脆弱性から Azure Local を保護する方法について説明します。
Defender for Cloud は、Azure Local のセキュリティ体制の向上に役立ち、既存の脅威や進化する脅威から保護できます。
Microsoft Defender for Cloud の詳細については、 Microsoft Defender for Cloud のドキュメントを参照してください。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
前提条件
開始する前に、次の前提条件が満たされていることを確認してください。
- Azure にデプロイ、登録、接続されている Azure Local にアクセスできます。
- 基本的なクラウド セキュリティ体制管理 (CSPM) を有効にするには、Azure サブスクリプションに少なくとも 所有者 ロールまたは 共同作成者 ロールがあります。
Defender for Cloud for Azure Local を有効にする
Defender for Cloud for Azure Local を有効にするには、次の手順に従います。
- 手順 1: Foundational CSPM を有効にします。
- 手順 2: 個々のマシンに対して Defender for Servers を有効にし、Azure Arc で有効になっている Azure ローカル仮想マシン (VM) を有効にします。
手順 1: Foundational CSPM を有効にする
この手順では、基本的な Defender for Cloud プランを追加料金なしで有効にします。 このプランを使用すると、他の Azure リソースや Arc リソースと共に、Azure Local をセキュリティで保護するために実行できる手順を監視および特定できます。 手順については、「 Azure サブスクリプションで Defender for Cloud を有効にする」を参照してください。
手順 2: 個々のマシンと Azure ローカル VM に対して Defender for Servers を有効にする
この手順では、個々のマシンと Azure ローカル VM のセキュリティ アラートを含むセキュリティ機能を強化します。
これを行うには、「 Defender for Servers プランを有効にする 」セクションのすべての手順に従います。これには次のものが含まれます。
- プランの選択
- 監視対象範囲の構成:
- ログ アナリティクス エージェント
- 脆弱性評価
- エンドポイント保護
Microsoft クラウド セキュリティ ベンチマーク イニシアチブを適用する
Microsoft Defender for Cloud Foundational CSPM プランを有効にした後、Microsoft Cloud Security Benchmark (MCSB) イニシアチブを適用する必要があります。 セキュリティ設定は、MCSB が適用されている場合にのみ Azure portal から表示できます。 MCSB イニシアチブを適用するには、次のいずれかの方法を使用します。
- 以下の説明に従って、ポータルから MCSB を適用します。
- Azure ポリシーの Azure コンピューティング セキュリティ ベースラインをすべてのクラスター サーバーに手動で適用します。 Windows セキュリティ ベースラインを参照してください。
サブスクリプション レベルで MCSB イニシアチブを適用するには、次の手順に従います。
Azure portal にサインインし、 Microsoft Defender for Cloud を検索して選択します。
左側のウィンドウで、[ 管理 ] セクションまで下にスクロールし、[ 環境設定] を選択します。
[ 環境設定 ] ページで、ドロップダウンから使用中のサブスクリプションを選択します。
[ セキュリティ ポリシー ] ブレードを選択します。
Microsoft クラウド セキュリティ ベンチマークの場合は、[状態] ボタンを [オン] に切り替えます。
![[状態] ボタンを切り替える方法を示すスクリーンショット。](media/manage-security-with-defender-for-cloud/toggle-on-status.png?view=azloc-2505)
Azure ポリシー イニシアチブが含まれているリソースを評価するまで、少なくとも 1 時間待ちます。
![[状態] ボタンを切り替える方法を示すスクリーンショット。](media/manage-security-with-defender-for-cloud/toggle-on-status.png?view=azloc-2505#lightbox)
セキュリティに関する推奨事項を表示する
セキュリティに関する推奨事項は、潜在的なセキュリティの脆弱性が特定されたときに作成されます。 これらの推奨事項では、必要なコントロールを構成するプロセスについて説明します。
Defender for Cloud for Azure Local を有効にしたら、次の手順に従って Azure Local のセキュリティに関する推奨事項を表示します。
Azure portal で、Azure ローカル リソース ページに移動し、インスタンスを選択します。
左側のウィンドウで、[ セキュリティ (プレビュー)] セクションまで下にスクロールし、 Microsoft Defender for Cloud を選択します。
[Microsoft Defender for Cloud] ページの [推奨事項] で、選択した Azure ローカル インスタンスとそのワークロードに関する現在のセキュリティに関する推奨事項を表示できます。 既定では、推奨事項はリソースの種類別にグループ化されます。
(省略可能)複数の Azure ローカル インスタンスのセキュリティに関する推奨事項を表示するには、[ Defender for Cloud で表示 ] リンクを選択します。 これにより、Microsoft Defender for Cloud ポータルの [推奨事項 ] ページが開きます。 このページでは、Azure Local を含むすべての Azure リソースのセキュリティに関する推奨事項を示します。
![Defender for Cloud ポータルの [推奨事項] ページのスクリーンショット。](media/manage-security-with-defender-for-cloud/recommendations-defender-for-cloud.png?view=azloc-2505)
注
Azure Local-exclusive の推奨事項は、Azure Local 2311 以降でのみ使用できます。 Azure Stack HCI バージョン 22H2 では、Windows Server でも使用できる推奨事項が表示されます。
Azure Local に固有のセキュリティに関する推奨事項の詳細については、コンピューティング セキュリティに関する推奨事項に関する記事の「Azure コンピューティングの推奨事項」セクションを参照してください。
![Defender for Cloud ポータルの [推奨事項] ページのスクリーンショット。](media/manage-security-with-defender-for-cloud/recommendations-defender-for-cloud.png?view=azloc-2505#lightbox)
セキュリティに関する推奨事項の除外
Azure ローカル インスタンスに関連付けられているストレージ アカウントと Azure Key Vault に関する以下の Windows Defender for Cloud の推奨事項は無視できます。 ただし、他のストレージ アカウントや Azure Key Vault に対するこれらの推奨事項は無視しないでください。
| 影響を受けるリソース | 勧告 | 除外の理由 |
|---|---|---|
| ストレージ アカウント | ストレージ アカウントにはインフラストラクチャ暗号化が必要です。 | ストレージ アカウントの暗号化は、暗号化キーの受け渡しを許可していないため、Azure ローカル インスタンスではサポートされていません。 |
| ストレージ アカウント | ストレージ アカウントでは、共有キーへのアクセスを禁止する必要があります。 | Azure Local では、共有キーを使用したストレージ アカウントへの排他的なアクセスがサポートされています。 |
| ストレージ アカウント | ストレージ アカウントでは、プライベート リンク接続を使用する必要があります。 | Azure Local では現在、プライベート リンク接続はサポートされていません。 |
| Azure Key Vault | Azure Key Vault では、プライベート リンクを使用する必要があります。 | Azure Local では現在、プライベート リンク接続はサポートされていません。 |
| マシン – Azure Arc | Azure ローカル コンピューターで Windows Defender Exploit Guard を有効にする必要があります。 | Windows Defender Exploit Guard は、Azure ローカル OS などの GUI がないサーバー コア SKU には適用されません。 |
| マシン – Azure Arc | Azure ローカル マシンは、不足しているシステム更新プログラムを定期的に確認するように構成する必要があります。 | Azure ローカル マシンを個別に更新しないでください。 Azure Update Manager の Azure Local セクションを使用して、複数のシステムを更新するか、Azure Local インスタンスに対して更新プログラムを使用できる場合は常に Azure ローカル リソース ビューの [更新] ページを使用します。 個々のマシンを更新すると、混合モードの状態になる可能性があり、これはサポートされていません。 |
| マシン – Azure Arc | システム更新プログラムは、Azure Update Manager を使用して Azure ローカル コンピューターにインストールする必要があります。 | Azure ローカル マシンを個別に更新しないでください。 Azure Update Manager の Azure Local セクションを使用して、Azure ローカル インスタンスに対して更新プログラムが利用可能な場合は常に、複数のシステムまたは Azure ローカル リソース ビューの [更新] ページを更新します。 個々のマシンを更新すると、混合モードの状態になる可能性があり、これはサポートされていません。 |
| マシン – Azure Arc | Azure ローカル マシンには脆弱性評価ソリューションが必要です。 | Microsoft Defender 脆弱性管理は現在、Azure Local をサポートしていません。 |
Azure ローカル マシンと Azure ローカル VM を監視する
Microsoft Defender for Cloud ポータルに移動して、個々の Azure ローカル マシンと Azure ローカル VM のアラートを監視します。
Microsoft Defender for Cloud ポータルのページにアクセスして、個々のサーバーと Azure ローカル VM を監視するには、次の手順に従います。
Azure portal にサインインし、 Microsoft Defender for Cloud を検索して選択します。
Microsoft Defender for Cloud ポータルの [概要 ] ページには、環境の全体的なセキュリティ体制が表示されます。 左側のナビゲーション ウィンドウから、さまざまなポータル ページ (Azure Local で実行されている個々のサーバーと VM のセキュリティに関する推奨事項を表示するための 推奨事項 、アラートを監視するための セキュリティ アラート など) に移動します。
![Defender for Cloud の [概要] ページのスクリーンショット。](media/manage-security-with-defender-for-cloud/defender-for-cloud-overview.png?view=azloc-2505)
![Defender for Cloud の [概要] ページのスクリーンショット。](media/manage-security-with-defender-for-cloud/defender-for-cloud-overview.png?view=azloc-2505#lightbox)