Defender for Cloud では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューター (オンプレミス コンピューターを含む) からデータを収集します。 Log Analytics エージェントではデータを収集し、セキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。
データ コレクション
データ収集を有効にするにはどうしたらよいですか。
データ収集は、監視コンポーネントを必要とする Defender プランを有効にすると、自動的にオンになります。
データ収集を有効にするとどうなりますか。
自動プロビジョニングを有効にすると、Defender for Cloud は、サポートされているすべての Azure VM と、新たに作成されたものに Log Analytics エージェントを使用します。 自動プロビジョニングをお勧めしますが、エージェントを手動でインストールすることもできます。 Log Analytics エージェントの拡張機能をインストールする方法を確認してください。
エージェントで、プロセス作成イベント 4688 とイベント 4688 内の CommandLine フィールドが有効になります。 VM に作成された新しいプロセスは EventLog に記録され、Defender for Cloud の検出サービスによって監視されます。 新しいプロセスごとに記録される詳細については、4688 の説明フィールドを参照してください。 また、エージェントは VM に作成された 4688 イベントも収集し、検索に保存します。
さらに、エージェントは、適応型アプリケーション制御のデータ収集を有効にでき、Defender for Cloud は、ローカル AppLocker ポリシーを監査モードで構成して、すべてのアプリケーションを許可します。 このポリシーによって AppLocker でイベントが生成され、その後 Defender for Cloud によって収集されて活用されます。 既に AppLocker ポリシーが構成されているマシンでは、このポリシーは構成されないことを留意することが重要です。
セキュリティ連絡先の情報が指定されている場合、Defender for Cloud が VM で疑わしいアクティビティを検出すると、電子メールでユーザーに通知します。 また、Defender for Cloud のセキュリティアラート ダッシュボードのアラートも表示されます。
エージェント
Log Analytics エージェントとは
セキュリティの脆弱性と脅威を監視するために、Microsoft Defender for Cloud は Log Analytics エージェントに依存しています。このエージェントは、Azure Monitor サービスで使用されるのと同じものです。
このエージェントは、Microsoft Monitoring Agent ("MMA") と呼ばれることもあります。
エージェントは、接続されているマシンからさまざまなセキュリティ関連の構成の詳細とイベント ログを収集し、さらに分析するためにデータを Log Analytics ワークスペースにコピーします。 このようなデータの例として、オペレーティング システムの種類とバージョン、オペレーティング システム ログ (Windows イベント ログ)、実行中のプロセス、マシン名、IP アドレス、ログイン ユーザーなどがあります。
次のページの説明に従って、このエージェントでサポートされているオペレーティング システムのいずれかがマシンで実行されていることを確認してください。
詳細については、Log Analytics エージェントによって収集されたデータに関する記事をご覧ください。
Log Analytics エージェント インストールの自動プロビジョニングでは、何をもって VM を適格と見なしますか?
Windows または Linux IaaS VM は、次の条件で適格とします。
- 現在、Log Analytics エージェント拡張機能が VM にインストールされていない。
- VM が実行状態である。
- Windows または Linux Azure 仮想マシン エージェントがインストールされている。
- VM が、Web アプリケーション ファイアウォールや次世代ファイアウォールなどのアプライアンスとして使用されていない。
Log Analytics エージェントではどのようなセキュリティ イベントが収集されますか?
エージェントによって収集されるセキュリティ イベントの完全な一覧については、"共通" と "最小" のセキュリティ イベント設定で保存されるイベントの種類に関するページを参照してください。
重要
Azure Firewall などの一部のサービスでは、多くのログを生成するリソースのログ記録によって、Log Analytics ワークスペースのストレージが消費される場合があります。 必要な場合にのみ、詳細ログを使用してください。
Log Analytics エージェントが拡張機能として VM に既にインストールされている場合はどうなりますか?
Monitoring Agent が拡張機能としてインストールされている場合、拡張機能の構成では 1 つのワークスペースにのみレポートできます。 Defender for Cloud は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。 Defender for Cloud では、"Security" または "SecurityCenterFree" ソリューションがインストールされている場合、既に接続されているワークスペースに VM からのセキュリティ データが保存されます。 Defender for Cloud では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。
詳細については、「既にインストールされているエージェントが存在する場合の自動プロビジョニング」をご覧ください。
マシンに Log Analytics エージェントが直接インストールされているものの、拡張機能 (Direct Agent) としてインストールされていない場合はどうなりますか?
Log Analytics エージェントが VM に (Azure 拡張機能としてではなく) 直接インストールされている場合、Defender for Cloud によって Log Analytics エージェント拡張機能がインストールされ、Log Analytics エージェントが最新バージョンにアップグレードされる可能性があります。
インストールされているエージェントは、既に構成されているワークスペースと Defender for Cloud に構成されているワークスペースに引き続きレポートします。 (Windows マシンではマルチホームがサポートされています。)
カスタム ユーザー ワークスペースの場合は、Defender for Cloud がそのワークスペースにレポートする VM やコンピューターからのイベントを処理できるように、"Security" または "SecurityCenterFree" ソリューションをインストールする必要があります。
Linux マシンの場合、エージェントのマルチホームはまだサポートされていません。 既存のエージェントのインストールが検出された場合、Defender for Cloud はエージェントを自動的に使用したり、マシンの構成を変更したりすることはありません。
2019 年 3 月 17 日以前に Defender for Cloud にオンボードされたサブスクリプションの既存マシンの場合、エージェントのマルチホームはまだサポートされていません。 既存のエージェントのインストールが検出された場合、Defender for Cloud はエージェントを自動的に使用したり、マシンの構成を変更したりすることはありません。 これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。
詳細については、次のセクションの「System Center Operations Manager または OMS のダイレクト エージェントが既に VM にインストールされている場合、どうなりますか?」をご覧ください
VM に System Center Operations Manager エージェントが既にインストールされている場合はどうなりますか?
Defender for Cloud には、マシンに System Center Operations Manager エージェントがインストールされている間は Log Analytics エージェントのインストールが許可されないという Azure Policy が実装されています。 どちらのエージェントも、マルチホームを行い、System Center Operations Manager と Log Analytics ワークスペースにレポートすることができます。 Operations Manager エージェントと Log Analytics エージェントは、共通のランタイム ライブラリを共有します。 注 - Operations Manager エージェントのバージョン 2012 がインストールされている場合は、自動プロビジョニングを有効にしないでください (Operations Manager サーバーもバージョン 2012 である場合、管理容易性機能が失われる可能性があります)。
これらの拡張機能を削除するとどのような影響がありますか?
Microsoft 監視拡張機能を削除すると、Defender for Cloud では VM からセキュリティ データを収集できなくなり、一部のセキュリティに関する推奨事項とアラートを使用できなくなります。 Defender for Cloud は、VM に拡張機能が存在せず、拡張機能を再インストールすることが 24 時間以内に判断されます。
自動的なエージェントのインストールとワークスペースの作成をオプトアウトするにはどうすればよいですか?
セキュリティ アラートや、システムの更新プログラム、OS の脆弱性、Endpoint Protection に関するレコメンデーションを取得するために、Defender for Cloud で拡張機能をデプロイすることを強くお勧めします。 拡張機能をオフにすると、これらのアラートと推奨事項が制限されます。 ただし、特定のエージェントまたは拡張機能の自動プロビジョニングを無効にすることができます。
特定のエージェントまたは拡張機能の自動プロビジョニングを無効にするには:
Azure portal から、Defender for Cloud を開いて、[環境設定] を選択します。
関連するサブスクリプションを選択します。
Defender for Server プランの [監視対象] 列で、[設定] を選択します。
自動プロビジョニングを望まない拡張機能をオフにします。
[保存] を選択します。
自動的なエージェントのインストールとワークスペースの作成をオプトアウトすべきでしょうか?
注意
自動プロビジョニングをオプトアウトする場合は、オプトアウトの影響およびオプトアウトする場合に推奨される手順に関するセクションを必ず確認してください。
こちらのシナリオに該当する場合、自動プロビジョニングのオプトアウトを検討してください。
Defender for Cloud による自動的なエージェントのインストールが、サブスクリプション全体に適用されます。 VM のサブセットには自動インストールを適用できません。 Log Analytics エージェントではインストールできない重要な VM がある場合は、自動プロビジョニングをオプトアウトする必要があります。
Log Analytics エージェント拡張機能をインストールすると、エージェントのバージョンが更新されます。 これは、ダイレクト エージェントと System Center Operations Manager エージェントに該当します (後者の場合、Operations Manager と Log Analytics で共通のランタイム ライブラリが共有され、プロセスで更新されます)。 インストールされている Operations Manager エージェントがバージョン 2012 であり、これがアップグレードされている場合、Operations Manager サーバーもバージョン 2012 になっていると、管理容易性の機能が失われる恐れがあります。 インストールされている Operations Manager エージェントがバージョン 2012 の場合、自動プロビジョニングのオプトアウトを検討してください。
サブスクリプションごとに複数のワークスペースが作成されることを回避したいと考えていて、サブスクリプション内に独自のカスタム ワークスペースがある場合、次の 2 つの選択肢があります。
自動プロビジョニングをオプトアウトできます。 移行後に、「既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?」の説明に従って、既定のワークスペース設定を設定します。
また、移行の完了を許可し、VM 上で Log Analytics エージェントをインストールし、作成されたワークスペースに VM を接続することもできます。 その後、既にインストールされているエージェントを再構成し、既定のワークスペース設定を設定して、独自のカスタム ワークスペースを選択します。 詳細については、「既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?」をご覧ください。
自動プロビジョニングをオプトアウトすると、どのような影響がありますか?
移行が完了すると、Defender for Cloud は VM からセキュリティ データを収集できなくなります。また、一部のセキュリティの推奨とアラートを使用できなくなります。 オプトアウトする場合は、Log Analytics エージェントを手動でインストールします。 オプトアウトする場合に推奨される手順に関するセクションをご覧ください。
自動プロビジョニングをオプトアウトする場合、どのような手順が推奨されますか?
Log Analytics エージェントの拡張機能を手動でインストールし、Defender for Cloud がお使いになっている VM からセキュリティ データを収集して、推奨や通知を提示できるようにします。 インストールのガイダンスとして、Windows VM 用のエージェントのインストールまたは Linux VM 用のエージェントのインストールに関するページを参照してください。
エージェントをいずれかの既存のカスタム ワークスペースまたは Defender for Cloud が作成したワークスペースに接続できます。 カスタム ワークスペースの "Security" または "SecurityCenterFree" ソリューションが有効になっていない場合は、ソリューションを適用する必要があります。 適用するには、[環境設定] の [Defender プラン] でカスタム ワークスペースを選択し、価格レベルを適用します。
Defender for Cloud では、選択されたオプションに基づき、ワークスペースで適切なソリューションが有効になります。
Defender for Cloud にインストールされている OMS 拡張機能を削除するにはどうすればよいですか?
Log Analytics エージェントは手動で削除できますが、お勧めしません。 OMS 拡張機能を削除すると、Defender for Cloud のレコメンデーションとアラートが制限されます。
注意
データ収集が有効な場合、削除しても、Defender for Cloud でエージェントが再インストールされます。 エージェントを手動で削除する前に、データ収集を無効にする必要があります。 データ収集を無効にする手順については、「自動的なエージェントのインストールとワークスペースの作成を停止するにはどうすればよいですか?」を参照してください。
エージェントを手動で削除するには:
ポータルで、 [Log Analytics] を開きます。
[Log Analytics] ページで、ワークスペースを選択します。
監視しない VM を選択し、 [切断] を選択します。
注意
Linux VM に拡張機能ではない OMS エージェントが既にある場合、拡張機能を削除するとエージェントも削除されるので、これを再インストールする必要があります。
OMS ゲートウェイを使用して、Defender for Cloud は動作しますか?
はい。 Microsoft Defender for Cloud は、Log Analytics エージェントを使用して、Azure VM およびサーバーからのデータ収集に Azure Monitor を活用します。 データを収集するには、各 VM とサーバーが HTTPS を使用してインターネットに接続する必要があります。 インターネット接続には、直接接続、プロキシを使用した接続、OMS ゲートウェイを介した接続を使用できます。
Log Analytics エージェントはサーバーのパフォーマンスに影響しますか。
エージェントは、システム リソースのわずかな量しか消費しないため、パフォーマンスにほとんど影響しません。 パフォーマンスへの影響と、エージェントおよび拡張機能の詳細については、「計画と運用のガイド」を参照してください。
エージェントレス
どのデータがスナップショットから収集されますか?
エージェントレス スキャンでは、エージェントで同じ分析を実行するために収集するデータと同様のデータが収集されます。 生データ、PII、または機密性の高いビジネス データは収集されず、メタデータの結果だけが Defender for Cloud に送信されます。
エージェントレス スキャンにはどのようなコストが関連しますか?
エージェントレス スキャンは、Defender Cloud Security Posture Management (CSPM) プランと Defender for Servers P2 プランに含まれています。 Defender for Cloud を有効にしたときに発生する他のコストはありません。
Note
AWS では、ディスク スナップショットの保有に料金がかかります。 Defender for Cloud スキャン プロセスでは、スナップショットがアカウントに格納される時間を最小限に抑えようと積極的に試みています (通常は最大数分)。 ディスク スナップショット ストレージのオーバーヘッド コストが AWS から請求される場合があります。 AWS に問い合わせて、適用されるコストを確認してください。
Defender for Cloud のエージェントレス スキャンによって作成されるディスク スナップショットで発生する AWS のコストを追跡するにはどうすればよいですか?
ディスク スナップショットは、CreatedBy タグ キーと Microsoft Defender for Cloud タグ値を使って作成されます。 CreatedBy タグは、リソースを作成したユーザーを追跡します。
Billing and Cost Management コンソールでタグをアクティブにする必要があります。 タグがアクティブになるまで、最大で 24 時間かかる場合があります。
タグをアクティブにすると、AWS によって、使用量とコストを含み、アクティブなタグ別にグループ化されたコスト配分レポートが、コンマ区切り値 (.CSV ファイル) として生成されます。
ワークスペース
Defender for Cloud で作成されたワークスペース上の Azure Monitor ログに対して課金されますか?
ワークスペースごとに 500 MB の無料データ インジェストがあります。 これはノード単位、レポート先ワークスペース単位、日単位で計算され、"セキュリティ" または "マルウェア対策" ソリューションがインストールされているどのワークスペースでも利用できます。 500 MB の制限を超えて取り込まれたデータについては課金の対象となります。
ノードごとの Azure Monitor ログの課金が構成されている場合でも、Defender for Cloud で作成されるワークスペースに Azure Monitor ログの料金はかかりません。 Defender for Cloud は、常に、クラウドセキュリティポリシーの Defender と、ワークスペースにインストールされているソリューションに基づいています。
強化されたセキュリティをオフにする – Defender for Cloud によって、既定のワークスペースで "SecurityCenterFree" ソリューションが有効化されます。 Defender プランが有効になっていない場合、料金は発生しません。
Microsoft Defender for Cloud プランをすべて有効にする – Defender for Cloud によって、既定のワークスペースで "Security" ソリューションが有効化されます。
現地通貨またはリージョンの価格の詳細については、価格に関するページを参照してください。
注意
Defender for Cloud によって作成されたワークスペースのログ分析による価格レベルは、Defender for Cloud の課金に影響しません。
注意
この記事は最近、Log Analytics ではなく Azure Monitor ログという用語を使うように更新されました。 ログ データは引き続き Log Analytics ワークスペースに格納され、同じ Log Analytics サービスによって収集されて分析されます。 Azure Monitor のログの役割をより適切に反映させるために、用語を更新しています。 詳しくは、Azure Monitor の用語の変更に関するページをご覧ください。
既定の Log Analytics ワークスペースはどこに作成されますか?
既定のワークスペースの場所は、Azure リージョンによって異なります。
- 米国とブラジルの VM の場合、ワークスペースの場所は米国です
- カナダの VM の場合、ワークスペースの場所はカナダです
- ヨーロッパの VM の場合、ワークスペースの場所はヨーロッパです
- 英国の VM の場合、ワークスペースの場所は英国です
- 東アジアと東南アジアの VM の場合、ワークスペースの場所はアジアです
- 韓国の VM の場合、ワークスペースの場所は韓国です
- インドの VM の場合、ワークスペースの場所はインドです
- 日本の VM の場合、ワークスペースの場所は日本です
- 中国の VM の場合、ワークスペースの場所は中国です
- オーストラリアの VM の場合、ワークスペースの場所はオーストラリアです
Defender for Cloud によって作成された既定のワークスペースを削除できますか?
既定のワークスペースを削除することはお勧めしません。 Defender for Cloud は、既定のワークスペースを使用して、VM のセキュリティデータを格納します。 ワークスペースを削除すると、Defender for Cloud はこのデータを収集できず、一部のセキュリティの推奨事項とアラートを使用できなくなります。
復旧するには、削除したワークスペースに接続されている VM 上の Log Analytics エージェントを削除します。 Defender for Cloud によってエージェントが再インストールされ、新しい既定のワークスペースが作成されます。
既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?
Defender for Cloud によって収集されたデータを保存する既存の Log Analytics ワークスペースを選択できます。 既存の Log Analytics ワークスペースを使用する場合、次の要件があります。
- 選択した Azure サブスクリプションにワークスペースを関連付ける必要があります。
- ワークスペースにアクセスするには、少なくとも読み取りアクセス許可が必要です。
注意
そのエージェントからセキュリティ アラートを取得するには、Log Analytics エージェントとエージェントが実行されているマシンの両方が、同じテナント内の Log Analytics ワークスペースにレポートを送信していることを確認します。
既存の Log Analytics ワークスペースを選択するには、次の手順に従います。
[Defender for Cloud] メニューで、 [環境設定] を開きます。
関連するサブスクリプションを選択します。
Defender for Server プランの [監視対象] 列で、[設定] を選択します。
Log Analytics エージェントの場合は、 [構成の編集] を選択します。
[カスタム ワークスペース] を選択し、既存のワークスペースを選択します。
ヒント
このリストには、アクセス権を持っており、Azure サブスクリプション内にあるワークスペースのみが含められます。
[適用] を選択します。
続行を選択します。
[保存] を選択し、監視対象の VM を再構成することを確認します。
重要
このオプションは、構成を既定のワークスペースからカスタム ワークスペースに変更する場合にのみ関連します。 カスタム ワークスペースから別のワークスペースへ、またはカスタム ワークスペースからデフォルトのワークスペースへ設定を変更する場合、既存のマシンには変更が適用されません。
- 新しいワークスペース設定を新しい VM にのみ適用する場合は、 [いいえ] を選択します。 新しいワークスペース設定は、エージェントの新しいインストール (Log Analytics エージェントがインストールされていない、新たに検出された VM) にのみ適用されます。
- 新しいワークスペース設定をすべての VM に適用する場合は、 [はい] を選択します。 この場合、Defender for Cloud によって作成されたワークスペースに接続されているすべての VM が、新しいターゲット ワークスペースに再接続されます。
注意
[はい] を選択した場合、すべての VM が新しいターゲット ワークスペースに再接続されるまで、Defender for Cloud によって作成されたワークスペースを削除しないでください。 ワークスペースの削除が早すぎると、この操作は失敗します。
Defender for Cloud は、VM とワークスペース間の既存の接続をオーバーライドしますか?
VM に Log Analytics エージェントが Azure 拡張機能として既にインストールされている場合、Defender for Cloud では既存のワークスペース接続はオーバーライドされません。 代わりに、Defender for Cloud では既存のワークスペースが使用されます。 VM のレポート先のワークスペースに "Security" または "SecurityCenterFree" ソリューションがインストールされている場合、VM は保護されます。
[データ収集] 画面で選択したワークスペースに Defender for Cloud ソリューションがインストールされ (まだ存在しない場合)、ソリューションは関連する VM にのみ適用されます。 ソリューションを追加すると、既定では、そのソリューションは、Log Analytics ワークスペースに接続されているすべての Windows エージェントおよび Linux エージェントに自動的にデプロイされます。 ソリューションのターゲット設定を使用すると、ソリューションにスコープを適用することができます。
ヒント
Log Analytics エージェントが (Azure 拡張機能としてではなく) VM に直接インストールされている場合、Defender for Cloud は Log Analytics エージェントをインストールせず、セキュリティ監視は制限されます。
Defender for Cloud では、既存の Log Analytics ワークスペースにソリューションがインストールされますか? 課金にどのような影響がありますか?
作成したワークスペースに VM が既に接続されていることを Defender for Cloud が識別すると、Defender for Cloud によって、価格の構成に従ってこのワークスペースのソリューションが有効になります。 ソリューションは、ソリューションのターゲット設定に従って、関連するリソースにのみ適用されるため、課金額は変わりません。
Defender プランが有効になっていない – Defender for Cloud によってワークスペースに "SecurityCenterFree" ソリューションがインストールされ、課金はされません。
すべての Microsoft Defender プランを有効にする – Defender for Cloud によって、"Security" ソリューションがワークスペースにインストールされます。
環境内に既にワークスペースがありますが、それらを使用してセキュリティ データを収集できますか?
VM に Azure 拡張機能として Log Analytics エージェントが既にインストールされている場合、Defender for Cloud では既存の接続済みワークスペースが使用されます。 Defender for Cloud ソリューションは、まだ存在しない場合はワークスペースにインストールされ、ソリューションは をターゲットとするソリューションを介して関連する VM にのみ適用されます。
Defender for Cloud によって VM に Log Analytics エージェントがインストールされるとき、既存のワークスペースが指示されなければ、Defender for Cloud によって作成された既定のワークスペースが使用されます。
ワークスペースにはセキュリティ ソリューションが既にあります。 課金にどのような影響がありますか?
Microsoft Defender for Servers を有効にするには、Security & Audit ソリューションが使われます。 Security & Audit ソリューションがワークスペースに既にインストールされている場合、Defender for Cloud は既存のソリューションを使います。 課金額の変更はありません。