Defender for Cloud によるデータの収集方法

Defender for Cloud は、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシンスケールセット、IaaS コンテナー、および非 Azure (オンプレミスを含む) マシンからデータを収集します。 一部の Defender プランでは、ワークロードからデータを収集するために監視コンポーネントが必要になります。

不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護のステータス、正常性と脅威の防止を可視化するためには、データ収集が欠かせません。 データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューターなど) だけです。

エージェントのプロビジョニング以外でも、Microsoft Defender for Cloud にはメリットがあります。 ただし、セキュリティに制限があり、上記の機能はサポートされません。

データは以下を使用して収集されます。

Defender for Cloud を使用して監視コンポーネントをデプロイする理由

ワークロードのセキュリティの可視性は、監視コンポーネントが収集するデータによって異なります。 このコンポーネントにより、セキュリティの適用範囲が、サポートされているすべてのリソースに及びます。

拡張機能を手動でインストールするプロセスを省くために、Defender for Cloud では、必要なすべての拡張機能を既存のマシンと新しいマシンにインストールすることで、管理オーバーヘッドが削減されます。 Defender for Cloud では、サブスクリプション内のワークロードに、適切な DeployIfNotExists ポリシーを割り当てます。 このポリシーの種類により、その種類および将来のリソースすべてに拡張機能がプロビジョニングされることが保証されます。

ヒント

DeployIfNotExists など、Azure Policy の効果の詳細については、「Azure Policy の効果について」をご覧ください。

監視コンポーネントを使用するプラン

これらのプランでは、データの収集に監視コンポーネントを使用します。

拡張機能の可用性

Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Azure Monitor エージェント (AMA)

側面 詳細
リリース状態: プレビュー
関連する Defender プラン: - エンドポイント保護評価の場合、セキュリティ体制管理 (CSPM) (無料であり、既定で有効になります)
- 次を目的とした Microsoft Defender for Servers プラン 2: 適応型アプリケーション制御ファイルレス攻撃の検出ファイルの整合性の監視
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
Azure Arc 対応マシン
ポリシーベース: はい
クラウド: 商用クラウド
Azure Government、Azure China 21Vianet

Defender for Cloud での Azure Monitor エージェントの使用の詳細を確認してください。

Log Analytics エージェント

側面 Azure の仮想マシン Azure Arc 対応マシン
リリース状態: 一般提供 (GA) 一般提供 (GA)
関連する Defender プラン: Microsoft Defender for Servers
Microsoft Defender for SQL
Microsoft Defender for Servers
Microsoft Defender for SQL
必要なロールとアクセス許可 (サブスクリプションレベル): 共同作成者またはセキュリティ管理者 所有者
サポートされる宛先: Azure 仮想マシン Azure Arc 対応マシン
ポリシーベース: いいえ はい
クラウド: 商用クラウド
Azure Government、Azure China 21Vianet
商用クラウド
Azure Government、Azure China 21Vianet

既存のエージェントがインストールされている場合の Log Analytics エージェントのデプロイ

次のユース ケースでは、エージェントまたは拡張機能が既にインストールされている場合の Log Analytics エージェントのデプロイの動作について説明します。

  • Log Analytics エージェントがマシンにインストールされているが、拡張機能としてではない (ダイレクト エージェント) - Log Analytics エージェントが (Azure 拡張機能としてではなく) VM に直接インストールされている場合は、Defender for Cloud によって Log Analytics エージェント拡張機能がインストールされ、Log Analytics エージェントが最新バージョンにアップグレードされる可能性があります。 インストールされているエージェントは、既に構成されているワークスペースと Defender for Cloud に構成されているワークスペースに引き続きレポートします。 (Windows マシンではマルチホームがサポートされています。)

    Log Analytics が Defender for Cloud の既定のワークスペースではなく、ユーザー ワークスペースを使用して構成されている場合は、そのワークスペースにレポートする VM およびコンピューターからのイベントの処理を Defender for Cloud で開始するために、"Security" または "SecurityCenterFree" ソリューションをインストールする必要があります。

    Linux マシンの場合、エージェントのマルチホームはまだサポートされていません。 既存のエージェントのインストールが検出された場合、Log Analytics エージェントはデプロイされません。

    2019 年 3 月 17 日より前に Defender for Cloud にオンボードされたサブスクリプションの既存のマシンでは、既存のエージェントが検出されると、Log Analytics エージェント拡張機能はインストールされず、マシンに影響はありません。 これらのマシンについては、マシンでのエージェントのインストールに関する問題を解決するために、"マシンの監視エージェント正常性の問題を解決する" の推奨事項を参照してください。

  • System Center Operations Manager エージェントがマシンにインストールされている - Defender for Cloud によって、Log Analytics エージェント拡張機能が既存の Operations Manager と並行してインストールされます。 通常、既存の Operations Manager エージェントは引き続き Operations Manager サーバーに報告します。 Operations Manager エージェントと Log Analytics エージェントは、このプロセス中に最新バージョンに更新される、共通のランタイム ライブラリを共有します。

  • 既存の VM 拡張機能が存在する:

    • Monitoring Agent が拡張機能としてインストールされている場合、拡張機能の構成では 1 つのワークスペースにのみレポートできます。 Defender for Cloud は、ユーザー ワークスペースへの既存の接続をオーバーライドしません。 Defender for Cloud は、既に接続されているワークスペースに "Security" または "SecurityCenterFree" ソリューションがインストールされている場合、そこに VM からのセキュリティ データを保存します。 Defender for Cloud では、このプロセスで拡張機能のバージョンを最新バージョンにアップグレードする可能性があります。
    • 既存の拡張機能がどのワークスペースにデータを送信しているのかを調べるには、Microsoft Defender for Cloud との接続を確認するテストを実行します。 または、Log Analytics ワークスペースを開いてワークスペースを選択し、対象の VM を選択して、Log Analytics エージェント接続を調べることもできます。
    • Log Analytics エージェントがクライアント ワークステーションにインストールされ、既存の Log Analytics ワークスペースにレポートする環境が整っている場合は、Microsoft Defender for Cloud でサポートされるオペレーティング システムの一覧で、ご利用のオペレーティング システムがサポートされているかどうかを確認します。 詳しくは、「既存の Log Analytics ユーザー」をご覧ください。

Log Analytics エージェントの操作の詳細については、こちらをご覧ください。

Microsoft Defender for Endpoint

側面 Linux Windows
リリース状態: 一般提供 (GA) 一般提供 (GA)
関連する Defender プラン: Microsoft Defender for Servers Microsoft Defender for Servers
必要なロールとアクセス許可 (サブスクリプションレベル): 共同作成者またはセキュリティ管理者 共同作成者またはセキュリティ管理者
サポートされる宛先: Azure Arc 対応マシン
Azure 仮想マシン
Azure Arc 対応マシン
Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1 を実行している Azure VM、Azure Virtual DesktopWindows 10 Enterprise マルチセッション
Windows 10 を実行している Azure VM
ポリシーベース: いいえ いいえ
クラウド: 商用クラウド
Azure Government、Azure China 21Vianet
商用クラウド
Azure Government、Azure China 21Vianet

Microsoft Defender for Endpoint の詳細をご確認ください。

脆弱性評価

側面 詳細
リリース状態: 一般提供 (GA)
関連する Defender プラン: Microsoft Defender for Servers
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
Azure Arc 対応マシン
ポリシーベース: はい
クラウド: 商用クラウド
Azure Government、Azure China 21Vianet

ゲスト構成

側面 詳細
リリース状態: プレビュー
関連する Defender プラン: プラン不要
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者
サポートされる宛先: Azure 仮想マシン
クラウド: 商用クラウド
Azure Government、Azure China 21Vianet

Azure のゲスト構成拡張機能の詳細については、こちらをご覧ください。

Defender for Containers 拡張機能

この表は、Microsoft Defender for Containers による保護に必要なコンポーネントの提供状況の詳細を示しています。

既定では、Azure portal から Defender for Containers を有効にすると、必要な拡張機能が有効になります。

側面 Azure Kubernetes Service クラスター Azure Arc 対応 Kubernetes クラスター
リリース状態: • Defender プロファイル: GA
• Azure Policy アドオン: 一般提供 (GA)
• Defender 拡張機能: プレビュー段階
• Azure Policy 拡張機能: プレビュー段階
関連する Defender プラン: Microsoft Defender for Containers Microsoft Defender for Containers
必要なロールとアクセス許可 (サブスクリプションレベル): 所有者 または ユーザー アクセス管理者 所有者 または ユーザー アクセス管理者
サポートされる宛先: AKS Defender プロファイルでは、RBAC が有効になっている AKS クラスターのみをサポートしています。 Arc 対応 Kubernetes でサポートされている Kubernetes ディストリビューションを参照してください
ポリシーベース: はい はい
クラウド: Defender プロファイル:
商用クラウド
Azure Government、Azure China 21Vianet
Azure Policy アドオン:
商用クラウド
Azure Government、Azure China 21Vianet
Defender 拡張機能:
商用クラウド
Azure Government、Azure China 21Vianet
Azure Arc 用 Azure Policy 拡張機能:
商用クラウド
Azure Government、Azure China 21Vianet

トラブルシューティング

次のステップ

このページでは、監視コンポーネントと、それらを有効にする方法について説明しました。

各項目の詳細情報