エージェント、拡張機能、Azure Arc for Defender for Servers を計画する

  • [アーティクル]

この記事は、Microsoft Defender for Servers のデプロイ用にエージェント、拡張機能、Azure Arc リソースを計画するのに役立ちます。

Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。

開始する前に

この記事は、Defender for Servers 計画ガイドの 5 番目です。 開始する前に、前の記事を確認してください。

  1. デプロイの計画を開始する
  2. データの格納場所と Log Analytics ワークスペースの要件を理解する
  3. Defender for Servers のアクセス ロールを確認する
  4. Defender for Servers プランを選択する

Azure Arc の要件を確認する

Azure Arc は、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、オンプレミスのマシンを Azure にオンボードするのに役立ちます。 Defender for Cloud では、Azure Arc を使用して Azure 以外のマシンを保護します。

基本的なクラウド セキュリティ態勢管理

AWS や GCP マシン用の無料の基本クラウド セキュリティ態勢管理 (CSPM) 機能は、Azure Arc を必要としません。ただし、完全な機能を利用するためには、AWS や GCP マシンで Azure Arc を 稼働させる ことをお勧めします。

オンプレミスのマシンには Azure Arc のオンボードが必要です。

Defender for Servers プラン

Defender for Servers を使用するには、すべての AWS、GCP、オンプレミスのマシンが Azure Arc 対応である必要があります。

AWS または GCP マルチクラウド コネクタを使用して、Azure Arc エージェントを AWS または GCP サーバーに自動的にオンボードできます。

Azure Arc のデプロイを計画する

Azure Arc のデプロイを計画するには:

  1. Azure Arc の計画に関する推奨事項デプロイの前提条件を確認します。

  2. ファイアウォールで Azure Arc のネットワーク ポートを開きます。

  3. Azure Arc では、Connected Machine エージェントをインストールして、Azure の外部でホストされているマシンに接続して管理します。 次の情報を確認します。

Log Analytics エージェントと Azure Monitor エージェント

Note

Log Analytics エージェントは 2024 年 8 月に廃止される予定であり、Defender for Cloud の 更新された戦略 の一環として、すべての Defender for Servers の機能は、Log Analytics エージェント (MMA) または Azure Monitor エージェント (AMA) に依存せずに、Microsoft Defender for Endpoint統合 または エージェントレス スキャン によって提供されます。 その結果、両方のエージェントの共有自動プロビジョニング プロセスが適宜調整されます。この変更の詳細については、 こちらのお知らせ を参照してください。

Defender for Cloud ではコンピューティング リソースから情報を収集するために Log Analytics エージェントと Azure Monitor エージェントが使用されます。 次に、さらに分析するためにデータを Log Analytics ワークスペースに送信します。 両方のエージェントに関する相違点と推奨事項を確認します。

次の表では、Defender for Servers で使用されるエージェントについて説明します。

特徴量 Log Analytics エージェント Azure Monitor エージェント
エージェントに依存する基本的な CSPM に関する推奨事項 (無料): OS ベースラインに関する推奨事項 (Azure VM)

Azure Monitor エージェントでは、Azure Policy ゲスト構成拡張機能が使用されます。
基本的な CSPM: システム更新に関する推奨事項 (Azure VM) まだ使用できません。
基本的な CSPM: マルウェア対策/エンドポイント保護に関する推奨事項 (Azure VM)
OS レベルおよびネットワーク層での攻撃検出 (ファイルレス攻撃検出を含む)

プラン 1 は、攻撃の検出のために Defender for Endpoint 機能に依存しています。

プラン 2

プラン 2
ファイルの整合性の監視 (プラン 2 のみ)
適応型アプリケーション制御 (プラン 2 のみ)

Qualys 拡張機能

Qualys 拡張機能は、Defender for Servers プラン 2 で使用できます。 この拡張機能は、Qualys を脆弱性評価に使用する場合はデプロイされます。

詳細については、次を参照してください。

  • Qualys 拡張機能は、Azure リージョンに応じて、分析用のメタデータを 2 つの Qualys データセンター リージョンのいずれかに送信します。

    • ヨーロッパの Azure リージョン内で運用している場合、データ処理は Qualys のヨーロッパ データ センターで行われます。
    • その他のリージョンの場合、データ処理は米国のデータ センターで行われます。

  • マシンで Qualys を使用するには、拡張機能をインストールする必要があり、マシンが関連するネットワーク エンドポイントと通信できる必要があります。

    • ヨーロッパのデータセンター: https://qagpublic.qg2.apps.qualys.eu
    • 米国のデータセンター: https://qagpublic.qg3.apps.qualys.com

ゲスト構成拡張機能

拡張機能は、VM 内で監査と構成の操作を実行します。

  • Azure Monitor エージェントを使用している場合、Defender for Cloud はこの拡張機能を利用して、Windows および Linux マシンのオペレーティング システムのセキュリティ ベースライン設定を分析します。
  • Azure Arc 対応サーバーとゲスト構成拡張機能は無料ですが、Defender for Cloud スコープ外の Azure Arc サーバーでゲスト構成ポリシーを使用する場合は、追加のコストが適用される場合があります。

Azure Policy のゲスト構成拡張機能の詳細を確認してください。

Defender for Endpoint 拡張機能

Defender for Servers を有効にすると、Defender for Cloud によって Defender for Endpoint 拡張機能が自動的にデプロイされます。 拡張機能は、オペレーティング システム内でスクリプトを実行して、Defender for Endpoint センサーをマシンにデプロイして統合する管理インターフェイスです。

  • Windows マシン拡張機能: MDE.Windows
  • Linux マシン拡張機能: MDE.Linux
  • マシンは最小要件を満たしている必要があります。
  • 一部の Windows Server バージョンには、特定の要件があります。

オペレーティング システムのサポートを確認する

Defender for Servers をデプロイする前に、エージェントと拡張機能のオペレーティング システムのサポートを確認します。

エージェントのプロビジョニングを確認する

Defender for Servers を含む Defender for Cloud プランを有効にすると、Defender for Servers に関連する一部のエージェントを自動的にプロビジョニングすることを選択できます。

  • Azure VM の Log Analytics エージェントと Azure Monitor エージェント
  • Azure Arc VM の Log Analytics エージェントと Azure Monitor エージェント
  • Qualys エージェント
  • ゲスト構成エージェント

Defender for Servers のプラン 1 またはプラン 2 を有効にすると、Defender for Endpoint 拡張機能が、サブスクリプション内のサポートされているすべてのマシンに自動的にプロビジョニングされます。

プロビジョニングに関する考慮事項

次の表では、注意すべきプロビジョニングに関する考慮事項について説明します。

プロビジョニング 詳細
Defender for Endpoint センサー マシンが Microsoft Antimalware を実行しいる場合 (System Center Endpoint Protection (SCEP) とも呼ばれる)、Windows 拡張機能によってマシンから自動的に削除されます。

Defender for Cloud と Defender for Endpoint 統合ソリューションが正常にインストールされた後、レガシ Microsoft Monitoring Agent (MMA) Defender for Endpoint センサーが既に実行されているマシンにデプロイした場合、拡張機能が停止し、レガシ センサーが無効となります。 変更は透過的で、マシンの保護履歴は保持されます。
AWS と GCP のマシン AWS または GCP コネクタを設定するときに自動プロビジョニングを構成します。
手動のインストール Defender for Cloud で Log Analytics エージェントと Azure Monitor エージェントをプロビジョニングしたくない場合は、エージェントを手動でインストールできます。

エージェントは、既定の Defender for Cloud ワークスペースまたはカスタム ワークスペースに接続できます。

ワークスペースには、SecurityCenterFree (無料の基本的な CSPM 用) またはセキュリティ ソリューションが有効になっている必要があります (Defender for Servers プラン 2)。
直接実行されている Log Analytics エージェント Windows VM で Log Analytics エージェントが実行されているが、VM 拡張機能として実行されていない場合、Defender for Cloud によって拡張機能がインストールされます。 エージェントは、既存のエージェント ワークスペースに加えて、Defender for Cloud ワークスペースにレポートします。

Linux VM の場合、マルチホームはサポートされていません。 既存のエージェントが存在する場合、Log Analytics エージェントは自動的にプロビジョニングされません。
Operations Manager エージェント Log Analytics エージェントは、Operations Manager エージェントと並行して動作できます。 エージェントは、Log Analytics エージェントのデプロイ時に更新される共通ランタイム ライブラリを共有します。
Log Analytics 拡張機能の削除 Log Analytics 拡張機能を削除すると、Defender for Cloud はセキュリティ データと推奨事項を収集できず、アラートが失われます。 24 時間以内に、Defender for Cloud によって拡張機能がないと判断され、再インストールされます。

自動プロビジョニングをオプトアウトするタイミング

次の表で説明されている状況では、自動プロビジョニングをオプトアウトすることができます。

状況 関連エージェント 詳細
エージェントがインストールされるべきでない重要な VM がある Log Analytics エージェント、Azure Monitor エージェント 自動プロビジョニングは、サブスクリプション全体を対象としています。 特定のマシンをオプトアウトすることはできません。
Operations Manager 2012 で System Center Operations Manager エージェント バージョン 2012 を実行している Log Analytics エージェント この構成では、自動プロビジョニングを有効にしないでください。管理機能が失われる可能性があります。
カスタム ワークスペースを構成する Log Analytics エージェント、Azure Monitor エージェント カスタム ワークスペースには、次の 2 つのオプションがあります。

- Defender for Cloud を初めて設定するときに、自動プロビジョニングをオプトアウトします。 次に、カスタム ワークスペースでプロビジョニングを構成します。

- 自動プロビジョニングを実行して、Log Analytics エージェントをマシンにインストールします。 カスタム ワークスペースを設定し、新しいワークスペース設定で既存の VM を再構成します。

次のステップ

これらの計画手順を実行したら、デプロイを開始できます。