ハイブリッド クラウド環境とマルチクラウド環境を Microsoft Defender for Cloud に接続する

  • 7 分

ハイブリッド クラウド環境とマルチクラウド環境を Microsoft Defender for Cloud に接続することは、多様な IT ランドスケープ全体で統一されたセキュリティ態勢を維持するために重要です。 Azure 以外のマシン用の Azure Arc 対応サーバー、ネイティブ クラウド コネクタ、クラシック コネクタを使用すると、Microsoft Defender for Cloud の機能を Azure 以外のリソースに拡張できます。 この統合により、セキュリティの脅威を包括的に監視、検出し、対応できるようになります。 ここでは、接続を成功させるために必要な詳細な要件と共に、参考になるプロセスの概要について説明します。

Azure 以外のマシンを Microsoft Defender for Cloud に接続する

Microsoft Defender for Cloud では、Azure 以外のマシンのセキュリティの状況を監視できますが、最初にそれらを Azure に接続する必要があります。

Azure 以外のコンピューターは、次のいずれかの方法で接続できます。

  • Azure Arc を使用してオンボードする場合:
    • Azure Arc 対応サーバーを使用する (推奨)
    • Azure Portal を使用する方法
  • Microsoft Defender for Endpoint を使用して直接オンボードする

Azure Arc を使用してオンプレミスのマシンを接続する

Azure Arc 対応サーバーを持つマシンが Azure リソースになります。 Log Analytics エージェントをインストールすると、Defender for Cloud に表示され、他の Azure リソースと同様の推奨事項が表示されます。

Azure Arc 対応サーバーには、マシンでゲスト構成ポリシーを有効にする機能や、他の Azure サービスを使用してデプロイを簡素化する機能など、強化された機能が用意されています。 Azure Arc 対応サーバーの利点の概要については、「サポートされているクラウド操作」を参照してください。

マシン 1 台に Azure Arc をデプロイする場合は、「クイックスタート: Azure Arc 対応サーバーにハイブリッド マシンを接続する」の手順に従います。

複数のマシンに大規模に Azure Arc をデプロイするには、「ハイブリッド マシンを大規模に Azure に接続する」の手順に従います。

Log Analytics エージェントを自動的にデプロイするための Defender for Cloud のツールは、Azure Arc を実行しているマシンで動作します。ただし、この機能は現在プレビュー段階です。 Azure Arc を利用してマシンを接続すると、関連する Defender for Cloud の推奨事項を利用してエージェントをデプロイし、Defender for Cloud により提供されるあらゆる保護機能のベネフィットを得ることができます。

  • Log Analytics エージェントを Linux ベースの Azure Arc マシンにインストールする必要がある
  • Log Analytics エージェントを Windows ベースの Azure Arc マシンにインストールする必要がある

AWS アカウントを Microsoft Defender for Cloud に接続する

ワークロードは複数のクラウド プラットフォームにまたがることがよくあります。 クラウド セキュリティ サービスでも同じことを行う必要があります。 Microsoft Defender for Cloud は Amazon Web Services (AWS) のワークロードを保護するのに役立ちますが、それらと Defender for Cloud の間の接続を設定する必要があります。

従来のコネクタを使用して以前に接続した AWS アカウントを接続する場合は、まずそれを削除する必要があります。 クラシック コネクタとネイティブ コネクタの両方で接続されている AWS アカウントを使用すると、重複する推奨事項が生成される可能性があります。

前提条件

この記事の手順を完了するには、以下が必要です。

  • Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料でのサインアップができます。
  • Azure サブスクリプションでの Microsoft Defender for Cloud のセットアップ。
  • AWS アカウントへのアクセス。
  • 関連する Azure サブスクリプションの共同作成者アクセス許可、AWS アカウントの管理者アクセス許可。

Defender for Containers

Microsoft Defender for Containers プランを選択した場合は、次のものが必要です。

  • EKS Kubernetes API サーバーにアクセスする権限を持つ、少なくとも 1 つの Amazon EKS クラスター。
  • クラスターのリージョン内に新しい Amazon Simple Queue Service (SQS) キュー、Kinesis Data Firehose 配信ストリーム、および Amazon S3 バケットを作成するためのリソース容量。

Defender for SQL

Microsoft Defender for SQL プランを選択した場合は、次のものが必要です。

  • サブスクリプションで有効になっている Microsoft Defender for SQL。 データベースを保護する方法について確認してください。
  • SQL Server または Relational Database Service (RDS) Custom for SQL Server を実行する EC2 インスタンスを持つアクティブな AWS アカウント。
  • EC2 インスタンスまたは RDS Custom for SQL Server にインストールされている Azure Arc for servers。

自動プロビジョニング プロセスを使って、既存および将来のすべての EC2 インスタンスに Azure Arc をインストールすることをお勧めします。 Azure Arc 自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者アクセス許可が必要です。

AWS システム マネージャー (SSM) は、SSM エージェントを使って自動プロビジョニングを管理します。 一部の Amazon Machine Image には既に SSM エージェントがプレインストールされています。 EC2 インスタンスに SSM エージェントがない場合は、Amazon の手順「ハイブリッドおよびマルチクラウド環境用の SSM エージェントのインストール (Windows)」 を使用してインストールします。

SSM エージェントに管理ポリシー AmazonSSMManagedInstanceCore があることを確認します。 これにより、AWS Systems Manager サービスのコア機能が有効になります。

Azure Arc に接続されたマシンで、次の拡張機能を有効にします。

  • Microsoft Defender for Endpoint
  • 脆弱性評価ソリューション (脅威と脆弱性の管理または Qualys)
  • Azure Arc に接続されたマシン上の Log Analytics エージェントまたは Azure Monitor エージェント

選択した Log Analytics ワークスペースにセキュリティ ソリューションがインストールされていることを確認してください。 Log Analytics エージェントと Azure Monitor エージェントは現在、サブスクリプション レベルで構成されます。 同じサブスクリプション内のすべての AWS アカウントと Google Cloud Platform (GCP) プロジェクトは、Log Analytics エージェントと Azure Monitor エージェントのサブスクリプション設定を継承します。

Defender for Servers

Microsoft Defender for Servers プランを選択した場合は、次のものが必要です。

  • サブスクリプションで有効になっている Microsoft Defender for Servers。 プランを有効にする方法については、「セキュリティ強化機能の有効化」を参照してください。
  • EC2 インスタンスを含む、アクティブな AWS アカウント。
  • EC2 インスタンスにインストールされている Azure Arc for servers。

自動プロビジョニング プロセスを使って、既存および将来のすべての EC2 インスタンスに Azure Arc をインストールすることをお勧めします。 Azure Arc 自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者アクセス許可が必要です。

AWS システム マネージャーは、SSM エージェントを使って自動プロビジョニングを管理します。 一部の Amazon Machine Image には既に SSM エージェントがプレインストールされています。 EC2 インスタンスに SSM エージェントがない場合は、Amazon が提供する以下のいずれかの手順でインストールします。

  • ハイブリッド環境とマルチクラウド環境に SSM エージェントをインストールする (Windows)
  • ハイブリッド環境とマルチクラウド環境に SSM エージェントをインストールする (Linux)

SSM エージェントに、AWS Systems Manager サービスのコア機能を有効にする管理ポリシー AmazonSSMManagedInstanceCore があることを確認します。

既存および将来の EC2 インスタンスに Azure Arc を手動でインストールする場合は、EC2 インスタンスを Azure Arc に接続するレコメンデーションを使用して、Azure Arc がインストールされていないインスタンスを特定する必要があります。

Azure Arc に接続されたマシンで、次の拡張機能を有効にします。

  • Microsoft Defender for Endpoint
  • 脆弱性評価ソリューション (脅威と脆弱性の管理または Qualys)
  • Azure Arc に接続されたマシン上の Log Analytics エージェントまたは Azure Monitor エージェント

選択した Log Analytics ワークスペースにセキュリティ ソリューションがインストールされていることを確認してください。 Log Analytics エージェントと Azure Monitor エージェントは現在、サブスクリプション レベルで構成されます。 同じサブスクリプション内のすべての AWS アカウントと GCP プロジェクトは、Log Analytics エージェントと Azure Monitor エージェントのサブスクリプション設定を継承します。

Defender for Servers は、AWS リソースにタグを割り当てて、自動プロビジョニング プロセスを管理します。 Defender for Cloud がこれらのタグを管理できるように、リソースにこれらのタグ (AccountIdCloudInstanceIdMDFCSecurityConnector) を適切に割り当てる必要があります。

Defender CSPM

Microsoft Defender クラウド セキュリティ態勢管理プランを選択する場合は、次のものが必要です。

  • Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
  • Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
  • Azure 以外のマシン、AWS アカウント を接続します。
  • CSPM プランから使用可能なすべての機能にアクセスするには、サブスクリプション所有者がプランを有効にする必要があります。