Microsoft Defender for Cloud の統合

Azure "機密仮想マシン (機密 VM)" は、Microsoft Defender for Cloud と統合されています。 Defender for Cloud は、機密 VM が正しく設定されていることを継続的にチェックし、関連する推奨事項とアラートを提供します。

機密 VM で Defender for Cloud を使用するには、VM に "ゲスト構成証明" 機能がインストールされている必要があります。 詳細については、ゲスト構成証明のサンプル アプリケーションを参照して、拡張機能をインストールする方法を確認してください。

推奨事項

機密 VM に構成の問題がある場合は、Defender for Cloud で変更が推奨されます。

セキュア ブートを有効にする

セキュア ブートはサポートされている Windows/Linux 仮想マシンで有効にする必要がある

この重要度の低い推奨事項は、機密 VM でセキュア ブートがサポートされているが、この機能が現在無効になっていることを意味します。

この推奨事項は、機密 VM にのみ適用されます。

ゲスト構成証明拡張機能をインストールする

ゲスト構成証明の拡張機能が、サポートされている Windows/Linux 仮想マシンにインストールされている必要がある

この重要度の低い推奨事項は、機密 VM にゲスト構成証明拡張機能がインストールされていないことを示しています。 ただし、セキュア ブートと vTPM は既に有効になっています。 この拡張機能をインストールすると、Defender for Cloud は VM の "ブート整合性" を事前に構成証明および監視できます。 ブートの整合性は、リモート構成証明によって検証されます。

ブート整合性の監視を有効にすると、Defender for Cloud はリモート構成証明の状態で評価を発行します。

この機能は、Windows と Linux の単一 VM と均一スケール セットでサポートされています。

警告

Defender for Cloud では、VM の正常性に関する問題も検出され、アラートが通知されます。

VM 構成証明失敗

Attestation failed your virtual machine (仮想マシンで構成証明が失敗した)

この重大度が中程度のアラートは、VM の構成証明が失敗したことを意味します。 Defender for Cloud は、VM で構成証明を定期的、および VM の起動後に実行します。

構成証明失敗の理由には次のものがあります。

• 構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 この問題は、信頼されていないモジュールが読み込まれ、OS が侵害されている可能性があることを示している場合があります。
• 構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できない。 この問題は、マルウェアが存在していて、vTPM へのトラフィックがインターセプトされている可能性があることを示している場合があります。

次のステップ

• ゲスト構成証明機能の詳細についての説明
• ゲスト構成証明 API でサンプル アプリケーションを使用する方法について説明します
• Azure の機密 VM について説明します