Microsoft Defender for Cloud の統合
Azure "機密仮想マシン (機密 VM)" は、Microsoft Defender for Cloud と統合されています。 Defender for Cloud は、機密 VM が正しく設定されていることを継続的にチェックし、関連する推奨事項とアラートを提供します。
機密 VM で Defender for Cloud を使用するには、VM に "ゲスト構成証明" 機能がインストールされている必要があります。 詳細については、ゲスト構成証明のサンプル アプリケーションを参照して、拡張機能をインストールする方法を確認してください。
推奨事項
機密 VM に構成の問題がある場合は、Defender for Cloud で変更が推奨されます。
セキュア ブートを有効にする
セキュア ブートはサポートされている Windows/Linux 仮想マシンで有効にする必要がある
この重要度の低い推奨事項は、機密 VM でセキュア ブートがサポートされているが、この機能が現在無効になっていることを意味します。
この推奨事項は、機密 VM にのみ適用されます。
ゲスト構成証明拡張機能をインストールする
ゲスト構成証明の拡張機能が、サポートされている Windows/Linux 仮想マシンにインストールされている必要がある
この重要度の低い推奨事項は、機密 VM にゲスト構成証明拡張機能がインストールされていないことを示しています。 ただし、セキュア ブートと vTPM は既に有効になっています。 この拡張機能をインストールすると、Defender for Cloud は VM の "ブート整合性" を事前に構成証明および監視できます。 ブートの整合性は、リモート構成証明によって検証されます。
ブート整合性の監視を有効にすると、Defender for Cloud はリモート構成証明の状態で評価を発行します。
この機能は、Windows と Linux の単一 VM と均一スケール セットでサポートされています。
警告
Defender for Cloud では、VM の正常性に関する問題も検出され、アラートが通知されます。
VM 構成証明失敗
Attestation failed your virtual machine (仮想マシンで構成証明が失敗した)
この重大度が中程度のアラートは、VM の構成証明が失敗したことを意味します。 Defender for Cloud は、VM で構成証明を定期的、および VM の起動後に実行します。
Note
このアラートは、vTPM が有効になっていてゲスト構成証明拡張機能がインストールされている VM でのみ使用可能です。 構成証明を成功させるには、セキュア ブートも有効にする必要があります。 セキュア ブートを無効にする必要がある場合は、このアラートを抑制して擬陽性を回避できます。
構成証明失敗の理由には次のものがあります。
- 構成証明の対象の情報 (ブート ログを含む) が、信頼されたベースラインから逸脱している。 この問題は、信頼されていないモジュールが読み込まれ、OS が侵害されている可能性があることを示している場合があります。
- 構成証明クォートが、構成証明対象の VM の vTPM からのものであることを確認できない。 この問題は、マルウェアが存在していて、vTPM へのトラフィックがインターセプトされている可能性があることを示している場合があります。