自動プロビジョニングを構成する

  • 17 分

Microsoft Defender for Cloud では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシン (VM)、仮想マシン スケール セット、IaaS コンテナー、および Azure 以外の (オンプレミスを含む) マシンからデータが収集されます。

不足している更新プログラム、OS のセキュリティ設定ミス、エンドポイント保護のステータス、正常性と脅威の防止を可視化するためには、データ収集が欠かせません。 データ収集を必要とするのは、コンピューティング リソース (VM、仮想マシン スケール セット、IaaS コンテナー、非 Azure コンピューター) だけです。 エージェントのプロビジョニング以外でも、Defender for Cloud にはメリットがあります。 ただし、セキュリティに制限があり、上記の機能はサポートされません。

データは以下を使用して収集されます。

  • Log Analytics エージェント: セキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータをワークスペースにコピーします。 このようなデータの例として、オペレーティング システムの種類とバージョン、オペレーティング システム ログ (Windows イベント ログ)、実行中のプロセス、マシン名、IP アドレス、ログイン ユーザーなどがあります。

  • セキュリティ拡張機能 (Kubernetes 用の Azure Policy アドオンなど): 特殊なリソースの種類に関するデータを Security Center に提供することもできます。

Screenshot of Auto provisioning settings.

自動プロビジョニングを使用する理由

このページで説明するエージェントと拡張機能はすべて手動でインストールできます。 ただし、自動プロビジョニングでは、必要なすべてのエージェントと拡張機能を既存のマシンと新しいマシンにインストールして、サポートされているすべてのリソースのセキュリティ カバレッジを迅速に確保することで、管理オーバーヘッドを削減します。

自動プロビジョニングのしくみ

Defender for Cloud の自動プロビジョニング設定には、サポートされている拡張機能の種類ごとにトグルがあります。 拡張機能の自動プロビジョニングを有効にする場合は、適切な DeployIfNotExists ポリシーを割り当てて、その種類の既存および将来のリソースすべてに拡張機能が確実にプロビジョニングされるようにします。

Log Analytics エージェントの自動プロビジョニングの有効化

Log Analytics エージェントの自動プロビジョニングがオンの場合、Defender for Cloud では、サポートされているすべての Azure VM と新しく作成される VM にエージェントをデプロイします。

Log Analytics エージェントの自動プロビジョニングを有効にするには:

  1. Defender for Cloud のメニューから、[環境設定] を選択します。

  2. 関連するサブスクリプションを選択します。

  3. [自動プロビジョニング] ページで、Log Analytics エージェントの自動プロビジョニングの状態を [オン] に設定します。

  4. 構成オプション ペインで、使用するワークスペースを定義します。

Defender for Cloud によって作成された既定のワークスペースに Azure VM を接続する - Defender for Cloud では、新しいリソース グループと既定のワークスペースが同じ位置情報で作成され、エージェントがそのワークスペースに接続されます。 複数の位置情報からの VM がサブスクリプションに含まれている場合、Defender for Cloud ではデータ プライバシー要件に確実に準拠するために複数のワークスペースを作成します。

ワークスペースとリソース グループの名前付け規則は次のとおりです。

  • ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ:DefaultResourceGroup-[geo]

Defender for Cloud では、サブスクリプションに設定されている価格レベルに応じて、ワークスペースで Defender for Cloud ソリューションが自動的に有効になります。

[Connect Azure VMs to a different workspace](Azure VM を別のワークスペースに接続する) - ドロップダウン リストから、収集したデータを保存するワークスペースを選択します。 ドロップダウン リストには、自分の全サブスクリプション内のワークスペースがすべて含まれています。 このオプションを使用して、さまざまなサブスクリプションで稼働している仮想マシンからデータを収集し、自分が選択したワークスペースにすべて保存できます。

Log Analytics ワークスペースが既にある場合は、同じワークスペースを使用することをお勧めします (ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です)。 このオプションは、組織内で一元化されたワークスペースを使用していて、それをセキュリティ データの収集に使用したい場合に役立ちます。 詳細については、「Azure Monitor でログ データとワークスペースへのアクセスを管理する」をご覧ください。

選択したワークスペースで Security または Defender for Cloud Free ソリューションが既に有効になっている場合は、その価格が自動的に設定されます。 そうでない場合は、ワークスペースに Defender for Cloud ソリューションをインストールします。

拡張機能の自動プロビジョニングの有効化

Log Analytics エージェント以外の拡張機能の自動プロビジョニングを有効にするには:

  1. Azure portal の Defender for Cloud のメニューで [環境設定] を選択します。

  2. 関連するサブスクリプションを選択します。

  3. [自動プロビジョニング] を選択します。

  4. Microsoft Dependency Agent の自動プロビジョニングを有効にする場合は、Log Analytics エージェントも自動デプロイされるように設定してください。

  5. 該当する拡張機能の状態を [オン] に切り替えます。

  6. [保存] を選択します。 Azure ポリシーが割り当てられ、修復タスクが作成されます。

Log Analytics エージェントの Windows セキュリティ イベント オプション

Defender for Cloud でデータ収集層を選択すると、Log Analytics ワークスペースのセキュリティ イベントのストレージにのみ影響します。 ワークスペースに保存するように選択したセキュリティ イベントのレベルに関係なく、Log Analytics エージェントでは、Defender for Clouds の脅威保護に必要なセキュリティ イベントが引き続き収集され、分析されます。 セキュリティ イベントを保存することを選択すると、ワークスペース内でそれらのイベントの調査、検索、監査が可能になります。

Defender for Cloud は、Windows セキュリティ イベント データを保存するために必要です。 Log Analytics にデータを格納すると、データ ストレージに対して追加料金が発生する可能性があります。

Microsoft Sentinel ユーザー向けの情報

Microsoft Sentinel のユーザー: 単一ワークスペースのコンテキスト内におけるセキュリティ イベントの収集は、Microsoft Defender for Cloud または Microsoft Sentinel のどちらか一方から構成できます。両方から構成することはできません。 Microsoft Defender for Cloud から既にアラートを取得しており、セキュリティ イベントを収集するように設定されているワークスペースに Microsoft Sentinel を追加する予定の場合、次の 2 つの選択肢があります。

  • Defender for Cloud のセキュリティ イベント コレクションはそのままにしてください。 これらのイベントは、Microsoft Sentinel と Defender for Cloud でクエリを実行して分析できます。 ただし、Microsoft Sentinel でコネクタの接続状態を監視したり、その構成を変更したりすることはできません。 コネクタの監視またはカスタマイズが重要な場合は、2 つ目の選択肢を検討してください。

  • Defender for Cloud でセキュリティ イベント コレクションを無効にします (Log Analytics エージェントの構成で、Windows セキュリティ イベントを [なし] に設定して)。 次に、Microsoft Sentinel でセキュリティ イベント コネクタを追加します。 1 つ目の選択肢と同様、イベントの照会と分析は、Microsoft Sentinel と Defender for Cloud の両方で行えますが、コネクタの接続状態を監視したりその構成を変更したりする作業は、Microsoft Sentinel でしか行えません。

"共通" と "最小" で保存されるイベントの種類

これらのセットは、一般的なシナリオに対応するように設計されています。 実装前に、どのセットがニーズに合うかを必ず評価してください。

Microsoft では、共通および最小オプションのイベントを決定するために、お客様や業界標準化団体と協力して、各イベントがフィルター処理されない頻度とそれらの使用方法を確認しました。 このプロセスでは次のガイドラインが使用されました。

  • 最小 - このセットが、侵害の成功を示す可能性のあるイベントと、ボリュームの小さい重要なイベントのみを対象としていることを確認してください。 たとえば、このセットにはユーザーの成功したログインと失敗したログイン (イベント ID 4624、4625) が含まれますが、監査には重要であっても検出には重要ではない、比較的ボリュームの大きいサインアウトは含まれません。 このセットのデータ量のほとんどは、ログイン イベントとプロセス作成イベント (イベント ID 4688) です。

  • 共通 - このセットでは、完全なユーザー監査証跡を提供します。 たとえば、このセットには、ユーザー ログインとユーザー サインアウトの両方 (イベント ID 4634) が含まれます。 セキュリティ グループの変更などの監査アクション、ドメイン コントローラーの主要な Kerberos 操作、業界組織が推奨するその他のイベントが含まれます。

共通セットにはボリュームが小さいイベントが含められています。すべてのイベントに対してそれを選択する主な動機が、特定のイベントを除外するのではなく、ボリュームを減らすことにあったからです。