Microsoft Defender for Endpoint と Microsoft Defender 脆弱性管理は、以下を提供するために Defender for Cloud とネイティブに統合されます。
- 統合されたセキュリティ機能: Defender for Endpoint、Defender 脆弱性管理、Defender for Cloud によって提供されるセキュリティ機能は、Defender for Servers プランによって保護されたマシンに対してエンドツーエンドの保護を提供するためにまとめられます。
- ライセンス: Defender for Servers のライセンスは、Defender for Endpoint Plan 2 がクライアント エンドポイントで提供するのと同じ利点を、お客様のサーバーに付与します。 ライセンスはユーザーごとではなく 1 時間あたりに課金され、VM を使用している場合にのみ保護することでコストが削減されます。
- エージェントのプロビジョニング: Defender for Cloud は、Defender for Cloud に接続されているサポートされているマシンに Defender for Endpoint センサーを自動的にプロビジョニングできます。
- 統合アラート: Defender for Endpoint からのアラートと脆弱性データは、Azure portal の Defender for Cloud に表示されます。 Defender ポータルに移動して、詳細なアラート情報とコンテキストにドリルダウンできます。
セキュリティ機能
Defender for Cloud には、Defender for Endpoint と Defender 脆弱性管理によって提供されるセキュリティ機能が統合されています。
脆弱性の管理: Defender 脆弱性の管理によって提供されます。
- 機能には、既知のソフトウェアのインベントリ、一貫性のある脆弱性評価と分析情報、デバイスのセキュア スコア、セキュリティ レコメンデーション、脆弱性の修復が含まれます。
- Defender 脆弱性の管理との統合により、Defender for Servers プラン 2 の Premium 機能も提供されます。
攻撃面の減少: 攻撃面の減少ルールを使用して、セキュリティ露出を減らします。
次世代の保護により、マルウェア対策とウイルス対策保護を提供します。
エンドポイントでの検出と対応 (EDR): EDR により、高度な脅威ハンティングなどの高度な脅威の検出、調査、対応や、自動調査と修復機能が実行されます。
脅威分析。 Microsoft の脅威ハンターおよびセキュリティ チームによって提供され、パートナーによって提供されるインテリジェンスによって強化された脅威インテリジェンス データを取得します。 セキュリティ アラートは、Defender for Endpoint が攻撃者のツール、手法、および手順を識別したときに生成されます。
統合アーキテクチャ
Defender for Endpoint は、Defender for Cloud を使用してマシンを監視するときに、テナントを自動的に作成します。
Defender for Endpoint は、プロビジョニング中に識別されたテナントの地理的な場所に収集されたデータを格納します。
- 偽名フォームの顧客データは、米国の中央のストレージおよび処理システムにも格納される可能性があります。
- 場所を構成した後は、その場所を変更することはできません。
- Defender for Endpoint のライセンスを所有していて、データを別の場所に移動する必要がある場合は、Microsoft サポートに連絡してテナントをリセットしてください。
リソースの検出と導入の状態
Defender for Cloud では、Microsoft Defender for Endpoint のオンボードとは別にマシンを検出できます。
Azure、Azure Arc 対応環境、または接続されたマルチクラウド アカウント (AWS、GCP) に存在するマシンは、ネイティブリソース検出プロセスを通じて Defender for Cloud によって識別されます。 これらのマシンは、Defender for Endpoint センサーがインストールされてレポートされる前であっても、Defender for Endpoint デバイス インベントリに表示されます。
この状態では、デバイスに Defender for Cloud が検出ソースとして表示され、状態が [オンボード可能] と表示されることがあります。これは、マシンが Defender for Cloud に認識されているが、Defender for Endpoint にまだオンボードされていないことを示します。 オンボードは、Defender for Endpoint センサーがデプロイされ、サービスに正常に報告された後にのみ行われます。
サブスクリプション間で移動する
サーバーの Defender for Endpoint は、同じテナント内のサブスクリプション間、または異なるテナント間で移動できます。
同じテナント内の別のサブスクリプションに移動する: Defender for Endpoint for servers 拡張機能を同じテナント内の別のサブスクリプションに移動するには、仮想マシンから
MDE.LinuxまたはMDE.Windows拡張機能を削除します。 Defender for Cloud によって自動的に再デプロイされます。テナント間でのサブスクリプションの移動: Azure のサブスクリプションを Azure テナント間で移動する場合は、Defender for Cloud によって Defender for Endpoint がデプロイされる前に、手動によるいくつかの準備作業が必要です。 詳細については、Microsoft サポートにお問い合わせください。
Defender for Endpoint の正常性状態
Defender for Servers は、VM にインストールされている Defender for Endpoint エージェントを可視化します。
前提条件
次のいずれかが必要です。
- Defender for Servers P2 が有効になっています。
又は - Defender for Servers プラン 1 を有効にして Defender CSPM を有効にします。
Defender for Servers での正常性に関する問題の可視化
Defender for Servers では、主に 2 種類の正常性の問題を可視化できます。
インストールの問題: エージェントのインストール中のエラー。
ハートビートの問題: エージェントがインストールされているが、正しく報告しない問題。
場合によっては、クライアント オペレーティング システムがインストールされている場合など、Defender for Endpoint は特定のマシンには適用されません。 これらのデバイスは、Microsoft 365 E5 などの Defender for Endpoint ユーザー ライセンスの対象となる必要があります。 この状態は、最後のクエリの説明にも示されています。
Defender for Servers は、問題の種類ごとに特定のエラー メッセージを表示します。 これらのメッセージに問題が説明されています。 問題を修正するための手順を利用できる場合は、それも示されます。
正常性状態は 4 時間ごとに更新されます。 これにより、過去 4 時間以内の状態が確実に問題に反映されます。
Defender for Endpoint の正常性の問題を確認するには、次のようにセキュリティ エクスプローラーを使用します。
問題が発生したすべての異常な仮想マシン (VM) を見つけるには、次のスクリーンショットに示すクエリを実行します。
このデータにアクセスする別の方法を次のスクリーンショットに示します。
Defender for Endpoint が正常に動作するすべての正常な VM を見つけるには、次のスクリーンショットに示すクエリを実行します。
Defender for Endpoint が適用されない VM の一覧を取得するには、次のスクリーンショットに示すクエリを実行します。
次のステップ
Defender for Servers での EDR のレコメンデーションの詳細を参照してください。