ハイブリッド クラウド環境とマルチクラウド環境を Microsoft Defender for Cloud に接続する

  • 7 分

ハイブリッド クラウドとマルチクラウド環境を Microsoft Defender for Cloud に接続することは、多様な IT ランドスケープ間で統一されたセキュリティ体制を維持するために不可欠です。 Azure 以外のマシン、Native Cloud Connector、クラシック コネクタ用の Azure Arc 対応サーバーを使用すると、Microsoft Defender for Cloud の機能を Azure 以外のリソースに拡張できます。 この統合により、セキュリティの脅威を包括的に監視、検出、対応することができます。 ここでは、接続を成功させるために必要な詳細な要件と共に、プロセスの概要について説明します。

Azure 以外のマシンを Microsoft Defender for Cloud に接続する

Microsoft Defender for Cloud では、Azure 以外のマシンのセキュリティ体制を監視できますが、最初に Azure に接続する必要があります。

Azure 以外のコンピューターは、次のいずれかの方法で接続できます。

  • Azure Arc でのオンボード:

    • Azure Arc 対応サーバーを使用する (推奨)
    • Azure portal を使用する

  • Microsoft Defender for Endpoint を使用して直接オンボードする

Azure Arc を使用してオンプレミスのマシンを接続する

Azure Arc 対応サーバーを持つマシンが Azure リソースになります。 Log Analytics エージェントをインストールすると、他の Azure リソースと同様に、推奨事項と共に Defender for Cloud に表示されます。

Azure Arc 対応サーバーは、マシン上でゲスト構成ポリシーを有効にしたり、他の Azure サービスを使用してデプロイを簡略化するなど、強化された機能を提供します。 Azure Arc 対応サーバーの利点の概要については、「サポートされているクラウド運用」を参照してください。

1 台のコンピューターに Azure Arc をデプロイするには、「クイック スタート: ハイブリッド マシンを Azure Arc 対応サーバーに接続する」の手順に従います。

大規模な複数のマシンに Azure Arc をデプロイするには、「ハイブリッド マシンを大規模に Azure に接続する」の手順に従います。

Log Analytics エージェントを自動的にデプロイするための Defender for Cloud ツールは、Azure Arc を実行しているマシンと連携します。ただし、この機能は現在プレビュー段階です。 Azure Arc を使用してマシンを接続する場合は、関連する Defender for Cloud の推奨事項を使用してエージェントをデプロイし、Defender for Cloud が提供するさまざまな保護の恩恵を受けます。

  • Linux ベースの Azure Arc マシンに Log Analytics エージェントをインストールする必要がある
  • Log Analytics エージェントを Windows ベースの Azure Arc マシンにインストールする必要がある

AWS アカウントを Microsoft Defender for Cloud に接続する

ワークロードは、通常、複数のクラウド プラットフォームにまたがっています。 クラウド セキュリティ サービスでも同じ操作を行う必要があります。 Microsoft Defender for Cloud はアマゾン ウェブ サービス (AWS) のワークロードを保護するのに役立ちますが、それらと Defender for Cloud の間の接続を設定する必要があります。

クラシック コネクタを使用して以前に接続した AWS アカウントを接続している場合は、最初に削除する必要があります。 クラシック コネクタとネイティブ コネクタの両方で接続されている AWS アカウントを使用すると、重複する推奨事項が生成される可能性があります。

前提 条件

この記事の手順を完了するには、次のものが必要です。

  • Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料でサインアップできます。
  • Azure サブスクリプションに設定されている Microsoft Defender for Cloud。
  • AWS アカウントへのアクセス。
  • 関連する Azure サブスクリプションの共同作成者アクセス許可と、AWS アカウントの管理者アクセス許可。

Defender for Containers

Microsoft Defender for Containers プランを選択する場合は、次のものが必要です。

  • EKS Kubernetes API サーバーへのアクセス許可を持つ少なくとも 1 つの Amazon EKS クラスター。
  • クラスターのリージョンに新しい Amazon Simple Queue Service (SQS) キュー、Kinesis Data Firehose 配信ストリーム、および Amazon S3 バケットを作成するためのリソース容量。

Defender for SQL(ディフェンダー フォー SQL)

Microsoft Defender for SQL プランを選択する場合は、次のものが必要です。

  • サブスクリプションで有効になっている Microsoft Defender for SQL。 データベースを保護する方法について説明します。
  • SQL Server またはリレーショナル データベース サービス (RDS) Custom for SQL Server を実行する EC2 インスタンスを含むアクティブな AWS アカウント。
  • EC2 インスタンスまたは RDS Custom for SQL Server にインストールされている Azure Arc for servers。

自動プロビジョニング プロセスを使用して、既存および将来のすべての EC2 インスタンスに Azure Arc をインストールすることをお勧めします。 Azure Arc 自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者アクセス許可が必要です。

AWS Systems Manager (SSM) は、SSM エージェントを使用して自動プロビジョニングを管理します。 一部の Amazon マシン イメージには、SSM エージェントがプレインストールされています。 EC2 インスタンスに SSM エージェントがない場合は、Amazon の「ハイブリッドおよびマルチクラウド環境 (Windows) 用に SSM エージェントをインストールする」の手順に従ってインストールします。

SSM エージェントに管理ポリシー AmazonSSMManagedInstanceCore があることを確認します。 これにより、AWS Systems Manager サービスのコア機能が有効になります。

Azure Arc に接続されたマシンで、次の他の拡張機能を有効にします。

  • Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
  • 脆弱性評価ソリューション (脅威と脆弱性の管理または Qualys)
  • Azure Arc に接続されたマシン上の Log Analytics エージェントまたは Azure Monitor エージェント

選択した Log Analytics ワークスペースにセキュリティ ソリューションがインストールされていることを確認します。 Log Analytics エージェントと Azure Monitor エージェントは、現在、サブスクリプション レベルで構成されています。 同じサブスクリプションのすべての AWS アカウントと Google Cloud Platform (GCP) プロジェクトは、Log Analytics エージェントと Azure Monitor エージェントのサブスクリプション設定を継承します。

Defender for Servers

Microsoft Defender for Servers プランを選択する場合は、次のものが必要です。

  • サブスクリプションで有効になっている Microsoft Defender for Servers。 「セキュリティ強化機能を有効にする」でプランを有効にする方法について説明します。
  • EC2 インスタンスを含むアクティブな AWS アカウント。
  • EC2 インスタンスにインストールされている Azure Arc for servers。

自動プロビジョニング プロセスを使用して、既存および将来のすべての EC2 インスタンスに Azure Arc をインストールすることをお勧めします。 Azure Arc 自動プロビジョニングを有効にするには、関連する Azure サブスクリプションに対する所有者アクセス許可が必要です。

AWS Systems Manager は、SSM エージェントを使用して自動プロビジョニングを管理します。 一部の Amazon マシン イメージには、SSM エージェントがプレインストールされています。 EC2 インスタンスに SSM エージェントがない場合は、Amazon の次のいずれかの手順を使用してインストールします。

  • ハイブリッドおよびマルチクラウド環境用の SSM エージェントのインストール (Windows)
  • ハイブリッドおよびマルチクラウド環境用の SSM エージェントのインストール (Linux)

SSM エージェントに管理ポリシー AmazonSSMManagedInstanceCore があることを確認します。これにより、AWS Systems Manager サービスのコア機能が有効になります。

既存および将来の EC2 インスタンスに Azure Arc を手動でインストールする場合は、EC2 インスタンスを Azure Arc の推奨事項に接続して、Azure Arc がインストールされていないインスタンスを特定する必要があります。

Azure Arc に接続されたマシンで、次の他の拡張機能を有効にします。

  • Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー)
  • 脆弱性評価ソリューション (脅威と脆弱性の管理または Qualys)
  • Azure Arc に接続されたマシン上の Log Analytics エージェントまたは Azure Monitor エージェント

選択した Log Analytics ワークスペースにセキュリティ ソリューションがインストールされていることを確認します。 Log Analytics エージェントと Azure Monitor エージェントは、現在、サブスクリプション レベルで構成されています。 同じサブスクリプションのすべての AWS アカウントと GCP プロジェクトは、Log Analytics エージェントと Azure Monitor エージェントのサブスクリプション設定を継承します。

Defender for Servers は AWS リソースにタグを割り当てて自動プロビジョニング プロセスを管理します。 Defender for Cloud がリソースを管理できるようにするには、これらのタグを適切にリソースに割り当てる必要があります。AccountIdCloudInstanceIdMDFCSecurityConnector

ディフェンダー CSPM

Microsoft Defender Cloud Security Posture Management プランを選択する場合は、次のものが必要です。

  • Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップできます。
  • Azure サブスクリプションで Microsoft Defender for Cloud を有効にする必要があります。
  • Azure 以外のマシン、AWS アカウントを接続します。
  • CSPM プランから使用可能なすべての機能にアクセスするには、サブスクリプション所有者がプランを有効にする必要があります。