この記事は、Microsoft Defender for Cloud に展開するために、どの Defender for Servers プラン を選択すればよいかを理解するのに役立ちます。
開始する前に
この記事は、Defender for Servers 計画ガイドの 3 番目 の記事です。 開始する前に、前の記事を確認してください。
- デプロイの計画を開始する。
- Defender for Servers のアクセス ロールを確認する。
プランを確認する
Defender for Servers には、次の 2 つの有料プランが用意されています。
Defender for Servers プラン 1 は入門レベルであり、Defender for Endpoint と Defender for Cloud との統合によって提供されるエンドポイントでの検出と対応 (EDR) 機能に重点を置いています。
Defender for Servers プラン 2 には、プラン 1 と同じ機能に加えて、さらに多くの機能が用意されています。
- マシンのポスチャ スキャン、脆弱性評価、脅威に対する保護、マルウェア スキャン、シークレット スキャンのためのエージェントレス スキャン。
- さまざまな規制基準に対するコンプライアンス評価。 Defender for Servers プラン 2 と、その他の有料プランでのみ使用可能。
- Premium Microsoft Defender 脆弱性の管理によって提供される機能。
- 特定のデータ型に対する無料のデータ インジェスト特典。
- Microsoft クラウド セキュリティ ベンチマークのコンピューティング セキュリティ ベースラインに照らし合わせて行う OS 構成の評価。
- Azure の更新情報を Defender for Servers に統合して行う OS 更新の評価。
- 攻撃を示す可能性がある変更がないか、ファイルとレジストリを調べるためのファイルの整合性の監視。
- マシン ポートをロックダウンし、攻撃対象領域を減らす Just-In-Time マシン アクセス。
完全な一覧については、Defender for Servers プランの機能に関するページを確認してください。
展開のスコープを決定する
Defender for Servers はサブスクリプション レベルで有効にすることをお勧めしますが、展開の粒度が必要な場合は、リソース レベルで Defender for Servers プランを有効または無効にすることができます。
| スコープ | プラン 1 | プラン 2 |
|---|---|---|
| Azure サブスクリプションに対して有効にする | はい | はい |
| リソースに対して有効にする | はい | いいえ |
| リソースに対して無効にする | はい | はい |
- プラン 1 は、リソース レベルで有効または無効にできます。
- プラン 2 をリソース レベルで有効にすることはできませんが、リソース レベルでプランを無効にすることはできます。
Defender for Servers 展開スコープを決定するのに役立つユース ケースの例を次に示します。
| ユース ケース | サブスクリプションで有効になっている | 詳細 | 方法 |
|---|---|---|---|
| サブスクリプションに対して有効にする | はい | このオプションはオンにすることをお勧めします。 | ポータルで有効にします。 ポータルでサブスクリプション全体に対してプランを無効にすることもできます。 |
| 複数のマシンに対してプラン 1 を有効にする | いいえ | サブスクリプション全体に対してプランを有効にせずに、スクリプトまたはポリシーを使用して、マシンのグループに対してプラン 1 を有効にできます。 |
スクリプトで、リソース タグまたはリソース グループを使用して該当するマシンを指定します。 次に、画面の指示に従います。 ポリシーを使用して、リソース グループに割り当てを作成するか、リソース タグを使用して該当するマシンを指定します。 タグは顧客固有です。 |
| 複数のマシンに対してプラン 1 を有効にする | はい | サブスクリプションで Defender for Servers プラン 2 が有効になっている場合は、スクリプトまたはポリシーの割り当てを使用して、マシンのグループを Defender for Servers プラン 1 にダウングレードできます。 |
スクリプトで、リソース タグまたはリソース グループを使用して該当するマシンを指定します。 次に、画面の指示に従います。 ポリシーを使用して、リソース グループに割り当てを作成するか、リソース タグを使用して該当するマシンを指定します。 タグは顧客固有です。 |
| 個々のマシンに対してプラン 1 を有効にする | いいえ | サブスクリプションで Defender for Servers が有効になっていないときは、API を使用して、個々のマシンに対してプラン 1 を有効にできます。 | Azure Microsoft Security の価格操作グループを使用します。 [価格の更新] で、PUT 要求を使用して pricingTier プロパティを Standard に、サブプランを P1 に設定します。 pricingTier プロパティは、選択したスコープでプランが有効になっているかどうかを示します。 |
| 個々のマシンに対してプラン 1 を有効にする | はい | サブスクリプションで Defender for Servers プラン 2 が有効になっているときは、API を使用して、サブスクリプション内の個々のマシンに対してプラン 2 ではなく、プラン 1 を有効にできます。 | Azure Microsoft Security の価格操作グループを使用します。 [価格の更新] で、PUT 要求を使用して pricingTier プロパティを Standard に、サブプランを P1 に設定します。 pricingTier プロパティは、選択したスコープでプランが有効になっているかどうかを示します。 |
| 複数のマシンに対してプランを無効にする | はい/いいえ | サブスクリプションでプランが有効になっているか無効になっているかに関係なく、マシンのグループに対してプランを無効にできます。 | スクリプトまたはポリシーを使用し、リソース タグまたはリソース グループを使用して該当するマシンを指定します。 |
| 特定のマシンに対してプランを無効にする | はい/いいえ | サブスクリプションでプランが有効になっているか無効になっているかに関係なく、特定のマシンに対してプランを無効にできます。 | [価格の更新] で、PUT 要求を使用して pricingTier プロパティを free に設定し、サブプランを P1 に設定します。 |
| 個々のマシンのプラン構成を削除する | はい/いいえ | サブスクリプション全体の設定を有効にするには、マシンから構成を削除します。 | 価格の更新で、Delete 要求を使用して構成を削除します。 |
| 複数のリソースのプランを削除する | サブスクリプション全体の設定を有効にするには、リソースのグループから構成を削除します。 | スクリプトで、リソース グループまたはタグを使用して該当するマシンを指定します。 次に、オンスクリーン インストラクションに従います。 |
サブスクリプションと特定のリソースにプランを展開する方法について、詳細を確認してください。
ワークスペースに関する考慮事項
Defender for Servers は次のようなときに Log Analytics ワークスペースを必要とします。
- Defender for Servers プラン 2 を展開し、特定のデータ型に対して無料の日次インジェストを利用するとき。 詳細については、こちらを参照してください。
- Defender for Servers プラン 2 を展開し、ファイルの整合性の監視を使用しているとき。 詳細については、こちらを参照してください。
Azure Arc のオンボーディング
Azure 以外のクラウドとオンプレミスのマシンは、Azure Arc 対応 VM として Azure にオンボードすることをお勧めします。 Azure Arc VM として有効にすると、マシンが Defender for Servers の機能を最大限に活用できます。 Azure Arc 対応マシンには、Azure Arc Connected Machine Agent がインストールされています。
- Defender for Cloud マルチクラウド コネクタを使用して Amazon Web Service (AWS) アカウント と Google Cloud Platform (GCP) プロジェクトに接続すると、Azure Arc エージェントを AWS または GCP サーバーに自動的にオンボードできます。
- オンプレミスのマシンは Azure Arc 対応としてオンボードすることをお勧めします。
- Azure Arc を使用 してマシンをオンボードするのではなく、Defender for Endpoint エージェントを直接インストールしてオンプレミスのマシン をオンボードしますが、Defender for Servers プラン機能は引き続き使用できます。 Defender for Servers プラン 2 では、プラン 1 の機能に加えて、Premium Defender 脆弱性の管理機能のみを使用できます。
Azure Arc を展開する前に次のようにします。
- Azure Arc でサポートされるオペレーティング システムの一覧をすべて確認してください。
- Azure Arc の計画に関する推奨事項とデプロイの前提条件を確認します。
- Connected Machine Agent のネットワーク要件を確認してください。
- ファイアウォールで Azure Arc のネットワーク ポートを開きます。
- Connected Machine Agent の次の要件を確認してください。
- マシンから収集された Agent コンポーネントとデータ。
- エージェントのネットワークとインターネット アクセス。
- エージェントの接続オプション。
次のステップ
Azure へのデータの収集方法を確認します。