Log Analytics エージェントの廃止の準備
Microsoft Monitoring Agent (MMA) とも呼ばれる Log Analytics エージェントは、2024 年 8 月に廃止されます。 その結果、Microsoft Defender for Cloud で Defender for Servers と Defender for SQL on Machines プランが更新され、Log Analytics エージェントに依存する機能が再設計されます。
この記事では、エージェントの廃止後のプランについてまとめています。
Defender for Servers の準備
Defender for Servers プランでは、一般提供 (GA) と一部の機能 (プレビュー段階) の AMA で Log Analytics エージェントを使用します。 これらの機能の今後の展開を次に示します。
オンボーディングを簡略化するために、Defender for Servers のすべてのセキュリティ機能は単一のエージェント (Microsoft Defender for Endpoint) で提供され、Log Analytics エージェントや AMA に依存することなく、エージェントレス マシンのスキャンで補完されます。 以下の点に注意してください。
- AMA に基づく Defender for Servers 機能は現在プレビュー段階で、一般提供ではリリースされません。
- AMA に依存するプレビュー段階の機能は、Defender for Endpoint 統合またはエージェントレス マシンのスキャン機能に依存するこの機能の代替バージョンが提供されるまで引き続きサポートされます。
- Defender for Endpoint 統合とエージェントレス マシンのスキャン機能を非推奨になる前に有効にすることで、Defender for Servers のデプロイが最新の状態になり、サポートされます。
機能
次の表は、Defender for Servers 機能に対する Defender の提供方法をまとめたものです。 ほとんどの機能は、Defender for Endpoint の統合またはエージェントレス マシンのスキャンを使用して、既に一般提供されています。 残りの機能は、MMA が廃止されるまでに一般提供で利用可能になるか、非推奨になるかのいずれかです。
| 機能 | 現在のサポート | 新しいサポート | 新しいエクスペリエンスの状態 |
|---|---|---|---|
| 下位の Windows マシン用の Defender for Endpoint 統合 (Windows Server 2016/2012 R2) | Log Analytics エージェントに基づくレガシ Defender for Endpoint センサー | 統合エージェントの統合 | - 統合エージェントの機能は一般提供されています。 - Log Analytics エージェントを使用した従来の Defender for Endpoint センサー機能は、2024 年 8 月に非推奨となる予定です。 |
| OS レベルの脅威検出 | Log Analytics エージェント | Defender for Endpoint エージェント統合 | Defender for Endpoint エージェントの機能は一般提供されています。 |
| アダプティブ アプリケーション制御 | Log Analytics エージェント (GA)、AMA (プレビュー) | --- | 適応型アプリケーション制御機能は、2024 年 8 月に非推奨となる予定です。 |
| エンドポイント保護検出の推奨事項 | Log Analytics エージェント (一般提供)、AMA (プレビュー) を使用した、基本的なクラウド セキュリティ態勢管理 (CSPM) プランおよび Defender for Servers で利用可能な推奨事項 | エージェントレス マシンのスキャン | - エージェントレス マシンのスキャン機能は、Defender for Servers Plan 2 および Defender CSPM プランの一部として、2024 年 2 月にプレビュー リリースされる予定です。 - Azure VM、Google Cloud Platform (GCP) インスタンス、Amazon Web Services (AWS) インスタンスがサポートされる予定です。 オンプレミスのマシンはサポートされない予定です。 |
| OS の更新に関する推奨事項が見つかりません | Log Analytics エージェントを使用した、基本的な CSPM および Defender for Servers プランで利用可能な推奨事項。 | Microsoft の Update Manager との統合 | Azure Update Manager との統合に基づく新しい推奨事項は、一般提供されており、エージェントの依存関係はありません。 |
| OS の構成の誤り (Microsoft クラウド セキュリティ ベンチマーク) | Log Analytics エージェント、ゲスト構成エージェント (プレビュー) を使用した、基本的な CSPM および Defender for Servers プランで利用可能な推奨事項。 | Defender for Servers Plan 2 の一部としての Premium の Microsoft Defender 脆弱性管理。 | - Premium の Microsoft Defender 脆弱性管理との統合に基づく機能は、2024 年 4 月頃にプレビュー版を利用できるようになる予定です。 - Log Analytics エージェントを使用した機能は、2024 年 8 月に非推奨となる予定です - ゲスト構成エージェント (プレビュー) を使用した機能は、Microsoft Defender 脆弱性管理が利用可能になった時点で非推奨となる予定です。 - Docker Hub および Azure Virtual Machine Scale Sets 用のこの機能のサポートは、2024 年 8 月に非推奨となる予定です。 |
| ファイルの整合性の監視 | Log Analytics agent、AMA (プレビュー) | Defender for Endpoint エージェント統合 | Defender for Endpoint エージェントの機能は、2024 年 4 月頃に利用可能になる予定です。 - Log Analytics エージェントを使用した機能は、2024 年 8 月に非推奨となる予定です。 - AMA の機能は、Defender for Endpoint 統合がリリースされた時点で非推奨となる予定です。 |
定義されたテーブルに対するデータ インジェストの 500 MB の特典は、Defender for Servers プラン 2 によってカバーされるサブスクリプションの下にあるマシンの AMA エージェントを介して引き続きサポートされます。 すべてのマシンは、Log Analytics エージェントと Azure Monitor エージェントの両方がインストールされている場合でも、1 回だけしか特典を受けることができません。 AMA をデプロイする方法の詳細については、こちらを参照してください。
マシン上の SQL サーバーの場合は、SQL サーバーを対象とする Azure Monitor エージェント (AMA) の自動プロビジョニング プロセスに移行することをお勧めします。
エンドポイント保護推奨事項エクスペリエンス - 変更と移行のガイダンス
エンドポイントの検出と推奨事項は現在、Defender for Cloud の基本的な CSPM および Defender for Servers プランで、一般提供中または AMA を介してプレビュー段階の Log Analytics エージェントを使用して提供されています。 このエクスペリエンスは、エージェントレス マシンのスキャンを使用して収集されるセキュリティに関する推奨事項に置き換えられる予定です。
エンドポイント保護の推奨事項 は、2 段階で構成されています。 最初の段階は、エンドポイントでの検出および対応ソリューションの検出です。 2 つ目の段階は、ソリューションの構成に関する評価です。 次の表では、各段階における現在のエクスペリエンスと新しいエクスペリエンスが提供されています。
これらの新しいエンドポイントでの検出と対応に関する推奨事項 (エージェントレス) を管理する方法について学びます。
エンドポイントでの検出および対応ソリューション - 検出
| 面グラフ | 現在のエクスペリエンス (AMA/MMA に基づく) | 新しいエクスペリエンス (エージェントレス マシンのスキャンに基づく) |
|---|---|---|
| リソースを正常性と分類するために必要な内容 | アンチウイルスの配置。 | エンドポイントでの検出と対応ソリューションの配置。 |
| 推奨事項を入手するために必要な内容 | Log Analytics エージェント | エージェントレス マシンのスキャン |
| サポートされているプラン | - 基本的な CSPM (無料) - Defender for Servers Plan 1 および Plan 2 |
- Defender CSPM - Defender for Servers Plan 2 |
| 利用可能な修正プログラム | Microsoft マルウェア対策をインストールします。 | 選択したマシン/サブスクリプションに Defender for Endpoint をインストールします。 |
エンドポイントでの検出および対応ソリューション - 構成評価
| 面グラフ | 現在のエクスペリエンス (AMA/MMA に基づく) | 新しいエクスペリエンス (エージェントレス マシンのスキャンに基づく) |
|---|---|---|
| 1 つ以上のセキュリティのチェックに異常が発生している場合、リソースに異常が発生していると分類されます。 | セキュリティのチェックには、次の 3 つがあります。 - リアルタイム保護がオフになっています - シグネチャが最新ではありません。 - クイック スキャンとフル スキャンがどちらも 7 日間実行されていません。 |
セキュリティのチェックには、次の 3 つがあります。 - ウイルス対策が無効であるか、部分的に構成されています - シグネチャが最新ではありません - クイック スキャンとフル スキャンがどちらも 7 日間実行されていません。 |
| 推奨事項を入手するための前提条件 | マルウェア対策ソリューションの配置 | エンドポイントでの検出および対応ソリューションの配置。 |
非推奨になる推奨事項
次の表は、非推奨となる推奨事項や置き換えられる推奨事項のタイムテーブルをまとめたものです。
| 推奨事項 | エージェント | サポートされているリソース | 非推奨日 | 置き換えられる推奨事項 |
|---|---|---|---|---|
| Endpoint Protection をマシンにインストールする必要がある (パブリック) | MMA または AMA | Azure および Azure 以外 (Windows および Linux) | 2024 年 3 月 | 新しいエージェントレスの推奨事項 |
| 使用中のマシンで Endpoint Protection の正常性の問題を解決する必要がある (パブリック) | MMA または AMA | Azure (Windows) | 2024 年 3 月 | 新しいエージェントレスの推奨事項 |
| Virtual Machine Scale Sets で Endpoint Protection の正常性の問題を解決する必要がある | MMA | Azure Virtual Machine Scale Sets | 2024 年 8 月 | 代替なし |
| エンドポイント保護ソリューションを仮想マシン スケール セットにインストールする必要がある | MMA | Azure Virtual Machine Scale Sets | 2024 年 8 月 | 代替なし |
| マシンにエンドポイント保護ソリューションがインストールされている必要がある | MMA | Azure 以外のリソース (Windows) | 2024 年 8 月 | 代替なし |
| マシンにエンドポイント保護ソリューションをインストールする | MMA | Azure および Azure 以外 (Windows) | 2024 年 8 月 | 新しいエージェントレスの推奨事項 |
| マシンの Endpoint Protection の正常性の問題を解決する必要がある | MMA | Azure および Azure 以外 (Windows および Linux) | 2024 年 8 月 | 新しいエージェントレスの推奨事項。 |
エージェントレス マシンのスキャンに基づく新しい推奨事項エクスペリエンスは、マルチクラウド マシン全体で Windows と Linux OS の両方がサポートされます。
代替はどのように機能しますか?
- Log Analytics エージェントまたは AMA で提供される現在の推奨事項は、時間の経過に伴い非推奨となる予定です。
- これらの既存の推奨事項の一部は、エージェントレス マシンのスキャンに基づく新しい推奨事項に置き換えられる予定です。
- 現在一般提供されている推奨事項は、Log Analytics エージェントが廃止されるまでそのまま配置されます。
- 現在プレビュー段階の推奨事項は、新しい推奨事項がプレビュー可能になった時点で置き換えられる予定です。
セキュリティ スコアの現状
- 現在一般提供されている推奨事項は、引き続きセキュリティ スコアに影響します。
- 現在および今後の新しい推奨事項は、同じ Microsoft クラウド セキュリティ ベンチマークの制御下に配置され、セキュリティ スコアに重複した影響がないことが保証されます。
新しい推奨事項の準備方法
- Defender for Servers Plan 2 または Defender CSPM の一部として、エージェントレス マシンのスキャンが有効になっていることを確認してください。
- 環境に適している場合は、最適なエクスペリエンスのために、代替の GA 推奨事項が利用可能になった時点で、非推奨の推奨事項を削除することをお勧めします。 そのためには、Azure Policy の組み込みの Defender for Cloud イニシアチブの推奨事項を無効にします。
ファイル整合性監視エクスペリエンス - 変更と移行のガイダンス
Microsoft Defender for Servers プラン 2 では、Microsoft Defender for Endpoint (MDE) 統合を利用する新しいファイル整合性監視 (FIM) ソリューションが提供されるようになりました。 MDE を利用する FIM がパブリックになったら、Defender for Cloud ポータルの AMA エクスペリエンスを利用する FIM は削除されます。 10 月には、MMA を利用する FIM は非推奨になります。
AMA による FIM から移行する
現在、AMA による FIM を使っている場合:
AMA と変更追跡拡張機能に基づく FIM への新しいサブスクリプションまたはサーバーのオンボードと、変更の表示は、5 月 30 日以降、Defender for Cloud ポータルから利用できなくなります。
AMA によって収集された FIM イベントを引き続き使いたい場合は、関連するワークスペースに手動で接続し、次のクエリを使って Change Tracking のテーブルの変更を表示できます。
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType新しいスコープのオンボードを続けたり、監視ルールを構成したりする場合は、データ接続ルールを手動で使って、データ収集のさまざまな側面を構成またはカスタマイズできます。
Microsoft Defender for Cloud では、AMA による FIM を無効にし、リリースされたら Defender for Endpoint に基づく新しい FIM バージョンに環境をオンボードすることをお勧めします。
AMA による FIM の無効化
AMA による FIM を無効にするには、Azure Change Tracking ソリューションを削除します。 詳しくは、「ChangeTracking ソリューションを削除する」をご覧ください。
または、関連するファイル変更追跡データ収集ルール (DCR) を削除してもかまいません。 詳しくは、「Remove-AzDataCollectionRuleAssociation」または「Remove-AzDataCollectionRule」をご覧ください。
上のいずれかの方法を使ってファイル イベント収集を無効にした後:
- 選択したスコープでの新しいイベントの収集は停止します。
- 既に収集された履歴イベントは、関連するワークスペースの ConfigurationChange テーブルの Change Tracking セクションに格納されたままになります。 これらのイベントは、このワークスペースで定義されている保持期間に従って、関連するワークスペースで引き続き使用できます。 詳しくは、「保持およびアーカイブの機能」をご覧ください。
Log Analytics エージェント (MMA) による FIM からの移行
現在、Log Analytics エージェント (MMA) による FIM を使っている場合:
- Log Analytics エージェント (MMA) に基づくファイル整合性監視は、2024 年 10 月に非推奨になります。
- Microsoft Defender for Cloud では、MMA による FIM を無効にし、リリースされたら Defender for Endpoint に基づく新しい FIM バージョンに環境をオンボードすることをお勧めします。
MMA による FIM の無効化
MMA による FIM を無効にするには、Azure Change Tracking ソリューションを削除します。 詳しくは、「ChangeTracking ソリューションを削除する」をご覧ください。
ファイル イベント収集を無効にした後:
- 選択したスコープでの新しいイベントの収集は停止します。
- 既に収集された履歴イベントは、関連するワークスペースの ConfigurationChange テーブルの Change Tracking セクションに格納されたままになります。 これらのイベントは、このワークスペースで定義されている保持期間に従って、関連するワークスペースで引き続き使用できます。 詳しくは、「保持およびアーカイブの機能」をご覧ください。
マシン上での Defender for SQL の準備
Defender for SQL Server on Machines の Log Analytics エージェントの非推奨計画の詳細を確認できます。
現在の Log Analytics エージェントまたは Azure Monitor エージェント自動プロビジョニング プロセスを使用している場合は、新しい Azure Monitoring Agent for SQL Server on Machines 自動プロビジョニング プロセスに移行する必要があります。 移行プロセスはシームレスであり、すべてのマシンに継続的な保護を提供します。
SQL サーバーを対象とする AMA 自動プロビジョニング プロセスに移行する
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
[Databases プラン] で、[必要な操作] を選択します。
![[アクションが必要です] の場所を示すスクリーンショット。](media/prepare-deprecation-log-analytics-mma-agent/select-action-required.png)
ポップアップ ウィンドウで、[有効にする] を選択します。
![ポップアップ ウィンドウから [有効] を選択している様子を示すスクリーンショット。](media/prepare-deprecation-log-analytics-mma-agent/select-enable-sql.png)
[保存] を選択します。
![[アクションが必要です] の場所を示すスクリーンショット。](media/prepare-deprecation-log-analytics-mma-agent/select-action-required.png#lightbox)
![ポップアップ ウィンドウから [有効] を選択している様子を示すスクリーンショット。](media/prepare-deprecation-log-analytics-mma-agent/select-enable-sql.png#lightbox)
SQL サーバーを対象とする AMA 自動プロビジョニング プロセスが有効になったら、Log Analytics エージェントまたは Azure Monitor エージェントの自動プロビジョニング プロセスを無効にし、すべての SQL Server で MMA をアンインストールする必要があります。
Log Analytics エージェントを無効にするには、次の操作を行います。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連するサブスクリプションを選択します。
[Databases プラン] で、[設定] を選択します。
Log Analytics エージェントを [オフ] に切り替えます。
続行を選択します。
[保存] を選択します。
移行の計画
お客様のビジネス要件に合わせてエージェントの移行を計画されることをお勧めします。 表にガイダンスの概要をまとめています。
| Defender for Servers を使用していますか? | 次の Defender for Servers の機能は、次の一般提供に必要ですか? ファイルの整合性の監視、エンドポイント保護の推奨事項、セキュリティ ベースラインの推奨事項 | マシン上の Azure Defender for SQL サーバーまたは AMA ログ収集を使用していますか? | 移行計画 |
|---|---|---|---|
| はい | はい | いいえ | 1.Defender for Endpoint 統合とエージェント マシンのスキャンを有効にします。 2.代替プラットフォームの全機能が一般提供されるまで待ちます (プレビュー版を早期に使用することもできます)。 3.機能が一般提供されたら、Log Analytics エージェントを無効にします。 |
| いいえ | --- | いいえ | これで、Log Analytics エージェントを削除できます。 |
| いいえ | --- | はい | 1.これで、AMA の SQL 自動プロビジョニングに移行できます。 2.Log Analytics エージェントまたは Azure Monitor エージェントを無効にします。 |
| はい | イエス | はい | 1.Defender for Endpoint 統合とエージェント マシンのスキャンを有効にします。 2.Log Analytics エージェントと AMA を並行的に使用することで、一般提供されたすべての機能を利用できます。 エージェントの平行的な実行については、こちらを参照してください。 3.Defender for SQL on Machines で、AMA の SQL 自動プロビジョニングに移行します。 あるいは、2024 年 4 月に Log Analytics エージェントから AMA への移行を開始します。 4.移行が完了したら、Log Analytics エージェントを無効にします。 |
| はい | いいえ | はい | 1.Defender for Endpoint 統合とエージェント マシンのスキャンを有効にします。 2.これで、Defender for SQL on Machines で AMA の SQL 自動プロビジョニングに移行できます。 3.Log Analytics エージェントを無効にします。 |