Azure Defender の概要

Azure Security Center の機能は、クラウド セキュリティの 2 つの大きな柱をカバーしています。

  • クラウド セキュリティ態勢管理 (CSPM) - Security Center は、すべての Azure ユーザーが 無料 で利用できます。 無料のエクスペリエンスには、セキュリティ スコア、Azure マシンのセキュリティ構成の誤りの検出、資産インベントリなどの CSPM 機能が含まれます。 これらの CSPM 機能を使用して、ハイブリッド クラウドの態勢を強化し、組み込みポリシーへの準拠を追跡します。

  • クラウド ワークロード保護 (CWP) - Security Center の統合クラウド ワークロード保護プラットフォーム (CWPP) である Azure Defender は、Azure とハイブリッド リソースおよびワークロードの高度でインテリジェントな保護を実現します。 Azure Defender を有効にすると、このページで説明するさまざまな追加のセキュリティ機能が提供されます。 組み込みポリシーに加え、Azure Defender プランを有効にすると、カスタム ポリシーおよびイニシアティブを追加できます。 NIST や Azure CIS などの規制基準と Azure セキュリティ ベンチマークを追加して、コンプライアンスの完全にカスタマイズされたビューを実現できます。

Security Center の Azure Defender ダッシュボードにより、環境の CWP 機能を可視化し、制御できます。

Azure Defender ダッシュボードの例。

Azure Defender によって、どのような種類のリソースがセキュリティ保護されますか?

Azure Defender では、仮想マシン、SQL データベース、コンテナー、Web アプリケーション、ネットワークなどに対して、セキュリティ アラートと高度な脅威保護が提供されます。

Azure Security Center の 価格と設定 の領域から Azure Defender を有効にすると、次の Defender プランが同時にすべて有効になり、環境のコンピューティング、データ、およびサービス レイヤーに対する包括的な防御が提供されます。

これらのプランについてはそれぞれ、Security Center のドキュメントで個別に説明されています。

ヒント

Azure Defender for IoT (プレビュー) は、個別の製品です。 詳細については、「Azure Defender for IoT (プレビュー) の概要」を参照してください。

ハイブリッド クラウド保護

Azure 環境の防護に加えて、次のような Azure Defender 機能をハイブリッド クラウド環境に追加することができます。

  • 非 Azure サーバーを保護する
  • 他のクラウド (AWS、GCP など) 内の仮想マシンを保護する

特定の環境に応じてカスタマイズされた脅威インテリジェンスと優先順位が付けられたアラートを取得して、最も重要な問題に専念できるようにします。

他のクラウドまたはオンプレミスの仮想マシンと SQL データベースに保護を拡張するには、Azure Arc をデプロイし、Azure Defender を有効にします。 Azure Arc for servers は無料のサービスですが、Azure Arc 対応サーバーで使用されるサービス (Azure Defender など) は、そのサービスの価格に従って課金されます。 詳細については、「Azure Arc を使用して Azure 以外のマシンを追加する」をご覧ください。

ヒント

AWS のネイティブ コネクタにより、Azure Arc デプロイが透過的に処理されます。 詳細については、「Azure Security Center への AWS アカウントの接続」をご覧ください。

Azure Defender のセキュリティ アラート

Azure Defender によって環境のいずれかの領域で脅威が検出されると、セキュリティ アラートが生成されます。 これらのアラートでは、影響を受けるリソースや推奨される修復手順の詳細と、場合によっては、ロジック アプリを応答でトリガーするオプションが示されます。

アラートは、Security Center によって生成されたか、統合されているセキュリティ製品から Security Center によって受信されたかにかかわらず、エクスポートすることができます。 アラートを Azure Sentinel、サードパーティの SIEM、またはその他の外部ツールにエクスポートする場合は、「SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする」の手順に従ってください。

注意

アラートの出力元によって、表示されるまでの時間が変わる場合があります。 たとえば、ネットワーク トラフィックの分析を必要とするアラートは、仮想マシンで実行されている疑わしいプロセスに関連するアラートよりも、表示されるまでより長い時間がかかる可能性があります。

Azure Defender の高度な保護機能

Azure Defender では、リソースに関連する、調整された推奨事項を得るために、高度な分析を使用します。

保護には、ジャスト インタイム アクセスと適応型アプリケーション制御を使用した、VM の管理ポートのセキュリティ保護が含まれます。これにより、コンピューター上で実行すべきアプリや実行する必要がないアプリを示す許可リストが作成されます。

Azure Defender ダッシュボードの [高度な保護] タイルを使用して、これらの保護をそれぞれ監視し、構成します。

脆弱性の評価と管理

Azure Defender には、仮想マシンとコンテナー レジストリの脆弱性評価が追加費用なしで含まれています。 一部のスキャナーでは Qualys を使用していますが、Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。

Microsoft Defender for Endpoint との統合を有効にした場合は、Microsoft の脅威と脆弱性の管理 から脆弱性の検出結果にアクセスできるようになります。 詳細については、「Microsoft Defender for Endpoint の脅威と脆弱性の管理を使用して弱点を調査する」を参照してください。

これらの脆弱性スキャナーの結果を確認し、すべての結果に対して Security Center 内から対応します。 これにより、Security Center では、クラウド セキュリティのすべての取り組みを、より一元的に確認できます。

重要

Security Center と Microsoft Defender for Endpoint の統合は、既定で有効になっています。 そのため、Azure Defender を有効にする際、脆弱性、インストールされているソフトウェア、エンドポイントのアラートに関連する Microsoft Defender for Endpoint データへの Azure Defender for servers のアクセスに同意します。

詳細については、次のページを参照してください。

次の手順

この記事では、Azure Defender の利点について説明しました。