ゲスト構成に関するレコメンデーションを修復する
Note
Log Analytics エージェント (別名 MMA) は 2024 年 11 月に廃止される予定であるため、このページで説明されているものを含め、現在それに依存しているすべての Defender for Servers 機能は、廃止日を待たずに Microsoft Defender for Endpoint 統合またはエージェントレス スキャンを通じて利用できるようになります。 Log Analytics エージェントに現在依存している各機能のロードマップの詳細については、この発表を参照してください。
Defender for Cloud は、サブスクリプションに接続されている仮想マシン (VM) のベースライン構成の誤りを評価します。 この評価では、事前に定義されたセキュリティ ベースラインと照らし合わせて VM を評価し、潜在的なリスクを引き起こす可能性のある逸脱や構成の誤りを特定します。 VM をセキュリティのベスト プラクティスと組織のポリシーに合わせることで、堅牢かつ安全なコンピューティング環境を維持できます。
マシン情報は Azure Policy ゲスト構成を通じて収集され、評価はさまざまなコンプライアンス ベンチマークと規制をカバーする Microsoft ベンチマークに基づいています。 たとえば、CIS、STIG などです。 Azure Policy ゲスト構成では、サブスクリプションで次のポリシーが有効になります。
Note
これらのポリシーを削除すると、Azure Policy ゲスト構成拡張機能の恩恵を受けられなくなります。
前提条件
Defender Servers プラン 2 の価格情報については、Defender for Cloud の価格ページを参照してください。
重要
Defender for Cloud ポータルの外部に存在する Azure Policy ゲスト構成によって提供される追加機能は Defender for Cloud に含まれていないため、Azure Policy ゲスト構成の価格ポリシーの対象となります。 たとえば、修復やカスタム ポリシーなどです。 詳細については、Azure Policy ゲスト構成の価格のページを参照してください。
Azure Policy ゲスト構成をマシンにインストールします。
Azure マシン: Defender for Cloud ポータルのレコメンデーションページで "ゲスト構成拡張機能をマシンにインストールする必要があります" を検索して選択し、レコメンデーションを修復します。
Azure VM のみ: Defender for Cloud ポータルでマネージド ID を割り当てる必要があります。 レコメンデーション ページに移動します。 [仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある] を検索して選択します。 次にレコメンデーションを修復します。
(省略可) Azure VM のみ: [Azure Policy guest configuration across your entire subscription] (サブスクリプション全体の Azure Policy ゲスト構成) を有効にします。
サブスクリプション全体にわたって、Azure マシンで Azure Policy ゲスト構成拡張機能を有効にします。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
[環境設定]>[サブスクリプション]>[設定と監視] に移動します。
ゲスト構成エージェント (プレビュー) を [オン] に切り替えます。
[続行] を選択します。
GCP と AWS: GCP プロジェクトを接続するか、Azure Arc 自動プロビジョニングを有効にして Defender for Cloud に AWS アカウントを接続すると、Azure Policy ゲスト構成が自動的にインストールされます。
オンプレミス マシン: オンプレミス マシンを Azure Arc 対応マシンまたは VM としてオンボードすると、Azure Policy ゲスト構成が既定で有効になります。
ゲスト構成のレコメンデーションを確認して修復する
Azure Policy ゲスト構成がサブスクリプションにオンボードされると、Defender for Cloud ではセキュリティ ベースラインと照らし合わせて VM の評価を開始します。 環境によっては、誤った構成が見つかった場合に、レコメンデーション ページに次のレコメンデーションが表示されることがあります。
- Windows マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成)
- Linux マシンのセキュリティ構成の脆弱性を修復する必要がある (Powered by ゲスト構成)
これらを確認して修復するには:
Azure portal にサインインします。
[Defender for Cloud]> [レコメンデーション]** に移動します。
レコメンデーションの 1 つを検索して選択します。
レコメンデーションを確認します。
Note
Microsoft Monitoring Agent (MMA) とも呼ばれる Log Analytics エージェントの廃止プロセス中に、同じマシンに対して重複する推奨事項が表示される場合があります。 これは、MMA と Azure Policy ゲスト構成の両方で同じマシンを評価しているためです。 これを回避するには、マシン上で MMA を無効にします。
API を使用してレコメンデーションを照会する
Defender for Cloud では、API 用の Azure Resource Graph とポータル クエリを使用して、レコメンデーション情報を照会します。 これらのリソースを利用して、情報を取得する独自のクエリを作成できます。
Azure Resource Graph でレコメンデーションを確認する方法についてはこちらを参照してください。
使用できる 2 つのサンプル クエリを次に示します。
特定のリソースについて異常な規則をすべて照会する
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'すべての異常な規則と、それぞれの異常なマシンの数
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
詳細なクエリを作成する方法については、「Azure Resource Graph クエリ言語の概要」を参照してください。
Note
Microsoft Monitoring Agent (MMA) とも呼ばれる Log Analytics エージェントの廃止プロセス中に、同じマシンに対して重複する推奨事項が表示される場合があります。 これは、MMA と Azure Policy ゲスト構成の両方で同じマシンを評価しているためです。 これを回避するには、マシン上で MMA を無効にします。