Defender for Cloud の Azure Monitor エージェント
サーバー リソースのセキュリティを確保するには、Microsoft Defender for Cloud でサーバーにインストールされているエージェントを使用して、サーバーに関する情報を分析のために Microsoft Defender for Cloud に送信します。
この記事では、Defender for SQL Server をマシンに展開する場合の AMA の基本設定の概要について説明します。
Note
Defender for Cloud の新たな戦略の一環として、Defender for Servers オファリングで Azure Monitor エージェントが不要となります。 ただし、マシン上では、Defender for SQL Server が引き続き必要となります。 そのため、どちらのエージェントに対しても、以前の自動プロビジョニング プロセスがそれぞれに応じて調整されています。 詳細については、こちらのお知らせを確認してください。
Defender for Servers の Azure Monitor エージェント
Azure Monitor エージェント (AMA) は、サーバーへのデプロイには引き続き使用できますが、Defender for Servers の機能を利用する際は不要です。 サーバーが確実にセキュリティで保護されるようにするには、Defender for Servers のすべてのセキュリティ コンテンツを受信し、サブスクリプションで Defender for Endpoint (MDE) 統合とエージェントレス ディスク スキャンが有効になっていることを確認します。 これにより、シームレスに最新の状態となるとともに、代替のすべての成果物を、提供され次第すべて受信できるようになります。
AMA プロビジョニングは、Microsoft Defender for Cloud プラットフォームを介して、マシン上の Defender for SQL サーバー経由でのみ使用できます。 PowerShell、CLI、Resource Manager テンプレートなどの標準的な方法を使用して、サーバーに AMA をデプロイする方法について説明します。
可用性
可用性に関する次の情報は、Defender for SQL プランにのみ関連します。
側面 | 詳細 |
---|---|
リリース状態: | 一般提供 (GA) |
関連する Defender プラン: | マシン上の Defender for SQL サーバー |
必要なロールとアクセス許可 (サブスクリプションレベル): | 所有者 |
サポートされる宛先: | Azure 仮想マシン Azure Arc 対応マシン |
ポリシーベース: | はい |
クラウド: | 商用クラウド Azure Government、21Vianet によって運営される Microsoft Azure |
前提条件
Defender for Cloud を使用して AMA をデプロイする前に、次の前提条件を満たす必要があります。
- マルチクラウドとオンプレミスのマシンに Azure Arc がインストールされていることを確認します。
- AWS と GCP のマシン
- AWS コネクタをオンボードし、Azure Arc を自動プロビジョニングします。
- GCP コネクタをオンボードし、Azure Arc を自動プロビジョニングします。
- オンプレミスのマシン
- AWS と GCP のマシン
- Azure Monitor エージェントでサポートする Defender プランが有効になっていることを確認します。
SQL Server を対象とする AMA 自動プロビジョニング プロセスをデプロイする
Defender for Cloud を使用した Azure Monitor エージェントのデプロイは、マシン上の SQL Server で実行できます。詳細については、こちらを参照してください。
Log Analytics と Azure Monitor の両方のエージェントを使用して実行した場合の影響
Log Analytics と Azure Monitor エージェントの両方を同じコンピューターで実行できますが、次の考慮事項に注意する必要があります。
- 特定の推奨事項またはアラートは両方のエージェントによって報告され、Defender for Cloud に 2 回表示されます。
- 各マシンは Defender for Cloud で 1 回課金されますが、Log Analytics ワークスペースのデータ インジェストなど、Log Analytics と Azure Monitor に接続されている他のサービスの課金を必ず追跡してください。
- どちらのエージェントも、マシンのパフォーマンスに影響します。
Defender for Servers プラン 2 を有効にすると、Defender for Cloud がプロビジョニングするエージェントを決定します。 ほとんどの場合、既定値は Log Analytics エージェントです。
Azure Monitor エージェントへの移行について、詳細をご確認ください。
カスタム構成
カスタムの宛先 Log Analytics ワークスペースを構成する
自動プロビジョニングを使用して Azure Monitor エージェントをインストールする場合は、インストールされている拡張機能の宛先ワークスペースを定義できます。 既定では、宛先は、Defender for Cloud によってサブスクリプションのリージョンごとに作成される "既定のワークスペース" である defaultWorkspace-<subscriptionId>-<regionShortName>
です。 Defender for Cloud で、データ収集ルール、ワークスペース ソリューション、そのワークスペースのその他の拡張機能が自動的に構成されます。
カスタム Log Analytics ワークスペースを構成する場合:
- Defender for Cloud によって構成されるのは、カスタム ワークスペースのデータ収集ルールとその他の拡張機能のみです。 カスタム ワークスペースのワークスペース ソリューションは、自分で構成する必要があります。
- セキュリティ ソリューションを使用して Log Analytics ワークスペースに報告する Log Analytics エージェントが存在するマシンは、Defender for Servers プランが有効になっていない場合でも課金されます。 Azure Monitor エージェントを使用するマシンは、サブスクリプションでプランが有効になっている場合にのみ課金されます。 その場合も、プランの機能を使用し、500 MB 特典の対象となるためには、ワークスペースにセキュリティ ソリューションが必要です。
Log Analytics ワークスペース ソリューション
Azure Monitor エージェントには、Log Analytics ワークスペース ソリューションが必要です。 これらのソリューションは、既定のワークスペースを使用して Azure Monitor エージェントを自動プロビジョニングすると、自動的にインストールされます。
収集するデータに応じて必要な Log Analytics ワークスペース ソリューションは次のとおりです。
- クラウド セキュリティ態勢管理 (CSPM) – SecurityCenterFree ソリューション
- Defender for Servers プラン 2 – セキュリティ ソリューション
その他のセキュリティ イベントの収集
Defender for Cloud で Log Analytics エージェントを自動プロビジョニングするとき、ワークスペースに他のセキュリティ イベントを収集することを選択できます。
Log Analytics ワークスペースと同様に、Defender for Servers プラン 2 ユーザーは、セキュリティ イベントを含む定義済みのデータ型で、毎日 500 MB の無料データを利用できます。
次のステップ
Log Analytics エージェントを有効にしたので、エージェントでサポートされている機能を確認します。