次の方法で共有


エージェントレス マシンのスキャンを有効にする

Microsoft Defender for Cloud のエージェントレス マシン スキャンは、Defender for Cloud に接続されたマシンのセキュリティ態勢を強化します。 エージェントレス マシンのスキャンには、ソフトウェア インベントリ、脆弱性、シークレット、マルウェアのスキャンなど、さまざまな機能が含まれます。

  • エージェントレス スキャンでは、インストール済みのエージェントやネットワーク接続は必要なく、マシンのパフォーマンスにも影響を与えません。
  • エージェントレス マシンのスキャンはオンとオフを切り替え可能ですが、個別の機能をオフにすることはできません。

Defender for Servers プラン 2 または Defender クラウド セキュリティ態勢管理 (CSPM) プランを有効にすると、エージェントレス マシンのスキャンが既定で有効になります。 必要に応じて、この記事の手順を使用して、エージェントレス マシンのスキャンを手動で有効にできます。

前提条件

要件 詳細
プラン エージェントレス スキャンを使用するには、Defender CSPM プラン、または Defender for Servers プラン 2 を有効にする必要があります。

どちらかのプランでエージェントレス スキャンを有効にすると、両方のプランでその設定が有効になります。
マルウェア スキャン マルウェア スキャンは、Defender for Servers プラン 2 が有効になっている場合にのみ使用できます。

Kubernetes ノード VM のマルウェア スキャンには、Defender for Servers プラン 2 または Defender for Containers プランのいずれかが必要です。
サポートされているマシン エージェントレス マシンのスキャンは、Azure VM、Defender for Cloud に接続された AWS/GCP マシン、および Azure Arc 対応 VM としてオンボードされたオンプレミスのマシンで使用できます。
Azure VM エージェントレス スキャンは、次の条件を満たす Azure 標準 VM で使用できます。

- 許可される最大合計ディスク サイズ: 4 TB (すべてのディスクの合計)
- 許可されるディスクの最大数: 6
- 仮想マシン スケール セット - Flex

次のディスクのサポート:
- Unencrypted
- 暗号化済み (プラットフォームマネージド キー (PMK) と Azure Storage 暗号化を使用したマネージド ディスク)
- カスタマー マネージド キーで暗号化済み (プレビュー)。
AWS エージェントレス スキャンは、非暗号化、暗号化 (PMK)、および暗号化 (CMK) の EC2、オート スケール インスタンス、ディスクで使用できます。
GCP エージェントレス スキャンは、コンピューティング インスタンス、インスタンス グループ (マネージドと非マネージド)、Google マネージド暗号化キー、カスタマー マネージド暗号化キー (CMEK) で使用できます
Kubernetes ノード Kubernetes ノード VM における脆弱性とマルウェアに対するエージェントレス スキャンが使用できます。

脆弱性の評価には、Defender for Servers プラン 2、Defender for Containers プラン、または Defender Cloud Security Posture Management (CSPM) プランが必要です。

マルウェア スキャンには、Defender for Servers プラン 2 または Defender for Containers が必要です。
アクセス許可 エージェントレス スキャンのために Defender for Cloud で使用されるアクセス許可を確認します

Azure でエージェントレス スキャンを有効にする

  1. Defender for Cloud で、[環境設定] を開きます。

  2. 関連するサブスクリプションを選択します。

  3. Defender CSPM プラン、または Defender for Servers プラン 2 のいずれかの場合は、[設定] を選択します。

    Azure アカウントの Defender プランの設定のリンクのスクリーンショット。

  4. [設定と監視] で、[マシンのエージェントレス スキャン] を有効にします。

    エージェントレス スキャンを有効にするための設定と監視画面のスクリーンショット。

  5. [保存] を選択します。

CMK で暗号化されたディスクを使用する Azure VM を有効にする (プレビュー)

CMK で暗号化されたディスクを使用する Azure VM を対象にエージェントレス スキャンを行うには、VM の CMK 暗号化に使用されるキー コンテナーに対して、ディスクの安全なコピーを作成するための追加のアクセス許可を Defender for Cloud に付与する必要があります。

  1. キー コンテナーにアクセス許可を手動で割り当てるには、次の操作を行います。

    • RBAC 以外のアクセス許可を持つキー コンテナーの場合: "Microsoft Defender for Cloud Servers スキャナー リソース プロバイダー" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) に次のアクセス許可を割り当てます: キー取得、キー ラップ、キー ラップ解除。
    • RBAC のアクセス許可を持つキー コンテナーの場合: "Microsoft Defender for Cloud Servers スキャナー リソース プロバイダー" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) に、Key Vault Crypto Service Encryption User 組み込みロールを割り当てます。
  2. 複数のキー コンテナーに対してこれらのアクセス許可を大規模に割り当てるには、このスクリプトを使用します。

AWS でエージェントレス スキャンを有効にする

  1. Defender for Cloud で、[環境設定] を開きます。

  2. 関連するアカウントを選択します。

  3. Defender Cloud Security Posture Management (CSPM) または Defender for Servers P2 プランの場合は、[設定] を選択します。

    AWS アカウントの Defender プランの設定のリンクのスクリーンショット。

    どちらかのプランでエージェントレス スキャンを有効にすると、その設定が両方のプランに適用されます。

  4. [設定] ペインで、[マシンのエージェントレス スキャン] をオンにします。

    AWS アカウントのエージェントレス スキャンの状態のスクリーンショット。

  5. [保存して次へ: アクセスの構成] を選択します。

  6. CloudFormation テンプレートをダウンロードします。

  7. ダウンロードした CloudFormation テンプレートを使用して、画面上の指示に従って AWS にスタックを作成します。 管理アカウントをオンボードする場合は、Stack および StackSet として CloudFormation テンプレートを実行する必要があります。 オンボード後 24 時間以内に、メンバー アカウントのコネクタが作成されます。

  8. [Next : Review and update](次: 確認と生成) を選択します。

  9. [更新] を選択します。

エージェントレス スキャンを有効にすると、Defender for Cloud でソフトウェア インベントリと脆弱性情報が自動的に更新されます。

GCP でエージェントレス スキャンを有効にする

  1. Defender for Cloud で、[環境設定] を選びます。

  2. 関連するプロジェクトまたは組織を選択します。

  3. Defender Cloud Security Posture Management (CSPM) または Defender for Servers P2 プランの場合は、[設定] を選択します。

    GCPプロジェクトの計画を選ぶ場所を示すスクリーンショット。

  4. エージェントレス スキャンを [オン] に切り替えます。

    エージェントレススキャンを選択する場所を示すスクリーンショット。

  5. [保存して次へ: アクセスの構成] を選択します。

  6. オンボード スクリプトをコピーします。

  7. GCP 組織/プロジェクト スコープ (GCP ポータルまたは gcloud CLI) でオンボード スクリプトを実行します。

  8. [Next : Review and update](次: 確認と生成) を選択します。

  9. [更新] を選択します。

各項目の詳細情報

エージェントレス スキャン