次の方法で共有

オペレーティング システムの構成ミス

  • [アーティクル]

Microsoft Defender for Cloud は、組織のセキュリティ態勢を改善し、リスクを軽減するためのセキュリティに関する推奨事項を提供します。 リスク削減の重要な要素は、ビジネス環境全体でコンピューターを強化することです。

評価 (Azure マシンの構成拡張機能)

Defender for Cloud では、組み込みの Azure ポリシー イニシアティブを使用して、ベスト プラクティスのセキュリティ構成を評価し、適用します。 Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、Defender for Cloud の既定のイニシアティブです。

MSCB には、Windows および Linux オペレーティング システムのコンピューティング セキュリティ ベースラインが含まれています。

これらの MCSB コンピューティング セキュリティ ベースラインに基づくオペレーティング システムの推奨事項は、Defender for Cloud の無料の基本的なセキュリティ態勢機能の一部として含まれていません

  • この推奨事項は、Defender for Servers プラン 2 が有効な場合に使用できます。

  • Defender for Servers プラン 2 が有効な場合、関連する Azure ポリシーがサブスクリプションで有効になります。

    • "Windows マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある"
    • "Linux マシンは Azure のコンピューティング セキュリティ ベースラインの要件を満たしている必要がある"

  • これらのポリシーを削除しないようにしてください。そうでないと、マシン データの収集に使用されるマシンの構成拡張機能を利用できなくなります。

データ コレクション

マシン情報は、マシン上で実行されている Azure マシンの構成拡張機能 (以前は Azure Policy ゲスト構成と呼ばれていました) を使用して評価のために収集されます。

マシンの構成拡張機能のインストール

マシンの構成拡張機能は、次の手順でインストールされます。

含まれていないもの

Defender for Cloud の外部の拡張機能マシンによって提供される追加機能は含まれておらず、Azure Policy マシンの構成の価格の適用を受けます。

評価 (Defender 脆弱性の管理)

Microsoft Defender for Cloud は、Microsoft Defender for Endpoint および Microsoft Defender 脆弱性の管理とネイティブに統合され、マシンに脆弱性保護とエンドポイントでの検出と対応 (EDR) 機能を提供します。

その統合の一環として、Defender 脆弱性の管理によってセキュリティ ベースライン評価が提供されます。

  • セキュリティ ベースライン評価では、カスタマイズされたセキュリティ ベースライン プロファイルが使用されます。
  • プロファイルは基本的に、デバイス構成設定とそれらを比較するベンチマークで構成されるテンプレートです。

サポート

  • Defender 脆弱性の管理のセキュリティ ベースライン評価プロファイルに対するデバイスの評価は、現在パブリック プレビューで利用できます。

  • Defender for Servers プラン 2 が有効になっており、評価対象のマシン上で Defender for Endpoint エージェントが実行されている必要があります。

  • セキュリティ ベースライン プロファイルを実行しているマシンに対して評価がサポートされています。

    • windows_server_2008_r2
    • windows_server_2016
    • windows_server_2019
    • windows_server_2022

推奨事項の確認

セキュリティ ベースライン評価によって作成された推奨事項を確認するには、推奨事項 "**マシンを安全に構成する必要がある (MDVM を使用)" を検索し、すべてのリソースの推奨事項を表示します。

次のステップ