Azure マシンの構成拡張機能をインストールする
Defender for Cloud では、Microsoft クラウド セキュリティ ベンチマーク (MCSB) の Windows および Linux コンピューティング セキュリティ ベースラインと照合して、オペレーティング システムの設定を評価します。
評価に必要な情報は、Azure マシンの構成拡張機能 (旧称: Azure Policy ゲスト構成) によって収集されます。
この記事では、この拡張機能をデプロイする方法について説明します。
前提条件
| 要件 | 詳細 |
|---|---|
| プラン | MCSB コンピューティング セキュリティ ベースラインに基づくオペレーティング システムの推奨事項を受け取るには、Defender for Servers プラン 2 を有効にする必要があります。 |
| マシンのサポート | Windows および Linux で実行されているサポート対象の Azure VM と Azure Arc VM を確認します。 |
| 拡張機能の要件 | Azure VM の拡張機能デプロイ要件を確認します。 |
| アクセス許可 | 推奨事項を表示し、OS ベースライン データを調べるには、関連する Azure サブスクリプションに対する読み取りアクセス許可が必要です。 |
Note
マシンの構成拡張機能を使用する収集は、Log Analytics エージェント (Microsoft Monitoring Agent (MMA) とも呼ばれます) を使用した以前のデータ収集方法に代わります。 MMA の使用は、2024 年 11 月までサポートされます。
AWS/GCP にインストールする
AWS/GCP マシンの場合、AWS または GCP コネクタで Arc プロビジョニングを選択すると、マシンの構成が既定でインストールされます。
オンプレミスのマシンにインストールする
オンプレミスのマシンの場合、オンプレミスの VM を Azure Arc 対応 VM としてオンボードすると、マシンの構成が既定で有効になります。
Azure マシンにインストールする
Defender for Servers プラン 2 を有効にすると、Defender for Cloud の推奨事項を使用してマシンにマシンの構成拡張機能をインストールできます。
適切な推奨事項を検索します。
- Azure マシン: 推奨事項「ゲスト構成拡張機能がマシンにインストールされている必要がある」を検索します。
- Azure VM: Azure VM の場合のみ、マネージド ID をマシンに割り当てる必要があります。 これを行うには、推奨事項「仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある」を検索します
必要に応じて推奨事項を修復します。
ゲスト構成拡張機能を自動プロビジョニングする
Azure VM の場合、サブスクリプション全体で Azure VM へのゲスト構成拡張機能のインストールを自動プロビジョニングできます。
Defender for Cloud で、[環境設定]>[サブスクリプション]>[設定と監視] を開きます。
[設定] で [ゲスト構成] を選択します。
ゲスト構成エージェント (プレビュー) を [オン] に切り替えます。
[続行] を選択します。
マシンでマシンの構成拡張機能を有効にすると、そのマシンを Windows および Linux オペレーティング システムのベースラインと照合して評価できます。
次のステップ
OS の構成の誤りに関する推奨事項を確認します。