Microsoft Defender for servers について
Microsoft Defender for Servers では、Azure、AWS、GCP、またはオンプレミス環境のいずれで実行されている Windows マシンと Linux マシンに脅威検出と高度な防御が提供されています。 ハイブリッドとマルチクラウドの環境内にあるマシンを保護するために、Defender for Cloud は Azure Arc を使います。
Microsoft Defender Servers は、次の 2 つのプランで利用できます。
Microsoft Defender for Servers プラン 1 - Microsoft Defender for Endpoint をサーバーにデプロイし、次の機能を提供します。
- Microsoft Defender for Endpoint ライセンスはシート単位ではなく時間単位で課金され、仮想マシンを使用時にのみ保護することでコストが削減されます。
- Microsoft Defender for Endpoint は、すべてのクラウド ワークロードに自動的にデプロイされるため、起動時に保護されていることがわかります。
- Microsoft Defender for Endpoint のアラートと脆弱性データは Microsoft Defender for Cloud に表示されます
Microsoft Defender for Servers プラン 2 (旧 Defender for Servers) - プラン 1 の利点と、Microsoft Defender for Servers の他の全機能のサポートが含まれます。
Microsoft Defender for Servers プランを有効にするには、次のようにします。
[環境設定] に移動し、ご利用のサブスクリプションを選択します。
Microsoft Defender for Servers が有効になっていない場合は、[オン] に設定します。 既定では、プラン 2 が選択されています。
Defender for Servers プランを変更する場合は、次のようにします。
[プラン/価格] 列で、[プランの変更] を選択します。 目的のプランを選択して [確認] を選択します。
プランの機能
次の表に、各計画に含まれる内容の概略を示します。
| 機能 | Defender for Servers プラン 1 | Defender for Servers プラン 2 |
|---|---|---|
| Azure、AWS、GCP のリソースの自動オンボード | はい | はい |
| Microsoft の脅威と脆弱性の管理 | はい | はい |
| Microsoft Defender for Cloud または Microsoft Defender ポータルの柔軟な使用 | はい | はい |
| Microsoft Defender for Cloud と Microsoft Defender for Endpoint の統合 (アラート、ソフトウェア インベントリ、脆弱性評価) | はい | はい |
| ログ分析 (500 MB 無料) | はい | |
| Qualys を使用した脆弱性評価 | はい | |
| 脅威の検出: OS レベル、ネットワーク レイヤー、コントロール プレーン | はい | |
| アダプティブ アプリケーション制御 | はい | |
| ファイルの整合性の監視 | はい | |
| Just-In-Time VM アクセス | はい | |
| アダプティブ ネットワークのセキュリティ強化機能 | はい |
Defender for Servers の利点
Microsoft Defender for Servers で提供される脅威および保護機能には、次のものがあります。
Microsoft Defender for Endpoint の統合ライセンス - Microsoft Defender for servers には、Microsoft Defender for Endpoint が含まれています。 同時に、包括的なエンドポイントの検出と対応 (EDR) 機能が提供されます。 Microsoft Defender for Servers を有効にすると、Defender for Cloud で、脆弱性、インストールされているソフトウェア、エンドポイントのアラートに関連する Microsoft Defender for Endpoint のデータにアクセスできるようになります。
Defender for Endpoint で脅威が検出されると、アラートがトリガーされます。 このアラートは Defender for Cloud に表示されます。 Defender for Cloud から、Defender for Endpoint コンソールにピボットし、詳細な調査を実行して攻撃の範囲を明らかにすることもできます。
マシンの脆弱性評価ツール - Microsoft Defender for Servers では、お使いのマシン向けに脆弱性の検出と管理のツールを選択できます。 Defender for Cloud の [設定] ページでは、マシンにデプロイするツールを選択できます。 検出された脆弱性は、セキュリティの推奨事項に示されます。
Microsoft 脅威と脆弱性の管理 - Microsoft Defender for Endpoint を使用して、リアルタイムで脆弱性と構成の誤りを発見します。その他のエージェントや定期的なスキャンは必要ありません。 脅威と脆弱性の管理により、脅威の情勢、組織での検出、脆弱なデバイス上の機密情報、ビジネス事情に従って、脆弱性の優先順位が付けられます。
Qualys による脆弱性スキャナー - Qualys スキャナーは、Azure とハイブリッドの仮想マシンの脆弱性をリアルタイムで特定するための主要なツールの 1 つです。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。
Just-In-Time (JIT) 仮想マシン (VM) アクセス - 脅威アクターは、RDP や SSH などの、開いている管理ポートがあるアクセス可能なマシンを積極的に探しています。 すべての仮想マシンは、攻撃の対象となる可能性があります。 VM への侵害が成功すると、これは環境内のリソースをさらに攻撃するためのエントリ ポイントとして使用されます。
Microsoft Defender for Servers を有効にすると、Just-In-Time VM アクセスを使用して、お使いの VM への受信トラフィックをロックダウンできます。 必要になるまでリモート アクセス ポートを閉じておくことで、攻撃への露出を減らし、必要に応じて VM に接続する場合に簡単なアクセスを提供できます。
ファイルの整合性の監視 (FIM) - ファイルの整合性の監視 (FIM) は変更の監視とも呼ばれ、オペレーティング システムやアプリケーション ソフトウェアなどのファイルとレジストリを調べて、攻撃の兆候となる変更を確認します。 比較方式を使用して、ファイルの現在の状態がファイルの前回のスキャンと異なっているかどうかが判別されます。 この比較を使用して、有効なものであれ、疑わしいものであれ、ファイルに変更が加えられていないかを判別できます。
Microsoft Defender for servers を有効にすると、FIM を使用して、Windows ファイル、Windows レジストリ、Linux ファイルの整合性を検証できます。
適応型アプリケーション制御 (AAC) - 適応型アプリケーション制御は、マシンの既知の安全なアプリケーションの許可リストを定義するための、インテリジェントで自動化されたソリューションです。
適応型アプリケーション制御を有効にして構成した後、安全であると定義したもの以外のアプリケーションを実行すると、セキュリティ アラートが発生します。
アダプティブ ネットワークのセキュリティ強化機能 (ANH) - ネットワーク セキュリティ グループ (NSG) を適用してリソースとの間でやり取りされるトラフィックをフィルター処理することにより、ネットワーク セキュリティ ポスチャを向上させることができます。 ただし、NSG を通過する実際のトラフィックが、定義される NSG ルールのサブセットとなる場合もあります。 このような場合は、実際のトラフィック パターンに基づいて NSG ルールを強化することによって、セキュリティ ポスチャをさらに向上させることができます。
アダプティブ ネットワークのセキュリティ強化機能によって、NSG ルールをさらに強化するための推奨事項が提供されます。 実際のトラフィック、既知の信頼された構成、脅威インテリジェンス、および侵害に関するその他のインジケーターを考慮する機械学習アルゴリズムが使用されます。 次に、ANH によって、特定の IP とポートの組からのトラフィックのみを許可するための推奨事項が示されます。
Docker ホストの強化機能 - Microsoft Defender for Cloud では、IaaS Linux VM 上、または Docker コンテナーを実行している他の Linux マシン上でホストされているアンマネージド コンテナーが識別されます。 Defender for Cloud によって、こうしたコンテナーの構成が継続的に評価されます。 その後、Center for Internet Security (CIS) Docker Benchmark と比較されます。 Defender for Cloud には CIS Docker Benchmark のルールセット全体が含まれており、コンテナーがいずれかのコントロールを満たしていない場合は警告が表示されます。
ファイルレス攻撃の検出 - ファイルレス攻撃は、ディスクベースのスキャン手法による検出を避けるために、悪意のあるペイロードをメモリに挿入します。 侵害されたプロセスのメモリ内に存続する攻撃者のペイロードにより、さまざまな悪意のあるアクティビティが実行されます。
自動メモリ フォレンジック手法は、ファイルレス攻撃の検出を使用して、ファイルレス攻撃のツールキット、手法、および動作を識別します。 このソリューションでは、実行時にマシンが定期的にスキャンされて、プロセスのメモリから分析情報が直接抽出されます。 特定の分析情報には、次のものの識別が含まれます。
- よく知られているツールキットと暗号化マイニング ソフトウェア
- シェルコード - 通常、ソフトウェアの脆弱性の悪用でペイロードとして使用される小さなコードです。
- プロセスのメモリ内に挿入された悪意のある実行可能ファイル
ファイルレス攻撃の検出では、ネットワーク アクティビティなどのプロセス メタデータの記述を含む詳細なセキュリティ アラートが生成されます。 これらの詳細により、アラートのトリアージ、関連付け、およびダウンストリームの応答時間が短縮されます。 このアプローチにより、イベントベースの EDR ソリューションが補完され、検出範囲が拡大します。
Linux auditd アラートと Log Analytics エージェントの統合 (Linux のみ) - auditd システムは、システム コールの監視を担当するカーネル レベルのサブシステムで構成されます。 指定されたルール セットによってそれらのフィルター処理が行われ、それらに対するメッセージがソケットに書き込まれます。 Defender for Cloud は、Log Analytics エージェント内で auditd パッケージの機能を統合します。 この統合により、前提条件なしで、すべてのサポートされている Linux ディストリビューションで auditd イベントの収集が可能になります。
Linux 用 Log Analytics エージェントによって、auditd レコードが収集され、それらがエンリッチされてイベントに集約されます。 Defender for Cloud では、Linux のシグナルを使用してクラウドおよびオンプレミスの Linux マシン上で悪意のある動作を検出する新しい分析が継続的に追加されています。 Windows の機能と同様に、これらの分析には、疑わしいプロセス、不審なサインイン試行、カーネル モジュールの読み込み、およびその他のアクティビティをチェックするテストが含まれます。 これらのアクティビティは、マシンが攻撃を受けているか、侵害されたことを示している可能性があります。
Defender for Servers によるデータの収集方法
Windows の場合、Microsoft Defender for Cloud は Azure サービスと統合され、Windows ベースのマシンを監視および保護します。 Defender for Cloud は、これらすべてのサービスからのアラートと修復の提案を使いやすい形式で示します。
Linux の場合、Defender for Cloud は auditd (最も一般的な Linux 監査フレームワークの 1 つ) を使用して、Linux マシンから監査レコードを収集します。
ハイブリッドおよびマルチクラウドのシナリオの場合、Defender for Cloud は Azure Arc と統合され、これらの Azure 以外のマシンが Azure リソースと見なされるようにします。