Microsoft Defender for Cloud の Defender Cloud Security Posture Management (CSPM) には、セキュリティを効率的かつ効果的に改善するのに役立つ強化ガイダンスが用意されています。 CSPM を使用すると、現在のセキュリティ状況を把握することもできます。
Defender for Cloud は、セキュリティの問題について、リソース、サブスクリプション、組織を継続的に評価します。 Defender for Cloud では、セキュリティ スコアを使用してセキュリティ体制が表示されます。 セキュリティ スコアは、現在のセキュリティ状況を示すセキュリティ結果の集計スコアです。 スコアが高いほど、特定されたリスク レベルは低くなります。
Defender for Cloud を有効にすると、 Foundational CSPM 機能が自動的に有効になります。 これらの機能は、Defender for Cloud によって提供される無料サービスの一部です。
Defender CSPM プランを有効にできます。これにより、ガバナンス、規制コンプライアンス、クラウド セキュリティ エクスプローラー、攻撃パス分析、マシンのエージェントレス スキャンなどの環境に対する追加の保護が提供されます。
注
エージェントレス スキャンでは、 サブスクリプション所有者 が Defender CSPM プランを有効にする必要があります。 承認レベルが低いユーザーは、Defender CSPM プランを有効にできますが、サブスクリプション所有者のみが使用できる必要なアクセス許可がないため、エージェントレス スキャナーは既定では有効になりません。 さらに、エージェントレス スキャナーが無効になっているため、攻撃パス分析とセキュリティ エクスプローラーには脆弱性が表示されません。
可用性と、各プランで提供される機能の詳細については、 Defender CSPM プランのオプションを参照してください。
Defender CSPM の価格の詳細については、 価格に関するページを参照してください。
[前提条件]
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
Azure 以外のマシン、AWS アカウント、または GCP プロジェクトを接続します。
CSPM プランから使用可能なすべての機能にアクセスするには、サブスクリプション所有者がプランを有効にする必要があります。
Defender CSPM プランを有効にする
Defender for Cloud を有効にすると、Foundational CSPM 機能によって提供される保護が自動的に受け取られます。 Defender CSPM によって提供される他の機能にアクセスするには、サブスクリプションで Defender CSPM プランを有効にする必要があります。
サブスクリプションで Defender CSPM プランを有効にするには:
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
対象の Azure サブスクリプション、AWS アカウント、または GCP プロジェクトを選択します。
[Defender プラン] ページで、[Defender CSPM プラン] を [オン] に切り替えます。
保存 を選択します。
Defender CSPM プランのコンポーネントを有効にする
サブスクリプションで Defender CSPM プランが有効になると、Defender CSPM プランの個々のコンポーネントを有効にすることができます。
マシンのエージェントレス スキャン: エージェントに依存したり、コンピューターのパフォーマンスに影響を与えたりすることなく、インストールされているソフトウェアと脆弱性についてマシンをスキャンします。 エージェントレス スキャナーを無効にするか、サブスクリプションに除外タグを追加できます。
Kubernetes のエージェントレス検出: Kubernetes クラスター アーキテクチャ、ワークロード オブジェクト、およびセットアップに関する情報の API ベースの検出。 Kubernetes インベントリ、ID とネットワークの露出検出、クラウド セキュリティ エクスプローラーの一部としてのリスクハンティングに必要です。 この拡張機能は、攻撃パスの分析に必要です (Defender CSPM のみ)。
エージェントレス コンテナーの脆弱性評価: コンテナー レジストリに格納されているイメージの脆弱性管理を提供します。
機密データの検出: 機密データ検出では、機密データを含むマネージド クラウド データ リソースが大規模に自動的に検出されます。 この機能は、データにアクセスし、エージェントレスで、スマート サンプリング スキャンを使用し、Microsoft Purview の機密情報の種類とラベルと統合します。
アクセス許可管理 - クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) に関する分析情報。 CIEM は、クラウド環境での適切で安全な ID とアクセス権を保証します。 クラウド リソースへのアクセス許可と関連するリスクを理解するのに役立ちます。 セットアップとデータ収集には最大 24 時間かかる場合があります。
Defender CSPM プランのコンポーネントを有効にするには:
[Defender プラン] ページで、[ 設定] を選択します。
![[設定] オプションを選択する場所を示す [Defender プラン] ページのスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-settings.png)
コンポーネントごとに [オン] を選択して有効にします。
(省略可能)エージェントレス スキャンの場合は、[ 構成の編集] を選択します。
![[構成の編集] を選択する場所を示すスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-configuration.png)
スキャンから除外するマシンのタグ名とタグ値を入力します。
を選択してを適用します。
続行を選択します。
![[設定] オプションを選択する場所を示す [Defender プラン] ページのスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-settings.png#lightbox)
![[構成の編集] を選択する場所を示すスクリーンショット。](media/tutorial-enable-cspm-plan/cspm-configuration.png#lightbox)
追加コストなしで Defender CSPM プランに付属するコードからクラウドへのコンテキスト化機能と自動化された開発者修復ワークフローの場合は、 DevOps 環境を Defender for Cloud に接続します。