このガイドでは、Azure サブスクリプションで Microsoft Defender for Cloud を有効にする方法について説明します。
Microsoft Defender for Cloud は、次の機能を組み合わせてクラウドベースのアプリケーションをエンドツーエンドで保護するように設計された一連のセキュリティ対策とプラクティスを備えたクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) です。
- マルチクラウド環境と複数パイプライン環境全体でコード レベルでセキュリティ管理を統合する開発セキュリティ運用 (DevSecOps) ソリューション。
- 侵害を防ぐために実行できるアクションを示すクラウド セキュリティ体制管理 (CSPM) ソリューション。
- サーバー、コンテナー、ストレージ、データベース、およびその他のワークロードに固有の保護を備えたクラウド ワークロード保護プラットフォーム (CWPP)。
Defender for Cloud には、基本的な CSPM 機能と、 Microsoft Defender XDR への無料アクセスが含まれています。 他の有料プランを追加して、クラウド リソースのすべての側面をセキュリティで保護することができます。 Defender for Cloud は、最初の 30 日間、または特定のプランの使用制限に達するまで(どちらか早い方)、無料で試すことができます。 使用制限に達した後、または 30 日間の試用期間が終了すると、環境内で有効になっているプランに基づいて料金が開始されます。 これらのプラン、その使用制限、および関連するコストの詳細については、Defender for Cloud の 価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
重要
Defender for Storage でのマルウェア スキャンは、最初の 30 日間の試用版には無料で含まれていません。また、Defender for Cloud の 価格ページで利用可能な価格スキームに従って、最初の日から課金されます。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
Defender for Cloud は、セキュリティの脆弱性を見つけて修正するのに役立ちます。 また、アクセスとアプリケーション制御を適用して、悪意のあるアクティビティをブロックし、分析とインテリジェンスを使用して脅威を検出し、攻撃を受けると迅速に対応します。
前提条件
- Defender for Cloud のリソースに関連する情報を表示するには、サブスクリプションまたはリソースが配置されているリソース グループの所有者、共同作成者、または閲覧者ロールが割り当てられている必要があります。
Azure サブスクリプションで Defender for Cloud を有効にする
ヒント
管理グループ内のすべてのサブスクリプションで Defender for Cloud を有効にするには、複数の Azure サブスクリプションの Defender for Cloud を有効にする方法に関するページを参照してください。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud の概要ページが開きます。
Defender for Cloud がサブスクリプションで有効になり、Defender for Cloud によって提供される基本的な機能にアクセスできるようになりました。 次のような機能が含まれています。
- 基本的なクラウド セキュリティ態勢管理 (CSPM) プラン。
- 推奨事項。
- 資産インベントリへのアクセス。
- Workbooks。
- セキュリティ スコア。
- 規制コンプライアンスと Microsoft クラウド セキュリティ ベンチマーク。
Defender for Cloud の概要ページには、ハイブリッド クラウド ワークロードのセキュリティ体制に関する統一されたビューが用意されており、ワークロードのセキュリティを検出して評価し、リスクを特定して軽減するのに役立ちます。 詳細については、Microsoft Defender for Cloud の概要ページを参照してください。
サブスクリプション メニューからサブスクリプションの一覧を表示およびフィルター処理して、選択したサブスクリプションのセキュリティ体制を反映するように Defender for Cloud で概要ページの表示を調整できます。
Defender for Cloud を初めて起動してから数分以内に、以下が表示されます。
- 接続されているリソースのセキュリティを向上させる方法についての推奨事項。
- Defender for Cloud によって評価されているリソースのインベントリと、それぞれのセキュリティ態勢。
サブスクリプションのすべての有料プランを有効にする
Defender for Cloud のすべての保護を有効にするには、保護するワークロードのプランを有効にする必要があります。
注
- Microsoft Defender for Storage アカウント、Microsoft Defender for SQL、オープンソース リレーショナル データベース向けの Microsoft Defender はサブスクリプション レベルとリソース レベルのいずれかで有効にできます。
- ワークスペース レベルで使用できる Microsoft Defender プランは、Microsoft Defender for Servers と Microsoft Defender for SQL servers on machines です。
重要
Microsoft Defender for SQL は、既定のワークスペースまたはカスタム ワークスペースを使用するサブスクリプション レベルのバンドルです。
Azure サブスクリプション全体で Defender プランを有効にすると、保護はサブスクリプション内の他のすべてのリソースに適用されます。
サブスクリプションで追加の有料プランを有効にするには、次を行います。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
保護するサブスクリプションまたはワークスペースを選択します。
[すべて有効にする] を選択して、Defender for Cloud のすべてのプランを有効にします。
![[プラン] ページで [有効にする] ボタンがある場所を示すスクリーンショット。](media/get-started/enable-all-plans.png)
[保存] を選択します。
![[プラン] ページで [有効にする] ボタンがある場所を示すスクリーンショット。](media/get-started/enable-all-plans.png#lightbox)
すべてのプランが有効になり、各プランに必要な監視コンポーネントが保護されたリソースにデプロイされます。
いずれかのプランを無効にする場合は、個別のプランをオフに切り替えます。 プランで使用される拡張機能はアンインストールされませんが、しばらくすると、拡張機能はデータの収集を停止します。
ヒント
管理グループ内のすべてのサブスクリプションで Defender for Cloud を有効にするには、複数の Azure サブスクリプションの Defender for Cloud を有効にする方法に関するページを参照してください。
Microsoft Defender XDR との統合
Defender for Cloud を有効にすると、そのアラートは Microsoft Defender ポータルに自動的に統合されます。
Microsoft Defender for Cloud と Microsoft Defender XDR の統合により、クラウド環境が Microsoft Defender XDR に組み込まれます。 Defender for Cloud のアラートとクラウドの関連付けは Microsoft Defender XDR に統合されたため、SOC チームは 1 つのインターフェイスからすべてのセキュリティ情報にアクセスできるようになりました。
詳細については、「Microsoft Defender XDR での Microsoft Defender for Cloud のアラート」を参照してください。
次のステップ
このガイドでは、Azure サブスクリプションで Defender for Cloud を有効にしました。 次の手順では、ハイブリッド環境とマルチクラウド環境を設定します。