Defender for Cloud でセキュリティソリューションを統合する

[アーティクル]
06/01/2023

このドキュメントは、既にMicrosoft Defender for Cloud に接続されているセキュリティソリューションを管理し、新しいソリューションを追加するのに役立ちます。

統合された Azure セキュリティソリューション

Defender for Cloud を使用すると、Azure で統合セキュリティソリューションを簡単に有効にできます。利点は次のとおりです。

簡略化されたデプロイ: Defender for Cloud では、統合パートナーソリューションの合理化されたプロビジョニングが提供されます。マルウェア対策や脆弱性評価などのソリューションについては、Defender for Cloud によって仮想マシンにエージェントをプロビジョニングできます。ファイアウォールアプライアンスの場合、Defender for Cloud は、必必要なネットワーク構成の多くに対処できます。
統合された検出: パートナーソリューションからのセキュリティイベントは、Defender for Cloud の警告とインシデントの一環として自動的に収集、集計、表示されます。これらのイベントは、他のソースからの検出とも組み合わされ、高度な脅威検出機能を提供します。
統合された正常性の監視と管理:ユーザーは、統合された正常性イベントを使用して、すべてのパートナーソリューションをひとめで監視できます。基本的な管理は、パートナーソリューションを使用して高度な設定に簡単にアクセスできれば、使用できます。

現時点では、統合セキュリティソリューションに、Qualys と Rapid7 による脆弱性評価が含まれます。

注意

ほとんどのセキュリティベンダーがアプライアンス上での外部エージェントの実行を禁止しているため、Defender for Cloud ははパートナー仮想アプライアンスに Log Analytics エージェントをインストールしません。

Microsoft Defender for Servers を有効にするお客様が利用できる組み込みスキャナーなど、Qualys の脆弱性スキャンツールの統合の詳細について説明します。

Defender for Cloud には、次の脆弱性分析も用意されています。

SQL データベース - 脆弱性評価ダッシュボードで脆弱性評価レポートを確認する
Azure Container Registry イメージ - コンテナーレジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする
Amazon AWS Elastic Container Registry イメージ - コンテナーレジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする

セキュリティソリューションを統合するしくみ

Defender for Cloud からデプロイされている Azure セキュリティソリューションは、自動的に接続されます。オンプレミスまたは他のクラウドで実行されているコンピューターなど、その他のセキュリティデータソースも接続できます。

統合された Azure セキュリティソリューションとその他のデータソースの管理

Azure portalから、Defender for Cloud を開きます。
Defender for Cloud のメニューから、 [セキュリティソリューション] を選択します。

[セキュリティソリューション] ページから、統合された Azure セキュリティソリューションの正常性を確認し、基本的な管理タスクを実行できます。

接続済みソリューション

[接続済みソリューション] セクションには、Defender for Cloud に現在接続されているセキュリティソリューションが含まれています。また、各ソリューションの正常性状態も表示されます。

Connected solutions.

セキュリティソリューションには次の状態があります。

正常 (緑) - 正常性の問題はありません。
異常 (赤) - 早急な対処が必要な正常性の問題があります。
レポート停止 (オレンジ) - ソリューションが正常性の報告を停止しています。
レポートなし (灰色) - ソリューションがまだ何も報告しておらず、正常性データはありません。最近接続されて、まだデプロイ中の場合、ソリューションの状態が報告されない可能性があります。

Note

正常性状態データを使用できない場合、Defender for Cloud には、最後に受信したイベントの日時が表示され、ソリューションが報告されているかどうかを示します。使用できる正常性データがなく、過去 14 日以内にアラートを受信していなかった場合、Defender for Cloud は、ソリューションで異常が発生しているか、報告が行われていないことを示します。

[表示] を選択すると、次のような追加情報とオプションを確認できます。

ソリューションコンソール - このソリューションの管理エクスペリエンスが開きます。
VM をリンクする - [アプリケーションのリンク] ページが開きます。ここで、パートナーソリューションにリソースを接続できます。
Delete solution (ソリューションを削除する)
構成

Partner solution detail.

検出されたソリューション

Defender for Cloudは、Azure で実行されていても Security Center に接続されていないセキュリティソリューションを自動的に検出し、 [検出されたソリューション] セクションにそのソリューションを表示します。これらのソリューションには、Microsoft Entra ID Protection などの Azure ソリューションや、パートナーソリューションが含まれます。

Note

検出されたソリューション機能に対して、サブスクリプションレベルで advanced protections を有効にします。詳細については、クイックスタート: 強化されたセキュリティ機能を有効にするを参照してください。

ソリューションの下の [接続] を選択して、Defender for Cloudと統合し、セキュリティのアラートが通知されるようにします。

データソースの追加

[データソースの追加] セクションには、接続できるその他の使用可能なデータソースが表示されます。このようなソースのいずれかからデータを追加する手順については、[追加] を選びます。

Data sources.

次のステップ

この記事では、Defender for Cloud でパートナーソリューションを統合する方法について学習しました。 Microsoft Sentinel またはその他の SIEM との統合をセットアップする方法については、「Microsoft Defender for Cloud データを継続的にエクスポートする」を参照してください。

Defender for Cloud でセキュリティ ソリューションを統合する

統合された Azure セキュリティ ソリューション

セキュリティ ソリューションを統合するしくみ

統合された Azure セキュリティ ソリューションとその他のデータ ソースの管理