Microsoft Defender for Cloud を有効化する方法には「サブスクリプションレベル」「Log Analytics ワークスペースレベル」の 2 種類があります。
設定については、環境設定 から実施することができるのですが、このブレードでサブスクリプションを選択するか、Log Analytics ワークスペースを選択するかによって、どのレベルで設定するかが変わってきます。(既定のワークスペース については Microsoft Defender for Cloud の個別の設定を行うことができないようです)
Microsoft Defender for Cloud について問い合わせをしていて、サブスクリプションレベルと Log Analytics ワークスペースレベルの設定の違いを教えていただくことができましたので、情報をまとめておきたいと思います。
Contents
Microsoft Defender for Cloud で使用可能な機能
Microsoft Defender for Cloud では、様々なセキュリティ機能が提供されており、機能としては、Defender プランと外部監視を使用して Defender for Cloud を拡張する に記載されている次のプランを使用することができます。
- Microsoft Defender for Servers
- Microsoft Defender for Storage
- Microsoft Defender for SQL
- Microsoft Defender for Containers
- Microsoft Defender for App Service
- Microsoft Defender for Key Vault
- Microsoft Defender for Resource Manager
- Microsoft Defender for DNS
- オープンソース リレーショナル データベース用 Microsoft Defender
- Microsoft Defender for Azure Cosmos DB
各機能ごとに 料金 が設定されており、各機能ごとに有効にするか無効にするかを制御することができるようになっています。
サブスクリプションレベルと Log Analytics ワークスペースレベルの違い
前述のとおり、Microsoft Defender for Cloud はサブスクリプションレベルと Log Analytics ワークスペースレベルで有効にすることができるようになっており、
- サブスクリプション全体のリソースに対して、指定した機能を有効にするか
- 指定した Log Analytics ワークスペースに接続しているリソースに対して、指定した機能を有効にするか
を選択することができるようになっています。
冒頭につけてある、画像の内容から、わかると思いますが、サブスクリプションレベルと Log Analytics ワークスペースレベルでは使用することができる機能に差があり、Microsot Defender for Cloud の機能のフルセットを使用するためには「サブスクリプションレベル」で、Defender for Cloud を有効にする必要があり、Log Analytics ワークスペースレベルで有効にする場合には、機能制限があります。
この機能制限について SR で教えていただいたのですが、制限を確認するためには、次のドキュメントから確認することができます。
- Microsoft Defender for Servers プラン
- 自分のサブスクリプションで、サーバーのサブセットに対して Microsoft Defender for Servers を有効にすることはできますか?
Log Analytics ワークスペースレベルで有効にした場合に利用できる機能
Log Analytics ワークスペースレベルで Defender for Cloud を有効にした場合の機能制限にはいくつかの内容があります。
一つ目が使用できる機能です。
ワークスペースレベルで使用できる機能は、
- Microsoft Defender for Server プラン 2
- Microsoft Defender for SQL Server
の 2 種類の機能のみとなり、それ以外の機能は有効にすることができません。
Defender for Server については、機能の有効化はできますが、サブスクリプションレベルでの有効化と比較して、機能制限が発生します。
Microsoft Defender for Server の機能制限
Microsoft Defender for Server には、プラン 1 / プラン 2 の 2 種類があり、各プランで利用可能な機能については、Microsoft Defender for Servers プラン に記載されています。
サブスクリプションレベルで有効化する場合は、プラン 1 / 2 のどちらを有効化するかを指定することができるのですが、Log Analytics ワークスペースレベルで有効化する場合は、プラン 2 で固定となっており、変更することができません。
また、プラン 2 についても機能制限があり、どのような制限があるかについては、
自分のサブスクリプションで、サーバーのサブセットに対して Microsoft Defender for Servers を有効にすることはできますか? に記載されています。
プラン 2 を利用した場合、「Qualys を使用した脆弱性評価」等の機能を使用することができるのですが、Log Analytics ワークスペースレベルで Microsoft Defender for Server を有効にした場合は、この脆弱性評価を使用することはできません。
これは上述のドキュメントに次のように記載されています。
また、Log Analytics ワークスペース レベルで Microsoft Defender for Servers を有効にする方法もあります。 この場合、そのワークスペースにレポートするサーバーだけが保護され、課金されるようになります。 ただし、いくつかの機能が利用できなくなります。 利用できなくなる機能には、エンドポイントの Microsoft Defender、VA ソリューション (TVM/Qualys)、ジャスト イン タイム VM アクセスなどが含まれます。
Defender fro Cloud の脆弱性評価の推奨事項の中には「脆弱性評価ソリューションを仮想マシンで有効にする必要があります」という評価項目があるのですが、Log Analytics ワークスペースレベルで Defender for Server を有効にしている場合は、上記の機能制限により、脆弱性評価ソリューションを選択することができなくなっています。
まとめ
Log Analytics ワークスペースレベルで Microsoft Defender for Server を有効にした場合には、このような機能制限が発生し、すべての機能を使用することができません。また、Azure ポータルの Microsoft Defender for Cloud についての表示については、サブスクリプションレベルで有効にしている場合にのみ、ON になっているとして表示されるものもあります。
Log Analytics ワークスペースレベルでの有効化は、サブスクリプションレベルでの有効化と比較すると、有効化する対象を抑えることができるため、コストの削減につなげられる可能性がありますがこのような機能制限が発生しますので、有効化する対象を調整することで、コストバランスを取ろうとするとなかなか悩ましいですね。