Sitecore Managed Cloud Standard – Microsoft Defender for Cloudの実装ガイド(PaaS 1.0)


概要

この記事では、貴社のManaged Cloud PaaS 1.0デプロイにMicrosoft Defender for Cloudの実装の支援をリクエストする際にご利用いただけるサービスとサポートの範囲を記載しています。

Microsoft Defender for Cloudとは、クラウドベースのアプリケーションを様々なサイバー攻撃による脅威や脆弱性から守ることを目的に設計された、様々なセキュリティ対策やプラクティスやから構成される、クラウドネイティブ アプリケーション プロテクション プラットフォーム(CNAPP)です。

Microsoft Defender for Cloudは、貴社リソースのセキュリティの可視性と制御の度合いを高めつつ、脅威を予防、検出、対応するのに役立つ製品です。貴社サブスクリプション全体にわたる統合されたセキュリティ監視、ポリシー管理を提供し、見過ごされるおそれのある脅威の検出に役立ち、セキュリティ ソリューションの幅広いエコシステムと連携します。

Defender for Cloudは以下の機能を兼ね備えています。

* Microsoft Defender for Cloud向けのAzureポリシーはMicrosoft Defender for Cloud on MCS PaaS 1.0には含まれておらず、構成、有効化されていません。

詳細情報については、以下の節を参照してください。

MCS PaaS 1.0で利用可能なMicrosoft Defender for Cloudの機能

Sitecore Managed Cloud Standard – PaaS 1.0には、Azure Defender for Cloud CPSMとワークロード保護をプロビジョニングするオプションが含まれます。

Microsoft Defender for Cloudをデプロイする際には、機能とサービスの総合的な概要を記載したMicrosoft Defender for Cloudの公式ドキュメントを確認してください。

Azureサービス

Sitecoreは貴社Sitecore環境のプロビジョニング中に、Microsoft Defender for Cloudを実装するのに必要なAzureサービスをデプロイします。

Microsoft Defender for Cloudを環境に適用されたいお客様は、Sitecoreサポート ポータルからリクエストを送信していただくか、貴社を担当する弊社アカウント マネージャーにご連絡ください。

貴社Sitecore PaaS 1.0環境に含まれるAzureサービスの詳細につきましては、以下の記事をご参照ください。
Sitecore Managed Cloud Standard – Sitecore XP 10.0以上のバージョン用トポロジーと価格レベルについて

 

保護されるリソース

全てのAzureのリソースがDefenderのワークロード保護で保護されるわけではない点に注意する必要があります。デプロイの際に、Sitecoreは以下のリソース タイプに対してクラウド ワークロード保護のDefenderプランを有効化します。

 

Microsoft Defender for Cloudのアクティベーションのリクエスト

Sitecore Managed Cloud環境でMicrosoft Defender for Cloudを有効化するには、お客様は以下を実施していただく必要があります。

  1. 貴社担当の弊社アカウント マネージャーにご連絡ください。
  2. Sitecoreサポート ポータルを通じてリクエストを送信してください。

Sitecoreがリクエストの内容をレビュー・確認した後で、Microsoft Defender for Cloudが有効化、構成されます。

 

Microsoft Defender for CloudのRACI図

本ページの以降の図表では、次の記号を使用して各関係者の責任範囲を記載いたします。 

PaaS 1.0向けの大まかなMicrosoft Defender for Cloudの実装手順

RACIの説明

お客様・パートナー様 

Sitecore

お客様がSitecore環境をリクエスト

R, A 

C, I 

Sitecore Managed Cloud OperationsチームがMicrosoft Defenderワークロード保護をデプロイ

C, I 

R, A 

Microsoft Defenderのロギングをお客様のLog Analyticsワークスペースで有効化

C, I 

R, A 

Cloud Defenderのログと推奨事項の継続的な監視

R, A 

 C, I 

 

PaaS 1.0 Microsoft Defender for Cloud実装のRACI:初期設定

製品の実装活動

お客様・パートナー様 

Sitecore

App Services向けのMicrosoft Defender for Cloudの
ワークロード保護の有効化

C, I 

R, A 

SQL Server向けのMicrosoft Defender for Cloudの
ワークロード保護の有効化

C, I 

R, A 

ストレージ アカウント向けの
Microsoft Defender for Cloudの
ワークロード保護の有効化

C, I 

R, A 

 

PaaS 1.0 Microsoft Defender for Cloud実装のRACI:運用継続中

Sitecore環境の
プロビジョニング

お客様・パートナー様 

Sitecore

Microsoft Defender for Cloudの
ログと推奨事項のレビュー

R, A 

C, I 

Microsoft Defender for Cloudの
ログのお客様が定義されたSIEMへの
取り込み

R, A 

C, I 

 

Microsoftのドキュメント

Microsoft Azure Defender for Cloudの実装に関するより明確なガイドについては、以下のMicrosoft社の公式ドキュメントをご参照ください。

 

Azure Defender for Cloud: お客様の検討事項とよくあるご質問

Azure Defender for Cloudは全てのManaged Cloudの顧客が利用できますか?

いいえ、Defender for CloudはPaaS 2.0のお客様限定のアドオン サービスとしてのみご利用いただけます。PaaS 2.0アドバンスド ハブを選択されたお客様は本番環境のスポークおよびプライマリ ハブ リソースのワークロード保護の利用していただくことができます。このサービスをPaaS 1.0向けに有効化されたいお客様は、貴社担当の弊社アカウント マネージャーまでお問い合わせください。

 

Azure DefenderはDRや非本番環境でも利用できますか?

はい、お客様はAzure Defenderワークロード保護を非本番環境にデプロイするようリクエストしていただけます。

 

SitecoreはDefender for Cloudで見つかった所見や推奨事項のアクティブな分析を行いますか?

SitecoreはDefender for Cloudで見つかった所見や推奨事項の継続的な分析は行いません。このサービスはMicrosoftにより開発された、デフォルトで直ちにご利用いただける保護機能をお客様にご提供することを目的としたものです。

 

このサービスは弊社の既存のSIEMを置き換えることを目的としたものですか?

いいえ、このサービスはご利用中の既存のSIEMの代替ではないことにご留意ください。Azure Defender for Cloudからもたらされるログを、既存のログ管理ツールやSIEMツールに拡張してご利用していただくことをお薦めいたします。