コンフィグレーションコンプライアンスインポートされたデータ:Microsoft Defender for Cloud Integration

  • リリースバージョン: Australia
  • 更新日 2025年07月31日
  • 所要時間:7分

    • コンフィグレーションコンプライアンス は、サードパーティの統合からポリシー、テスト、信頼できるソース、およびテスト結果をインポートし、表示するためにモジュールに保存します。

    注:
    コンフィグレーションコンプライアンス の v14.9 以降では、次の用語が変更されました。
    表 : 1. 用語の変更
    v14.9 より前の用語 v14.9 以降の用語
    テスト結果グループ 修復タスク
    グループルール 修復タスクルール
    ポリシー テストグループ

    テストグループ

    テストグループは設定テストのグループで構成されます。テストグループは信頼できるドキュメントとテストレコードに関連しており、組織のニーズに合わせて変更できます。1 つの設定テストは複数のテストグループに属することができます。

    Microsoft Defender for Cloud Integration がインストールされている場合、テストグループはスケジュール済みジョブであるポリシー定義統合によって取得され、入力されます。スケジュール済みジョブを表示するには、次の場所に移動します。 すべて > Microsoft Defender for Cloud の統合 > アドミニストレーション > 統合 > ポリシー定義統合.
    注:
    統合の手動実行を選択した場合は、最初にポリシー定義統合 を実行します。

    テスト

    テストは、コンピューティング資産のスキャンを整理するデータレコードのライブラリです。設定テストでは、資産を管理する方法を定義します。

    コンフィグレーションコンプライアンス テストは、サードパーティの統合アプリケーションがテスト結果タイプ別に資産をグループ化するために使用するメカニズムです。

    Microsoft Defender for Cloud Integration がインストールされている場合、スケジュール済みジョブであるアセスメントメタデータ統合がテストを取得します。スケジュール済みジョブを表示するには、次の場所に移動します。 統合 > プライマリ統合 > アセスメントメタデータ統合.
    注:
    統合の手動実行を選択した場合は、ポリシー定義統合の後に、アセスメントメタデータ統合を実行します。

    コンフィグレーションコンプライアンスの v15.0 以降では、テストが属するテストグループが [テスト] リストの [テストグループ] 列に入力されます。

    信頼できるソース

    コンフィグレーションコンプライアンス は、テストの脆弱性アラートを生成するときに信頼できるソースと引用を使用します。通常、信頼できるソースは、ISO 27001PCI DSS 3.2.1 などの公開された業界標準のセクションにマッピングされます。

    これらのソースレコードには、コンピューターセキュリティの分野のエキスパートからの既知のソフトウェアおよびハードウェア構成の問題に関する情報が含まれています。これらは、セキュリティ方針と手順の要件を定義します。

    Microsoft Defender for Cloud Integration がインストールされている場合、スケジュール済みジョブであるコンプライアンス標準とコントロールは、信頼できるソースと引用を取得します。このスケジュール済みジョブを表示するには、次に移動します: すべて > Microsoft Defender for Cloud の統合 > 統合 > コンプライアンス標準とコントロール統合.
    注:
    統合の手動実行を選択した場合は、アセスメントメタデータ統合の後に、コンプライアンス標準とコントロール統合を実行します。

    資産

    アセスメント統合は、リソースタグやクラウド属性などの重要な情報を提供します。この情報は、[検出されたアイテム] フォームに表示されます。これは主に、コンフィグレーションコンプライアンスのアサインルールと修復タスクルールでのフィルタリングに使用されます。
    • リソースタグ:すべてのクラウドリソースタグは、アセスメント統合の一部としてホストタグとしてインポートされます。クラウドリソースタイプのクラウドタグは、リソースがホストであるかどうかにかかわらずここに格納されます。
      • タグストレージでは大文字と小文字は区別されません。「Tokyo」タグが作成された場合、「TOKYO」タグを [ホストタグ] テーブルに格納することはできません。「Tokyo」と「TOKYO」は同じホストタグと見なされます。最初にインポートされたタグが優先されます。
      • グループルールでホストタグをグループキーとして使用すると、予期しない結果になる可能性があります。ホストタグは、条件ビルダー専用です。
    • 資産のクラウド属性:統合が Microsoft Defender for Cloud から取得するクラウド属性は次のとおりです。
      • クラウドアカウント
      • クラウドリージョン
      • クラウドリソースタイプ
      • クラウドサービスプロバイダー

    テスト結果

    コンフィグレーションコンプライアンス はテスト結果を計算しませんが、サードパーティ統合の一部としてインポートします。コンフィグレーションコンプライアンスで表示できるようになると、[修復タスク] を使用して修正されます。

    Microsoft Defender for Cloud 統合がインストールされている場合、スケジュール済みジョブであるアセスメント統合はテスト結果を取得します。このスケジュール済みジョブを表示するには、次に移動します: すべて > Microsoft Defender for Cloud の統合 > 統合 > アセスメント統合.

    アセスメント統合のインポートは、[統合の詳細] タブで Start Time パラメーターを使用する唯一の統合です。他のすべての コンフィグレーションコンプライアンス インポートでは、Start Time に関係なく、利用可能なすべてのデータが取り込まれます。

    アセスメント統合のインポートが完了すると、インポート終了の計算をトリガーするイベントが開始されます。

    デフォルトでは、アセスメント統合は、過去 1 日間の最後の正常な統合実行からステータスが変更された場合にのみ、データアセスメントをプルします。そのため、アセスメントが過去数日間にわたり継続的に失敗している場合、アセスメントのステータスは変更されていないため、統合はアセスメントをフェッチしません。Defender アセスメントでテスト結果を最新の状態に保つために、過去 7 日間のデータをプルする新しい包括的なアセスメント統合が追加されています。この統合は毎週実行され、合格しなかったすべてのテスト結果をプルします。

    Microsoft Defender for Cloud 統合から CI を識別するための CI ルックアップルール

    サードパーティの統合からデータがインポートされると、コンフィグレーションコンプライアンス は自動的にリソースデータを使用して、CI ルックアップルールに基づいて 構成管理データベース (CMDB) 内で一致するものを検索します。これらのルールは、構成アイテム (CI) を識別し、それらをテスト結果レコードに追加して修復する際に使用されます。ベースシステムの CI ルックアップルールは、リソース ID、名前、および S3 バケットで使用できます。CI ルックアップルールの詳細については、「CI lockup rules for Microsoft Defender for Cloud Integration for Security Operations (Microsoft Defender for Cloud Integration for Security Operations の CI ルックアップルール)」を参照してください。

    コンテナ脆弱性一致アイテム

    Microsoft Defender for Cloud 統合が構成されている場合、コンテナイメージ脆弱性のスケジュール済みジョブによってコンテナ脆弱性一致アイテムが取得されます。

    このスケジュール済みジョブを表示するには、次の場所に移動します。 すべて > セキュリティエクスポージャー管理のための Microsoft Defender 統合 > Microsoft Defender for Cloud の統合 > 統合 > コンテナイメージ脆弱性統合.

    コンテナイメージ脆弱性統合のインポートでは、[統合の詳細] タブの Start time パラメーターを使用してデータの取り込みを制御します。
    • [ 開始時間 ] が空の場合、統合は利用可能なすべてのコンテナ脆弱性データをインポートします。
    • [開始時間] が設定されている場合、統合は指定された時間以降に作成または更新されたデータのみをインポートします。