コンテナー機能のDefenderに対するアクセスパターンとプライベートクラスターのサポート

このページでは、コンテナー機能のMicrosoft Defenderで使用されるアクセスパターン、必要な有効化方法、適用可能なプラン、およびプライベートクラスターのサポートの概要を示します。

各アクセスパターンの詳細なネットワークとアクセス許可の要件については、ネットワークアクセスとアクセス許可のリファレンスを参照してください。

Note

プライベートクラスターのサポート列には、一部の機能のサポート要件と関連する前提条件が含まれています。

制限付きパブリック API エンドポイントを有効にすることでサポートされる ということは、Kubernetes API が制限付きパブリックエンドポイントを介して公開されている場合に、この機能がプライベートクラスターをサポートすることを意味します。
送信 HTTPS アクセスの要求は、クラスターがMicrosoft Defender for Cloudへの送信 HTTPS 接続を許可する必要があります。
一部のエントリでは、プライベートクラスターのサポート動作ではなく、機能の前提条件が説明されています。

Defender for Containers で使用される接続パターン

Microsoft Defender for Containers では、複数の接続パターンを使用してセキュリティ信号を収集し、次のような環境全体で保護を提供します。

Registry アクセス: Microsoft Defender for Cloudからコンテナーレジストリへの接続により、イメージの脆弱性をスキャンし、場合によっては評価結果をレジストリに発行します。
Kbernetes API アクセス: クラスターの検出、ポスチャ評価、リスク分析のための Microsoft Defender for Cloud から Kubernetes API エンドポイントへの接続。
Sensor 送信接続: Kubernetes ワーカーノードから脅威検出のためにMicrosoft Defender for Cloudに送信されるランタイムテレメトリ。
クラウドネイティブの監査ログインジェスト: コントロールプレーンの脅威検出のためのクラウドネイティブログサービスからの Kubernetes 監査ログの取り込み。
Cloud-provider access: リソース検出、ポスチャ評価、インベントリ、リスク分析のために、Microsoft Defender for Cloudからクラウドプロバイダー API への接続。

脆弱性評価の機能

次の表は、脆弱性評価機能とそのアクセスパターンをまとめたものです。

特徴	サポートされているリソース	有効化方法	ディフェンダー計画	アクセスパターン	プライベートクラスターのサポートと前提条件
コンテナーレジストリの脆弱性評価	ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory	レジストリアクセス	コンテナー;CSPM	レジストリアクセス	サポートされている
ランタイムコンテナーの脆弱性評価 (レジストリスキャンベース)	ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory	マシンと Kubernetes API アクセスまたは Defender センサーのエージェントレススキャン	コンテナー;CSPM	レジストリアクセスと Kubernetes API アクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます
ランタイムコンテナーの脆弱性評価 (レジストリに依存しない)	AKS	マシンと Kubernetes API アクセスまたは Defender センサーのエージェントレススキャン	コンテナー;CSPM	クラウドプロバイダーアクセスと Kubernetes API アクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます
限定的な展開	AKS、EKS、GKE	Defender センサー、セキュリティの結果、レジストリアクセス	Containers	Kubernetes API アクセスとセンサー送信接続	制限付きパブリック API エンドポイントを有効にすることでサポートされます

ランタイム保護機能

次の表は、ランタイム保護機能とそのアクセスパターンをまとめたものです。

特徴	サポートされているリソース	有効化方法	ディフェンダー計画	アクセスパターン	プライベートクラスターのサポートと前提条件
コントロールプレーン検出	AKS、EKS、GKE	コンテナープランで有効	Containers	クラウドネイティブの監査ログインジェスト	サポートされている
ワークロードの検出	AKS、EKS、GKE	Defender センサー	Containers	センサー送信接続	送信 HTTPS アクセスが必要
バイナリ変動検出	AKS、EKS、GKE	Defender センサー	Containers	Kubernetes API アクセスとセンサー送信接続	ポリシー定義では、制限付きパブリック API エンドポイントを有効にする必要があります。送信 HTTPS アクセスが必要です。
DNS 検出	AKS、EKS、GKE	Helm を使用してインストールされたDefender センサー	Containers	センサー送信接続	送信 HTTPS アクセスが必要
XDR での高度なハンティング	AKS、EKS、GKE	Defender センサー	Containers	センサー送信接続	送信 HTTPS アクセスが必要
XDR での応答アクション	AKS、EKS、GKE	Defender センサーと Kubernetes API アクセス	Containers	Kubernetes API アクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます
マルウェア検出	AKS ノード	マシンのエージェントレススキャン	コンテナー;サーバー P2	Kubernetes API アクセスとセンサー送信接続	制限付きパブリック API エンドポイントを有効にすることでサポートされます。送信 HTTPS アクセスが必要です。

ポスチャ管理機能

次の表は、ポスチャ管理機能とそのアクセスパターンをまとめたものです。

特徴	サポートされているリソース	有効化方法	ディフェンダー計画	アクセスパターン	プライベートクラスターのサポートと前提条件
Kubernetes のエージェントレス検出	AKS、EKS、GKE	Kubernetes API アクセス	コンテナー;CSPM	クラウドプロバイダーアクセス	サポートされている
包括的なインベントリ機能	レジストリ: ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory。クラスター: AKS、EKS、GKE	Kubernetes API アクセス	コンテナー;CSPM	Kubernetes API アクセスとクラウドプロバイダーアクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます
攻撃パス分析	レジストリ: ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory。クラスター: AKS、EKS、GKE	Kubernetes API アクセス	ディフェンダー CSPM	Kubernetes API アクセスとクラウドプロバイダーアクセス	インベントリ機能が前提条件
強化されたリスクハンティング	レジストリ: ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory。クラスター: AKS、EKS、GKE	Kubernetes API アクセス	コンテナー;CSPM	Kubernetes API アクセスとクラウドプロバイダーアクセス	インベントリ機能が前提条件
コントロールプレーンのセキュリティ強化	レジストリ: ACR。クラスター: AKS、EKS、GKE	コンテナープランで有効	Free	クラウドプロバイダーアクセス	サポートされている
ワークロードの強化	AKS、EKS、GKE	Kubernetes のAzure Policy	Free	Kubernetes API アクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます
CIS Kubernetes Service	AKS、EKS、GKE	セキュリティ標準として割り当てられます	コンテナー;CSPM	Kubernetes API アクセス	制限付きパブリック API エンドポイントを有効にすることでサポートされます

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-05-06