次の方法で共有

よくあるご質問 - 一般的な質問

一般的な質問

Microsoft Defender for Cloudとは

Microsoft Defender for Cloudは、リソースのセキュリティに対する可視性と制御を強化することで、脅威の防止、検出、対応に役立ちます。 これにより、サブスクリプション全体に統合セキュリティの監視とポリシーの管理を提供し、気付かない可能性がある脅威を検出し、セキュリティ ソリューションの広範なエコシステムと連動します。

Defender for Cloudでは、監視コンポーネントを使用してデータを収集して格納します。 詳細については、「Microsoft Defender for Cloud の Data コレクション」を参照してください。

Microsoft Defender for Cloudを取得する方法

Microsoft Defender for Cloudは、Microsoft Azure サブスクリプションで有効になっており、Azure ポータルからアクセスします。 それにアクセスするには、ポータルにサインインBrowse を選択し、Defender for Cloud までスクロールします。

Defender for Cloudの試用版はありますか?

Defender for Cloudは、最初の 30 日間は無料です。 30 日を超える使用については、下記の料金体系に従って自動的に課金されます。 詳細情報。 Defender for Storage でのマルウェア スキャンは、最初の 30 日間の試用版には無料で含まれていないため、最初の日から課金されることに注意してください。

Microsoft Defender for Cloudによって監視されるAzureリソースはどれですか?

Microsoft Defender for Cloudは、次のAzureリソースを監視します。

Defender for Cloudでは、オンプレミスのリソースおよびマルチクラウド リソース (Amazon AWS や Google Cloud など) も保護されます。

Azure、マルチクラウド、オンプレミスリソースの現在のセキュリティ状態を確認するにはどうすればよいですか?

Defender for Cloud概要 ページには、コンピューティング、ネットワーク、ストレージとデータ、アプリケーションごとに分類された環境の全体的なセキュリティ体制が表示されます。 リソースの種類にはそれぞれ、確認されたセキュリティの脆弱性を示すインジケーターがあります。 各タイルを選択すると、サブスクリプション内のリソースのインベントリと共に、Defender for Cloudによって識別されるセキュリティの問題の一覧が表示されます。

セキュリティ イニシアチブとは

セキュリティ イニシアチブは、指定されたサブスクリプション内のリソースに対して推奨されるコントロール (ポリシー) のセットを定義します。 Microsoft Defender for Cloudでは、会社のセキュリティ要件と、各サブスクリプションのアプリケーションの種類またはデータの機密性に従って、Azure サブスクリプション、AWS アカウント、および GCP プロジェクトにイニシアティブを割り当てます。

Microsoft Defender for Cloudで有効になっているセキュリティ ポリシーによって、セキュリティの推奨事項と監視が促進されます。 詳細については、「セキュリティ ポリシー、イニシアチブ、および推奨事項とは」を参照してください。

セキュリティ ポリシーを変更できるのは誰ですか。

セキュリティ ポリシーを変更するには、セキュリティ管理者であるか、そのサブスクリプションの所有者である必要があります。

セキュリティ ポリシーを構成する方法については、 Microsoft Defender for Cloudを参照してください。

セキュリティに関する推奨事項とは

Microsoft Defender for Cloudは、Azure、マルチクラウド、オンプレミスのリソースのセキュリティ状態を分析します。 潜在的なセキュリティの脆弱性が識別されると、推奨事項が作成されます。 推奨事項では、必要なコントロールを構成する手順を説明します。 次に例をいくつか示します。

  • 悪意のあるソフトウェアを識別して削除するためのマルウェア対策をプロビジョニングする
  • 仮想マシンへのトラフィックを制御するためのネットワーク セキュリティ グループとルール
  • Web アプリケーションを対象とする攻撃から保護するための Web アプリケーション ファイアウォールをプロビジョニングする
  • 不足しているシステムの更新をデプロイする
  • 推奨基準と一致しない OS 構成に対処する

ここにはセキュリティ ポリシーで有効な推奨事項のみが表示されています。

セキュリティの警告をトリガーするものは何ですか。

Microsoft Defender for Cloudは、Azure、マルチクラウド、オンプレミスのリソース、ネットワーク、およびマルウェア対策やファイアウォールなどのパートナー ソリューションからログ データを自動的に収集、分析、および融合します。 脅威が検出されると、セキュリティの警告が作成されます。 例には次の検出が含まれます。

  • 既知の悪意のある IP アドレスと通信する、セキュリティ侵害された仮想マシン
  • Windows エラー報告を使用して高度なマルウェアが検出されました
  • 仮想マシンに対するブルート フォース攻撃
  • マルウェア対策や Web アプリケーション ファイアウォールなどのセキュリティ ソリューションの統合パートナーからのセキュリティの警告

Microsoft Security Response CenterとMicrosoft Defender for Cloudによって検出およびアラートが発生した脅威の違いは何ですか?

Microsoft Security Response Center (MSRC) は、Azure ネットワークとインフラストラクチャの選択されたセキュリティ監視を実行し、サード パーティから脅威インテリジェンスと不正使用の苦情を受け取ります。 MSRC は、顧客データが違法または未承認の当事者によってアクセスされたこと、またはお客様によるAzureの使用が受け入れ可能な使用条件に準拠していないことを認識すると、セキュリティ インシデント マネージャーが顧客に通知します。 通常、通知は、Microsoft Defender for Cloudで指定されたセキュリティ連絡先に電子メールを送信するか、セキュリティ連絡先が指定されていない場合はAzureサブスクリプションの所有者に電子メールを送信することによって発生します。

Defender for Cloudは、顧客のAzure、マルチクラウド、オンプレミス環境を継続的に監視し、分析を適用して、悪意のある可能性のあるさまざまなアクティビティを自動的に検出するAzure サービスです。 検出されたアクティビティは、ワークロード保護ダッシュボードにセキュリティの警告として表示されます。

Defender for CloudでMicrosoft Defenderプランを有効にした組織内のユーザーを追跡するにはどうすればよいですか?

Azure サブスクリプションには、価格設定を変更するアクセス許可を持つ複数の管理者が含まれている場合があります。 変更を行ったユーザーを確認するには、Azureアクティビティ ログを使用します。

Azure アクティビティ ログのスクリーンショットで、価格変更イベントを示しています。

[イベント開始者] 列の一覧にユーザーの情報が表示されない場合は、イベントの JSON から適切な情報を探してください。

Azure アクティビティ ログ JSON エクスプローラーのスクリーンショット.

複数のポリシー イニシアチブに 1 つの推奨事項がある場合はどうなりますか。

場合によっては、複数のポリシー イニシアチブにセキュリティの推奨事項が表示されることがあります。 同じ推奨事項の複数のインスタンスが同じサブスクリプションに割り当てられていて、その推奨設定の除外対象を作成した場合は、編集権限があるすべてのイニシアチブに影響します。

この推奨設定の除外を作成しようとすると、次の 2 つのメッセージのいずれかが表示されます。

  • 両方の イニシアティブ を編集するために必要なアクセス許可がある場合は、次の内容が表示される:

    この推奨事項は、"コンマで区切られたイニシアチブ名" という複数のポリシー イニシアチブ内に含まれています。 除外はそのすべてに対して作成されます。

  • 両方の イニシアチブに対して 十分なアクセス許可がない場合は、代わりに次のメッセージが表示される:

    すべてのポリシー イニシアチブに適用の除外を適用するにはアクセス許可が制限されているために、除外は十分なアクセス許可を持つイニシアチブに対してのみ作成されます。

除外をサポートしていない推奨事項はありますか。

一般提供されているこれらの推奨事項は、除外をサポートしていません。

  • SQL マネージド インスタンスの Advanced Data Security 設定で、Advanced Threat Protection のすべての種類を有効にする必要がある
  • SQL Server の Advanced Data Security 設定では、Advanced Threat Protection のすべての種類を有効にする必要があります
  • カスタム RBAC ロールの使用を監査する
  • コンテナーの CPU とメモリの制限を強制する必要がある
  • コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある
  • 特権エスカレーションを含むコンテナーは避ける必要がある
  • 機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある
  • コンテナーは許可されたポートでのみリッスンする必要がある
  • 既定の IP フィルター ポリシーを [拒否] にする必要がある
  • マシンでファイルの整合性の監視を有効にする必要がある
  • コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある
  • IoT デバイス - デバイス上でポートを開く
  • IoT デバイス - チェーンのうちの 1 つに制限の緩すぎるファイアウォール ポリシーが見つかりました
  • IoT デバイス - 入力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました
  • IoT デバイス - 出力チェーンに制限の緩すぎるファイアウォール ルールが見つかりました
  • IP フィルター ルールの IP 範囲が広い
  • Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある
  • Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある
  • Kubernetes クラスターでは既定の名前空間を使用しない
  • Kubernetes クラスターでは CAPSYSADMIN セキュリティ機能を許可しない
  • コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある
  • コンテナーの AppArmor プロファイルのオーバーライドまたは無効化を制限する必要がある
  • 特権コンテナーの使用を避ける
  • コンテナーをルート ユーザーとして実行しない
  • サービスは許可されたポートでのみリッスンする必要がある
  • SQL サーバーには、Microsoft Entra管理者がプロビジョニングされている必要があります
  • ホスト ネットワークとポートの使用を制限する必要がある
  • ポッドの HostPath ボリューム マウントの使用を既知のリストに制限して、侵害されたコンテナーからのノード アクセスを制限する必要がある
  • Azure API Management API を API のDefenderにオンボードする必要がある
  • 未使用の API エンドポイントを無効にして Function Apps から削除する必要がある (プレビュー)
  • 未使用の API エンドポイントを無効にして Logic Apps から削除する必要がある (プレビュー)
  • Function Apps でホストされている API エンドポイントで認証を有効にする必要がある (プレビュー)
  • Logic Apps でホストされている API エンドポイントで認証を有効にする必要がある (プレビュー)

Defender for Cloudの ID とアクセスの保護に制限はありますか。

Defender for Cloudの ID とアクセスの保護には、いくつかの制限があります。

  • 6,000 を超えるアカウントを持つサブスクリプションでは、ID に関する推奨事項は利用できません。 このような場合、これらの種類のサブスクリプションは [適用なし] タブに表示されます。
  • アイデンティティの推奨事項は、クラウド ソリューション プロバイダー (CSP) パートナーの管理エージェントには利用できません。
  • ID に関する推奨事項では、PIM の適格な割り当てを含むロールの割り当てが評価されますが、現在、PIM アクティブ化ワークフローや承認要件に基づいてリスクを区別することはできません。 その結果、PIM マネージド ID を含む結果が得られます。
  • ID に関する推奨事項は、ユーザーおよびグループの代わりにディレクトリ ロールを含む Microsoft Entra の条件付きアクセス ポリシーをサポートしていません。

自身の EC2 インスタンスのではどのオペレーティングシステムがサポートされていますか?

SSM エージェントがプレインストールされている AMI の一覧については、AWS のドキュメントのこちらのページを参照してください。

その他のオペレーティング システムでは、次の手順に従って、SSM エージェントを手動でインストールする必要があります。

CSPM プランでは、AWS リソースを検出するのにどのような IAM アクセス許可が必要でしょうか?

AWS リソースを検出するには、次の IAM アクセス許可が必要です。

DataCollector AWS のアクセス許可
API ゲートウェイ apigateway:GET
アプリケーションの自動スケーリング application-autoscaling:Describe*
自動スケーリング autoscaling-plans:Describe*
autoscaling:Describe*
証明書マネージャー acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch ログ logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
構成サービス config:Describe*
config:List*
DMS - データベース移行サービス dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
暗号化ファイル システム elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB - エラスティック負荷分散 (v1/2) elasticloadbalancing:Describe*
ElasticSearch es:Describe*
es:List*
EMR - エラスティック マップ リデュース elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
ネットワーク ファイアウォール network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 と S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
シークレット マネージャー secretsmanager:Describe*
secretsmanager:List*
簡易通知サービスSNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

GCP リソースをDefender for Cloudに接続するための API はありますか?

はい。 REST API を使用してクラウド コネクタDefender for Cloud作成、編集、または削除するには、Connectors API の詳細を参照してください。

Defender for Cloudでサポートされている GCP リージョンは何ですか?

Defender for Cloudでは、GCP パブリック クラウドで使用可能なすべてのリージョンがサポートされ、スキャンされます。

ワークフローの自動化では、ビジネス継続性またはディザスター リカバリー (BCDR) のシナリオはサポートされていますか。

ターゲット リソースで障害やその他の障害が発生している BCDR シナリオ用に環境を準備する場合、Azure Event Hubs、Log Analytics ワークスペース、Logic Apps のガイドラインに従ってバックアップを確立することで、データ損失を防ぐのは組織の責任です。

アクティブな自動化ごとに、同じ (無効な) 自動化を作成し、別の場所に保存することをお勧めします。 障害が発生した場合は、これらのバックアップの自動化を有効にし、通常の操作を継続することができます。

Azure Logic Apps

データのエクスポートには、どのようなコストがかかりますか。

連続エクスポートを有効にするためにコストはかかりません。 構成によっては、Log Analytics ワークスペース内のデータのインジェストと保持にコストが発生する可能性があります。

多くのアラートは、リソースのプランDefender有効にした場合にのみ提供されます。 エクスポートされたデータで取得したアラートをプレビューする良い方法は、Azure ポータルのDefender for Cloudのページに表示されるアラートを確認することです。

Log Analytics ワークスペースの価格の詳細を確認します。

Azure Event Hubs価格の詳細をご覧ください。

Defender for Cloud価格に関する一般的な情報については、pricing のページを参照してください。

継続的エクスポートには、すべてのリソースの現在の状態に関するデータが含まれますか?

いいえ。 連続エクスポートは、イベントのストリーミング用に構築されています。

  • エクスポートを有効にする前に受信したアラートはエクスポートされません。
  • レコメンデーションは、リソースのコンプライアンスの状態が変化するたびに送信されます。 たとえば、リソースの状態が正常から異常に変わった場合などです。 そのため、アラートと同様に、エクスポートを有効にした後に状態が変わっていないリソースの推奨事項はエクスポートされません。
  • セキュリティ コントロールまたはサブスクリプションごとのセキュリティ スコアは、セキュリティ コントロールのスコアが 0.01 以上で変化したときに送信されます。
  • 規制コンプライアンス状態は、リソースのコンプライアンスの状態が変化したときに送信されます。

推奨事項が異なる間隔で送信されるのはなぜですか?

推奨事項が異なると、コンプライアンス評価間隔が異なり、数分ごとから数日ごとまでの範囲にわたります。 そのため、推奨事項がエクスポートに表示されるまでにかかる時間が異なります。

レコメンデーションのクエリ例を取得するにはどうすればよいですか?

推奨事項のクエリの例を取得するには、Defender for Cloudで推奨事項を開き、 Open query を選択し、 セキュリティ結果を返すクエリ を選択します。

レコメンデーションのクエリ例を作成する方法を示すスクリーンショット。

連続エクスポートでは、ビジネス継続性またはディザスター リカバリー (BCDR) のシナリオはサポートされていますか。

連続エクスポートは、ターゲット リソースで障害またはその他の災害が発生している BCDR シナリオの準備に役立ちます。 ただし、Azure Event Hubs、Log Analytics ワークスペース、ロジック アプリのガイドラインに従ってバックアップを確立することで、データ損失を防ぐのは組織の責任です。

詳細については、「Azure Event Hubs - 地理的災害復旧」をご覧ください。

単一サブスクリプションで複数のプランをプログラムで同時に更新してもよいですか?

(REST API、ARM テンプレート、スクリプトなどを使用して) 単一サブスクリプションで複数のプランをプログラムで同時に更新することはお勧めしません。 Microsoft.Security/pricings API、またはその他のプログラム ソリューションを使用する場合、各要求の間に10~15秒の遅延を挿入する必要があります。

既定のアクセスを有効にすると、クラウドフォーメーション テンプレート、Cloud Shell スクリプト、または Terraform テンプレートを再実行する必要がある状況はどれですか?

Defender for Cloudプランまたはそのオプション (プラン内の機能を含む) を変更するには、デプロイ テンプレートを実行する必要があります。 これは、セキュリティ コネクターの作成時に、選択されたアクセス許可の種類に関係なく適用されます。 このスクリーンショットのようにリージョンが変更されている場合は、Cloud Formation テンプレートまたは Cloud Shell スクリプトを再実行する必要はありません。

リージョン内の変更を示すスクリーンショット。

アクセス許可の種類を構成すると、最小限の権限アクセスは、テンプレートまたはスクリプトが実行された時点で利用可能な機能をサポートします。 新しいリソースの種類は、テンプレートまたはスクリプトを再実行することによってのみサポートできます。

各種アクセス許可の選択を示すスクリーンショット。

AWS コネクタのリージョンまたはスキャン間隔を変更した場合、CloudFormation テンプレートまたは Cloud Shell スクリプトを再実行する必要がありますか?

いいえ。リージョンまたはスキャン間隔が変更された場合、CloudFormation テンプレートまたは Cloud Shell スクリプトを再実行する必要はありません。 変更は自動的に適用されます。

AWS 組織または管理アカウントを Microsoft Defender for Cloud にオンボードする方法

Microsoft Defender for Cloudに組織または管理アカウントをオンボードすると、StackSetをデプロイするプロセスが開始されます。 StackSet には、必要なロールとアクセス許可が含まれています。 StackSet は、組織内のすべてのアカウントに必要なアクセス許可も伝達します。

含まれているアクセス許可を使用すると、Microsoft Defender for Cloudは、Defender for Cloudで作成されたコネクタを介して選択したセキュリティ機能を提供できます。 また、このアクセス許可により、Defender for Cloudは自動プロビジョニング サービスを使用して追加されるすべてのアカウントを継続的に監視できます。

Defender for Cloudは、新しい管理アカウントの作成を識別でき、付与されたアクセス許可を利用して、メンバー アカウントごとに同等のメンバー セキュリティ コネクタを自動的にプロビジョニングできます。

この機能は組織のオンボーディングでのみ使用でき、Defender for Cloudは新しく追加されたアカウントのコネクタを作成できます。 また、この機能を使用すると、Defender for Cloudは、管理アカウントの編集時にすべてのメンバー コネクタを編集したり、管理アカウントが削除されたときにすべてのメンバー アカウントを削除したり、対応するアカウントが削除された場合に特定のメンバー アカウントを削除したりできます。

管理アカウント専用に別のスタックをデプロイする必要があります。

エージェントレス

エージェントレス スキャンでは、割り当てを解除された VM はスキャンされますか?

いいえ。 エージェントレス スキャンでは、割り当てを解除された VM はスキャンされません。

エージェントレス スキャンでは、OS ディスクとデータ ディスクがスキャンされますか?

はい。 エージェントレス スキャンでは、OS ディスクとデータ ディスクの両方がスキャンされます。

VM がスキャンされるのは 1 日のうちのいつ頃ですか (開始時刻と終了時刻など)?

時刻は動的であり、アカウントやサブスクリプションが異なると変わる可能性があります。

コピーされたスナップショットに関するテレメトリはありますか?

AWS では、顧客アカウントに対する操作は CloudTrail を通じて追跡できます。

どのデータがスナップショットから収集されますか?

エージェントレス スキャンでは、エージェントで同じ分析を実行するために収集するデータと同様のデータが収集されます。 生データ、PII、機密ビジネス データは収集されず、メタデータの結果のみがDefender for Cloudに送信されます。

ディスク スナップショットはどこにコピーされますか?

スナップショットの分析は、Defender for Cloudによって管理されるセキュリティで保護された環境で行われます。

環境はマルチクラウド全体でリージョン化されているため、スナップショットは元の VM と同じクラウド リージョンに残ります (たとえば、米国西部の EC2 インスタンスのスナップショットは、別のリージョンやクラウドにコピーされることなく、同じリージョンで分析されます)。

ディスクが分析されるスキャン環境は、揮発性で、分離されており、非常に安全です。

Microsoft アカウントでディスク スナップショットはどのように処理されますか? エージェントレス スキャン プラットフォームのセキュリティとプライバシーの原則Microsoft共有できますか?

エージェントレス スキャン プラットフォームは監査済みで、Microsoftの厳格なセキュリティおよびプライバシー基準に準拠しています。 実行される対策の一部は次のとおりです (これがすべてではありません)。

  • リージョンごとの物理的な分離と顧客とサブスクリプションごとの分離
  • 保存時と転送時の E2E 暗号化
  • スキャン直後に消去されるディスク スナップショット
  • 分離されたスキャン環境から外に出るのは、メタデータ (つまりセキュリティの結果) だけです
  • スキャン環境は自律的です
  • すべての操作が内部的に監査されます

エージェントレス スキャンにはどのようなコストが関連しますか?

エージェントレス スキャンは、Defender クラウド セキュリティ体制管理 (CSPM) およびサーバー P2 プランのDefenderに含まれています。 Defender for Cloudを有効にしても、その他のコストは発生しません。

AWS では、ディスク スナップショットの保有に料金がかかります。 Defender for Cloudスキャン プロセスでは、スナップショットがアカウントに保存される期間 (通常は数分) を最小限に抑えようとします。 ディスク スナップショット ストレージのオーバーヘッド コストが AWS から請求される場合があります。 AWS に問い合わせて、適用されるコストを確認してください。

エージェントレス スキャンによって作成されたディスク スナップショットに対して発生した AWS コストDefender for Cloud追跡するにはどうすればよいですか?

ディスク スナップショットは、CreatedBy タグ キーと Microsoft Defender for Cloud タグ値を使用して作成されます。 CreatedBy タグは、リソースを作成したユーザーを追跡します。 Billing and Cost Management コンソールでタグをアクティブにする必要があります。 タグがアクティブになるまで、最大で 24 時間かかる場合があります。

次のステップ

Defender for Cloud