Escalado de una implementación de Defender para servidores
Este artículo le ayuda a escalar su implementación de Microsoft Defender para servidores.
Defender para servidores es uno de los planes de pago que ofrece Microsoft Defender for Cloud.
Antes de empezar
Este artículo es el sexto, y último, de la serie de guías de planeamiento de Defender para servidores. Antes de empezar, revise los artículos anteriores:
- Planeamiento de la implementación de Defender para servidores
- Revisión de la residencia de datos y el diseño del área trabajo
- Revisión de los requisitos de acceso y roles
- Selección de un plan de Defender para servidores
- Revisión de los requisitos de agentes, extensiones y recursos de Azure Arc
Información general del escalado
Al habilitar una suscripción de Defender for Cloud, se produce este proceso:
- El proveedor de recursos microsoft.security se registra automáticamente en la suscripción.
- Al mismo tiempo, la iniciativa de Cloud Security Benchmark, que se encarga de crear recomendaciones de seguridad y calcular la puntuación de seguridad, se asigna a la suscripción.
- Después de habilitar Defender for Cloud en la suscripción, active el Plan 1 o Plan 2 de Defender para servidores y habilite el aprovisionamiento automático.
En las secciones siguientes, revise las consideraciones sobre los pasos específicos a medida que escala la implementación:
- Escalado de una implementación de Cloud Security Benchmark
- Escalado de un plan de Defender para servidores
- Escalado del aprovisionamiento automático
Escalado de una implementación de Cloud Security Benchmark
En una implementación escalada, es posible que quiera que Cloud Security Benchmark (anteriormente Azure Security Benchmark) se asigne automáticamente.
La asignación se hereda para cada suscripción existente y futura del grupo de administración. Para configurar la implementación para que aplique automáticamente el punto de referencia, asigne la iniciativa de directiva al grupo de administración (raíz) en lugar de a cada suscripción.
Puede obtener la definición de directiva de Azure Security Benchmark en GitHub.
Obtenga más información sobre el uso de una definición de directiva integrada para registrar un proveedor de recursos.
Escalado de un plan de Defender para servidores
Puede usar una definición de directiva a fin de habilitar Defender para servidores a gran escala:
Para obtener la definición de la directiva integrada Configurar Azure Defender para servidores que se va a habilitar, vaya a Azure Policy>Definiciones de directiva, en la instancia de Azure Portal de la implementación.
Como alternativa, puede usar una directiva personalizada para habilitar Defender para servidores y seleccionar el plan al mismo tiempo.
Solo puede habilitar un plan de Defender para servidores en cada suscripción. No puede habilitar el Plan 1 y el Plan 2 de Defender para servidores en la misma suscripción.
Si quiere usar ambos planes en su entorno, divida las suscripciones en dos grupos de administración. En cada grupo de administración, asigne una directiva para habilitar el plan correspondiente en cada suscripción subyacente.
Escalado del aprovisionamiento automático
Para configurar el aprovisionamiento automático, asigne las definiciones de las directivas integradas a un grupo de administración de Azure para que se incluyan las suscripciones subyacentes. En la tabla siguiente se resumen las definiciones:
Agente | Directiva |
---|---|
Agente de Log Analytics (área de trabajo predeterminada) | Habilitar el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con las áreas de trabajo predeterminadas |
Agente de Log Analytics (área de trabajo personalizada) | Habilitar el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con áreas de trabajo personalizadas |
Agente de Azure Monitor (regla de recopilación de datos predeterminada) | [Versión preliminar]: Configurar máquinas de Arc para crear la canalización de Microsoft Defender for Cloud predeterminada mediante el agente de Azure Monitor [Versión preliminar]: Configurar máquinas virtuales para crear la canalización predeterminada de Microsoft Defender for Cloud mediante el agente de Azure Monitor |
Agente de Azure Monitor (regla de recopilación de datos personalizada) | [Versión preliminar]: Configurar máquinas de Arc para crear la canalización de Microsoft Defender for Cloud definida por el usuario mediante el agente de Azure Monitor [Versión preliminar]: Configurar máquinas para crear la canalización de Microsoft Defender for Cloud definida por el usuario mediante el agente de Azure Monitor |
Evaluación de vulnerabilidades de Qualys | Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades |
Extensión Guest Configuration | Introducción y requisitos previos |
Para revisar las definiciones de directiva, en Azure Portal, vaya a Directiva>Definiciones.
Pasos siguientes
Comience una implementación para su escenario: