Mettre à l’échelle le déploiement de Defender pour serveurs
Cet article vous aide à mettre à l’échelle votre déploiement Microsoft Defender pour serveurs.
Defender pour serveurs est l’un des plans payés fournis par Microsoft Defender pour le cloud.
Avant de commencer
Cet article est le sixième et dernier du guide de planification de Defender pour serveurs. Avant de commencer, passez en revue les articles précédents :
- Commencez à planifier votre déploiement
- Comprendre où vos données sont stockées et les exigences de l’espace de travail Log Analytics
- Passer en revue les exigences d’accès et de rôle
- Sélectionner un plan Defender pour serveurs
- Passer en revue les conditions requises pour les agents, les extensions et les ressources Azure Arc
Vue d’ensemble de la mise à l’échelle
Lorsque vous activez un abonnement Defender pour le cloud, le processus suivant se produit :
- Le fournisseur de ressources microsoft.security est automatiquement inscrit sur l’abonnement.
- En même temps, l’initiative Cloud Security Benchmark chargée de créer des recommandations de sécurité et de calculer le score de sécurité est attribuée à l’abonnement.
- Après avoir activé Defender pour le cloud sur l’abonnement, vous activez Defender pour serveurs Plan 1 ou Defender pour serveurs Plan 2, puis activez l’approvisionnement automatique.
Dans les sections suivantes, passez en revue les considérations relatives aux étapes spécifiques à l’échelle de votre déploiement :
- Mise à l’échelle d’un déploiement de Cloud Security Benchmark
- Mettre à l’échelle un plan Defender pour serveurs
- Mettre à l’échelle le provisionnement automatique
Mise à l’échelle d’un déploiement de Cloud Security Benchmark
Dans un déploiement mis à l’échelle, vous souhaiterez peut-être que Cloud Security Benchmark (anciennement Azure Security Benchmark) soit automatiquement attribué.
L’attribution est héritée pour chaque abonnement existant et futur dans le groupe d’administration. Pour configurer votre déploiement afin d’appliquer automatiquement le benchmark, affectez l’initiative de stratégie à votre groupe d’administration (racine) au lieu de chaque abonnement.
Vous obtiendrez la définition de stratégie Azure Security Benchmark sur GitHub.
En savoir plus sur l’utilisation d’une définition de stratégie intégrée pour inscrire un fournisseur de ressources.
Mettre à l’échelle un plan Defender pour serveurs
Vous pouvez utiliser une définition de stratégie pour activer Defender pour serveurs à grande échelle :
Pour obtenir la définition de stratégie intégrée Configurer Azure Defender pour serveurs pour qu’il soit activé, dans le portail Azure de votre déploiement, accédez à Stratégie Azure>Définitions de stratégie.
Vous pouvez également utiliser une stratégie personnalisée pour activer Defender pour serveurs et sélectionner le plan en même temps.
Vous ne pouvez activer qu’un seul plan Defender pour serveurs sur chaque abonnement. Vous ne pouvez pas activer Defender pour serveurs Plan 1 et Plan 2 sur le même abonnement.
Si vous souhaitez utiliser les deux plans dans votre environnement, divisez vos abonnements en deux groupes d’administration. Sur chaque groupe d’administration, attribuez une stratégie pour activer le plan respectif sur chaque abonnement sous-jacent.
Mettre à l’échelle le provisionnement automatique
Vous pouvez configurer l’approvisionnement automatique en attribuant les définitions de stratégie intégrées à un groupe d’administration Azure, afin que les abonnements sous-jacents soient couverts. Le tableau suivant récapitule les définitions :
| Agent | Policy |
|---|---|
| Agent Log Analytics (espace de travail par défaut) | Activez l’approvisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec les espaces de travail par défaut |
| Agent Log Analytics (espace de travail personnalisé) | Activez l’approvisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec des espaces de travail personnalisés |
| Agent Azure Monitor (règle de collecte de données par défaut) | [Préversion] : Configurer des machines Arc afin de créer le pipeline Microsoft Defender pour le cloud par défaut en utilisant l’agent Azure Monitor [Préversion] : Configurer des machines virtuelles afin de créer le pipeline Microsoft Defender pour le cloud par défaut en utilisant l’agent Azure Monitor |
| Agent Azure Monitor (règle de collecte de données personnalisée) | [Préversion] : Configurer des machines Arc afin de créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur en utilisant l’agent Azure Monitor [Préversion] : Configurer des machines afin de créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur en utilisant l’agent Azure Monitor |
| Évaluation des vulnérabilités Qualys | Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités |
| Extension Guest Configuration | Vue d’ensemble et composants requis |
Pour passer en revue les définitions de stratégie, dans le Portail Azure, accédez àStratégie>Définitions.
Étapes suivantes
Commencez un déploiement pour votre scénario :