Defender for Servers のデプロイをスケーリングする
この記事は、Microsoft Defender for Servers のデプロイをスケーリングするのに役立ちます。
Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。
開始する前に
この記事は、Defender for Servers 計画ガイド シリーズの 6 番目と最後です。 開始する前に、前の記事を確認してください。
- デプロイの計画を開始する
- データの格納場所と Log Analytics ワークスペースの要件を理解する
- アクセスとロールの要件を確認する
- Defender for Servers プランを選択する
- エージェント、拡張機能、Azure Arc リソースの要件を確認する
スケーリングの概要
Defender for Cloud サブスクリプションを有効にすると、次のプロセスが行われます。
- microsoft.security リソース プロバイダーがサブスクリプションに自動的に登録されます。
- 同時に、セキュリティに関する推奨事項の作成とセキュリティ スコアの計算を担当するクラウド セキュリティ ベンチマーク イニシアチブがサブスクリプションに割り当てられます。
- サブスクリプションで Defender for Cloud を有効にした後、Defender for Servers プラン 1 または Defender for Servers プラン 2 を有効にしてから、自動プロビジョニングを有効にします。
次のセクションでは、デプロイをスケーリングする際の特定の手順に関する考慮事項を確認します。
- クラウド セキュリティ ベンチマークのデプロイのスケーリング
- Defender for Servers プランのスケーリング
- 自動プロビジョニングのスケーリング
クラウド セキュリティ ベンチマークのデプロイのスケーリング
スケーリングされたデプロイでは、クラウド セキュリティ ベンチマーク (旧称 Azure セキュリティ ベンチマーク) を自動的に割り当てることができます。
この割り当ては、管理グループにあるすべての既存および将来のサブスクリプションに継承されます。 ベンチマークを自動的に適用するようにデプロイを設定するには、各サブスクリプションではなく、管理グループ (ルート) にポリシー イニシアチブを割り当てます。
Azure セキュリティ ベンチマーク ポリシー定義は、GitHub から入手できます。
組み込みのポリシー定義を使用してリソース プロバイダーを登録する方法の詳細を確認してください。
Defender for Servers プランのスケーリング
ポリシー定義を使用して、Defender for Servers を大規模に有効にすることができます。
デプロイ用に組み込みの [Defender for Servers を有効にするように構成する] ポリシー定義を取得するには、Azure portal の [Azure Policy]>[ポリシー定義] に進みます。
または、カスタム ポリシーを使用して Defender for Servers を有効にし、同時にプランを選択することもできます。
各サブスクリプションで有効にできる Defender for Servers プランは 1 つだけです。 Defender for Servers プラン 1 とプラン 2 の両方を同時に有効にすることはできません。
環境内で両方のプランを使用する場合は、サブスクリプションを 2 つの管理グループに分割します。 各管理グループでポリシーを割り当てて、基になる各サブスクリプションでそれぞれのプランを有効にします。
自動プロビジョニングのスケーリング
自動プロビジョニングを構成するには、組み込みのポリシー定義を Azure 管理グループに割り当てて、基になるサブスクリプションをカバーします。 次の表は、定義をまとめたものです。
| エージェント | ポリシー |
|---|---|
| Log Analytics エージェント (既定のワークスペース) | 既定のワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする |
| Log Analytics エージェント (カスタム ワークスペース) | カスタム ワークスペースを使用して、Security Center がサブスクリプションで Log Analytics エージェントを自動プロビジョニングできるようにする |
| Azure Monitor エージェント (既定のデータ収集規則) | [プレビュー]: Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように Arc マシンを構成する [プレビュー]: Azure Monitor エージェントを使用して既定の Microsoft Defender for Cloud パイプラインを作成するように仮想マシンを構成する |
| Azure Monitor エージェント (カスタム データ収集規則) | [プレビュー]: Azure Monitor エージェントを使用して Microsoft Defender for Cloud ユーザー定義パイプラインを作成するように Arc マシンを構成する [プレビュー]: Azure Monitor エージェントを使用してユーザー定義の Microsoft Defender for Cloud パイプラインを作成するようにマシンを構成する |
| Qualys 脆弱性評価 | 脆弱性評価プロバイダーを受け取るようにマシンを構成する |
| ゲスト構成拡張機能 | 概要と前提条件 |
ポリシー定義を確認するには、Azure portal で [ポリシー]>[定義] に移動します。
次のステップ
シナリオのデプロイを開始します。