Масштабирование развертывания Defender для серверов

Эта статья помогает масштабировать развертывание Microsoft Defender для серверов.

Defender для серверов — это один из платных планов, предоставляемых Microsoft Defender для облака.

Подготовка к работе

Эта статья является шестой и последней статьей в серии руководств по планированию Defender для серверов. Перед началом работы ознакомьтесь с предыдущими статьями:

1. Начало планирования развертывания
2. Сведения о том, где хранятся данные и требования к рабочей области Log Analytics
3. Проверка требований к доступу и роли
4. Выбор плана Defender для серверов
5. Проверка требований к агентам, расширениям и ресурсам Azure Arc

Обзор масштабирования

При включении подписки Defender для облака происходит следующее:

1. Поставщик ресурсов microsoft.security автоматически регистрируется в подписке.
2. В то же время инициатива Cloud Security Benchmark, которая отвечает за создание рекомендаций по безопасности и вычисление оценки безопасности, назначается подписке.
3. После включения Defender для облака подписки включите Defender для серверов плана 1 или Defender для серверов плана 2, а затем включите автоматическую подготовку.

В следующих разделах ознакомьтесь с рекомендациями по конкретным шагам при масштабировании развертывания:

• Масштабирование развертывания Cloud Security Benchmark
• Масштабирование плана Defender для серверов
• Масштабирование автоматической подготовки

Масштабирование развертывания Cloud Security Benchmark

В масштабируемом развертывании может потребоваться, чтобы Cloud Security Benchmark (прежнее название — Azure Security Benchmark) был автоматически назначен.

Назначение наследуется для каждой существующей и будущей подписки в группе управления. Чтобы настроить развертывание для автоматического применения теста, назначьте инициативу политики группе управления (корневой) вместо каждой подписки.

Определение политики Azure Security Benchmark можно получить на сайте GitHub.

Дополнительные сведения об использовании встроенного определения политики для регистрации поставщика ресурсов.

Масштабирование плана Defender для серверов

Определение политики можно использовать для включения Defender для серверов в большом масштабе:

• Чтобы получить встроенное определение политики в Azure Defender для серверов, в портал Azure развертывания перейдите в раздел Политика Azure> Policy Definitions.

  

• Кроме того, можно использовать настраиваемую политику для включения Defender для серверов и одновременного выбора плана.

• В каждой подписке можно включить только один план Defender для серверов. Вы не можете включить как Defender для серверов plan 1, так и Plan 2 в одной подписке.

• Если вы хотите использовать оба плана в вашей среде, разделите подписки на две группы управления. В каждой группе управления назначьте политику, чтобы включить соответствующий план для каждой базовой подписки.

Масштабирование автоматической подготовки

Вы можете настроить автоматическую подготовку, назначив встроенные определения политик группе управления Azure для покрытия базовых подписок. В следующей таблице перечислены определения:

Агент	Политика
Агент Log Analytics (рабочая область по умолчанию)	Включение автоматической подготовки агента Log Analytics в подписках центра безопасности с рабочими областями по умолчанию
Агент Log Analytics (настраиваемая рабочая область)	Включение автоматической подготовки агента Log Analytics в подписках центра безопасности с настраиваемыми рабочими областями
Агент Azure Monitor (правило сбора данных по умолчанию)	[Предварительная версия]. Настройка компьютеров Arc для создания конвейера по умолчанию Microsoft Defender для облака с помощью агента Azure Monitor [Предварительная версия]. Настройка виртуальных машин для создания конвейера Microsoft Defender для облака по умолчанию с помощью агента Azure Monitor
Агент Azure Monitor (пользовательское правило сбора данных)	[Предварительная версия]. Настройка компьютеров Arc для создания Microsoft Defender для облака определяемого пользователем конвейера с помощью агента Azure Monitor [Предварительная версия]. Настройка компьютеров для создания Microsoft Defender для облака определяемого пользователем конвейера с помощью агента Azure Monitor
Оценка уязвимостей Qualys	Настройка компьютеров для получения поставщика оценки уязвимостей
Расширение гостевой конфигурации	Обзор и предварительные требования

Чтобы просмотреть определения политик, в портал Azure перейдите к определениям политик>.

Следующие шаги

Начните развертывание для вашего сценария:

• Включение плана Defender для серверов
• Подключение локального компьютера к Azure
• Подключение учетной записи AWS к Defender для облака
• Подключение проекта GCP к Defender для облака