Defender for Servers のデプロイをスケーリングする

この記事は、Microsoft Defender for Servers のデプロイをスケーリングするのに役立ちます。

Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。

開始する前に

この記事は、Defender for Servers 計画ガイド シリーズの 6 番目と最後です。 開始する前に、前の記事を確認してください。

1. デプロイの計画を開始する
2. データの格納場所と Log Analytics ワークスペースの要件を理解する
3. アクセスとロールの要件を確認する
4. Defender for Servers プランを選択する
5. エージェント、拡張機能、Azure Arc リソースの要件を確認する

スケーリングの概要

Defender for Cloud サブスクリプションを有効にすると、次のプロセスが行われます。

1. microsoft.security リソース プロバイダーがサブスクリプションに自動的に登録されます。
2. 同時に、セキュリティに関する推奨事項の作成とセキュリティ スコアの計算を担当するクラウド セキュリティ ベンチマーク イニシアチブがサブスクリプションに割り当てられます。
3. サブスクリプションで Defender for Cloud を有効にした後、Defender for Servers プラン 1 または Defender for Servers プラン 2 を有効にしてから、自動プロビジョニングを有効にします。

次のセクションでは、デプロイをスケーリングする際の特定の手順に関する考慮事項を確認します。

• クラウド セキュリティ ベンチマークのデプロイのスケーリング
• Defender for Servers プランのスケーリング
• 自動プロビジョニングのスケーリング

クラウド セキュリティ ベンチマークのデプロイのスケーリング

スケーリングされたデプロイでは、クラウド セキュリティ ベンチマーク (旧称 Azure セキュリティ ベンチマーク) を自動的に割り当てることができます。

この割り当ては、管理グループにあるすべての既存および将来のサブスクリプションに継承されます。 ベンチマークを自動的に適用するようにデプロイを設定するには、各サブスクリプションではなく、管理グループ (ルート) にポリシー イニシアチブを割り当てます。

Azure セキュリティ ベンチマーク ポリシー定義は、GitHub から入手できます。

組み込みのポリシー定義を使用してリソース プロバイダーを登録する方法の詳細を確認してください。

Defender for Servers プランのスケーリング

ポリシー定義を使用して、Defender for Servers を大規模に有効にすることができます。

• デプロイ用に組み込みの [Defender for Servers を有効にするように構成する] ポリシー定義を取得するには、Azure portal の [Azure Policy]>[ポリシー定義] に進みます。

  

• または、カスタム ポリシーを使用して Defender for Servers を有効にし、同時にプランを選択することもできます。

• 各サブスクリプションで有効にできる Defender for Servers プランは 1 つだけです。 Defender for Servers プラン 1 とプラン 2 の両方を同時に有効にすることはできません。

• 環境内で両方のプランを使用する場合は、サブスクリプションを 2 つの管理グループに分割します。 各管理グループでポリシーを割り当てて、基になる各サブスクリプションでそれぞれのプランを有効にします。

自動プロビジョニングのスケーリング

自動プロビジョニングを構成するには、組み込みのポリシー定義を Azure 管理グループに割り当てて、基になるサブスクリプションをカバーします。 次の表は、定義をまとめたものです。

ポリシー定義を確認するには、Azure portal で [ポリシー]>[定義] に移動します。

次のステップ

シナリオのデプロイを開始します。

• Defender for Servers プランを有効にする
• オンプレミスのマシンを Azure に接続する
• AWS アカウントを Defender for Cloud に接続する
• GCP プロジェクトを Defender for Cloud に接続する