Escalar uma implantação do Defender para servidores
Este artigo ajuda a escalar a implantação do Microsoft Defender para servidores.
O Defender para servidores é um dos planos pagos fornecidos pelo Microsoft Defender para Nuvem.
Antes de começar
Este artigo é o sexto e último artigo da série de guias de planejamento do Defender para servidores. Antes de começar, revise os artigos anteriores:
- Iniciar o planejamento da implantação
- Entender onde seus dados estão armazenados e os requisitos do workspace do Log Analytics
- Examinar os requisitos de acesso e função
- Selecionar um plano do Defender para servidores
- Examinar os requisitos para agentes, extensões e recursos do Azure Arc
Visão geral de escala
Ao habilitar uma assinatura do Defender para Nuvem, este processo ocorre:
- O provedor de recursos microsoft.security é registrado automaticamente na assinatura.
- Ao mesmo tempo, a iniciativa do Parâmetro de comparação de segurança na nuvem, responsável por criar recomendações de segurança e calcular a classificação de segurança, é atribuída à assinatura.
- Depois de habilitar o Defender para Nuvem na assinatura, você ativa o Plano 1 do Defender para servidores ou o Plano 2 do Defender para servidores e habilita o provisionamento automático.
Nas próximas seções, examine as considerações para etapas específicas à medida que você dimensiona sua implantação:
- Escalar uma implantação do Cloud Security Benchmark
- Escalar um plano do Defender para servidores
- Escalar o provisionamento automático
Escalar uma implantação do Cloud Security Benchmark
Em uma implantação em escala, é possível optar por atribuir automaticamente o Cloud Security Benchmark (anteriormente denominado Azure Security Benchmark).
A atribuição é herdada para cada assinatura existente e futura no grupo de gerenciamento. Para configurar sua implantação para aplicar automaticamente o parâmetro de comparação, atribua a iniciativa de política ao grupo de gerenciamento (raiz) em vez de a cada assinatura.
Obtenha a definição de política do Azure Security Benchmark no GitHub.
Saiba como usar uma definição de política interna para registrar um provedor de recursos.
Escalar um plano do Defender para servidores
É possível usar uma definição de política para habilitar o Defender para servidores em escala:
Para obter a definição de política interna Configurar o Azure Defender para servidores como habilitado, no portal do Azure para sua implantação, acesse as Definições de políticado>Azure Policy.
Como alternativa, use uma política personalizada para habilitar o Defender para servidores e selecionar o plano ao mesmo tempo.
Habilite apenas um plano do Defender para servidores em cada assinatura. Não é possível habilitar o Plano 1 e o Plano 2 do Defender para servidores na mesma assinatura.
Para usar ambos os planos no ambiente, divida as assinaturas em dois grupos de gerenciamento. Em cada grupo de gerenciamento, atribua uma política a fim de habilitar o respectivo plano em cada assinatura subjacente.
Escalar o provisionamento automático
Configure um provisionamento automático atribuindo as definições de política internas a um grupo de gerenciamento do Azure para cobrir as assinaturas subjacentes. A tabela a seguir resume as definições:
| Agente | Política |
|---|---|
| Agente do Log Analytics (workspace padrão) | Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em assinaturas com workspaces padrão |
| Agente do Log Analytics (workspace personalizado) | Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em assinaturas com workspaces personalizados |
| Agente do Azure Monitor (regra de coleta de dados padrão) | [Versão prévia]: configurar computadores do Arc para criar o pipeline padrão do Microsoft Defender para Nuvem usando o agente do Azure Monitor [Versão prévia]: configurar máquinas virtuais para criar o pipeline padrão do Microsoft Defender para Nuvem usando o Agente do Azure Monitor |
| Agente do Azure Monitor (regra de coleta de dados personalizada) | [Versão prévia]: configurar computadores do Arc para criar o pipeline definido pelo usuário do Microsoft Defender para Nuvem usando o agente do Azure Monitor [Versão prévia]: configurar os computadores para criar o pipeline definido pelo usuário do Microsoft Defender para Nuvem usando o agente do Azure Monitor |
| Avaliação de vulnerabilidade do Qualys | Configurar os computadores para receber um provedor de avaliação de vulnerabilidade |
| Extensão de configuração de convidado | Visão geral e pré-requisitos |
Para examinar as definições de política, no portal do Azure, acesseDefinições de >Política.
Próximas etapas
Inicie uma implantação para seu cenário: