この記事は、サーバー展開のMicrosoft Defenderをスケーリングするのに役立ちます。
Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。
開始する前に
この記事は、Defender for Servers 計画ガイド シリーズの 6 番目で最後の記事です。 開始する前に、前の記事を確認してください。開始する前に、前の記事を確認してください。
- デプロイの計画を始める。
- サーバー用Defenderのアクセスロールを確認します。
- サーバー用のDefender for Servers プランを選択します。
- Defender for Servers が評価のためにデータを収集する方法と、ワークスペースが必要な場合について説明します。
- Defender for Servers がデータを格納する場所について理解します。
概要を有効にする
Defender for Cloud サブスクリプションを有効にすると、次のプロセスが発生します。
- microsoft.security リソース プロバイダーがサブスクリプションに自動的に登録されます。
- 同時に、セキュリティに関する推奨事項の作成とセキュリティ スコアの計算を担当するクラウド セキュリティ ベンチマーク イニシアチブがサブスクリプションに割り当てられます。
- サブスクリプションでDefender for Cloudを有効にすると、サーバー プラン 1 のDefenderまたはサーバー プラン 2 のDefenderが有効になります。
次のセクションでは、デプロイをスケーリングする際の特定の手順に関する考慮事項を確認します。
- Microsoft Cloud セキュリティ ベンチマークのデプロイをスケーリングする
- サーバープランのDefenderをスケーリングする
MCSB デプロイをスケーリングする
Defender for Cloudは、組み込みのAzure ポリシー イニシアチブを使用して、ベスト プラクティスのセキュリティ構成を評価して適用します。 Microsoft Cloud セキュリティ ベンチマーク (MCSB) は、Defender for Cloudの既定のイニシアチブです。
スケーリングされたデプロイでは、MCSB を自動的に割り当てるようにしたい場合があります。
この割り当ては、管理グループにあるすべての既存および将来のサブスクリプションに継承されます。 ベンチマークを自動的に適用するようにデプロイを設定するには、各サブスクリプションではなく、管理グループ (ルート) にポリシー イニシアチブを割り当てます。
Microsoft Cloud セキュリティ ベンチマーク ポリシー定義は、GitHub で取得できます。
組み込みのポリシー定義を使用してリソース プロバイダーを登録する方法の詳細を確認してください。
サーバープランのDefenderをスケーリングする
ポリシー定義を使用して、サーバーのDefenderを大規模に有効にすることができます。
組み込みのAzure Defender for Serversを構成して有効にするポリシー定義を取得するには、展開のAzure ポータルで、Azure Policy>ポリシー定義に移動します。
または、custom ポリシーを使用してサーバーのDefenderを有効にし、同時にプランを選択することもできます。
各サブスクリプションでサーバー プランに対して有効にできるDefenderは 1 つだけです。 サーバー プラン 1 とプラン 2 の両方のDefenderを同じサブスクリプションで有効にすることはできません。
環境内で両方のプランを使用する場合は、サブスクリプションを 2 つの管理グループに分割します。 各管理グループでポリシーを割り当てて、基になる各サブスクリプションでそれぞれのプランを有効にします。
次のステップ
シナリオのデプロイを開始します。
- サーバーのDefenderプランを有効にします
オンプレミスのマシンを Azure AWS アカウントを Defender for Cloud GCP プロジェクトを Defender for Cloud