Defender for Servers のデプロイをスケーリングする

この記事は、Microsoft Defender for Servers のデプロイをスケーリングするのに役立ちます。

Defender for Servers は、Microsoft Defender for Cloud によって提供される有料プランの 1 つです。

開始する前に

この記事は、Defender for Servers 計画ガイド シリーズの 6 番目と最後です。 開始する前に、前の記事を確認してください。開始する前に、前の記事を確認してください。

1. デプロイの計画を始める。
2. Defender for Servers のアクセス ロールを確認する。
3. Defender for Servers プランを選択する
4. Defender for Servers が評価のためにデータを収集する方法と、ワークスペースが必要となる場合について理解します。
5. Defender for Servers がデータを格納する場所について理解します。

有効化の概要

Defender for Cloud サブスクリプションを有効にすると、次のプロセスが行われます。

1. microsoft.security リソース プロバイダーがサブスクリプションに自動的に登録されます。
2. 同時に、セキュリティに関する推奨事項の作成とセキュリティ スコアの計算を担当するクラウド セキュリティ ベンチマーク イニシアチブがサブスクリプションに割り当てられます。
3. サブスクリプションで Defender for Cloud を有効にした後、Defender for Servers プラン 1 または Defender for Servers プラン 2 を有効にします。

次のセクションでは、デプロイをスケーリングする際の特定の手順に関する考慮事項を確認します。

• Microsoft クラウド セキュリティ ベンチマークのデプロイをスケーリングする
• Defender for Servers プランのスケーリング

MCSB デプロイをスケーリングする

Defender for Cloud では、組み込みの Azure ポリシー イニシアチブを使用して、ベスト プラクティスのセキュリティ構成を評価し、適用します。 Microsoft クラウド セキュリティ ベンチマーク (MCSB) は、Defender for Cloud の既定のイニシアチブです。

スケーリングされたデプロイでは、MCSB を自動的に割り当てるようにしたい場合があります。

この割り当ては、管理グループにあるすべての既存および将来のサブスクリプションに継承されます。 ベンチマークを自動的に適用するようにデプロイを設定するには、各サブスクリプションではなく、管理グループ (ルート) にポリシー イニシアチブを割り当てます。

Microsoft クラウド セキュリティ ベンチマーク ポリシー定義は、GitHub から入手できます。

組み込みのポリシー定義を使用してリソース プロバイダーを登録する方法の詳細を確認してください。

Defender for Servers プランのスケーリング

ポリシー定義を使用して、Defender for Servers を大規模に有効にすることができます。

• デプロイ用に組み込みの [Defender for Servers を有効にするように構成する] ポリシー定義を取得するには、Azure portal の [Azure Policy]>[ポリシー定義] に進みます。

  

• または、カスタム ポリシーを使用して Defender for Servers を有効にし、同時にプランを選択することもできます。

• 各サブスクリプションで有効にできる Defender for Servers プランは 1 つだけです。 Defender for Servers プラン 1 とプラン 2 の両方を同時に有効にすることはできません。

• 環境内で両方のプランを使用する場合は、サブスクリプションを 2 つの管理グループに分割します。 各管理グループでポリシーを割り当てて、基になる各サブスクリプションでそれぞれのプランを有効にします。

次のステップ

シナリオのデプロイを開始します。

• Defender for Servers プランを有効にする
• オンプレミスのマシンを Azure に接続する
• AWS アカウントを Defender for Cloud に接続する
• GCP プロジェクトを Defender for Cloud に接続する