Defender for Servers のデプロイを計画する
Microsoft Defender for Cloud の Defender for Servers プランでは、マシンのセキュリティ態勢を改善および修復するための実行可能な推奨事項を提供することで、セキュリティ リスクを低減します。 Defender for Servers は、リアルタイムのセキュリティ脅威や攻撃からマシンを保護するためにも役立ちます。
このガイドは、Defender for Servers の効果的なデプロイを設計および計画するのに役立ちます。
このガイドについて
このガイドの対象読者は、クラウド ソリューションとインフラストラクチャ アーキテクト、セキュリティ アーキテクトとアナリスト、およびクラウドとハイブリッドのサーバーとワークロードの保護に関わるすべての人です。
このガイドでは、次の疑問に答えます。
- Defender for Servers の機能とデプロイ方法について。
- データの格納場所と Log Analytics ワークスペース必要になる時期について教えてください。
- Defender for Servers リソースへのアクセスを制御する方法について教えてください。
- 選択する必要がある Defender for Servers プランとプランを展開する場所を教えてください。
- 展開に必要なエージェントと拡張機能を教えてください。
- デプロイを拡張する方法について。
開始する前に
展開の計画を開始する前に次のようにします。
- Defender for Cloud 機能について詳細を確認し、価格の詳細を確認します。
- Defender for Servers の概要を確認します。
- AWS マシンまたは GCP プロジェクトにデプロイする場合は、マルチクラウド計画ガイドを確認します。
- AWS/GCP とオンプレミスのマシンを Azure Arc VM としてオンボードすると、Defender for Servers のすべての機能を使用できるようになります。 計画を開始する前に、Azure Arc について詳細を確認してください。
デプロイメントの手順
次の表に、Defender for Servers の展開ステップの要約を示します。
| Step | 詳細 | Outcome |
|---|---|---|
| AWS/GCP マシンに接続する | Defender for Servers を使用して AWS および GCP マシンを保護するには、Defender for Cloud に AWS アカウントを接続し、GCP プロジェクトを接続します。 接続プロセスの一環として、Defender for Servers を含む Defender for Cloud プランを有効にできます。 Defender for Servers の機能を最大限に活用するには、AWS マシンと GCP マシンを Azure Arc VM としてオンボードすることをお勧めします。 Azure Arc エージェントのインストールを、接続プロセスの一環として利用できます。 |
AWS マシンと GCP マシンが、Defender for Cloud に正常にオンボードされます。 |
| オンプレミスのマシンを接続する | オンプレミスのマシンを保護するには、オンプレミスのマシンを Azure Arc VM としてオンボードすることをお勧めします。 オンプレミスのマシンを Defender for Cloud に直接オンボードできます。 ただし、直接オンボードでは、Defender for Servers プラン 2 の機能にフル アクセスすることはできません。 |
オンプレミス マシンが、Defender for Cloud に正常にオンボードされます |
| Defender for Servers を有効にする | Defender for Servers プランを展開します。 | Defender for Cloud が、展開スコープ内でサポートされているマシンの保護を開始します。 |
| 無料データ インジェストを利用する | 特定のデータ型に対して 500 MB の無料の日次インジェストを利用するには、マシンが Azure Monitor エージェント (AMA) を実行し、Log Analytics ワークスペースに接続されている必要があります。 詳細情報。 この特典は、マシンの報告先の Log Analytics ワークスペースでサポートされているデータ型に付与されます。 |
無料の日次インジェストは、サポートされているデータ型向けに構成されています。 |
| OS 評価を準備する | Defender for Servers プラン 2 で、Microsoft クラウド セキュリティ ベンチマークのコンピューティング セキュリティ ベースラインに対してオペレーティング システムの構成設定を評価するには、マシンが Azure Policy マシンの構成拡張機能を実行している必要があります。 拡張機能の設定について、詳細を確認してください。 | Defender for Servers プラン 2 は、評価のために OS 構成情報を収集します。 |
| ファイルの整合性の監視を設定する | Defender for Servers プラン 2 を有効にした後に、プランを有効にした後のファイルの整合性の監視を設定します。 ファイルの整合性の監視には、Log Analytics ワークスペースが必要です。 機能を構成するときに、既存のワークスペースを使用することも、新しいワークスペースを作成することもできます。 |
Defender for Servers が、重要なファイル変更を監視します。 |
次のステップ
計画プロセスを開始したら、この計画シリーズの 2 番めの記事を確認して、Defender for Servers へのアクセスの制御方法を確認します。