Compartilhar via


Escalar uma implantação do Defender para servidores

Este artigo ajuda a escalar a implantação do Microsoft Defender para servidores.

O Defender para servidores é um dos planos pagos fornecidos pelo Microsoft Defender para Nuvem.

Antes de começar

Este artigo é o sexto e último artigo da série de guias de planejamento do Defender para servidores. Antes de começar, revise os artigos anteriores:

  1. Iniciar o planejamento da implantação
  2. Entender onde seus dados estão armazenados e os requisitos do workspace do Log Analytics
  3. Examinar os requisitos de acesso e função
  4. Selecionar um plano do Defender para servidores
  5. Examinar os requisitos para agentes, extensões e recursos do Azure Arc

Visão geral de escala

Ao habilitar uma assinatura do Defender para Nuvem, este processo ocorre:

  1. O provedor de recursos microsoft.security é registrado automaticamente na assinatura.
  2. Ao mesmo tempo, a iniciativa do Parâmetro de comparação de segurança na nuvem, responsável por criar recomendações de segurança e calcular a classificação de segurança, é atribuída à assinatura.
  3. Depois de habilitar o Defender para Nuvem na assinatura, você ativa o Plano 1 do Defender para servidores ou o Plano 2 do Defender para servidores e habilita o provisionamento automático.

Nas próximas seções, examine as considerações para etapas específicas à medida que você dimensiona sua implantação:

  • Escalar uma implantação do Cloud Security Benchmark
  • Escalar um plano do Defender para servidores
  • Escalar o provisionamento automático

Escalar uma implantação do Cloud Security Benchmark

Em uma implantação em escala, é possível optar por atribuir automaticamente o Cloud Security Benchmark (anteriormente denominado Azure Security Benchmark).

A atribuição é herdada para cada assinatura existente e futura no grupo de gerenciamento. Para configurar sua implantação para aplicar automaticamente o parâmetro de comparação, atribua a iniciativa de política ao grupo de gerenciamento (raiz) em vez de a cada assinatura.

Obtenha a definição de política do Azure Security Benchmark no GitHub.

Saiba como usar uma definição de política interna para registrar um provedor de recursos.

Escalar um plano do Defender para servidores

É possível usar uma definição de política para habilitar o Defender para servidores em escala:

  • Para obter a definição de política interna Configurar o Azure Defender para servidores como habilitado, no portal do Azure para sua implantação, acesse as Definições de políticado>Azure Policy.

    Captura de tela que mostra a definição da política Configurar o Azure Defender para servidores a ser habilitada.

  • Como alternativa, use uma política personalizada para habilitar o Defender para servidores e selecionar o plano ao mesmo tempo.

  • Habilite apenas um plano do Defender para servidores em cada assinatura. Não é possível habilitar o Plano 1 e o Plano 2 do Defender para servidores na mesma assinatura.

  • Para usar ambos os planos no ambiente, divida as assinaturas em dois grupos de gerenciamento. Em cada grupo de gerenciamento, atribua uma política a fim de habilitar o respectivo plano em cada assinatura subjacente.

Escalar o provisionamento automático

Configure um provisionamento automático atribuindo as definições de política internas a um grupo de gerenciamento do Azure para cobrir as assinaturas subjacentes. A tabela a seguir resume as definições:

Agente Política
Agente do Log Analytics (workspace padrão) Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em assinaturas com workspaces padrão
Agente do Log Analytics (workspace personalizado) Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em assinaturas com workspaces personalizados
Agente do Azure Monitor (regra de coleta de dados padrão) [Versão prévia]: configurar computadores do Arc para criar o pipeline padrão do Microsoft Defender para Nuvem usando o agente do Azure Monitor

[Versão prévia]: configurar máquinas virtuais para criar o pipeline padrão do Microsoft Defender para Nuvem usando o Agente do Azure Monitor
Agente do Azure Monitor (regra de coleta de dados personalizada) [Versão prévia]: configurar computadores do Arc para criar o pipeline definido pelo usuário do Microsoft Defender para Nuvem usando o agente do Azure Monitor

[Versão prévia]: configurar os computadores para criar o pipeline definido pelo usuário do Microsoft Defender para Nuvem usando o agente do Azure Monitor
Avaliação de vulnerabilidade do Qualys Configurar os computadores para receber um provedor de avaliação de vulnerabilidade
Extensão de configuração de convidado Visão geral e pré-requisitos

Para examinar as definições de política, no portal do Azure, acesseDefinições de >Política.

Próximas etapas

Inicie uma implantação para seu cenário: