Defender for Servers のデプロイを計画する
Microsoft Defender for Servers は、Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP)、オンプレミスで実行されている Windows および Linux マシンに保護を拡張します。 Defender for Servers は、エンドポイントでの検出と応答 (EDR) およびその他の脅威保護機能を提供するために、Microsoft Defender for Endpoint と統合されています。
このガイドは、Defender for Servers の効果的なデプロイを設計および計画するのに役立ちます。 Microsoft Defender for Cloud には、Defender for Servers 用の 2 つの有料プランが用意されています。
このガイドについて
このガイドの対象読者は、クラウド ソリューションとインフラストラクチャ アーキテクト、セキュリティ アーキテクトとアナリスト、およびクラウドとハイブリッドのサーバーとワークロードの保護に関わるすべての人です。
このガイドでは、次の疑問に答えます。
- Defender for Servers の機能とデプロイ方法について。
- データの格納場所と必要な Log Analytics ワークスペースについて教えてください。
- Defender for Servers リソースにアクセスする必要があるユーザーについて。
- 選択する必要がある Defender for Servers プランと使用する必要がある脆弱性評価ソリューションについて。
- Azure Arc を使用する必要がある場合と、必要なエージェントと拡張機能について。
- デプロイを拡張する方法について。
開始する前に
Defender for Servers 計画ガイドの一連の記事を確認する前に、次の手順を実行します。
- Defender for Servers の価格の詳細を確認します。
- AWS マシンまたは GCP プロジェクトにデプロイする場合は、マルチクラウド計画ガイドを確認します。
デプロイの概要
次の表は、Defender for Servers の展開プロセスの概要を示しています。
| 段階 | 詳細 |
|---|---|
| リソースの保護を開始する | • ポータルで Defender for Cloud を開くと、無料の基本的な CSPM 評価と推奨事項でリソースの保護が開始されます。 • Defender for Cloud により、SecurityCenterFree ソリューションを有効にした既定の Log Analytics ワークスペースが作成されます。 ポータルに推奨事項が表示され始めます。 |
| Defender for Servers を有効にする | • 有料プランを有効にすると、Defender for Cloud によって既定のワークスペースに対して "セキュリティ" ソリューションが有効になります。 • Defender for Servers プラン 1 (サブスクリプションのみ) またはプラン 2 (サブスクリプションとワークスペース) を有効にします。 • プランを有効にした後、サブスクリプションまたはワークグループ内の Azure VM にエージェントと拡張機能をインストールする方法を決めます。 • 既定では、一部の拡張機能で自動プロビジョニングが有効になっています。 |
| AWS または GCP マシンを保護する | • Defender for Servers の展開の場合、コネクタの設定、不要なプランのオフ、自動プロビジョニング設定の構成、AWS または GCP に対する認証、設定の展開を行います。 • 自動プロビジョニングには、Defender for Cloud で使うエージェントと、Azure Arc を使って Azure にオンボードする Azure Connected Machine エージェントが含まれます。 • AWS は CloudFormation テンプレートを使います。 • GCP は Cloud Shell テンプレートを使います。 ポータルに推奨事項が表示され始めます。 |
| オンプレミス サーバーを保護する | • それらを Azure Arc マシンとしてオンボードし、自動プロビジョニングを使ってエージェントを展開します。 |
| 基本的な CSPM | • プランを有効にしていない基本の CSPM を使う場合、料金はかかりません。 • 基本の CSPM の場合、Azure Arc を使って AWS または GCP マシンを設定する必要はありません。 オンプレミスのマシンが行います。 • 一部の基本的な推奨事項は、エージェントのみに依存しています。マルウェア対策/エンドポイント保護 (Log Analytics エージェントまたは Azure Monitor エージェント) | OS ベースラインに関する推奨事項 (Log Analytics エージェントまたは Azure Monitor エージェントとゲスト構成拡張機能) | |
- 基本的なクラウド セキュリティ態勢管理 (CSPM) の詳細をご確認ください。
- Azure Arc オンボードの詳細をご確認ください。
Azure サブスクリプションまたは接続されている AWS アカウントで Microsoft Defender for Servers を有効にすると、接続されているすべてのマシンが Defender for Servers によって保護されます。 Microsoft Defender for Servers は、Log Analytics ワークスペース レベルで有効にできますが、そのワークスペースに報告するサーバーのみが保護および課金され、それらのサーバーは、Microsoft Defender for Endpoint、脆弱性評価、Just-In-Time VM アクセスなど一部の利点を得られません。
次のステップ
計画プロセスを開始したら、この計画シリーズの 2 番目の記事を確認して、データの格納方法と Log Analytics ワークスペースの要件を理解します。