File Storage Securityを展開した後、スタックを追加することをお勧めします。
トピック:
スタックをいくつ追加する必要がありますか?
Storage Stack
各保護されたストレージ アカウントごとに1つのStorage Stackが必要です。
追加できるStorage Stackの数に制限はありませんが、スタックの数が増えるとコストが高くなることに注意してください。スキャンするファイルが多数あり、多くのストレージアカウントに分散している場合は、Storage
Stackを1つだけ展開し、ファイルを関連するストレージアカウントに転送してスキャンし、スキャン後に元に戻すことを検討してください。この処理の一部を自動化するサンプルのAzure機能を提供します。詳細については、Post-Scan Action: GitHub のプロモートまたは隔離を参照してください。
デプロイするStorage Stackの数はパフォーマンスに影響しないため、必要な数だけデプロイします。
Scanner Stack
通常、サイズに関係なく、デプロイメント全体に必要な Scanner Stack は1つだけです。これは、 Scanner Stack が負荷の増加を処理するために自動スケーリングするためです。(パフォーマンスの詳細については、スキャンにかかる時間はどれくらいですか?を参照してください)
スタックはどこに追加できますか?
特に下記に記載がない限り、次のようなAzureの任意の場所にスタックを追加できます: 個別のAzureサブスクリプション、個別のAzureリージョン、または同じAzureサブスクリプション。Storage
Stackは、Azureリソースグループの識別子を介して、それぞれのScanner Stackを認識します。
制限、規定、および推奨事項
- スタックはサポートされているAzureリージョンに存在する必要があります。詳細については、サポートされているリージョンはどれですか?を参照してください
- Storage Stackは保護ストレージアカウントと同じリージョンに存在する必要があります
- 最適なパフォーマンスを得るには、Storage StackとScanner Stackを、南北アメリカなどの同じ大陸リージョンに配置する必要があります。
- 各 Scanner Stack または Storage Stack は、スタンドアロンの Azureリソースグループに配置する必要があります。スタックのリソースグループに他のリソースをデプロイすることはお勧めしません。
All-in-one Stackの追加
All-in-one Stackを追加するには、All-in-one Stackのデプロイを参照してください。
Scanner Stackの追加
Scanner Stackを追加するには、次のセクションをお読みください。
Step 1: Scanner Stackを追加します
以下の手順に従って、 Scanner Stack を追加します。
手順
- File Storage Securityにサインインしてから、Stack Managementページを選択します。
- [Azure]タブを選択してください。
- [Deploy]を選択してください。[Deploy]ダイアログボックスが表示されます。
- [Scanner Stack]を選択してください。[Deploy Scanner Stack]ダイアログボックスが表示されます。
- [Deploy Scanner Stack]ダイアログボックスで:
- [Step 1] の場合:
- Azureポータルで Microsoft Entra ID にサインインしていることを確認してください。 [List Service Principal ID] Azure CLI コマンドを実行して、サービス プリンシパル ID を取得します。サービス プリンシパルが存在しない場合は、[Prepare Service Principal ID] Azure CLI コマンドを実行してサービス プリンシパルを作成します。 Azure にスタックをデプロイするには、File Storage Security のアプリ登録にリンクされているサービス プリンシパルを使用する必要があります。サービス プリンシパルの作成の詳細については、Azure サービス プリンシパルの準備を参照してください
- [Step 2]の場合:
- (オプション) 起動する前に、[Review Stack] を選択して、 Scanner Stack の内容を表示します。
- [Launch Stack]を選択してください。
Azure [Custom deployment]ページにリダイレクトされます。 - [Step 1] の場合:
- 次のように[Custom deployment]ページに記入してください:
-
[サブスクリプション]: スタックをデプロイする サブスクリプション を指定します。
-
[Resource group]: ドロップダウンリストから Scanner Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。 例:
Scanner-TM-FileStorageSecurity
。 -
[Region]: Scanner StackをデプロイするAzureリージョンを選択します。リージョンはFile Storage Securityでサポートされている必要があります。詳細については、サポートされているリージョンはどこですか?を参照してください
-
[File Storage Security Service Principal ID]: ステップ1で取得したサービスプリンシパルIDを指定します。Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
- Storage StackとScanner Stackの機能ログを取得します。
- スタック内の関数とライセンスを更新します。
- 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、データ収集の開示を参照してください。
-
Cloud One Region: ScannerおよびStorage StackがFile Storage Securityコンソール、イベント管理サービス、テレメトリーサービスなどのCloud Oneサービスに接続するリージョンを指定します。詳細については、Cloud Oneリージョンを参照してください。
-
[Stack Package Location]: このフィールドは現状のままにしてください。これは File Storage Securityによる内部使用用です。
-
[バージョン]: このフィールドは現状のままにしてください。バージョン管理用です。
-
[Shared Access Signature]: このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
-
[Review + create]を選択してください。
-
情報が正しいことを確認し、 [Create]を選択します。
-
- スタックがインストールされるまで待ちます。これには数分かかる場合があります。すべてがインストールされるとFile Storage Security Scanner
Stackで[Your deployment is complete]メッセージが表示されます。
次に進む前に
これで、 Scanner Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。
Step 2: Scanner StackのテナントIDとリソースIDを構成する
File Storage Security コンソールで、 Scanner StackのテナントIDとリソースグループIDを構成する必要があります。
手順
- Azure Portalで、[Resource groups] > Scanner Stack > [展開] > Scanner Stack 展開に移動します。
- 左側のメニューペインで、[Outputs]タブを選択します。
- [tenantID] と [scannerStackResourceGroupID] の値をコピーして、 File Storage Security コンソールに貼り付けます。
ヒント
ダイアログボックスが表示されない場合は、[Deploy] > [Scanner Stack]を再度選択してください。 - [Submit]を選択してください。
次に進む前に
これで、 Scanner StackのテナントIDとリソースグループIDが指定されました。
次のステップ(ストレージの追加)
この時点で、 Scanner Stack は完全にインストールされていますが、どのStorage Stackにも関連付けられていないため、スキャンは実行されません。Scanner
Stack を Storage Stack に関連付けてスキャンを機能させるには、 Storage Stackを追加する必要があります。
Storage Stackの追加
Storage Stackを追加するには、次のセクションをお読みください。
マルチスタックアーキテクチャ
次の図は、一般的なマルチスタックアーキテクチャを示しています。複数のAzureサブスクリプションにまたがる複数のStorage Stackがあり、すべて同じ Scannerに接続されていることがわかります。
すべてのスキャンが単一のAzure サブスクリプション内で完了するため、監査や構成などのセキュリティアクティビティがより管理しやすくなります。

手順1: Storage Stackを追加します
マルチスタックアーキテクチャを確認したら、 Storage Stackを追加する準備が整います。以下の手順に従ってください。
手順
- File Storage Securityにサインインしてから、Stack Managementページを選択します。
- [Azure]タブを選択してください。
- 左側で、 Scanner Stack を選択して、新しい Storage Stackに関連付けます。\
- [Add Storage]を選択してください。[Add Storage]ダイアログボックスが表示されます。
- [Add Storage] ダイアログボックスで:
- [Step 1] の場合:
- Storage StackをインストールするMicrosoft Entra IDにサインインしていることを確認してください。
- [Step 2]の場合:
- (オプション) 起動する前に、[Review Stack] を選択して、 Storage Stack の内容を表示します。
- (オプション) [Copy Link] を選択して、Azure内の Storage StackのAzure Resource Managerテンプレートへのリンクを取得します。このリンクは、同じAzure サブスクリプション または別の サブスクリプションの下で、追加の Storage Stack を必要とする他のユーザーと共有できます。
- [Launch Stack]を選択してください。
Azure [Custom deployment]ページにリダイレクトされます。 - [Step 1] の場合:
- 次のように[Custom deployment]ページに記入してください:
-
[サブスクリプション]: スタックをデプロイする サブスクリプション を指定します。
-
[Resource group]: ドロップダウンリストから Storage Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new] をクリックして作成します。 例:
FSSStorage2
-
[Region]: Scanner StackをデプロイするAzureリージョンを選択します。リージョンはFile Storage Securityでサポートされている必要があります。詳細については、サポートされているリージョンはどこですか?を参照してください
-
[File Storage Security Service Principal ID]: ステップ1で取得したサービスプリンシパルIDを指定します。Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
- Storage StackとScanner Stackの機能ログを取得します。
- スタック内の関数とライセンスを更新します。
- 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、データ収集の開示を参照してください。
-
Cloud One Region: ScannerおよびStorage StackがFile Storage Securityコンソール、イベント管理サービス、テレメトリーサービスなどのCloud Oneサービスに接続するリージョンを指定します。詳細については、Cloud Oneリージョンを参照してください。
-
[Scanner Identity Principal ID]: [Add Storage] ダイアログボックスで
Scanner Identity Principal ID
の値をコピーし、フィールドに値を貼り付けます。 -
[Scanner Queue Namespace]: [Add Storage] ダイアログボックスで
Scanner Queue Namespace
の値をコピーし、フィールドに値を貼り付けます。 -
[Blob Storage Account Resource ID]: 保護対象のストレージアカウントのResource idを指定します。指定できるストレージアカウントは1つだけです。サポートされているストレージアカウントの種類については、サポートされているサービスは何ですか?を参照してください。例:
/subscriptions/1234abcd-3c6d-4347-9019-123456789012/resourceGroups/storage-resource-group/providers/Microsoft.Storage/storageAccounts/protectingstorageaccount
ストレージアカウントのリソースIDは、ストレージアカウントのページの[Endpoints]タブにあります。 -
[Blob System Topic Exist]: 保護ストレージアカウントのシステムトピックが既に作成されている場合は、[Yes] を選択します。[No] を選択して、新しいシステムトピックを展開します。
-
[Blob System Topic Name]: 既存のシステムトピック名または作成するシステムトピックの名前。
-
[Update Scan Result To Blob Metadata]: [Yes] を選択して、スキャン結果でBLOBメタデータとインデックスタグを更新します。 [No] を選択して、BLOBインデックスタグのみをアップデートします。インデックスタグをサポートしていないプレミアムブロックBLOBストレージアカウントを使用している場合は、 [Yes] を選択して、BLOBメタデータの検索結果を確認することをお勧めします。
-
[Report Object Key]: [Yes] を選択して、検索されたオブジェクトのオブジェクトキーを File Storage Security バックエンドサービスに報告します。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。
-
[Stack Package Location]: このフィールドは現状のままにしてください。これは File Storage Securityによる内部使用用です。
-
[バージョン]: このフィールドは現状のままにしてください。バージョン管理用です。
-
[Shared Access Signature]: このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
-
[Review + create]を選択してください。
-
情報が正しいことを確認し、 [Create]を選択します。
-
- スタックがインストールされるまでお待ちください。これには数分かかります。 File Storage Security スタックの [Your deployment is complete] メッセージが表示されたときに、すべてがインストールされていることがわかります。
次に進む前に
これで、 Storage Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。
Step 2: Storage StackのテナントIDとリソースグループIDを構成する
File Storage Security コンソールで、 Storage StackのテナントIDとリソースグループIDを構成する必要があります。リソースグループIDは、
Storage Stack を指定された Scanner Stackに関連付けます。
手順
- Azure Portalで、[Resource groups] > Storage Stack > [展開] > Storage Stack デプロイメントに移動します。
- 左側のメニューペインで、[Outputs]タブを選択します。
- [tenantID] と [storageStackResourceGroupID] の値をコピーして、 File Storage Security コンソールに貼り付けます。
ヒント
ダイアログボックスが表示されない場合は、[Add Storage] をもう一度選択して表示します。 - [Submit]を選択してください。
次に進む前に
これで、 Storage StackのテナントIDとリソースグループIDが指定されました。 Scanner Stack は、 Storage Stackを認識するようになりました。これで、
Storage Stack のインストールをテストする準備が整いました。
Step 3: Storage Stack のインストールをテストする
Storage Stack のインストールをテストするには、スキャンするストレージアカウントに
eicar
ファイルを追加してマルウェア検出を生成する必要があります。詳細については、最初の検出を生成する を参照してください。