目次

Azureスタックを追加する

File Storage Securityを展開した後、スタックを追加することをお勧めします。

トピック:


スタックをいくつ追加する必要がありますか?

Storage Stack

保護ストレージアカウントごとに1つの Storage Stack が必要です。

追加できるStorage Stackの数に制限はありませんが、スタックの数が増えるとコストが高くなることに注意してください。スキャンするファイルが多数あり、多くのストレージアカウントに分散している場合は、 Storage Stackを1つだけ展開し、ファイルを関連するストレージアカウントに転送してスキャンし、スキャン後に元に戻すことを検討してください。この処理の一部を自動化するサンプルのAzure機能を提供します。詳細については、 Post-Scan Action:GitHub のプロモートまたは隔離を参照してください。

デプロイするStorage Stackの数はパフォーマンスに影響しないため、必要な数だけデプロイします。

Scanner Stack

通常、サイズに関係なく、デプロイメント全体に必要な Scanner Stack は1つだけです。これは、 Scanner Stack が負荷の増加を処理するために自動スケーリングするためです。(パフォーマンスの詳細については、 スキャンにかかる時間はどれくらいですか?を参照してください)


スタックはどこに追加できますか?

特に下記に記載がない限り、次のようなAzureの任意の場所にスタックを追加できます:個別のAzureサブスクリプション、個別のAzureリージョン、または同じAzureサブスクリプション。Storage Stackは、 Azureリソースグループの識別子を介して、それぞれの Scanner Stack を認識します。

制限、規定、および推奨事項

  • スタックは、サポートされているAzureリージョンに存在する必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
  • Storage Stack は、 保護ストレージアカウントと同じリージョンに存在する必要があります
  • 最適なパフォーマンスを得るには、Storage StackとScanner Stackを、南北アメリカなどの同じ大陸リージョンに配置する必要があります。
  • 各 Scanner Stack または Storage Stack は、スタンドアロンの Azureリソースグループに配置する必要があります。スタックのリソースグループに他のリソースをデプロイすることはお勧めしません。

All-in-one Stackを追加します

All-in-one Stackを追加するには、「All-in-one Stackのデプロイ」を参照してください。


Scanner Stackを追加します

Scanner Stackを追加するには、次のセクションをお読みください。

Step 1: Scanner Stackを追加します

以下の手順に従って、 Scanner Stack を追加します。

  1. File Storage Securityにサインイン をしてから、 Stack Management ページを選択します。
  2. Azure タブを選択します。
  3. Deployを選択します。

    Deploy ダイアログボックスが表示されます。

    スクリーンショット

  4. Scanner Stackを選択します。

    Deploy Scanner Stack ダイアログボックスが表示されます。

    スクリーンショット

  5. Deploy Scanner Stack ダイアログボックス:

    • Step 1
      • Azureポータルで Microsoft Entra ID にサインインしていることを確認してください。 List Service Principal ID Azure CLI コマンドを実行して、サービス プリンシパル ID を取得します。サービス プリンシパルが存在しない場合は、 Prepare Service Principal ID Azure CLI コマンドを実行してサービス プリンシパルを作成します。 Azure にスタックをデプロイするには、File Storage Security のアプリ登録にリンクされているサービス プリンシパルを使用する必要があります。サービス プリンシパルの作成の詳細については、Azure サービス プリンシパルの準備を参照してください。
    • Step 2
      • (オプション)起動する前に、 Review Stack を選択して、 Scanner Stack の内容を表示します。
    • Launch Stackを選択します。

    Azure Custom deploymentページにリダイレクトされます。

    スクリーンショット

  6. Custom deploymentページに次のように入力します。

    • Subscription:スタックをデプロイする サブスクリプション を指定します。
    • Resource group:ドロップダウンリストから Scanner Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。 例:Scanner-TM-FileStorageSecurity
    • Region: Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
    • File Storage Security Service Principal ID:ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。

      • Storage StackとScanner Stackの機能ログを取得します。
      • スタック内の関数とライセンスを更新します。
      • 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、 データ収集の開示を参照してください。
    • Cloud One Region: File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner StackおよびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。

    • Stack Package Location:このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
    • Version:このフィールドはそのままにしておきます。バージョニング用です。
    • Shared Access Signature:このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
    • Review + createを選択します。
    • 情報が正しいことを確認し、 Createを選択します。
  7. スタックがインストールされるまで待ちます。これには数分かかる場合があります。すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。

    スクリーンショット

これで、 Scanner Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。

Step 2: Scanner StackのテナントIDとリソースIDを構成する

File Storage Security コンソールで、 Scanner StackのテナントIDとリソースグループIDを構成する必要があります。

  1. Azure Portalで、 Resource groups > Scanner Stack > Deployments > Scanner Stack 展開に移動します。
  2. 左側のメニューペインで、[ Outputs ]タブを選択します。

    スクリーンショット

  3. TenantID および ScannerStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。

    ダイアログボックスが表示されない場合は、 Deploy > Scanner Stack を再度選択して表示します。 {: .tip }

    スクリーンショット

  4. Submitを選択します。

これで、 Scanner StackのテナントIDとリソースグループIDが指定されました。

次のステップ(ストレージの追加)

この時点で、 Scanner Stack は完全にインストールされていますが、どのStorage Stackにも関連付けられていないため、スキャンは実行されません。Scanner Stack を Storage Stack に関連付けてスキャンを機能させるには、 Storage Stackを追加する必要があります。


Storage Stackを追加します

Storage Stackを追加するには、次のセクションをお読みください。

マルチスタックアーキテクチャ

次の図は、一般的なマルチスタックアーキテクチャを示しています。複数のAzureサブスクリプションにまたがる複数のStorage Stackがあり、すべて同じ Scannerに接続されていることがわかります。

すべてのスキャンが単一のAzure サブスクリプション内で完了するため、監査や構成などのセキュリティアクティビティがより管理しやすくなります。

アーキテクチャ図

Step 1: Storage Stackを追加します

マルチスタックアーキテクチャを確認したら、 Storage Stackを追加する準備が整います。以下の手順に従ってください。

  1. File Storage Securityにサインイン をしてから、 Stack Management ページを選択します。
  2. Azure タブを選択します。
  3. 左側で、 Scanner Stack を選択して、新しい Storage Stackに関連付けます。

    スクリーンショット

  4. Add Storageを選択します。

    Add Storage ダイアログボックスが表示されます。

    スクリーンショット

  5. Add Storage ダイアログボックス:

    • Step 1
      • Storage StackをインストールするMicrosoft Entra IDにサインインしていることを確認してください。
    • Step 2
      • (オプション)起動する前に、 Review Stack を選択して、 Storage Stack の内容を表示します。
      • (オプション) Copy Link を選択して、Azure内の Storage StackのAzure ResourceManagerテンプレートへのリンクを取得します。このリンクは、同じAzure サブスクリプション または別の サブスクリプションの下で、追加の Storage Stack を必要とする他のユーザーと共有できます。
    • Launch Stackを選択します。

    Azure Custom deploymentページにリダイレクトされます。

  6. Custom deploymentページに次のように入力します。

    • Subscription:スタックをデプロイする サブスクリプション を指定します。
    • Resource group:ドロップダウンリストから Storage Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。 例: FSSStorage2
    • Region: Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
    • File Storage Security Service Principal ID:ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。

      • Storage StackとScanner Stackの機能ログを取得します。
      • スタック内の関数とライセンスを更新します。
      • 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、 データ収集の開示を参照してください。
    • Cloud One Region: File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner およびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。

    • Scanner Identity Principal IDAdd Storage ダイアログボックスで Scanner Identity Principal ID の値をコピーし、フィールドに値を貼り付けます。
    • Scanner Queue NamespaceAdd Storage ダイアログボックスで Scanner Queue Namespace の値をコピーし、フィールドに値を貼り付けます。
    • Blob Storage Account Resource ID: 保護するストレージアカウントのリソースIDを指定します。指定できるストレージアカウントは1つだけです。サポートされているストレージアカウントの種類については、「サポートされているサービス」を参照してください。 例: /subscriptions/1234abcd-3c6d-4347-9019-123456789012/resourceGroups/storage-resource-group/providers/Microsoft.Storage/storageAccounts/protectingstorageaccount

      ストレージアカウントのリソースIDは、ストレージアカウントのページの Endpoints タブにあります。

      スクリーンショット

    • Blob System Topic Exist:保護ストレージアカウントのシステムトピックが既に作成されている場合は、 Yes を選択します。 No を選択して、新しいシステムトピックを展開します。

    • Blob System Topic Name:既存のシステムトピック名または作成するシステムトピックの名前。
    • Update Scan Result To Blob MetadataYes を選択して、スキャン結果でBLOBメタデータとインデックスタグを更新します。 No を選択して、BLOBインデックスタグのみをアップデートします。インデックスタグをサポートしていないプレミアムブロックBLOBストレージアカウントを使用している場合は、 Yes を選択して、BLOBメタデータの検索結果を確認することをお勧めします。
    • Report Object KeyYes を選択して、検索されたオブジェクトのオブジェクトキーを File Storage Security バックエンドサービスに報告します。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。
    • Stack Package Location:このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
    • Version:このフィールドはそのままにしておきます。バージョニング用です。
    • Shared Access Signature:このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
    • Review + createを選択します。
    • 情報が正しいことを確認し、 Createを選択します。
  7. スタックがインストールされるまで待ちます。これには数分かかる場合があります。 すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。

    スクリーンショット

これで、 Storage Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。

Step 2: Storage StackのテナントIDとリソースグループIDを構成する

File Storage Security コンソールで、 Storage StackのテナントIDとリソースグループIDを構成する必要があります。リソースグループIDは、 Storage Stack を指定された Scanner Stackに関連付けます。

  1. Azure Portalで、 Resource groups > Storage Stack > Deployments > Storage Stack デプロイメントに移動します。
  2. 左側のメニューペインで、[ Outputs ]タブを選択します。

    スクリーンショット

  3. TenantID および storageStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。

    ダイアログボックスが表示されない場合は、 Add Storage をもう一度選択して表示します。 {: .tip }

    スクリーンショット

  4. Submitを選択します。

    スクリーンショット

これで、 Storage StackのテナントIDとリソースグループIDが指定されました。 Scanner Stack は、 Storage Stackを認識するようになりました。これで、 Storage Stack のインストールをテストする準備が整いました。

Step 3: Storage Stack のインストールをテストする

Storage Stack のインストールをテストするには、スキャンするストレージアカウントに eicar ファイルを追加してマルウェア検出を生成する必要があります。詳細については、「 最初の検出を生成する」を参照してください。