このページのトピック
Azureスタックを追加する
File Storage Securityを展開した後、スタックを追加することをお勧めします。
トピック:
- スタックをいくつ追加する必要がありますか?
- スタックはどこに追加できますか?
- All-in-one Stackを追加します
- Scanner Stackを追加します
- Storage Stackを追加します
スタックをいくつ追加する必要がありますか?
Storage Stack
保護ストレージアカウントごとに1つの Storage Stack が必要です。
追加できるStorage Stackの数に制限はありませんが、スタックの数が増えるとコストが高くなることに注意してください。スキャンするファイルが多数あり、多くのストレージアカウントに分散している場合は、 Storage Stackを1つだけ展開し、ファイルを関連するストレージアカウントに転送してスキャンし、スキャン後に元に戻すことを検討してください。この処理の一部を自動化するサンプルのAzure機能を提供します。詳細については、 Post-Scan Action:GitHub のプロモートまたは隔離を参照してください。
デプロイするStorage Stackの数はパフォーマンスに影響しないため、必要な数だけデプロイします。
Scanner Stack
通常、サイズに関係なく、デプロイメント全体に必要な Scanner Stack は1つだけです。これは、 Scanner Stack が負荷の増加を処理するために自動スケーリングするためです。(パフォーマンスの詳細については、 スキャンにかかる時間はどれくらいですか?を参照してください)
スタックはどこに追加できますか?
特に下記に記載がない限り、次のようなAzureの任意の場所にスタックを追加できます:個別のAzureサブスクリプション、個別のAzureリージョン、または同じAzureサブスクリプション。Storage Stackは、 Azureリソースグループの識別子を介して、それぞれの Scanner Stack を認識します。
制限、規定、および推奨事項
- スタックは、サポートされているAzureリージョンに存在する必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
- Storage Stack は、 保護ストレージアカウントと同じリージョンに存在する必要があります
- 最適なパフォーマンスを得るには、Storage StackとScanner Stackを、南北アメリカなどの同じ大陸リージョンに配置する必要があります。
- 各 Scanner Stack または Storage Stack は、スタンドアロンの Azureリソースグループに配置する必要があります。スタックのリソースグループに他のリソースをデプロイすることはお勧めしません。
All-in-one Stackを追加します
All-in-one Stackを追加するには、「All-in-one Stackのデプロイ」を参照してください。
Scanner Stackを追加します
Scanner Stackを追加するには、次のセクションをお読みください。
Step 1: Scanner Stackを追加します
以下の手順に従って、 Scanner Stack を追加します。
- File Storage Securityにサインイン をしてから、 Stack Management ページを選択します。
- Azure タブを選択します。
-
Deployを選択します。
Deploy ダイアログボックスが表示されます。
-
Scanner Stackを選択します。
Deploy Scanner Stack ダイアログボックスが表示されます。
-
Deploy Scanner Stack ダイアログボックス:
- Step 1:
- AzureポータルでAzure Active Directoryにサインインしていることを確認してください。List Service Principal ID Azure CLIコマンドを実行して、サービスプリンシパルIDを取得します。サービスプリンシパルが存在しない場合は、 Prepare Service Principal ID Azure CLIコマンドを実行してサービスプリンシパルを作成します。Azure にスタックをデプロイするには、File Storage Securityのアプリ登録にリンクされているサービスプリンシパルを使用する必要があります。サービスプリンシパルの作成の詳細については、Azure サービス プリンシパルの準備を参照してください。
- Step 2:
- (オプション)起動する前に、 Review Stack を選択して、 Scanner Stack の内容を表示します。
- Launch Stackを選択します。
Azure Custom deploymentページにリダイレクトされます。
- Step 1:
-
Custom deploymentページに次のように入力します。
- Subscription:スタックをデプロイする サブスクリプション を指定します。
- Resource group:ドロップダウンリストから Scanner Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。
例:
Scanner-TM-FileStorageSecurity
- Region: Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
-
File Storage Security Service Principal ID:ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
- Storage StackとScanner Stackの機能ログを取得します。
- スタック内の関数とライセンスを更新します。
- 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、 データ収集の開示を参照してください。
-
Cloud One Region: File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner StackおよびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。
- Stack Package Location:このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
- Version:このフィールドはそのままにしておきます。バージョニング用です。
- Shared Access Signature:このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
- Review + createを選択します。
- 情報が正しいことを確認し、 Createを選択します。
-
スタックがインストールされるまで待ちます。これには数分かかる場合があります。すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。
これで、 Scanner Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。
Step 2: Scanner StackのテナントIDとリソースIDを構成する
File Storage Security コンソールで、 Scanner StackのテナントIDとリソースグループIDを構成する必要があります。
- Azure Portalで、 Resource groups > Scanner Stack > Deployments > Scanner Stack 展開に移動します。
-
左側のメニューペインで、[ Outputs ]タブを選択します。
-
TenantID および ScannerStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。
ダイアログボックスが表示されない場合は、 Deploy > Scanner Stack を再度選択して表示します。
-
Submitを選択します。
これで、 Scanner StackのテナントIDとリソースグループIDが指定されました。
次のステップ(ストレージの追加)
この時点で、 Scanner Stack は完全にインストールされていますが、どのStorage Stackにも関連付けられていないため、スキャンは実行されません。Scanner Stack を Storage Stack に関連付けてスキャンを機能させるには、 Storage Stackを追加する必要があります。
Storage Stackを追加します
Storage Stackを追加するには、次のセクションをお読みください。
- マルチスタックアーキテクチャ
- Step 1: Storage Stackを追加します
- Step 2: Storage StackのテナントIDとリソースグループIDを構成する
- Step 3: Storage Stack のインストールをテストする
マルチスタックアーキテクチャ
次の図は、一般的なマルチスタックアーキテクチャを示しています。複数のAzureサブスクリプションにまたがる複数のStorage Stackがあり、すべて同じ Scannerに接続されていることがわかります。
すべてのスキャンが単一のAzure サブスクリプション内で完了するため、監査や構成などのセキュリティアクティビティがより管理しやすくなります。
Step 1: Storage Stackを追加します
マルチスタックアーキテクチャを確認したら、 Storage Stackを追加する準備が整います。以下の手順に従ってください。
- File Storage Securityにサインイン をしてから、 Stack Management ページを選択します。
- Azure タブを選択します。
-
左側で、 Scanner Stack を選択して、新しい Storage Stackに関連付けます。
-
Add Storageを選択します。
Add Storage ダイアログボックスが表示されます。
-
Add Storage ダイアログボックス:
- Step 1:
- Storage StackをインストールするAzureActiveDirectoryにサインインしていることを確認してください。
- Step 2:
- (オプション)起動する前に、 Review Stack を選択して、 Storage Stack の内容を表示します。
- (オプション) Copy Link を選択して、Azure内の Storage StackのAzure ResourceManagerテンプレートへのリンクを取得します。このリンクは、同じAzure サブスクリプション または別の サブスクリプションの下で、追加の Storage Stack を必要とする他のユーザーと共有できます。
- Launch Stackを選択します。
Azure Custom deploymentページにリダイレクトされます。
- Step 1:
-
Custom deploymentページに次のように入力します。
- Subscription:スタックをデプロイする サブスクリプション を指定します。
- Resource group:ドロップダウンリストから Storage Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。
例:
FSSStorage2
- Region: Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、 どのリージョンがサポートされていますか?を参照してください。
-
File Storage Security Service Principal ID:ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
- Storage StackとScanner Stackの機能ログを取得します。
- スタック内の関数とライセンスを更新します。
- 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、 データ収集の開示を参照してください。
-
Cloud One Region: File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner およびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。
- Scanner Identity Principal ID: Add Storage ダイアログボックスで
Scanner Identity Principal ID
の値をコピーし、フィールドに値を貼り付けます。 - Scanner Queue Namespace: Add Storage ダイアログボックスで
Scanner Queue Namespace
の値をコピーし、フィールドに値を貼り付けます。 -
Blob Storage Account Resource ID: 保護するストレージアカウントのリソースIDを指定します。指定できるストレージアカウントは1つだけです。サポートされているストレージアカウントの種類については、「サポートされているサービス」を参照してください。 例:
/subscriptions/1234abcd-3c6d-4347-9019-123456789012/resourceGroups/storage-resource-group/providers/Microsoft.Storage/storageAccounts/protectingstorageaccount
ストレージアカウントのリソースIDは、ストレージアカウントのページの Endpoints タブにあります。
-
Blob System Topic Exist:保護ストレージアカウントのシステムトピックが既に作成されている場合は、 Yes を選択します。 ** No ** を選択して、新しいシステムトピックを展開します。
- Blob System Topic Name:既存のシステムトピック名または作成するシステムトピックの名前。
- Update Scan Result To Blob Metadata: Yes を選択して、スキャン結果でBLOBメタデータとインデックスタグを更新します。 ** No ** を選択して、BLOBインデックスタグのみをアップデートします。インデックスタグをサポートしていないプレミアムブロックBLOBストレージアカウントを使用している場合は、 Yes を選択して、BLOBメタデータの検索結果を確認することをお勧めします。
- Report Object Key: Yes を選択して、検索されたオブジェクトのオブジェクトキーを File Storage Security バックエンドサービスに報告します。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。
- Stack Package Location:このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
- Version:このフィールドはそのままにしておきます。バージョニング用です。
- Shared Access Signature:このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
- Review + createを選択します。
- 情報が正しいことを確認し、 Createを選択します。
-
スタックがインストールされるまで待ちます。これには数分かかる場合があります。 すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。
これで、 Storage Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。
Step 2: Storage StackのテナントIDとリソースグループIDを構成する
File Storage Security コンソールで、 Storage StackのテナントIDとリソースグループIDを構成する必要があります。リソースグループIDは、 Storage Stack を指定された Scanner Stackに関連付けます。
- Azure Portalで、 Resource groups > Storage Stack > Deployments > Storage Stack デプロイメントに移動します。
-
左側のメニューペインで、[ Outputs ]タブを選択します。
-
TenantID および storageStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。
ダイアログボックスが表示されない場合は、 Add Storage をもう一度選択して表示します。
-
Submitを選択します。
これで、 Storage StackのテナントIDとリソースグループIDが指定されました。 Scanner Stack は、 Storage Stackを認識するようになりました。これで、 Storage Stack のインストールをテストする準備が整いました。
Step 3: Storage Stack のインストールをテストする
Storage Stack のインストールをテストするには、スキャンするストレージアカウントに eicar
ファイルを追加してマルウェア検出を生成する必要があります。詳細については、「 最初の検出を生成する」を参照してください。