このレポジトリは Microsoft Defender for Servers の新機能であるリソース単位での Defender for Servers P1 モードを有効化するためのスクリプトを提供しています。
Microsoft Defender for Servers をリソース単位で有効化する機能が 2023/12/23 に GA されています。詳細は以下リンクを参照下さい。
- リリースノート
- Learn:Protect your servers with Defender for Servers - Microsoft Defender for Cloud
- API:Pricings - REST API (Azure Defender for Cloud)
スクリプトフォルダのファイル一式をダウンロードして、Azure PowerShell で実行します。
ユーザーは target.csv ファイルに対象リソースを記入し、powershell スクリプト ResourceLevel-DfS-Enabled-csv.ps1 を実行すると、対象リソースに一括適用することが出来ます。
| ファイル | 内容 |
|---|---|
| ResourceLevel-DfS-Check-csv.ps1 | csv ファイルに記入した Azure VM リソースに対して、API の状態をチェックしてリスト出力する PowerShell スクリプトです。 |
| ResourceLevel-DfS-Disabled-csv.ps1 | csv ファイルに記入した Azure VM リソースに対して、Microsoft Defender for Servers を無効化する PowerShell スクリプトです。 |
| ResourceLevel-DfS-Enabled-csv.ps1 | csv ファイルに記入した Azure VM リソースに対して、Microsoft Defender for Servers P1 を有効化する PowerShell スクリプトです。 |
| ResourceLevel-DfS-Check-ARC-csv.ps1 | csv ファイルに記入した Azure Arc リソースに対して、API の状態をチェックしてリスト出力する PowerShell スクリプトです。 |
| ResourceLevel-DfS-Disabled-ARC-csv.ps1 | csv ファイルに記入した Azure Arc リソースに対して、Microsoft Defender for Servers を無効化する PowerShell スクリプトです。 |
| ResourceLevel-DfS-Enabled-ARC-csv.ps1 | csv ファイルに記入した Azure Arc リソースに対して、Microsoft Defender for Servers P1 を有効化する PowerShell スクリプトです。 |
| ResourceLevel-DfS-extension-ARC-csv.ps1 | csv ファイルに記入した Azure Arc リソースに対して、extension で MDE.Windows / MDE.Linux が適用されているかどうかを判別するスクリプトです。 |
| disable.json | Powershell 実行時に用いられる json ファイル (無効化用) |
| enable.json | Powershell 実行時に用いられる json ファイル (Microsoft Defender for Servers P1 用) |
| target.csv | Defender for Servers P1 を有効化したい対象リソースを記入する csv ファイル |
公式ドキュメントを参考に Azure Powershell をインストールします。
- Powershell バージョンの確認
PS C:\temp> $PSVersionTable.PSVersion
Major Minor Patch PreReleaseLabel BuildLabel
----- ----- ----- --------------- ----------
7 3 9
- 実行ポリシーをリモート署名済みに設定
PS C:\temp> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
- Install-Module より、AzPowershell をインストールする
PS C:\temp> Install-Module -Name Az -Repository PSGallery -Force
- 最新モジュールにアップデートしておく
PS C:\temp> Update-Module -Name Az -Force
Connect-AzAccount -Subscription XXXX-XXXX-XXXX-XXXX-XXXX コマンドを用いて、操作をしたい対象のテナント/サブスクリプションにログインします。
PowerShell 7.3.9
PS C:\temp> Connect-AzAccount -Subscription ‘xxxx-xxxx-xxxx-xxxx-xxxx’
スクリプト一式に含まれている target.csv を編集し、Defender for Servers P1 を有効化したいリソースを入力して下さい。
csv ファイル記入後、リソース有効化の powershell スクリプトを実行して下さい。API 経由でフラグが立ち、Microsoft Defender for Servers P1 が有効化されます。
- ResourceLevel-DfS-Enabled-csv.ps1 (Azure VM リソース用)
- ResourceLevel-DfS-Enabled-ARC-csv.ps1 (Azure Arc リソース用)
- ResourceLevel-DfS-Disabled-csv.ps1 (Azure VM リソース用)
- ResourceLevel-DfS-Disabled-ARC-csv.ps1 (Azure Arc リソース用)
csv ファイル記入後、リソース有効化の powershell スクリプトを実行して下さい。API 経由でフラグをリセットし Microsoft Defender for Servers P1 を無効化します。
なお、本設定は Azure 基盤側の設定を無効化するものであるため、対象の Azure VM / Arc マシン上の MDE (Microsoft Defender for Endpoint) は別途オフボーディングスクリプトの実施が必要になります。
- ResourceLevel-DfS-Check-csv.ps1
- ResourceLevel-DfS-Check-ARC-csv.ps1
リソースの現状を知りたい場合は、本スクリプトを実行してください。
- 本レポジトリの演習によって発生するコストについては、利用するユーザーが責任を負います。
- 本レポジトリの演習によって作成される環境から出力される内容について、作成者は責任を負いません。
- 本レポジトリはオープンソースです。