Ügynökök, bővítmények és Azure Arc for Defender for Servers tervezése
Ez a cikk segít megtervezni az ügynököket, bővítményeket és Azure Arc-erőforrásokat a Microsoft Defender for Servers üzembe helyezéséhez.
A Defender for Servers az Felhőhöz készült Microsoft Defender által biztosított fizetős csomagok egyike.
Mielőtt elkezdené
Ez a cikk a Defender for Servers tervezési útmutatójának ötödik cikke. Mielőtt hozzákezdene, tekintse át a korábbi cikkeket:
- Az üzembe helyezés tervezésének megkezdése
- Az adatok tárolásának és a Log Analytics-munkaterület követelményeinek megismerése
- A Defender for Servers hozzáférési szerepköreinek áttekintése
- Defender for Servers-csomag kiválasztása
Az Azure Arc követelményeinek áttekintése
Az Azure Arc segít előkészíteni az Amazon Web Servicest (AWS), a Google Cloud Platformot (GCP) és a helyszíni gépeket az Azure-ba. Felhőhöz készült Defender az Azure Arc használatával védi a nem Azure-beli gépeket.
A felhő biztonsági helyzetének alapszintű kezelése
Az AWS- és GCP-gépek ingyenes felhőalapú biztonsági helyzetkezelési (CSPM) funkcióihoz nem szükséges az Azure Arc. A teljes funkcionalitás érdekében javasoljuk, hogy az Azure Arc AWS- vagy GCP-gépeken fusson.
Helyszíni gépekhez Azure Arc-előkészítés szükséges.
Defender kiszolgálókhoz csomag
A Defender for Servers használatához minden AWS-, GCP- és helyszíni gépnek Azure Arc-kompatibilisnek kell lennie.
Az Azure Arc-ügynököt az AWS- vagy GCP-kiszolgálókra az AWS vagy a GCP többfelhős összekötővel automatikusan előkészítheti.
Az Azure Arc üzembe helyezésének megtervezése
Az Azure Arc üzembe helyezésének megtervezése:
Tekintse át az Azure Arc tervezési ajánlásait és az üzembe helyezés előfeltételeit.
Nyissa meg az Azure Arc hálózati portját a tűzfalon.
Az Azure Arc telepíti a Csatlakozás gépügynököt az Azure-on kívül üzemeltetett gépekhez való csatlakozáshoz és kezeléséhez. Tekintse át a következő információkat:
- A gépekről gyűjtött ügynökösszetevők és -adatok.
- Az ügynök hálózati és internetes hozzáférése .
- Csatlakozás ügynök beállításai.
Log Analytics-ügynök és Azure Monitor-ügynök
Feljegyzés
Mivel a Log Analytics-ügynök 2024 augusztusában megszűnik, és a Felhőhöz készült Defender frissített stratégia részeként a Defender for Servers összes funkciója és képessége Végponthoz készült Microsoft Defender integráció vagy ügynök nélküli vizsgálat révén lesz elérhetőa Log Analytics-ügynök (MMA) vagy az Azure Monitor-ügynök (AMA) függősége nélkül. Ennek eredményeképpen a két ügynök megosztott automatikus üzembe helyezésének folyamata ennek megfelelően módosul. Erről a változásról további információt ebben a közleményben talál.
Felhőhöz készült Defender a Log Analytics-ügynökkel és az Azure Monitor-ügynökkel gyűjt adatokat a számítási erőforrásokból. Ezután elküldi az adatokat egy Log Analytics-munkaterületre további elemzés céljából. Tekintse át a két ügynökkel kapcsolatos különbségeket és javaslatokat.
Az alábbi táblázat a Defender for Serversben használt ügynököket ismerteti:
| Szolgáltatás | Log Analytics-ügynök | Azure Monitor-ügynök |
|---|---|---|
| Alapszintű CSPM-javaslatok (ingyenes), amelyek az ügynöktől függnek: operációsrendszer-alapjavaslat (Azure-beli virtuális gépek) | 
|
Az Azure Monitor-ügynökkel az Azure Policy vendégkonfigurációs bővítménye használható. |
| Alapszintű CSPM: Rendszerfrissítési javaslatok (Azure-beli virtuális gépek) |
|
Még nem érhető el. |
| Alapszintű CSPM: Kártevőirtó/végpontvédelmi javaslatok (Azure-beli virtuális gépek) |
|
|
| Támadásészlelés az operációs rendszer szintjén és a hálózati rétegben, beleértve a fájl nélküli támadásészlelést is Az 1. terv a Defender végpontokhoz készült képességeire támaszkodik a támadásészleléshez. |
2-es díjcsomag |
2-es díjcsomag |
| Fájlintegritási monitorozás (csak a 2. csomag) |
|
|
| Adaptív alkalmazásvezérlők (csak a 2. csomag) |
|
|
Qualys bővítmény
A Qualys bővítmény a Defender for Servers 2. csomagjában érhető el. A bővítmény akkor lesz üzembe helyezve, ha a Qualyst szeretné használni a sebezhetőségi felméréshez.
További információ:
A Qualys-bővítmény az Azure-régiótól függően metaadatokat küld elemzésre két Qualys-adatközpont-régió egyikének.
- Ha európai Azure-régióban dolgozik, az adatfeldolgozás a Qualys európai adatközpontjában történik.
- Más régiók esetében az adatfeldolgozás az USA adatközpontjában történik.
A Qualys számítógépen való használatához telepíteni kell a bővítményt, és a gépnek képesnek kell lennie kommunikálni a megfelelő hálózati végponttal:
- Európa-adatközpont:
https://qagpublic.qg2.apps.qualys.eu - USA-beli adatközpont:
https://qagpublic.qg3.apps.qualys.com
- Európa-adatközpont:
Vendégkonfigurációs bővítmény
A bővítmény naplózási és konfigurációs műveleteket hajt végre a virtuális gépeken.
- Ha az Azure Monitor-ügynököt használja, Felhőhöz készült Defender ezt a bővítményt használja az operációs rendszer biztonsági alapkonfiguráció-beállításainak elemzésére Windows és Linux rendszerű gépeken.
- Bár az Azure Arc-kompatibilis kiszolgálók és a vendégkonfigurációs bővítmény ingyenesek, a vendégkonfigurációs szabályzatok Felhőhöz készült Defender hatókörén kívül eső Azure Arc-kiszolgálókon történő használata esetén további költségek is felmerülhetnek.
További információ az Azure Policy vendégkonfigurációs bővítményéről.
Defender végpontbővítményekhez
A Defender for Servers engedélyezésekor Felhőhöz készült Defender automatikusan üzembe helyez egy Defender for Endpoint bővítményt. A bővítmény egy felügyeleti felület, amely egy szkriptet futtat az operációs rendszeren belül a Defender for Endpoint érzékelő üzembe helyezéséhez és integrálásához a gépen.
- Windows rendszerű gépek bővítménye:
MDE.Windows - Linux rendszerű gépek bővítménye:
MDE.Linux - A gépeknek meg kell felelniük a minimális követelményeknek.
- Egyes Windows Server-verziókra speciális követelmények vonatkoznak.
Az operációs rendszer támogatásának ellenőrzése
A Defender for Servers telepítése előtt ellenőrizze, hogy az operációs rendszer támogatja-e az ügynököket és a bővítményeket:
- Ellenőrizze, hogy az operációs rendszereket támogatja-e a Defender for Endpoint.
- Ellenőrizze az Azure Arc Csatlakozás Machine-ügynökre vonatkozó követelményeket.
- Ellenőrizze a Log Analytics-ügynök és az Azure Monitor-ügynök operációs rendszerének támogatását.
Ügynök kiépítésének áttekintése
Ha engedélyezi Felhőhöz készült Defender csomagokat, köztük a Defender for Serverst, dönthet úgy, hogy automatikusan üzembe helyez bizonyos ügynököket, amelyek relevánsak a Defender for Servers esetében:
- Log Analytics-ügynök és Azure Monitor-ügynök Azure-beli virtuális gépekhez
- Log Analytics-ügynök és Azure Monitor-ügynök Azure Arc-alapú virtuális gépekhez
- Qualys-ügynök
- Vendégkonfigurációs ügynök
Ha engedélyezi a Defender for Servers 1. vagy 2. csomagját, a Defender for Endpoint bővítmény automatikusan ki lesz építve az előfizetés összes támogatott gépén.
Kiépítési szempontok
Az alábbi táblázat a kiépítési szempontokat ismerteti, hogy tisztában kell lenniük a következőkkel:
| A szolgáltatás biztosítása | Részletek |
|---|---|
| Végpont-érzékelőhöz készült Defender | Ha a gépek Microsoft Antimalware-t, más néven System Center Endpoint Protectiont (SCEP) futtatnak, a Windows-bővítmény automatikusan eltávolítja azt a gépről. Ha olyan gépen telepít, amelyen már fut az örökölt Microsoft Monitoring Agent (MMA) Defender for Endpoint érzékelő, a Felhőhöz készült Defender és a Defender for Endpoint egyesített megoldás sikeres telepítése után a bővítmény leáll, és letiltja az örökölt érzékelőt. A módosítás transzparens, és a gép védelmi előzményei megmaradnak. |
| AWS- és GCP-gépek | Az AWS- vagy GCP-összekötő beállításakor konfigurálja az automatikus kiépítést. |
| Manuális telepítés | Ha nem szeretné, Felhőhöz készült Defender kiépíteni a Log Analytics-ügynököt és az Azure Monitor-ügynököt, manuálisan telepítheti az ügynököket. Az ügynököt csatlakoztathatja az alapértelmezett Felhőhöz készült Defender munkaterülethez vagy egy egyéni munkaterülethez. A munkaterületen engedélyezve kell lennie a SecurityCenterFree (az ingyenes alapszintű CSPM-hez) vagy a biztonsági megoldásnak (Defender for Servers Plan 2). |
| Közvetlenül futó Log Analytics-ügynök | Ha egy Windows rendszerű virtuális gépen fut a Log Analytics-ügynök, de nem virtuálisgép-bővítményként, Felhőhöz készült Defender telepíti a bővítményt. Az ügynök jelentést tesz a Felhőhöz készült Defender munkaterületnek és a meglévő ügynök-munkaterületnek. Linux rendszerű virtuális gépeken a többutasítás nem támogatott. Ha létezik egy meglévő ügynök, a Log Analytics-ügynök nem lesz automatikusan kiépítve. |
| Operations Manager-ügynök | A Log Analytics-ügynök együttműködhet az Operations Manager-ügynökkel. Az ügynökök közös futtatókörnyezeti kódtárakat osztanak meg, amelyek a Log Analytics-ügynök üzembe helyezésekor frissülnek. |
| A Log Analytics-bővítmény eltávolítása | Ha eltávolítja a Log Analytics bővítményt, Felhőhöz készült Defender nem tud biztonsági adatokat és javaslatokat gyűjteni, ami hiányzó riasztásokat eredményez. 24 órán belül Felhőhöz készült Defender megállapítja, hogy a bővítmény hiányzik, és újratelepíti. |
Mikor kell kikapcsolni az automatikus kiépítést?
Előfordulhat, hogy az alábbi táblázatban ismertetett körülmények között szeretné kikapcsolni az automatikus kiépítést:
| Helyzet | Releváns ügynök | Részletek |
|---|---|---|
| Kritikus virtuális gépekkel rendelkezik, amelyeknek nem szabad ügynököket telepíteniük | Log Analytics-ügynök, Azure Monitor-ügynök | Az automatikus kiépítés egy teljes előfizetéshez tartozik. Bizonyos gépek nem választhatók ki. |
| A System Center Operations Manager ügynök 2012-es verzióját futtatja az Operations Manager 2012-vel | Log Analytics-ügynök | Ezzel a konfigurációval ne kapcsolja be az automatikus kiépítést; A felügyeleti képességek elveszhetnek. |
| Egyéni munkaterületet szeretne konfigurálni | Log Analytics-ügynök, Azure Monitor-ügynök | Egyéni munkaterülettel két lehetőség közül választhat: – A Felhőhöz készült Defender első beállításakor tiltsa le az automatikus kiépítést. Ezután konfigurálja a kiépítést az egyéni munkaterületen. – Futtassa az automatikus kiépítést a Log Analytics-ügynökök gépekre való telepítéséhez. Állítson be egy egyéni munkaterületet, majd konfigurálja újra a meglévő virtuális gépeket az új munkaterület-beállítással. |
Következő lépések
Az alábbi tervezési lépések elvégzése után megkezdheti az üzembe helyezést:
- Defender for Servers-csomagok engedélyezése
- Csatlakozás helyszíni gépeket az Azure-ba.
- Csatlakozás AWS-fiókokat Felhőhöz készült Defender.
- Csatlakozás GCP-projekteket Felhőhöz készült Defender.
- További információ a Defender kiszolgálóhoz való központi telepítésének skálázásáról.