Pianificare la distribuzione di Defender per server
Microsoft Defender per server estende la protezione ai computer Windows e Linux eseguiti in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e in locale. Defender per server si integra con Microsoft Defender per endpoint per fornire funzionalità di rilevamento e risposta degli endpoint (EDR) e altre funzionalità di protezione dalle minacce.
Questa guida consente di progettare e pianificare una distribuzione efficace di Defender per server. Microsoft Defender per il cloud offre due piani a pagamento per Defender per server.
Informazioni sulla guida
Il pubblico previsto di questa guida è costituito da architetti di soluzioni cloud e infrastrutture, architetti e analisti della sicurezza e da chiunque sia coinvolto nella protezione di server e carichi di lavoro ibridi e cloud.
La guida risponde a queste domande:
- Che cosa fa Defender per server e come viene distribuito?
- Dove sono archiviati i dati e quali aree di lavoro Log Analytics sono necessarie?
- Chi deve accedere alle risorse di Defender per server?
- Quale piano di Defender per server è necessario scegliere e quale soluzione di valutazione della vulnerabilità è consigliabile usare?
- Quando è necessario usare Azure Arc e quali agenti e estensioni sono necessari?
- Ricerca per categorie ridimensionare una distribuzione?
Operazioni preliminari
Prima di esaminare la serie di articoli nella guida alla pianificazione di Defender per server:
- Esaminare i dettagli dei prezzi di Defender per server.
- Se si esegue la distribuzione per computer AWS o progetti GCP, vedere la guida alla pianificazione multicloud.
Cenni preliminari sulla distribuzione
La tabella seguente illustra una panoramica del processo di distribuzione di Defender per server:
| Fase | Dettagli |
|---|---|
| Iniziare a proteggere le risorse | • Quando si apre Defender per il cloud nel portale, inizia a proteggere le risorse con valutazioni e raccomandazioni CPM di base gratuite. • Defender per il cloud crea un'area di lavoro Log Analytics predefinita con la soluzione SecurityCenterFree abilitata. • Consigli iniziare a comparire nel portale. |
| Abilitare Defender per server | • Quando si abilita un piano a pagamento, Defender per il cloud abilita la soluzione Sicurezza nell'area di lavoro predefinita. • Abilitare Defender per server Piano 1 (solo sottoscrizione) o Piano 2 (sottoscrizione e area di lavoro). • Dopo aver abilitato un piano, decidere come installare agenti ed estensioni nelle macchine virtuali di Azure nella sottoscrizione o nel gruppo di lavoro. •Per impostazione predefinita, il provisioning automatico è abilitato per alcune estensioni. |
| Proteggere i computer AWS/GCP | • Per una distribuzione di Defender per server, si configura un connettore, si disattivano i piani non necessari, si configurano le impostazioni di provisioning automatico, si esegue l'autenticazione in AWS/GCP e si distribuiscono le impostazioni. • Il provisioning automatico include gli agenti usati da Defender per il cloud e l'agente del computer Connessione ed di Azure per l'onboarding in Azure con Azure Arc. • AWS usa un modello CloudFormation. • GCP usa un modello di Cloud Shell. • Consigli iniziare a comparire nel portale. |
| Proteggere i server locali | • Eseguirne l'onboarding come computer Azure Arc e distribuire gli agenti con provisioning di automazione. |
| CSPM di base | • Non sono previsti addebiti quando si usa CSPM di base senza piani abilitati. • I computer AWS/GCP non devono essere configurati con Azure Arc per CSPM di base. I computer locali, invece, sì. • Alcune raccomandazioni fondamentali si basano solo sugli agenti: Antimalware/Endpoint Protection (agente di Log Analytics o agente di Monitoraggio di Azure) | Raccomandazioni sulle linee di base del sistema operativo (agente di Log Analytics o agente di Monitoraggio di Azure e estensione configurazione guest) | |
- Altre informazioni su Cloud Security Posture Management (CSPM).
- Altre informazioni sull'onboarding ad Azure Arc.
Quando si abilita Microsoft Defender per server in una sottoscrizione di Azure o in un account AWS connesso, tutti i computer connessi sono protetti da Defender per server. È possibile abilitare Microsoft Defender per server a livello di area di lavoro Log Analytics, ma solo i server che inviano segnalazioni a tale area di lavoro verranno protetti e fatturati. Inoltre, tali server non riceveranno alcuni vantaggi, ad esempio Microsoft Defender per endpoint, valutazione delle vulnerabilità e accesso ji-in-time alle macchine virtuali.
Passaggi successivi
Dopo aver avviata il processo di pianificazione, esaminare il secondo articolo di questa serie di pianificazione per comprendere come vengono archiviati i dati e i requisiti dell'area di lavoro Log Analytics.