Planowanie agentów, rozszerzeń i usługi Azure Arc dla serwerów usługi Defender
Ten artykuł ułatwia planowanie agentów, rozszerzeń i zasobów usługi Azure Arc dla wdrożenia usługi Microsoft Defender for Servers.
Defender for Servers to jeden z płatnych planów oferowanych przez Microsoft Defender dla Chmury.
Zanim rozpoczniesz
Ten artykuł jest piątym artykułem w przewodniku planowania usługi Defender for Servers. Przed rozpoczęciem zapoznaj się z wcześniejszymi artykułami:
- Rozpocznij planowanie wdrożenia
- Informacje o tym, gdzie są przechowywane dane, oraz wymagania dotyczące obszaru roboczego usługi Log Analytics
- Przegląd ról dostępu do usługi Defender for Servers
- Wybierz plan usługi Defender for Servers
Zapoznaj się z wymaganiami usługi Azure Arc
Usługa Azure Arc ułatwia dołączanie usług Amazon Web Services (AWS), Google Cloud Platform (GCP) i maszyn lokalnych na platformie Azure. Defender dla Chmury używa usługi Azure Arc do ochrony maszyn spoza platformy Azure.
Podstawowe zarządzanie stanem zabezpieczeń w chmurze
Bezpłatne podstawowe funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) dla maszyn platform AWS i GCP nie wymagają usługi Azure Arc. Aby uzyskać pełną funkcjonalność, zalecamy, aby usługa Azure Arc była uruchomiona na maszynach platformy AWS lub GCP.
Dołączanie usługi Azure Arc jest wymagane dla maszyn lokalnych.
Plan usługi Azure Defender for Servers
Aby korzystać z usługi Defender for Servers, wszystkie maszyny awS, GCP i lokalne powinny być włączone w usłudze Azure Arc.
Agenta usługi Azure Arc można dołączyć do serwerów platformy AWS lub GCP automatycznie za pomocą łącznika wielochmurowego platformy AWS lub GCP.
Planowanie wdrożenia usługi Azure Arc
Aby zaplanować wdrożenie usługi Azure Arc:
Zapoznaj się z zaleceniami dotyczącymi planowania usługi Azure Arc i wymaganiami wstępnymi dotyczącymi wdrażania.
Otwórz porty sieciowe dla usługi Azure Arc w zaporze.
Usługa Azure Arc instaluje agenta maszyny Połączenie w celu nawiązywania połączenia z maszynami hostowanymi poza platformą Azure i zarządzania nimi. Przejrzyj następujące informacje:
- Składniki i dane agenta zebrane z maszyn.
- Sieć i dostęp do Internetu dla agenta.
- Połączenie opcje agenta.
Agent usługi Log Analytics i agent usługi Azure Monitor
Uwaga
Ponieważ agent usługi Log Analytics ma zostać wycofany w sierpniu 2024 r. i w ramach zaktualizowanej strategii Defender dla Chmury, wszystkie funkcje i możliwości usługi Defender for Servers zostaną udostępnione za pośrednictwem integracji Ochrona punktu końcowego w usłudze Microsoft Defender lub skanowania bez agenta, bez zależności od agenta usługi Log Analytics (MMA) lub agenta usługi Azure Monitor (AMA). W związku z tym udostępniony proces automatycznej aprowizacji dla obu agentów zostanie odpowiednio dostosowany Aby uzyskać więcej informacji na temat tej zmiany, zobacz to ogłoszenie.
Defender dla Chmury używa agenta usługi Log Analytics i agenta usługi Azure Monitor do zbierania informacji z zasobów obliczeniowych. Następnie wysyła dane do obszaru roboczego usługi Log Analytics w celu uzyskania większej analizy. Przejrzyj różnice i zalecenia dotyczące obu agentów.
W poniższej tabeli opisano agentów używanych w usłudze Defender for Servers:
| Funkcja | Agent Log Analytics | Agent usługi Azure Monitor |
|---|---|---|
| Podstawowe rekomendacje CSPM (wersja bezpłatna), które zależą od agenta: zalecenie dotyczące planu bazowego systemu operacyjnego (maszyny wirtualne platformy Azure) | 
|
W przypadku agenta usługi Azure Monitor używane jest rozszerzenie konfiguracji gościa usługi Azure Policy. |
| Podstawowy CSPM: zalecenia dotyczące aktualizacji systemu (maszyny wirtualne platformy Azure) |
|
Jeszcze nie jest dostępny. |
| Podstawowy CSPM: zalecenia dotyczące ochrony przed złośliwym kodem/ochrony punktu końcowego (maszyny wirtualne platformy Azure) |
|
|
| Wykrywanie ataków na poziomie systemu operacyjnego i warstwie sieciowej, w tym wykrywanie ataków bez plików Plan 1 opiera się na możliwościach usługi Defender for Endpoint na potrzeby wykrywania ataków. |
Plan 2 |
Plan 2 |
| Monitorowanie integralności plików (tylko plan 2) |
|
|
| Funkcje adaptacyjnego sterowania aplikacjami (tylko plan 2) |
|
|
Rozszerzenie Qualys
Rozszerzenie Qualys jest dostępne w usłudze Defender for Servers (plan 2). Rozszerzenie jest wdrażane, jeśli chcesz użyć rozwiązania Qualys do oceny luk w zabezpieczeniach.
Oto więcej informacji:
Rozszerzenie Qualys wysyła metadane do analizy do jednego z dwóch regionów centrum danych Qualys, w zależności od regionu świadczenia usługi Azure.
- Jeśli pracujesz w europejskim regionie świadczenia usługi Azure, przetwarzanie danych odbywa się w europejskim centrum danych Qualys.
- W innych regionach przetwarzanie danych odbywa się w amerykańskim centrum danych.
Aby można było korzystać z oprogramowania Qualys na maszynie, należy zainstalować rozszerzenie, a maszyna musi mieć możliwość komunikowania się z odpowiednim punktem końcowym sieci:
- Centrum danych w Europie:
https://qagpublic.qg2.apps.qualys.eu - Amerykańskie centrum danych:
https://qagpublic.qg3.apps.qualys.com
- Centrum danych w Europie:
Rozszerzenie konfiguracji gościa
Rozszerzenie wykonuje operacje inspekcji i konfiguracji na maszynach wirtualnych.
- Jeśli używasz agenta usługi Azure Monitor, Defender dla Chmury używa tego rozszerzenia do analizowania ustawień punktu odniesienia zabezpieczeń systemu operacyjnego na maszynach z systemami Windows i Linux.
- Mimo że serwery z obsługą usługi Azure Arc i rozszerzenie konfiguracji gościa są bezpłatne, w przypadku korzystania z zasad konfiguracji gościa na serwerach usługi Azure Arc poza zakresem Defender dla Chmury mogą być stosowane dodatkowe koszty.
Dowiedz się więcej o rozszerzeniu konfiguracji gościa usługi Azure Policy.
Rozszerzenia usługi Defender for Endpoint
Po włączeniu usługi Defender for Servers Defender dla Chmury automatycznie wdraża rozszerzenie usługi Defender for Endpoint. Rozszerzenie to interfejs zarządzania, który uruchamia skrypt wewnątrz systemu operacyjnego w celu wdrożenia i zintegrowania czujnika usługi Defender for Endpoint na maszynie.
- Rozszerzenie maszyn z systemem Windows:
MDE.Windows - Rozszerzenie maszyn z systemem Linux:
MDE.Linux - Maszyny muszą spełniać minimalne wymagania.
- Niektóre wersje systemu Windows Server mają określone wymagania.
Weryfikowanie obsługi systemu operacyjnego
Przed wdrożeniem usługi Defender for Servers sprawdź obsługę systemu operacyjnego dla agentów i rozszerzeń:
- Sprawdź, czy systemy operacyjne są obsługiwane przez usługę Defender for Endpoint.
- Sprawdź wymagania dotyczące agenta usługi Azure Arc Połączenie Machine.
- Sprawdź obsługę systemu operacyjnego dla agenta usługi Log Analytics i agenta usługi Azure Monitor.
Przegląd aprowizacji agenta
Po włączeniu planów Defender dla Chmury, w tym usługi Defender dla serwerów, można automatycznie aprowizować niektórych agentów odpowiednich dla usługi Defender for Servers:
- Agent usługi Log Analytics i agent usługi Azure Monitor dla maszyn wirtualnych platformy Azure
- Agent usługi Log Analytics i agent usługi Azure Monitor dla maszyn wirtualnych usługi Azure Arc
- Agent Qualys
- Agent konfiguracji gościa
Po włączeniu usługi Defender dla serwerów (plan 1 lub plan 2) rozszerzenie defender for Endpoint jest automatycznie aprowidowane na wszystkich obsługiwanych maszynach w ramach subskrypcji.
Zagadnienia dotyczące aprowizacji
W poniższej tabeli opisano zagadnienia dotyczące aprowizacji, o których należy pamiętać:
| Inicjowanie obsługi | Szczegóły |
|---|---|
| Czujnik usługi Defender for Endpoint | Jeśli na maszynach jest uruchomiony program Microsoft Antimalware, znany również jako Program System Center Endpoint Protection (SCEP), rozszerzenie systemu Windows automatycznie usuwa je z maszyny. Jeśli wdrażasz na maszynie, na której jest już uruchomiony starszy czujnik programu Microsoft Monitoring Agent (MMA) Defender for Endpoint, po pomyślnym zainstalowaniu Defender dla Chmury i ujednoliconego rozwiązania usługi Defender for Endpoint rozszerzenie zostanie zatrzymane i wyłączy starszy czujnik. Zmiana jest przezroczysta, a historia ochrony maszyny jest zachowywana. |
| Maszyny AWS i GCP | Skonfiguruj automatyczną aprowizację podczas konfigurowania łącznika platformy AWS lub GCP. |
| Instalacja ręczna | Jeśli nie chcesz, aby Defender dla Chmury aprowizować agenta usługi Log Analytics i agenta usługi Azure Monitor, możesz zainstalować agentów ręcznie. Agenta można połączyć z domyślnym obszarem roboczym Defender dla Chmury lub niestandardowym obszarem roboczym. W obszarze roboczym musi być włączona opcja SecurityCenterFree (bezpłatna podstawowa wersja CSPM) lub rozwiązanie zabezpieczeń (Plan 2 usługi Defender dla serwerów). |
| Agent usługi Log Analytics uruchomiony bezpośrednio | Jeśli maszyna wirtualna z systemem Windows ma uruchomionego agenta usługi Log Analytics, ale nie jako rozszerzenie maszyny wirtualnej, Defender dla Chmury instaluje rozszerzenie. Agent raportuje do obszaru roboczego Defender dla Chmury i do istniejącego obszaru roboczego agenta. Na maszynach wirtualnych z systemem Linux obsługa wielu homingów nie jest obsługiwana. Jeśli istniejący agent istnieje, agent usługi Log Analytics nie jest automatycznie aprowizowany. |
| Agent programu Operations Manager | Agent usługi Log Analytics może współpracować z agentem programu Operations Manager. Agenci współużytkują typowe biblioteki środowiska uruchomieniowego, które są aktualizowane po wdrożeniu agenta usługi Log Analytics. |
| Usuwanie rozszerzenia usługi Log Analytics | Jeśli usuniesz rozszerzenie usługi Log Analytics, Defender dla Chmury nie będzie mógł zbierać danych zabezpieczeń i zaleceń, co powoduje brak alertów. W ciągu 24 godzin Defender dla Chmury określa, że brakuje rozszerzenia i zainstaluje je ponownie. |
Kiedy zrezygnować z automatycznej aprowizacji
Możesz zrezygnować z automatycznej aprowizacji w sytuacjach opisanych w poniższej tabeli:
| Sytuacja | Odpowiedni agent | Szczegóły |
|---|---|---|
| Masz krytyczne maszyny wirtualne, które nie powinny mieć zainstalowanych agentów | Agent usługi Log Analytics, agent usługi Azure Monitor | Automatyczna aprowizacja dotyczy całej subskrypcji. Nie można zrezygnować z określonych maszyn. |
| Używasz agenta programu System Center Operations Manager w wersji 2012 z programem Operations Manager 2012 | Agent Log Analytics | W przypadku tej konfiguracji nie włączaj automatycznej aprowizacji; Możliwości zarządzania mogą zostać utracone. |
| Chcesz skonfigurować niestandardowy obszar roboczy | Agent usługi Log Analytics, agent usługi Azure Monitor | Dostępne są dwie opcje z niestandardowym obszarem roboczym: — Rezygnacja z automatycznej aprowizacji podczas pierwszej konfiguracji Defender dla Chmury. Następnie skonfiguruj aprowizację w niestandardowym obszarze roboczym. — Umożliwia automatyczne uruchamianie aprowizacji w celu zainstalowania agentów usługi Log Analytics na maszynach. Ustaw niestandardowy obszar roboczy, a następnie skonfiguruj ponownie istniejące maszyny wirtualne przy użyciu nowego ustawienia obszaru roboczego. |
Następne kroki
Po wykonaniu tych kroków planowania można rozpocząć wdrażanie:
- Włączanie planów usługi Defender for Servers
- Połączenie maszyn lokalnych na platformę Azure.
- Połączenie konta platformy AWS do Defender dla Chmury.
- Połączenie projektów GCP do Defender dla Chmury.
- Dowiedz się więcej o skalowaniu wdrożenia usługi Defender for Server.