Планирование агентов, расширений и Azure Arc для серверов
В этой статье показано, как спланировать агенты, расширения и ресурсы Azure Arc для развертывания Microsoft Defender для серверов.
Defender для серверов — это один из платных планов, предоставляемых Microsoft Defender для облака.
Подготовка к работе
Эта статья является пятой статьей в руководстве по планированию Defender для серверов. Перед началом работы ознакомьтесь с предыдущими статьями:
- Начало планирования развертывания
- Сведения о том, где хранятся данные и требования к рабочей области Log Analytics
- Просмотр ролей доступа к Defender для серверов
- Выбор плана Defender для серверов
Проверка требований Azure Arc
Azure Arc помогает подключить Amazon Web Services (AWS), Google Cloud Platform (GCP) и локальные компьютеры к Azure. Defender для облака использует Azure Arc для защиты компьютеров, отличных от Azure.
Управление базовой облачной безопасностью
Для виртуальных машин AWS и GCP бесплатные функции управления безопасностью в облаке (CSPM) не требуют Azure Arc. Для полной функциональности рекомендуется использовать Azure Arc на компьютерах AWS или GCP.
Подключение Azure Arc требуется для локальных компьютеров.
План Defender для серверов
Чтобы использовать Defender для серверов, все локальные компьютеры AWS, GCP и локальные компьютеры должны быть включены в Azure Arc.
Агент Azure Arc можно подключить к серверам AWS или GCP автоматически с помощью соединителя AWS или GCP multicloud.
Планирование развертывания Azure Arc
Планирование развертывания Azure Arc:
Ознакомьтесь с рекомендациями по планированию Azure Arc и предварительными условиями развертывания.
Откройте сетевые порты для Azure Arc в брандмауэре.
Azure Arc устанавливает агент Подключение компьютера для подключения к компьютерам, размещенным за пределами Azure, и управляет ими. Просмотрите следующие сведения.
- Компоненты агента и данные, собранные с компьютеров.
- Сетевой и интернет-доступ для агента.
- параметры Подключение ion для агента.
Агент Log Analytics и агент Azure Monitor
Примечание.
Так как агент Log Analytics установлен на пенсию в августе 2024 г. и в рамках обновленной стратегии Defender для облака, все функции и возможности Defender для серверов будут предоставлены через Microsoft Defender для конечной точки интеграцию или проверку без агента.без зависимости от агента Log Analytics (MMA) или агента Azure Monitor (AMA). В результате общий процесс автоматической подготовки обоих агентов будет скорректирован соответствующим образом. Дополнительные сведения об этом изменении см . в этом объявлении.
Defender для облака использует агент Log Analytics и агент Azure Monitor для сбора сведений из вычислительных ресурсов. Затем он отправляет данные в рабочую область Log Analytics для получения дополнительных сведений. Просмотрите различия и рекомендации для обоих агентов.
В следующей таблице описаны агенты, используемые в Defender для серверов:
| Функция | Агент Log Analytics | Агент Azure Monitor |
|---|---|---|
| Базовые рекомендации CSPM (бесплатные), зависящие от агента: рекомендация по базовым версиям ОС (виртуальные машины Azure) | 
|
С агентом Azure Monitor используется расширение гостевой конфигурации Политика Azure. |
| Foundational CSPM: рекомендации по обновлению системы (виртуальные машины Azure) |
|
Пока недоступно. |
| Foundational CSPM: рекомендации по защите от вредоносных программ и конечных точек (виртуальные машины Azure) |
|
|
| Обнаружение атак на уровне ОС и сетевом уровне, включая обнаружение атак без файлов План 1 зависит от возможностей Defender для конечной точки для обнаружения атак. |
План 2 |
План 2 |
| Мониторинг целостности файлов (только план 2) |
|
|
| Адаптивные элементы управления приложениями (только план 2) |
|
|
Расширение Qualys
Расширение Qualys доступно в Defender для серверов плана 2. Расширение развертывается, если вы хотите использовать Qualys для оценки уязвимостей.
Дополнительные сведения:
Расширение Qualys отправляет метаданные для анализа в один из двух регионов центра обработки данных Qualys в зависимости от региона Azure.
- Если вы работаете в европейском регионе Azure, обработка данных выполняется в Европейском центре обработки данных Qualys.
- Для других регионов обработка данных выполняется в центре обработки данных США.
Чтобы использовать Qualys на компьютере, необходимо установить расширение, и компьютер должен иметь возможность взаимодействовать с соответствующей сетевой конечной точкой:
- Центр обработки данных Европы:
https://qagpublic.qg2.apps.qualys.eu - Центр обработки данных США:
https://qagpublic.qg3.apps.qualys.com
- Центр обработки данных Европы:
Расширение гостевой конфигурации
Расширение выполняет операции аудита и конфигурации на виртуальных машинах.
- Если вы используете агент Azure Monitor, Defender для облака использует это расширение для анализа базовых параметров безопасности операционной системы на компьютерах Windows и Linux.
- Хотя серверы с поддержкой Azure Arc и расширение гостевой конфигурации бесплатны, дополнительные затраты могут применяться, если вы используете политики гостевой конфигурации на серверах Azure Arc за пределами область Defender для облака.
Дополнительные сведения о расширении гостевой конфигурации Политика Azure.
Расширения Defender для конечной точки
При включении Defender для серверов Defender для облака автоматически развертывает расширение Defender для конечной точки. Расширение — это интерфейс управления, который запускает скрипт в операционной системе для развертывания и интеграции датчика Defender для конечной точки на компьютере.
- Расширение компьютеров Windows:
MDE.Windows - Расширение компьютеров Linux:
MDE.Linux - Компьютеры должны соответствовать минимальным требованиям.
- Некоторые версии Windows Server имеют определенные требования.
Проверка поддержки операционной системы
Перед развертыванием Defender для серверов проверьте поддержку операционных систем для агентов и расширений:
- Убедитесь, что операционные системы поддерживаются Defender для конечной точки.
- Проверьте требования к агенту Подключение Машинного агента Azure Arc.
- Проверьте поддержку операционной системы для агента Log Analytics и агента Azure Monitor.
Проверка подготовки агента
При включении планов Defender для облака, включая Defender для серверов, вы можете автоматически подготовить некоторые агенты, относящиеся к Defender для серверов:
- Агент Log Analytics и агент Azure Monitor для виртуальных машин Azure
- Агент Log Analytics и агент Azure Monitor для виртуальных машин Azure Arc
- Агент Qualys
- Агент гостевой конфигурации
При включении Defender для серверов плана 1 или плана 2 расширение Defender для конечной точки автоматически подготавливается на всех поддерживаемых компьютерах в подписке.
Рекомендации по подготовке
В следующей таблице описаны рекомендации по подготовке.
| Подготовка | Сведения |
|---|---|
| Датчик Defender для конечной точки | Если компьютеры работают под управлением Антивредоносного ПО Майкрософт, также известного как System Center Endpoint Protection (SCEP), расширение Windows автоматически удаляет его с компьютера. Если вы развертываете на компьютере, который уже имеет устаревший датчик Microsoft Monitoring Agent (MMA) Defender для конечной точки, запущенный после успешного установки Defender для облака и Defender для конечной точки, расширение останавливается и отключает устаревший датчик. Изменение является прозрачным, а журнал защиты компьютера сохраняется. |
| Компьютеры AWS и GCP | Настройте автоматическую подготовку при настройке соединителя AWS или GCP. |
| Установка вручную | Если вы не хотите, чтобы Defender для облака подготовить агент Log Analytics и агент Azure Monitor, можно установить агенты вручную. Агент можно подключить к рабочей области по умолчанию Defender для облака или к пользовательской рабочей области. Рабочая область должна иметь securityCenterFree (для бесплатного базового CSPM) или решение по безопасности (План 2 Defender для серверов). |
| Агент Log Analytics, работающий напрямую | Если на виртуальной машине Windows запущен агент Log Analytics, но не в качестве расширения виртуальной машины, Defender для облака устанавливает расширение. Агент сообщает рабочей области Defender для облака и существующей рабочей области агента. На виртуальных машинах Linux многодоменная поддержка не поддерживается. Если существующий агент существует, агент Log Analytics не подготавливается автоматически. |
| Агент Operations Manager | Агент Log Analytics может работать параллельно с агентом Operations Manager. Агенты используют общие библиотеки среды выполнения, обновляемые при развертывании агента Log Analytics. |
| Удаление расширения Log Analytics | Если удалить расширение Log Analytics, Defender для облака не может собирать данные системы безопасности и рекомендации, что приводит к отсутствием оповещений. В течение 24 часов Defender для облака определяет, что расширение отсутствует и переустановит его. |
Когда отказаться от автоматической подготовки
Вы можете отказаться от автоматической подготовки в обстоятельствах, описанных в следующей таблице:
| Ситуация | Соответствующий агент | Сведения |
|---|---|---|
| У вас есть критически важные виртуальные машины, у которых не должны быть установлены агенты | Агент Log Analytics, агент Azure Monitor | Автоматическая подготовка выполняется для всей подписки. Вы не можете отказаться от определенных компьютеров. |
| Вы запускаете агент System Center Operations Manager версии 2012 с Operations Manager 2012 | Агент Log Analytics | В этой конфигурации не включите автоматическую подготовку; Возможности управления могут быть потеряны. |
| Вы хотите настроить настраиваемую рабочую область | Агент Log Analytics, агент Azure Monitor | У вас есть два варианта с пользовательской рабочей областью: — Отказ от автоматической подготовки при первой настройке Defender для облака. Затем настройте подготовку в пользовательской рабочей области. — Пусть автоматическая подготовка выполняется для установки агентов Log Analytics на компьютерах. Задайте настраиваемую рабочую область и перенастроите существующие виртуальные машины с помощью нового параметра рабочей области. |
Следующие шаги
Выполнив следующие действия по планированию, можно начать развертывание:
- Включение планов Defender для серверов
- Подключение локальные компьютеры в Azure.
- Подключение учетные записи AWS для Defender для облака.
- Подключение проекты GCP для Defender для облака.
- Узнайте о масштабировании развертывания Defender для сервера.