Planera agenter, tillägg och Azure Arc för Defender för servrar
Den här artikeln hjälper dig att planera dina agenter, tillägg och Azure Arc-resurser för distributionen av Microsoft Defender för servrar.
Defender för servrar är en av de betalda abonnemangen som tillhandahålls av Microsoft Defender för molnet.
Innan du börjar
Den här artikeln är den femte artikeln i planeringsguiden för Defender för servrar. Granska de tidigare artiklarna innan du börjar:
- Börja planera distributionen
- Förstå var dina data lagras och krav på Log Analytics-arbetsytor
- Granska åtkomstroller för Defender för servrar
- Välj en Defender for Servers-plan
Granska Kraven för Azure Arc
Azure Arc hjälper dig att registrera Amazon Web Services (AWS), Google Cloud Platform (GCP) och lokala datorer till Azure. Defender för molnet använder Azure Arc för att skydda datorer som inte är Azure-datorer.
Grundläggande hantering av molnsäkerhetsstatus
De kostnadsfria funktionerna för molnsäkerhetsstatushantering (CSPM) för AWS- och GCP-datorer kräver inte Azure Arc. För fullständig funktionalitet rekommenderar vi att du har Azure Arc igång på AWS- eller GCP-datorer.
Azure Arc-registrering krävs för lokala datorer.
Defender för servrar-plan
Om du vill använda Defender för servrar ska alla AWS-, GCP- och lokala datorer vara Azure Arc-aktiverade.
Du kan registrera Azure Arc-agenten till dina AWS- eller GCP-servrar automatiskt med AWS- eller GCP-anslutningsprogrammet för flera moln.
Planera för Azure Arc-distribution
Så här planerar du för Azure Arc-distribution:
Granska förhandskraven för Azure Arc-planering och distribution.
Öppna nätverksportarna för Azure Arc i brandväggen.
Azure Arc installerar den Anslut baserade datoragenten för att ansluta till och hantera datorer som finns utanför Azure. Granska följande information:
- Agentkomponenterna och data som samlas in från datorer.
- Nätverks- och Internetåtkomst för agenten.
- Anslut ionsalternativ för agenten.
Log Analytics-agenten och Azure Monitor-agenten
Kommentar
Eftersom Log Analytics-agenten är inställd på att dras tillbaka i augusti 2024 och som en del av den Defender för molnet uppdaterade strategin tillhandahålls alla Funktioner och funktioner i Defender för servrar antingen via Microsoft Defender för Endpoint-integrering eller agentlös genomsökning, utan beroende av antingen Log Analytics-agenten (MMA) eller Azure Monitor-agenten (AMA). Därför justeras processen för delad automatisk konfiguration för båda agenterna i enlighet med detta. Mer information om den här ändringen finns i det här meddelandet.
Defender för molnet använder Log Analytics-agenten och Azure Monitor-agenten för att samla in information från beräkningsresurser. Sedan skickar den data till en Log Analytics-arbetsyta för mer analys. Granska skillnaderna och rekommendationerna för båda agenterna.
I följande tabell beskrivs de agenter som används i Defender för servrar:
Funktion | Log Analytics handläggare | Azure Monitor-agent |
---|---|---|
Grundläggande CSPM-rekommendationer (kostnadsfritt) som är beroende av agenten: rekommendationer för OS-baslinje (virtuella Azure-datorer) |
Med Azure Monitor-agenten används gästkonfigurationstillägget för Azure Policy. |
|
Grundläggande CSPM: Rekommendationer för systemuppdateringar (virtuella Azure-datorer) | Inte tillgänglig än. | |
Grundläggande CSPM: Rekommendationer för skydd mot skadlig kod/slutpunktsskydd (virtuella Azure-datorer) | ||
Attackidentifiering på operativsystemnivå och nätverksnivå, inklusive fillös attackidentifiering Plan 1 förlitar sig på Defender for Endpoint-funktioner för attackidentifiering. |
Abonnemang 2 |
Abonnemang 2 |
Övervakning av filintegritet (endast plan 2) | ||
Anpassningsbara programkontroller (endast plan 2) |
Qualys-tillägg
Qualys-tillägget är tillgängligt i Defender för servrar plan 2. Tillägget distribueras om du vill använda Qualys för sårbarhetsbedömning.
Här är mer information:
Qualys-tillägget skickar metadata för analys till en av två Qualys-datacenterregioner, beroende på din Azure-region.
- Om du arbetar i en europeisk Azure-region sker databehandling i det europeiska qualys-datacentret.
- För andra regioner sker databehandling i det amerikanska datacentret.
Om du vill använda Qualys på en dator måste tillägget vara installerat och datorn måste kunna kommunicera med den relevanta nätverksslutpunkten:
- Europa datacenter:
https://qagpublic.qg2.apps.qualys.eu
- Datacenter i USA:
https://qagpublic.qg3.apps.qualys.com
- Europa datacenter:
Tillägg för gästkonfiguration
Tillägget utför gransknings- och konfigurationsåtgärder på virtuella datorer.
- Om du använder Azure Monitor-agenten använder Defender för molnet det här tillägget för att analysera inställningarna för operativsystemets säkerhetsbaslinje på Windows- och Linux-datorer.
- Även om Azure Arc-aktiverade servrar och gästkonfigurationstillägget är kostnadsfria kan mer kostnader tillkomma om du använder gästkonfigurationsprinciper på Azure Arc-servrar utanför omfånget för Defender för molnet.
Läs mer om gästkonfigurationstillägget för Azure Policy.
Defender för Endpoint-tillägg
När du aktiverar Defender för servrar distribuerar Defender för molnet automatiskt ett Defender för Endpoint-tillägg. Tillägget är ett hanteringsgränssnitt som kör ett skript i operativsystemet för att distribuera och integrera Defender för Endpoint-sensorn på datorn.
- Windows-datortillägg:
MDE.Windows
- Linux-datortillägg:
MDE.Linux
- Datorer måste uppfylla minimikraven.
- Vissa Windows Server-versioner har specifika krav.
Verifiera stöd för operativsystem
Innan du distribuerar Defender för servrar kontrollerar du operativsystemets stöd för agenter och tillägg:
- Kontrollera att dina operativsystem stöds av Defender för Endpoint.
- Kontrollera kraven för Azure Arc Anslut Machine-agenten.
- Kontrollera operativsystemets stöd för Log Analytics-agenten och Azure Monitor-agenten.
Granska agentetablering
När du aktiverar Defender för molnet planer, inklusive Defender för servrar, kan du välja att automatiskt etablera vissa agenter som är relevanta för Defender för servrar:
- Log Analytics-agent och Azure Monitor-agent för virtuella Azure-datorer
- Log Analytics-agenten och Azure Monitor-agenten för virtuella Azure Arc-datorer
- Qualys-agent
- Gästkonfigurationsagent
När du aktiverar Defender for Servers Plan 1 eller Plan 2 etableras Defender för Endpoint-tillägget automatiskt på alla datorer som stöds i prenumerationen.
Etableringsöverväganden
I följande tabell beskrivs etableringsöverväganden som du bör känna till:
Etablerar | Details |
---|---|
Defender för Endpoint-sensor | Om datorer kör Microsoft Antimalware, även kallat System Center Endpoint Protection (SCEP), tar Windows-tillägget automatiskt bort det från datorn. Om du distribuerar på en dator som redan har den äldre Microsoft Monitoring Agent (MMA) Defender för Endpoint-sensorn igång, efter att den enhetliga lösningen Defender för molnet och Defender för Endpoint har installerats, stoppas tillägget och den äldre sensorn inaktiveras. Ändringen är transparent och datorns skyddshistorik bevaras. |
AWS- och GCP-datorer | Konfigurera automatisk etablering när du konfigurerar AWS- eller GCP-anslutningsappen. |
Manuell installation | Om du inte vill att Defender för molnet etablerar Log Analytics-agenten och Azure Monitor-agenten kan du installera agenter manuellt. Du kan ansluta agenten till standardarbetsytan Defender för molnet eller till en anpassad arbetsyta. Arbetsytan måste ha SecurityCenterFree (kostnadsfri grundläggande CSPM) eller säkerhetslösning aktiverad (Defender för servrar, plan 2). |
Log Analytics-agenten körs direkt | Om en virtuell Windows-dator har Log Analytics-agenten igång men inte som ett VM-tillägg installerar Defender för molnet tillägget. Agenten rapporterar till den Defender för molnet arbetsytan och till den befintliga agentarbetsytan. På virtuella Linux-datorer stöds inte multi-homing. Om det finns en befintlig agent etableras inte Log Analytics-agenten automatiskt. |
Operations Manager-agent | Log Analytics-agenten kan arbeta sida vid sida med Operations Manager-agenten. Agenterna delar vanliga körningsbibliotek som uppdateras när Log Analytics-agenten distribueras. |
Ta bort Log Analytics-tillägget | Om du tar bort Log Analytics-tillägget kan Defender för molnet inte samla in säkerhetsdata och rekommendationer, vilket resulterar i saknade aviseringar. Inom 24 timmar avgör Defender för molnet att tillägget saknas och installerar om det. |
När du ska avregistrera dig från automatisk etablering
Du kanske vill avregistrera dig från automatisk etablering under de omständigheter som beskrivs i följande tabell:
Situation | Relevant agent | Details |
---|---|---|
Du har kritiska virtuella datorer som inte ska ha agenter installerade | Log Analytics-agent, Azure Monitor-agent | Automatisk etablering gäller för en hel prenumeration. Du kan inte välja bort specifika datorer. |
Du kör System Center Operations Manager-agentversion 2012 med Operations Manager 2012 | Log Analytics handläggare | Med den här konfigurationen aktiverar du inte automatisk etablering. hanteringsfunktioner kan gå förlorade. |
Du vill konfigurera en anpassad arbetsyta | Log Analytics-agent, Azure Monitor-agent | Du har två alternativ med en anpassad arbetsyta: – Avregistrera dig från automatisk etablering när du först konfigurerar Defender för molnet. Konfigurera sedan etablering på din anpassade arbetsyta. – Låt automatisk etablering köras för att installera Log Analytics-agenterna på datorer. Ange en anpassad arbetsyta och konfigurera sedan om befintliga virtuella datorer med den nya arbetsyteinställningen. |
Nästa steg
När du har arbetat med de här planeringsstegen kan du starta distributionen:
- Aktivera Defender för servrar-planer
- Anslut lokala datorer till Azure.
- Anslut AWS-konton till Defender för molnet.
- Anslut GCP-projekt till Defender för molnet.
- Lär dig mer om att skala din Defender for Server-distribution.