適用於雲端的 Defender 中的 Azure 監視器代理程式
為了確保伺服器資源安全,適用於雲端的 Microsoft Defender 使用安裝在您伺服器上的代理程式,將伺服器的相關信息傳送至 適用於雲端的 Microsoft Defender 進行分析。
在本文中,我們會提供在機器上部署適用於 SQL 伺服器的 Defender 時,AMA 喜好設定的概觀。
注意
作為 適用於雲端的 Defender 更新策略的一部分,適用於伺服器的 Defender 供應專案將不再需要 Azure 監視器代理程式。 不過,機器上的適用於 SQL Server 的 Defender 仍然需要它。 因此,這兩個代理程式的先前自動布建程式已相應調整。 深入瞭解 此公告。
適用於伺服器的Defender中的 Azure 監視器代理程式
Azure 監視器代理程式 (AMA) 仍可在您的伺服器上部署,但不需要接收適用於伺服器的 Defender 功能。 若要確保您的伺服器受到保護,請接收適用於伺服器的 Defender 的所有安全性內容,確認 您的訂用帳戶上已啟用適用於端點的 Defender (MDE) 整合 和 無代理程式磁碟掃描 。 這可確保一旦提供替代交付專案,您就能順暢地取得最新狀態,並接收所有替代交付專案。
AMA 布建只能透過機器上的適用於 SQL 伺服器的 Defender,透過 適用於雲端的 Microsoft Defender 平臺取得。 瞭解如何 使用標準方法在您的伺服器上部署 AMA,包括 PowerShell、CLI 和 Resource Manager 範本。
可用性
下列可用性資訊僅適用於適用於 SQL 的 Defender 方案。
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 正式推出 (GA) |
| 相關 Defender 方案: | 機器上的適用於 SQL Server 的 Defender |
| 必要角色和許可權(訂用帳戶層級): | 擁有者 |
| 支援的目的地: |  Azure 虛擬機 已啟用 Azure Arc 的電腦 |
| 原則型: | 是的 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
必要條件
使用 適用於雲端的 Defender 部署 AMA 之前,您必須具備下列必要條件:
- 請確定您的多雲端和內部部署機器已安裝 Azure Arc。
- AWS 和 GCP 機器
- 內部部署機器
- 請確定已啟用您想要 Azure 監視器代理程式支援的 Defender 方案:
部署以 SQL Server 為目標的 AMA 自動佈建程式
使用 適用於雲端的 Defender 部署 Azure 監視器代理程式適用於機器上的 SQL 伺服器,如這裡所述。
使用Log Analytics和 Azure 監視器代理程式執行的影響
您可以在同一部電腦上同時執行 Log Analytics 和 Azure 監視器代理程式,但您應該注意下列考慮:
- 代理程式會報告特定建議或警示,並在 適用於雲端的 Defender 中出現兩次。
- 每部計算機都會在 適用於雲端的 Defender 中計費一次,但請確定您追蹤連線到 Log Analytics 和 Azure 監視器的其他服務計費,例如 Log Analytics 工作區數據擷取。
- 這兩個代理程式都會對機器造成效能影響。
當您啟用適用於伺服器的 Defender 方案 2 時,適用於雲端的 Defender 決定要佈建的代理程式。 在大部分情況下,預設值為Log Analytics代理程式。
深入瞭解 移轉至 Azure 監視器代理程式。
自訂組態
設定自定義目的地 Log Analytics 工作區
當您使用自動布建安裝 Azure 監視器代理程式時,您可以定義已安裝延伸模組的目的地工作區。 根據預設,目的地是 適用於雲端的 Defender 針對訂用帳戶中每個區域建立的「預設工作區」:defaultWorkspace-<subscriptionId>-<regionShortName>。 適用於雲端的 Defender 會自動設定該工作區的數據收集規則、工作區解決方案和其他延伸模組。
如果您設定自訂 Log Analytics 工作區:
- 適用於雲端的 Defender 只會設定自定義工作區的數據收集規則和其他延伸模組。 您必須在自定義工作區上設定工作區解決方案。
- 使用 Log Analytics 代理程式向 Log Analytics 工作區報告且具有安全性解決方案的計算機,即使未啟用適用於伺服器的 Defender 方案,也會計費。 只有訂用帳戶上啟用方案時,才會向具有 Azure 監視器代理程式的機器收費。 工作區上仍需要安全性解決方案,才能使用方案功能,並符合 500 MB 權益的資格。
Log Analytics 工作區解決方案
Azure 監視器代理程式需要 Log Analytics 工作區解決方案。 當您使用預設工作區自動布建 Azure 監視器代理程式時,會自動安裝這些解決方案。
您所收集的資料所需的 Log Analytics 工作區解決方案 如下:
- 雲端安全性狀態管理 (CSPM) – SecurityCenterFree 解決方案
- 適用於伺服器的 Defender 方案 2 – 安全性解決方案
其他安全性事件集合
當您在 適用於雲端的 Defender 中自動布建 Log Analytics 代理程式時,您可以選擇將其他安全性事件收集到工作區。
如同 Log Analytics 工作區中,適用於伺服器的 Defender 方案 2 使用者每天有資格在包含安全性事件的已定義數據類型上,每天取得 500 MB 的免費數據 。
下一步
現在您已啟用 Log Analytics 代理程式,請查看代理程式支援的功能: