規劃適用於伺服器的代理程序、擴充功能和適用於Defender的 Azure Arc

本文可協助您規劃適用於伺服器的 Microsoft Defender 部署的代理程式、延伸模組和 Azure Arc 資源。

適用於伺服器的Defender是 適用於雲端的 Microsoft Defender所提供的付費方案之一。

開始之前

本文是 適用於伺服器的 Defender 規劃指南中的第五 篇文章。 開始之前，請先檢閱先前的文章：

1. 開始規劃您的部署
2. 了解數據的儲存位置，以及Log Analytics工作區需求
3. 檢閱適用於伺服器的Defender存取角色
4. 選取適用於伺服器的 Defender 方案

檢閱 Azure Arc 需求

Azure Arc 可協助您將 Amazon Web Services （AWS）、Google Cloud Platform （GCP） 和內部部署機器上線至 Azure。 適用於雲端的 Defender 會使用 Azure Arc 來保護非 Azure 機器。

基礎雲端安全性狀態管理

AWS 和 GCP 機器的免費雲端安全性狀態管理 （CSPM） 功能不需要 Azure Arc。如需完整功能，建議您 在 AWS 或 GCP 機器上執行 Azure Arc。

內部部署機器需要 Azure Arc 上線。

適用於伺服器的 Defender 方案

若要使用適用於伺服器的 Defender，所有 AWS、GCP 和內部部署機器都應該啟用 Azure Arc。

您可以使用 AWS 或 GCP 多重雲端連接器自動將 Azure Arc 代理程式上架到 AWS 或 GCP 伺服器。

規劃 Azure Arc 部署

若要規劃 Azure Arc 部署：

1. 檢閱 Azure Arc 規劃建議 和 部署必要條件。

2. 在您的 防火牆中開啟 Azure Arc 的網路埠。

3. Azure Arc 會安裝 連線 機器代理程式，以連線和管理裝載於 Azure 外部的電腦。 檢閱下列資訊：

   • 從機器收集的代理程式元件和數據。
   • 代理程式的網路和因特網存取 。
   • 代理程式的 連線 ion 選項。

Log Analytics 代理程式和 Azure 監視器代理程式

注意

由於 Log Analytics 代理程式將於 2024 年 8 月淘汰，並作為 適用於雲端的 Defender 更新策略的一部分，所有適用於伺服器的 Defender 功能都會透過 適用於端點的 Microsoft Defender 整合或無代理程式掃描來提供，不相依於Log Analytics代理程式 （MMA） 或 Azure 監視器代理程式 （AMA）。 因此，這兩個代理程式的共享自動布建程式將會據以調整。如需這項變更的詳細資訊，請參閱 此公告。

適用於雲端的 Defender 會使用Log Analytics代理程式和 Azure 監視器代理程式，從計算資源收集資訊。 然後，它會將數據傳送至 Log Analytics 工作區，以進行更多分析。 檢閱 這兩個代理程序的差異和建議。

下表描述適用於伺服器的 Defender 中使用的代理程式：

功能	Log Analytics 代理程式	Azure 監視器代理程式
相依於代理程序的基礎 CSPM 建議（免費）： OS 基準建議 （Azure VM）		使用 Azure 監視器代理程式時，會使用 Azure 原則 客體設定擴充功能。
基礎 CSPM： 系統更新建議 （Azure VM）		尚未提供。
基礎 CSPM： 反惡意代碼/端點保護建議 （Azure VM）
OS 層級和網路層的攻擊偵測，包括無檔案攻擊偵測 方案 1 依賴適用於端點的 Defender 功能來進行攻擊偵測。	方案 2	方案 2
檔案完整性監視 （僅限方案 2）
自適性應用程控 （僅限方案 2）

Qualys 擴充功能

Qualys 擴充功能可在適用於伺服器的 Defender 方案 2 中使用。 如果您想要使用 Qualys 進行弱點評估，則會部署延伸模組。

以下是詳細資訊：

• Qualys 擴充功能會根據您的 Azure 區域，將元數據傳送至兩個 Qualys 數據中心區域的其中一個進行分析。

  • 如果您在歐洲 Azure 區域內作業，則數據處理會在 Qualys 歐洲數據中心進行。
  • 對於其他區域，數據處理會發生在美國數據中心。

• 若要在機器上使用 Qualys，必須安裝擴充功能，而且計算機必須能夠與相關的網路端點通訊：

  • 歐洲資料中心： https://qagpublic.qg2.apps.qualys.eu
  • 美國資料中心： https://qagpublic.qg3.apps.qualys.com

來賓設定擴充功能

延伸模組會在 VM 內執行稽核和組態作業。

• 如果您使用 Azure 監視器代理程式，適用於雲端的 Defender 使用此擴充功能來分析 Windows 和 Linux 機器上的操作系統安全性基準設定。
• 雖然已啟用 Azure Arc 的伺服器和客體設定擴充功能是免費的，但如果您在 適用於雲端的 Defender 範圍外的 Azure Arc 伺服器上使用客體設定原則，可能會產生更多成本。

深入瞭解客體設定擴充功能 Azure 原則。

適用於端點的Defender擴充功能

當您啟用適用於伺服器的 Defender 時，適用於雲端的 Defender 會自動部署適用於端點的 Defender 擴充功能。 擴充功能是一種管理介面，可在操作系統內執行腳本，以在機器上部署及整合適用於端點的 Defender 感測器。

• Windows 計算機擴充功能： MDE.Windows
• Linux 機器擴充功能： MDE.Linux
• 機器必須符合 最低需求。
• 某些 Windows Server 版本有 特定需求。

確認作業系統支援

部署適用於伺服器的 Defender 之前，請先確認代理程式和擴充功能的作業系統支援：

• 確認適用於端點的 Defender 支援您的作業系統。
• 檢查 Azure Arc 連線 機器代理程式的需求。
• 檢查 Log Analytics 代理程式和 Azure 監視器代理程式的作業系統支援。

檢閱代理程式布建

當您啟用 適用於雲端的 Defender 方案，包括適用於伺服器的 Defender 時，您可以選擇自動布建與適用於伺服器的 Defender 相關的某些代理程式：

• 適用於 Azure VM 的 Log Analytics 代理程式和 Azure 監視器代理程式
• 適用於 Azure Arc VM 的 Log Analytics 代理程式和 Azure 監視器代理程式
• Qualys 代理程式
• 客體設定代理程式

當您啟用適用於伺服器的 Defender 方案 1 或方案 2 時，訂用帳戶中所有支援的機器上都會自動布建適用於端點的 Defender 擴充功能。

布建考慮

下表說明要注意的布建考慮：

佈建	詳細資料
適用於端點的Defender感測器	如果計算機正在執行 Microsoft Antimalware，也稱為 System Center Endpoint Protection （SCEP），Windows 擴充功能會自動從機器中移除它。 如果您在已執行舊版 Microsoft Monitoring Agent （MMA） Defender for Endpoint 感測器的電腦上部署，則成功安裝 適用於雲端的 Defender 和適用於端點的 Defender 整合解決方案之後，擴充功能會停止並停用舊版感測器。 變更是透明的，而且會保留計算機的保護歷程記錄。
AWS 和 GCP 機器	設定 AWS 或 GCP 連接器時，請設定自動布建。
手動安裝	如果您不想 適用於雲端的 Defender 布建 Log Analytics 代理程式和 Azure 監視器代理程式，您可以手動安裝代理程式。 您可以將代理程式連線到預設 適用於雲端的 Defender 工作區或自定義工作區。 工作區必須 啟用 SecurityCenterFree （免費基礎 CSPM）或 已啟用安全性 解決方案（適用於伺服器方案的 Defender 2）。
直接執行的Log Analytics代理程式	如果 Windows VM 執行 Log Analytics 代理程式但不是作為 VM 擴充功能，適用於雲端的 Defender 安裝擴充功能。 代理程式會向 適用於雲端的 Defender 工作區和現有的代理程式工作區報告。 在Linux VM上，不支援多路連接。 如果現有的代理程式存在，則Log Analytics代理程式不會自動布建。
Operations Manager 代理程式	Log Analytics 代理程式可以與 Operations Manager 代理程式並存運作。 代理程式會共用部署 Log Analytics 代理程式時更新的通用運行時間連結庫。
拿掉 Log Analytics 擴充功能	如果您移除 Log Analytics 擴充功能，適用於雲端的 Defender 無法收集安全性數據和建議，因而產生遺漏警示。 在24小時內，適用於雲端的 Defender判斷延伸模組遺失並重新安裝。

何時退出退出自動布建

在下表所述的情況下，您可能會想要退出退出自動布建：

情況	相關代理程式	詳細資料
您有不應該安裝代理程式的重要 VM	Log Analytics 代理程式、Azure 監視器代理程式	自動布建適用於整個訂用帳戶。 您無法退出宣告特定電腦。
您正在執行 System Center Operations Manager 代理程式版本 2012 與 Operations Manager 2012	Log Analytics 代理程式	使用此設定時，請勿開啟自動布建;管理功能可能會遺失。
您要設定自訂工作區	Log Analytics 代理程式、Azure 監視器代理程式	您有兩個選項與自訂工作區： - 當您第一次設定 適用於雲端的 Defender 時，退出退出自動布建。 然後，在自定義工作區上設定布建。 - 讓自動布建執行 ，以在計算機上安裝Log Analytics代理程式。 設定自定義工作區，然後使用新的工作區設定重新設定現有的 VM。

下一步

完成這些規劃步驟之後，您可以開始部署：

• 啟用適用於伺服器的 Defender 方案
• 連線 內部部署機器至 Azure。
• 連線 AWS 帳戶 適用於雲端的 Defender。
• 連線 GCP 專案 適用於雲端的 Defender。
• 瞭解如何 調整適用於伺服器的 Defender 部署。