規劃適用於伺服器的代理程序、擴充功能和適用於Defender的 Azure Arc
本文可協助您規劃適用於伺服器的 Microsoft Defender 部署的代理程式、延伸模組和 Azure Arc 資源。
適用於伺服器的Defender是 適用於雲端的 Microsoft Defender所提供的付費方案之一。
開始之前
本文是 適用於伺服器的 Defender 規劃指南中的第五 篇文章。 開始之前,請先檢閱先前的文章:
檢閱 Azure Arc 需求
Azure Arc 可協助您將 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和內部部署機器上線至 Azure。 適用於雲端的 Defender 會使用 Azure Arc 來保護非 Azure 機器。
基礎雲端安全性狀態管理
AWS 和 GCP 機器的免費雲端安全性狀態管理 (CSPM) 功能不需要 Azure Arc。如需完整功能,建議您 在 AWS 或 GCP 機器上執行 Azure Arc。
內部部署機器需要 Azure Arc 上線。
適用於伺服器的 Defender 方案
若要使用適用於伺服器的 Defender,所有 AWS、GCP 和內部部署機器都應該啟用 Azure Arc。
您可以使用 AWS 或 GCP 多重雲端連接器自動將 Azure Arc 代理程式上架到 AWS 或 GCP 伺服器。
規劃 Azure Arc 部署
若要規劃 Azure Arc 部署:
在您的 防火牆中開啟 Azure Arc 的網路埠。
Azure Arc 會安裝 連線 機器代理程式,以連線和管理裝載於 Azure 外部的電腦。 檢閱下列資訊:
- 從機器收集的代理程式元件和數據。
- 代理程式的網路和因特網存取 。
- 代理程式的 連線 ion 選項。
Log Analytics 代理程式和 Azure 監視器代理程式
注意
由於 Log Analytics 代理程式將於 2024 年 8 月淘汰,並作為 適用於雲端的 Defender 更新策略的一部分,所有適用於伺服器的 Defender 功能都會透過 適用於端點的 Microsoft Defender 整合或無代理程式掃描來提供,不相依於Log Analytics代理程式 (MMA) 或 Azure 監視器代理程式 (AMA)。 因此,這兩個代理程式的共享自動布建程式將會據以調整。如需這項變更的詳細資訊,請參閱 此公告。
適用於雲端的 Defender 會使用Log Analytics代理程式和 Azure 監視器代理程式,從計算資源收集資訊。 然後,它會將數據傳送至 Log Analytics 工作區,以進行更多分析。 檢閱 這兩個代理程序的差異和建議。
下表描述適用於伺服器的 Defender 中使用的代理程式:
功能 | Log Analytics 代理程式 | Azure 監視器代理程式 |
---|---|---|
相依於代理程序的基礎 CSPM 建議(免費): OS 基準建議 (Azure VM) |
使用 Azure 監視器代理程式時,會使用 Azure 原則 客體設定擴充功能。 |
|
基礎 CSPM: 系統更新建議 (Azure VM) | 尚未提供。 | |
基礎 CSPM: 反惡意代碼/端點保護建議 (Azure VM) | ||
OS 層級和網路層的攻擊偵測,包括無檔案攻擊偵測 方案 1 依賴適用於端點的 Defender 功能來進行攻擊偵測。 |
方案 2 |
方案 2 |
檔案完整性監視 (僅限方案 2) | ||
自適性應用程控 (僅限方案 2) |
Qualys 擴充功能
Qualys 擴充功能可在適用於伺服器的 Defender 方案 2 中使用。 如果您想要使用 Qualys 進行弱點評估,則會部署延伸模組。
以下是詳細資訊:
Qualys 擴充功能會根據您的 Azure 區域,將元數據傳送至兩個 Qualys 數據中心區域的其中一個進行分析。
- 如果您在歐洲 Azure 區域內作業,則數據處理會在 Qualys 歐洲數據中心進行。
- 對於其他區域,數據處理會發生在美國數據中心。
若要在機器上使用 Qualys,必須安裝擴充功能,而且計算機必須能夠與相關的網路端點通訊:
- 歐洲資料中心:
https://qagpublic.qg2.apps.qualys.eu
- 美國資料中心:
https://qagpublic.qg3.apps.qualys.com
- 歐洲資料中心:
來賓設定擴充功能
延伸模組會在 VM 內執行稽核和組態作業。
- 如果您使用 Azure 監視器代理程式,適用於雲端的 Defender 使用此擴充功能來分析 Windows 和 Linux 機器上的操作系統安全性基準設定。
- 雖然已啟用 Azure Arc 的伺服器和客體設定擴充功能是免費的,但如果您在 適用於雲端的 Defender 範圍外的 Azure Arc 伺服器上使用客體設定原則,可能會產生更多成本。
深入瞭解客體設定擴充功能 Azure 原則。
適用於端點的Defender擴充功能
當您啟用適用於伺服器的 Defender 時,適用於雲端的 Defender 會自動部署適用於端點的 Defender 擴充功能。 擴充功能是一種管理介面,可在操作系統內執行腳本,以在機器上部署及整合適用於端點的 Defender 感測器。
確認作業系統支援
部署適用於伺服器的 Defender 之前,請先確認代理程式和擴充功能的作業系統支援:
- 確認適用於端點的 Defender 支援您的作業系統。
- 檢查 Azure Arc 連線 機器代理程式的需求。
- 檢查 Log Analytics 代理程式和 Azure 監視器代理程式的作業系統支援。
檢閱代理程式布建
當您啟用 適用於雲端的 Defender 方案,包括適用於伺服器的 Defender 時,您可以選擇自動布建與適用於伺服器的 Defender 相關的某些代理程式:
- 適用於 Azure VM 的 Log Analytics 代理程式和 Azure 監視器代理程式
- 適用於 Azure Arc VM 的 Log Analytics 代理程式和 Azure 監視器代理程式
- Qualys 代理程式
- 客體設定代理程式
當您啟用適用於伺服器的 Defender 方案 1 或方案 2 時,訂用帳戶中所有支援的機器上都會自動布建適用於端點的 Defender 擴充功能。
布建考慮
下表說明要注意的布建考慮:
佈建 | 詳細資料 |
---|---|
適用於端點的Defender感測器 | 如果計算機正在執行 Microsoft Antimalware,也稱為 System Center Endpoint Protection (SCEP),Windows 擴充功能會自動從機器中移除它。 如果您在已執行舊版 Microsoft Monitoring Agent (MMA) Defender for Endpoint 感測器的電腦上部署,則成功安裝 適用於雲端的 Defender 和適用於端點的 Defender 整合解決方案之後,擴充功能會停止並停用舊版感測器。 變更是透明的,而且會保留計算機的保護歷程記錄。 |
AWS 和 GCP 機器 | 設定 AWS 或 GCP 連接器時,請設定自動布建。 |
手動安裝 | 如果您不想 適用於雲端的 Defender 布建 Log Analytics 代理程式和 Azure 監視器代理程式,您可以手動安裝代理程式。 您可以將代理程式連線到預設 適用於雲端的 Defender 工作區或自定義工作區。 工作區必須 啟用 SecurityCenterFree (免費基礎 CSPM)或 已啟用安全性 解決方案(適用於伺服器方案的 Defender 2)。 |
直接執行的Log Analytics代理程式 | 如果 Windows VM 執行 Log Analytics 代理程式但不是作為 VM 擴充功能,適用於雲端的 Defender 安裝擴充功能。 代理程式會向 適用於雲端的 Defender 工作區和現有的代理程式工作區報告。 在Linux VM上,不支援多路連接。 如果現有的代理程式存在,則Log Analytics代理程式不會自動布建。 |
Operations Manager 代理程式 | Log Analytics 代理程式可以與 Operations Manager 代理程式並存運作。 代理程式會共用部署 Log Analytics 代理程式時更新的通用運行時間連結庫。 |
拿掉 Log Analytics 擴充功能 | 如果您移除 Log Analytics 擴充功能,適用於雲端的 Defender 無法收集安全性數據和建議,因而產生遺漏警示。 在24小時內,適用於雲端的 Defender判斷延伸模組遺失並重新安裝。 |
何時退出退出自動布建
在下表所述的情況下,您可能會想要退出退出自動布建:
情況 | 相關代理程式 | 詳細資料 |
---|---|---|
您有不應該安裝代理程式的重要 VM | Log Analytics 代理程式、Azure 監視器代理程式 | 自動布建適用於整個訂用帳戶。 您無法退出宣告特定電腦。 |
您正在執行 System Center Operations Manager 代理程式版本 2012 與 Operations Manager 2012 | Log Analytics 代理程式 | 使用此設定時,請勿開啟自動布建;管理功能可能會遺失。 |
您要設定自訂工作區 | Log Analytics 代理程式、Azure 監視器代理程式 | 您有兩個選項與自訂工作區: - 當您第一次設定 適用於雲端的 Defender 時,退出退出自動布建。 然後,在自定義工作區上設定布建。 - 讓自動布建執行 ,以在計算機上安裝Log Analytics代理程式。 設定自定義工作區,然後使用新的工作區設定重新設定現有的 VM。 |
下一步
完成這些規劃步驟之後,您可以開始部署:
- 啟用適用於伺服器的 Defender 方案
- 連線 內部部署機器至 Azure。
- 連線 AWS 帳戶 適用於雲端的 Defender。
- 連線 GCP 專案 適用於雲端的 Defender。
- 瞭解如何 調整適用於伺服器的 Defender 部署。