規劃適用於伺服器的Defender部署

適用於伺服器的 Microsoft Defender 會將保護延伸到您在 Azure 中執行的 Windows 和 Linux 機器、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和內部部署。 適用於伺服器的 Defender 會與適用於端點的 Microsoft Defender 整合,以提供端點偵測及回應 (EDR) 和其他威脅防護功能。

本指南可協助您設計和規劃有效的適用於伺服器的Defender部署。 適用於雲端的 Microsoft Defender 為適用於伺服器的Defender提供兩個付費方案。

關於本指南

本指南的目標對像是雲端解決方案和基礎結構架構設計人員、安全性架構設計人員和分析師,以及任何參與保護雲端和混合式伺服器和工作負載的人員。

本指南會回答下列問題:

  • 適用於伺服器的 Defender 有何用途及其部署方式?
  • 我的數據儲存在哪裡,以及我需要哪些 Log Analytics 工作區?
  • 神秘 需要存取適用於伺服器的Defender資源嗎?
  • 我應該選擇哪一個適用於伺服器的 Defender 方案,以及我應該使用哪些弱點評估解決方案?
  • 何時需要使用 Azure Arc,以及需要哪些代理程式和延伸模組?
  • 如何? 調整部署規模?

開始之前

在檢閱適用於伺服器的Defender規劃指南中的一系列文章之前:

部署概觀

下表顯示適用於伺服器之 Defender 部署程式的概觀:

階段 詳細資料
開始保護資源 • 當您在入口網站中開啟 適用於雲端的 Defender 時,會開始使用免費的 CSPM 評量和建議來保護資源。

• 適用於雲端的 Defender 會建立已啟用 SecurityCenterFree 解決方案的預設 Log Analytics 工作區

• 建議 開始出現在入口網站中。
啟用適用於伺服器的 Defender • 當您啟用付費方案時,適用於雲端的 Defender 在其預設工作區上啟用安全性解決方案。

• 啟用適用於伺服器的 Defender 方案 1(僅限訂用帳戶)或方案 2(訂用帳戶和工作區)。

• 啟用方案之後,決定您想要如何在訂用帳戶或工作組的 Azure VM 上安裝代理程式和擴充功能。

•根據預設,某些擴充功能會啟用自動布建。
保護 AWS/GCP 機器 • 針對適用於伺服器的 Defender 部署,您可以設定連接器、關閉不需要的計劃、設定自動布建設定、向 AWS/GCP 進行驗證,以及部署設定。

• 自動布建包含 適用於雲端的 Defender 所使用的代理程式和 Azure 連線 Machine 代理程式,以使用 Azure Arc 上線至 Azure。

• AWS 使用 CloudFormation 範本。

• GCP 使用 Cloud Shell 範本。

• 建議 開始出現在入口網站中。
保護內部部署伺服器 • 將它們上線為 Azure Arc 機器,並使用自動化布建來部署代理程式。
基礎 CSPM • 當您使用基本 CSPM 且未啟用方案時,不會收取任何費用。

• AWS/GCP 機器不需要使用 Azure Arc 來設定基礎 CSPM。 內部部署機器會執行。

• 某些基本建議僅依賴代理程式:反惡意代碼/端點保護 (Log Analytics 代理程式或 Azure 監視器代理程式) |OS 基準建議 (Log Analytics 代理程式或 Azure 監視器代理程式和客體設定擴充功能) |

當您在 Azure 訂用帳戶或已連線的 AWS 帳戶上啟用 適用於伺服器的 Microsoft Defender 時,所有連線的電腦都會受到適用於伺服器的 Defender 保護。 您可以在 Log Analytics 工作區層級啟用適用於伺服器的 Microsoft Defender,但只有向該工作區回報的伺服器會受到保護並計費,而且這些伺服器不會獲得一些好處,例如適用於端點的 Microsoft Defender、弱點評估,以及 Just-In-Time VM 存取。

下一步

開始規劃程序之後,請檢閱 此規劃系列 中的第二篇文章,以瞭解您的數據儲存方式,以及Log Analytics工作區需求。