تخطيط العوامل والملحقات وAzure Arc ل Defender للخوادم
تساعدك هذه المقالة على تخطيط الوكلاء والملحقات وموارد Azure Arc لتوزيع Microsoft Defender for Servers.
Defender for Servers هي إحدى الخطط المدفوعة التي يوفرها Microsoft Defender for Cloud.
قبل البدء
هذه المقالة هي المقالة الخامسة في دليل تخطيط Defender for Servers. قبل البدء، راجع المقالات السابقة:
- ابدأ في التخطيط للنشر.
- فهم مكان تخزين بياناتك ومتطلبات مساحة عمل Log Analytics.
- راجع Defender لأدوار الوصول إلى الخوادم.
- حدد خطة ل Defender for Servers.
مراجعة متطلبات Azure Arc
يساعدك Azure Arc على إلحاق Amazon Web Services (AWS) وGoogle Cloud Platform (GCP) والأجهزة المحلية ب Azure. يستخدم Defender for Cloud Azure Arc لحماية الأجهزة غير Azure.
إدارة وضع الأمان السحابي التأسيسي
لا تتطلب ميزات إدارة وضع أمان السحابة الأساسية المجانية (CSPM) لأجهزة AWS وGCP Azure Arc. للحصول على الوظائف الكاملة، نوصي بأن يكون لديك Azure Arc قيد التشغيل على أجهزة AWS أو GCP.
مطلوب إلحاق Azure Arc للأجهزة المحلية.
خطة Defender for Servers
لاستخدام Defender للخوادم، يجب تمكين Azure Arc لجميع أجهزة AWS وGCP والأجهزة المحلية.
يمكنك إلحاق عامل Azure Arc بخوادم AWS أو GCP تلقائيا باستخدام موصل AWS أو GCP متعدد السحابات.
التخطيط لتوزيع Azure Arc
للتخطيط لتوزيع Azure Arc:
راجع توصيات تخطيط Azure Arc ومتطلبات التوزيع الأساسية.
افتح منافذ الشبكة ل Azure Arc في جدار الحماية الخاص بك.
يقوم Azure Arc بتثبيت عامل Connected Machine للاتصال بالأجهزة المستضافة خارج Azure وإدارتها. راجع المعلومات التالية:
- مكونات العامل والبيانات التي تم جمعها من الأجهزة.
- الوصول إلى الشبكة والإنترنت للعامل.
- خيارات الاتصال للعامل.
عامل Log Analytics وعامل Azure Monitor
إشعار
كما تم تعيين عامل Log Analytics للتقاعد في أغسطس 2024 وكجزء من استراتيجية Defender for Cloud المحدثة، سيتم توفير جميع ميزات وإمكانيات Defender for Servers إما من خلال التكامل Microsoft Defender لنقطة النهاية أو الفحص بدون عامل، دون الاعتماد على عامل Log Analytics (MMA) أو عامل Azure Monitor (AMA). ونتيجة لذلك، سيتم تعديل عملية التوفير التلقائي المشتركة لكلا الوكيلين وفقا لذلك لمزيد من المعلومات حول هذا التغيير، راجع هذا الإعلان.
يستخدم Defender for Cloud عامل Log Analytics وعامل Azure Monitor لجمع المعلومات من موارد الحوسبة. ثم يرسل البيانات إلى مساحة عمل Log Analytics لمزيد من التحليل. راجع الاختلافات والتوصيات لكلا الوكيلين.
يصف الجدول التالي العوامل المستخدمة في Defender for Servers:
ميزة | وكيل تحليلات السجل | عامل Azure Monitor |
---|---|---|
توصيات CSPM التأسيسية (مجانا) التي تعتمد على العامل: توصية أساس نظام التشغيل (أجهزة Azure الظاهرية) |
باستخدام عامل Azure Monitor، يتم استخدام ملحق تكوين ضيف نهج Azure. |
|
CSPM التأسيسي: توصيات تحديثات النظام (أجهزة Azure الظاهرية ) | لم تتوفر بعد. | |
CSPM التأسيسي: توصيات الحماية من البرامج الضارة/نقطة النهاية (أجهزة Azure الظاهرية ) | ||
الكشف عن الهجوم على مستوى نظام التشغيل وطبقة الشبكة، بما في ذلك الكشف عن الهجوم بدون ملفات تعتمد الخطة 1 على قدرات Defender لنقطة النهاية للكشف عن الهجوم. |
الخطة 2 |
الخطة 2 |
مراقبة تكامل الملفات (الخطة 2 فقط) |
ملحق Qualys
يتوفر ملحق Qualys في Defender for Servers الخطة 2. يتم نشر الملحق إذا كنت تريد استخدام Qualys لتقييم الثغرات الأمنية.
فيما يلي مزيد من المعلومات:
يرسل ملحق Qualys بيانات التعريف للتحليل إلى إحدى منطقتين لمركز بيانات Qualys، اعتمادا على منطقة Azure.
- إذا كنت تعمل داخل منطقة Azure الأوروبية، تحدث معالجة البيانات في مركز بيانات Qualys الأوروبي.
- بالنسبة للمناطق الأخرى، تتم معالجة البيانات في مركز بيانات الولايات المتحدة.
لاستخدام Qualys على جهاز، يجب تثبيت الملحق ويجب أن يكون الجهاز قادرا على الاتصال بنقطة نهاية الشبكة ذات الصلة:
- مركز بيانات أوروبا:
https://qagpublic.qg2.apps.qualys.eu
- مركز بيانات الولايات المتحدة:
https://qagpublic.qg3.apps.qualys.com
- مركز بيانات أوروبا:
ملحق تكوين الضيف
ينفذ الملحق عمليات التدقيق والتكوين داخل الأجهزة الظاهرية.
- إذا كنت تستخدم عامل Azure Monitor، فإن Defender for Cloud يستخدم هذا الملحق لتحليل إعدادات أساس أمان نظام التشغيل على أجهزة Windows وLinux.
- على الرغم من أن الخوادم الممكنة على Azure Arc وملحق تكوين الضيف مجانية، فقد يتم تطبيق المزيد من التكاليف إذا كنت تستخدم نهج تكوين الضيف على خوادم Azure Arc خارج نطاق Defender for Cloud.
تعرف على المزيد حول ملحق تكوين ضيف نهج Azure.
Defender لملحقات نقطة النهاية
عند تمكين Defender for Servers، يقوم Defender for Cloud تلقائيا بنشر ملحق Defender لنقطة النهاية. الملحق هو واجهة إدارة تقوم بتشغيل برنامج نصي داخل نظام التشغيل لنشر ودمج أداة استشعار Defender لنقطة النهاية على الجهاز.
- ملحق أجهزة Windows:
MDE.Windows
- ملحق أجهزة Linux:
MDE.Linux
- يجب أن تفي الأجهزة بالحد الأدنى من المتطلبات.
- تحتوي بعض إصدارات Windows Server على متطلبات محددة.
يمكن الوصول إلى معظم خدمات Defender لنقطة النهاية من خلال *.endpoint.security.microsoft.com
أو من خلال علامات خدمة Defender لنقطة النهاية. تأكد من أنك متصل بخدمة Defender لنقطة النهاية وتعرف متطلبات التحديثات التلقائية والميزات الأخرى.
التحقق من دعم نظام التشغيل
قبل نشر Defender for Servers، تحقق من دعم نظام التشغيل للوكلاء والملحقات:
- تحقق من أن أنظمة التشغيل الخاصة بك مدعومة من قبل Defender لنقطة النهاية.
- تحقق من متطلبات عامل Azure Arc Connect Machine.
- تحقق من دعم نظام التشغيل لعامل Log Analytics وعامل Azure Monitor.
مراجعة توفير العامل
عند تمكين الخطط في Defender for Cloud، بما في ذلك Defender for Servers، يمكنك اختيار توفير بعض العوامل ذات الصلة ب Defender for Servers تلقائيا:
- عامل Log Analytics وعامل Azure Monitor لأجهزة Azure الظاهرية
- عامل Log Analytics وعامل Azure Monitor لأجهزة Azure Arc الظاهرية
- عامل Qualys
- عامل تكوين الضيف
عند تمكين Defender for Servers الخطة 1 أو الخطة 2، يتم توفير ملحق Defender لنقطة النهاية تلقائيا على جميع الأجهزة المدعومة في الاشتراك.
اعتبارات التوفير
يصف الجدول التالي اعتبارات التوفير التي يجب أن تكون على علم بها:
التزويد | التفاصيل |
---|---|
أداة استشعار Defender لنقطة النهاية | إذا كانت الأجهزة تقوم بتشغيل Microsoft Antimalware، والمعروفة أيضا باسم System Center Endpoint Protection (SCEP)، فسيزيله ملحق Windows تلقائيا من الجهاز. إذا قمت بالنشر على جهاز لديه بالفعل Microsoft Monitoring agent (MMA) Defender for Endpoint sensor قيد التشغيل، بعد تثبيت الحل الموحد Defender for Cloud وDefender لنقطة النهاية بنجاح، يتوقف الملحق ويعطل أداة الاستشعار القديمة. التغيير شفاف ويتم الاحتفاظ بمحفوظات حماية الجهاز. |
أجهزة AWS وGCP | تكوين التوفير التلقائي عند إعداد موصل AWS أو GCP. |
تثبيت يدوي | إذا كنت لا تريد أن يقوم Defender for Cloud بتوفير عامل Log Analytics وعامل Azure Monitor، يمكنك تثبيت العوامل يدويا. يمكنك توصيل العامل بمساحة عمل Defender for Cloud الافتراضية أو بمساحة عمل مخصصة. يجب أن تحتوي مساحة العمل على SecurityCenterFree (ل CSPM الأساسي المجاني) أو تمكين حل الأمان (Defender for Servers الخطة 2). |
عامل Log Analytics يعمل مباشرة | إذا كان Windows VM يحتوي على عامل Log Analytics قيد التشغيل ولكن ليس كملحق VM، يقوم Defender for Cloud بتثبيت الملحق. يقدم العامل تقارير إلى مساحة عمل Defender for Cloud وإلى مساحة عمل العامل الموجودة. على أجهزة Linux الظاهرية، لا يتم دعم التوجيه المتعدد. إذا كان هناك عامل موجود، فلن يتم توفير عامل Log Analytics تلقائيا. |
عامل Operations Manager | يمكن أن يعمل عامل Log Analytics جنبا إلى جنب مع عامل Operations Manager. يشترك الوكلاء في مكتبات وقت التشغيل الشائعة التي يتم تحديثها عند نشر عامل Log Analytics. |
إزالة ملحق Log Analytics | إذا قمت بإزالة ملحق Log Analytics، فلن يتمكن Defender for Cloud من جمع بيانات الأمان والتوصيات، ما يؤدي إلى فقدان التنبيهات. في غضون 24 ساعة، يحدد Defender for Cloud أن الملحق مفقود ويعيد تثبيته. |
متى يتم إلغاء الاشتراك في التوفير التلقائي
قد ترغب في إلغاء الاشتراك في التوفير التلقائي في الظروف الموضحة في الجدول التالي:
الموقف | عامل ذي صلة | التفاصيل |
---|---|---|
لديك أجهزة ظاهرية هامة لا ينبغي أن يكون لها عوامل مثبتة | عامل Log Analytics، عامل Azure Monitor | التوفير التلقائي هو لاشتراك كامل. لا يمكنك إلغاء الاشتراك في أجهزة معينة. |
تقوم بتشغيل إصدار عامل System Center Operations Manager 2012 مع Operations Manager 2012 | وكيل تحليلات السجل | مع هذا التكوين، لا تقم بتشغيل التوفير التلقائي؛ قد تفقد قدرات الإدارة. |
تريد تكوين مساحة عمل مخصصة | عامل Log Analytics، عامل Azure Monitor | لديك خياران مع مساحة عمل مخصصة: - إلغاء الاشتراك في التوفير التلقائي عند إعداد Defender for Cloud لأول مرة. ثم قم بتكوين التوفير على مساحة العمل المخصصة. - السماح بتشغيل التوفير التلقائي لتثبيت عوامل Log Analytics على الأجهزة. قم بتعيين مساحة عمل مخصصة، ثم أعد تكوين الأجهزة الظاهرية الموجودة باستخدام إعداد مساحة العمل الجديدة. |
الخطوات التالية
بعد العمل من خلال خطوات التخطيط هذه، يمكنك بدء النشر:
- تمكين الخطط في Defender for Servers
- توصيل الأجهزة المحلية ب Azure.
- قم بتوصيل حسابات AWS ب Defender for Cloud.
- توصيل مشاريع GCP ب Defender for Cloud.
- تعرف على تحجيم توزيع Defender for Server.