Plánování agentů, rozšíření a Azure Arc for Defender pro servery
Tento článek vám pomůže naplánovat agenty, rozšíření a prostředky Azure Arc pro nasazení Microsoft Defenderu pro servery.
Defender for Servers je jedním z placených plánů poskytovaných programem Microsoft Defender for Cloud.
Než začnete
Tento článek je pátým článkem v průvodci plánováním Defenderu pro servery. Než začnete, projděte si předchozí články:
- Začněte plánovat nasazení.
- Zjistěte, kde se ukládají vaše data, a požadavky na pracovní prostor služby Log Analytics.
- Zkontrolujte přístupové role Defenderu pro servery.
- Vyberte plán pro Defender for Servers.
Kontrola požadavků služby Azure Arc
Azure Arc vám pomůže připojit Amazon Web Services (AWS), Google Cloud Platform (GCP) a místní počítače do Azure. Defender for Cloud používá Azure Arc k ochraně počítačů mimo Azure.
Základní správa stavu zabezpečení cloudu
Bezplatné základní funkce správy stavu zabezpečení cloudu (CSPM) pro počítače AWS a GCP nevyžadují Azure Arc. Pro plnou funkčnost doporučujeme, abyste měli Azure Arc spuštěnou na počítačích AWS nebo GCP.
Onboarding Azure Arc se vyžaduje pro místní počítače.
Plán Defender pro servery
Pokud chcete použít Defender pro servery, měly by být všechny počítače AWS, GCP a místní počítače povolené službou Azure Arc.
Agenta Azure Arc můžete připojit k serverům AWS nebo GCP automaticky pomocí konektoru AWS nebo GCP pro vícecloud.
Plánování nasazení Azure Arc
Plánování nasazení Azure Arc:
Projděte si doporučení k plánování služby Azure Arc a požadavky na nasazení.
Otevřete síťové porty pro Azure Arc v bráně firewall.
Azure Arc nainstaluje agenta Connected Machine pro připojení a správu počítačů hostovaných mimo Azure. Projděte si následující informace:
- Komponenty agenta a data shromážděná z počítačů.
- Přístup k síti a internetu pro agenta.
- Možnosti připojení pro agenta
Agent Log Analytics a agent Azure Monitor
Poznámka:
Vzhledem k tomu, že je agent Log Analytics nastavený na vyřazení v srpnu 2024 a jako součást aktualizované strategie Defenderu pro cloud, budou všechny funkce a možnosti Defenderu pro servery poskytovány buď prostřednictvím integrace Microsoft Defenderu for Endpoint, nebo kontroly bez agentů bez závislostí na agentovi Log Analytics (MMA) nebo agentovi Azure Monitoru (AMA). V důsledku toho se proces sdíleného automatického zřizování pro oba agenty odpovídajícím způsobem upraví. Další informace o této změně najdete v tomto oznámení.
Defender for Cloud používá agenta Log Analytics a agenta Služby Azure Monitor ke shromažďování informací z výpočetních prostředků. Potom odešle data do pracovního prostoru služby Log Analytics pro další analýzu. Projděte si rozdíly a doporučení pro oba agenty.
Následující tabulka popisuje agenty, které se používají v defenderu pro servery:
| Funkce | Agent Log Analytics | Agent Azure Monitoru |
|---|---|---|
| Základní doporučení CSPM (zdarma), která závisí na agentu: základní doporučení operačního systému (virtuální počítače Azure) | 
|
S agentem Azure Monitoru se používá rozšíření konfigurace hosta služby Azure Policy. |
| Základní CSPM: Doporučení k aktualizacím systému (virtuální počítače Azure) |
|
Zatím není k dispozici. |
| Základní csPM: Antimalware / doporučení ochrany koncových bodů (virtuální počítače Azure) |
|
|
| Detekce útoků na úrovni operačního systému a síťové vrstvy, včetně detekce útoků bez souborů Plán 1 spoléhá na možnosti Defenderu for Endpoint pro detekci útoků. |
Plán 2 |
Plán 2 |
| Monitorování integrity souborů (pouze Plán 2) |
|
|
| Adaptivní řízení aplikací (pouze Plán 2) |
|
|
Rozšíření Qualys
Rozšíření Qualys je k dispozici v programu Defender for Servers Plan 2. Rozšíření se nasadí, pokud chcete k posouzení ohrožení zabezpečení použít Qualys.
Tady jsou další informace:
Rozšíření Qualys odesílá metadata pro analýzu do jedné ze dvou oblastí datacentra Qualys v závislosti na vaší oblasti Azure.
- Pokud pracujete v rámci evropské oblasti Azure, zpracování dat probíhá v datovém centru Qualys.
- V jiných oblastech probíhá zpracování dat v datacentru USA.
Pokud chcete na počítači používat Qualys, musí být nainstalované rozšíření a počítač musí být schopný komunikovat s příslušným koncovým bodem sítě:
- Datacentrum Evropy:
https://qagpublic.qg2.apps.qualys.eu - Americké datové centrum:
https://qagpublic.qg3.apps.qualys.com
- Datacentrum Evropy:
Rozšíření konfigurace hosta
Rozšíření provádí operace auditu a konfigurace uvnitř virtuálních počítačů.
- Pokud používáte agenta Azure Monitoru, Defender for Cloud používá toto rozšíření k analýze nastavení standardních hodnot zabezpečení operačního systému na počítačích s Windows a Linuxem.
- I když jsou servery s podporou Azure Arc a rozšíření konfigurace hosta bezplatné, můžou se na servery Azure Arc používat další náklady, pokud používáte zásady konfigurace hosta na serverech Azure Arc mimo rozsah defenderu pro cloud.
Přečtěte si další informace o rozšíření konfigurace hosta služby Azure Policy.
Rozšíření Defenderu pro koncové body
Když povolíte Defender for Servers, Defender for Cloud automaticky nasadí rozšíření Defender for Endpoint. Rozšíření je rozhraní pro správu, které spouští skript v operačním systému pro nasazení a integraci senzoru Defenderu for Endpoint na počítači.
- Rozšíření počítačů s Windows:
MDE.Windows - Rozšíření počítačů s Linuxem:
MDE.Linux - Počítače musí splňovat minimální požadavky.
- Některé verze Windows Serveru mají specifické požadavky.
Ověření podpory operačního systému
Než nasadíte Defender for Servers, ověřte podporu operačního systému pro agenty a rozšíření:
- Ověřte, že defender for Endpoint podporuje vaše operační systémy.
- Zkontrolujte požadavky na agenta azure Arc Connect Machine.
- Zkontrolujte podporu operačního systému pro agenta Log Analytics a agenta Azure Monitoru.
Kontrola zřizování agentů
Když povolíte plány v programu Defender for Cloud, včetně Defenderu pro servery, můžete automaticky zřídit některé agenty, které jsou relevantní pro Defender for Servers:
- Agent Log Analytics a agent Azure Monitor pro virtuální počítače Azure
- Agent Log Analytics a agent Azure Monitor pro virtuální počítače Azure Arc
- Agent Qualys
- Agent konfigurace hosta
Když povolíte Defender for Servers Plan 1 nebo Plan 2, rozšíření Defender for Endpoint se automaticky zřídí na všech podporovaných počítačích v předplatném.
Důležité informace o zřizování
Následující tabulka popisuje aspekty zřizování, které je potřeba vzít v úvahu:
| Zřizování | Detaily |
|---|---|
| Senzor defenderu pro koncový bod | Pokud na počítačích běží Microsoft Antimalware, označovaný také jako System Center Endpoint Protection (SCEP), rozšíření Windows ho automaticky odebere z počítače. Pokud nasadíte na počítač, který už má spuštěný starší verzi senzoru Microsoft Monitoring Agent (MMA) Defender for Endpoint, po úspěšné instalaci sjednoceného řešení Defender for Cloud a Defender for Endpoint se rozšíření zastaví a zakáže starší senzor. Změna je transparentní a historie ochrany počítače se zachová. |
| Počítače AWS a GCP | Při nastavování konektoru AWS nebo GCP nakonfigurujte automatické zřizování. |
| Ruční instalace | Pokud nechcete, aby Defender for Cloud zřídil agenta Log Analytics a agenta Azure Monitoru, můžete agenty nainstalovat ručně. Agenta můžete připojit k výchozímu pracovnímu prostoru Defenderu pro cloud nebo k vlastnímu pracovnímu prostoru. Pracovní prostor musí mít SecurityCenterFree (pro bezplatné základní CSPM) nebo bezpečnostní řešení povolené (Defender for Servers Plan 2). |
| Agent Log Analytics spuštěný přímo | Pokud má virtuální počítač s Windows spuštěného agenta Log Analytics, ale ne jako rozšíření virtuálního počítače, Defender for Cloud rozšíření nainstaluje. Agent hlásí do pracovního prostoru Defender for Cloud a do existujícího pracovního prostoru agenta. Na virtuálních počítačích s Linuxem se nepodporuje multihoming. Pokud existuje existující agent, agent Log Analytics se automaticky nezřídí. |
| Agent Operations Manageru | Agent Log Analytics může pracovat souběžně s agentem Operations Manageru. Agenti sdílejí společné knihovny modulu runtime, které se aktualizují při nasazení agenta Log Analytics. |
| Odebrání rozšíření Log Analytics | Pokud rozšíření Log Analytics odeberete, Defender for Cloud nemůže shromažďovat data zabezpečení a doporučení, což vede k chybějícím upozorněním. Během 24 hodin defender for Cloud zjistí, že rozšíření chybí a přeinstaluje ho. |
Kdy se odhlásit z automatického zřizování
V situacích popsaných v následující tabulce můžete chtít zrušit automatické zřizování:
| Situace | Relevantní agent | Detaily |
|---|---|---|
| Máte důležité virtuální počítače, které by neměly mít nainstalované agenty. | Agent Log Analytics, agent Azure Monitor | Automatické zřizování je určené pro celé předplatné. Nemůžete se odhlásit pro konkrétní počítače. |
| Používáte agenta system Center Operations Manageru verze 2012 s Operations Managerem 2012. | Agent Log Analytics | V této konfiguraci nezapínejte automatické zřizování; Možnosti správy můžou být ztraceny. |
| Chcete nakonfigurovat vlastní pracovní prostor. | Agent Log Analytics, agent Azure Monitor | Máte dvě možnosti s vlastním pracovním prostorem: – Odhlaste se z automatického zřizování při prvním nastavení Defenderu pro cloud. Potom nakonfigurujte zřizování ve vlastním pracovním prostoru. – Nechte automatické zřizování spuštěné pro instalaci agentů Log Analytics na počítače. Nastavte vlastní pracovní prostor a potom překonfigurujte existující virtuální počítače pomocí nového nastavení pracovního prostoru. |
Další kroky
Po provedení těchto kroků plánování můžete zahájit nasazení:
- Povolení plánů v defenderu pro servery
- Připojte místní počítače k Azure.
- Připojte účty AWS k Defenderu for Cloud.
- Připojte projekty GCP ke službě Defender for Cloud.
- Přečtěte si o škálování nasazení Defenderu pro server.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro