Konfigurieren von Defender für Serverfunktionen
Der Plan Defender for Servers von Microsoft Defender for Cloud enthält Komponenten, die Ihre Umgebungen überwachen, um einen erweiterten Schutz für Ihre Server zu bieten. Jede dieser Komponenten kann aktiviert, deaktiviert oder so konfiguriert werden, dass sie Ihren spezifischen Anforderungen entspricht.
| Komponente | Verfügbarkeit | Beschreibung | Weitere Informationen |
|---|---|---|---|
| Log Analytics-Agent | Plan 1 und Plan 2 | Sammelt sicherheitsrelevante Konfigurationen und Ereignisprotokolle des Computers und speichert die Daten zur Analyse in Ihrem Standard- oder benutzerdefinierten Arbeitsbereich von Log Analytics. | Weitere Informationen zum Log Analytics-Agent. |
| Sicherheitsrisikobewertung für Computer | Plan 1 und Plan 2 | Aktiviert die Sicherheitsrisikobewertung auf Ihren Azure- und Hybridcomputern. | Weitere Informationen dazu, wie Defender for Cloud Daten sammelt. |
| Endpoint Protection | Plan 1 und Plan 2 | Ermöglicht den Schutz, der von Microsoft Defender for Endpoint unterstützt wird, einschließlich der automatischen Agent-Bereitstellung auf Ihren Servern und der Integration von Sicherheitsdaten in Defender for Cloud | Weitere Informationen zum Endpunktschutz. |
| Überprüfung ohne Agent für Computer | Plan 2 | Überprüft Ihre Computer auf installierte Software und Sicherheitsrisiken, ohne sich auf Agents zu verlassen oder die Computerleistung zu beeinträchtigen. | Weitere Informationen zur Überprüfung ohne Agent für Computer. |
| Azure Policy-Gastkonfiguration | Plan 2 | Stellt eine Reihe von integrierten Richtlinien bereit, mit denen Sie Sicherheitskonfigurationen für Ihre Azure-, AWS-, GCP- und lokalen Computer bewerten und erzwingen können. | Weitere Informationen zur Azure Policy-Gastkonfiguration. |
Wenn Sie Defender for Servers Plan 2 aktivieren, sind alle diese Komponenten standardmäßig aktiviert.
Hinweis
Der Log Analytics-Agent (auch als MMA bezeichnet) wird im August 2024 eingestellt. Alle Defender for Servers-Features, die von AMA abhängen, einschließlich der auf der Seite „Aktivieren von Defender for Endpoint (Log Analytics)“ beschriebenen Features, sind entweder über Microsoft Defender for Endpoint Integration oder agentenloses Scannen vor dem Einstellungsdatum verfügbar. Weitere Informationen zur Roadmap für die einzelnen Features, die derzeit auf dem Log Analytics-Agent basieren, finden Sie in dieser Ankündigung.
Konfigurieren des Log Analytics-Agents
Nachdem Sie den Log Analytics-Agent aktiviert haben, erhalten Sie die Möglichkeit, auszuwählen, welcher Arbeitsbereich verwendet werden soll.
So konfigurieren Sie den Log Analytics-Agent:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Wählen Sie in der Zeile „Log Analytics-Agent“ die Option Konfiguration bearbeiten aus.
Wählen Sie je nach Bedarf entweder einen Standard-Arbeitsbereich oder einen benutzerdefinierten Arbeitsbereich aus.
Wählen Sie Übernehmen.
Wählen Sie Weiter.
Konfigurieren der Sicherheitsrisikobewertung für Computer
Bei der Sicherheitsrisikobewertung für Computer können Sie zwischen zwei Lösungen für die Sicherheitsrisikobewertung wählen:
- Microsoft Defender-Sicherheitsrisikomanagement
- In Microsoft Defender für Cloud integrierte Qualys-Überprüfung
Auswählen einer der Lösungen für die Sicherheitsrisikobewertung:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Wählen Sie in der Zeile „Sicherheitsrisikobewertung für Computer“ die Option Konfiguration bearbeitenaus.
Wählen Sie je nach Bedarf im Konfigurationsfenster „Erweiterungsbereitstellung“ eine der Lösungen aus.
Wählen Sie Übernehmen.
Wählen Sie Weiter.
Konfigurieren von Endpoint Protection
Mit Microsoft Defender for Servers aktivieren Sie die von Microsoft Defender for Endpoint für Ihre Serverressourcen bereitgestellten Schutzmaßnahmen. Defender für Endpunkt umfasst die automatische Agent-Bereitstellung auf Ihren Servern und die Integration von Sicherheitsdaten in Defender for Cloud.
So konfigurieren Sie den Endpunktschutz:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Schalten Sie in der Zeile „Endpoint Protection“ den Schalter auf Ein.
Wählen Sie Continue (Weiter) aus.
Auswirkungen auf die Bereitstellung von Microsoft Defender for Endpoint
Die Integration von Microsoft Defender for Endpoint ist im Defender for Servers-Plan von Defender for Cloud enthalten. Wenn Sie Defender for Endpoint innerhalb des Plans aktivieren, löst dies eine automatische Bereitstellung für verbundene virtuelle Computer (VMs) im Abonnement aus. Wenn auf einer VM bereits Defender for Endpoint bereitgestellt ist, erfolgt keine neue Bereitstellung.
Um unbeabsichtigte Agentbereitstellungen zu vermeiden, schließen Sie einzelne vorhandene virtuelle Computer vor oder beim Aktivieren des Plans auf Abonnementebene aus. Für VMs auf der Ausschlussliste wird Defender for Endpoint nicht bereitgestellt, wenn der Plan aktiviert ist.
Es wird empfohlen, virtuelle Computer während oder kurz nach der Erstellung auszuschließen, um unbeabsichtigte Bereitstellungen für ein Abonnement mit bereits aktiviertem Plan 1 oder Plan 2 zu vermeiden.
Hinweis
Defender for Servers deinstalliert Defender for Endpoint-Bereitstellungen nicht, wenn Sie Plan 1 oder Plan 2 auf Abonnement- oder Ressourcenebene deaktivieren. Um Defender for Endpoint manuell von Ihrem Computer zu entfernen, befolgen Sie die Schritte zum Offboarden von Geräten.
Konfigurieren der agentlosen Überprüfung für Computer
Defender for Cloud kann Ihre Azure-Computer auf installierte Software und Sicherheitsrisiken überprüfen, ohne dass Sie Agents installieren, über Netzwerkkonnektivität verfügen oder die Leistung Ihres Computers beeinträchtigen müssen.
Konfigurieren der Überprüfung ohne Agent für Computer:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Suchen Sie den Defenders for Servers-Plan, und wählen Sie Einstellungenaus.
Suchen Sie die Zeile „Agentlose Überprüfung für Computer“.
Wählen Sie Konfiguration bearbeiten aus.
Geben Sie einen Tagnamen und einen Tagwert für alle Computer ein, die von den Überprüfungen ausgeschlossen werden sollen.
Wählen Sie Übernehmen.
Wählen Sie Weiter.
Erfahren Sie mehr über die Überprüfung ohne Agent und wie Sie die Überprüfung ohne Agent in anderen Cloudumgebungen aktivieren.
Aktivieren Sie die Azure Policy-Gastkonfiguration
Defender for Cloud bietet eine Reihe von integrierten Richtlinien, mit denen Sie Sicherheitskonfigurationen in Ihren Betriebssystemen für Ihre Azure-, AWS-, GCP- und lokalen Computer bewerten und erzwingen können. Diese Richtlinien basieren auf Best Practices der Branche und können den spezifischen Anforderungen Ihrer Organisation entsprechend angepasst werden.
Voraussetzungen
Aktivieren Sie Defender for Servers Plan 2 in Ihrem Abonnement.
Lesen Sie die Defender for Cloud-Preisseite, um Informationen zu den Preisinformationen zu Plan 2 von Defender for Servers zu erhalten.
Überprüfen Sie die Unterstützungsmatrix für die Azure Policy-Gastkonfiguration.
Wichtig
Beachten Sie, dass zusätzliche, von der Azure Policy-Gastkonfiguration bereitgestellte Funktionen außerhalb des Defender for Cloud-Portals nicht in Defender for Cloud enthalten sind und den Preisrichtlinien für Azure Policy-Gastkonfigurationen unterliegen. Beispielsweise Wartungsrichtlinien und benutzerdefinierten Richtlinien. Weitere Informationen finden Sie auf der Seite Azure Policy-Gastkonfiguration – Preise.
Installieren der Azure Policy-Gastkonfiguration auf Ihren Computern
Azure-Computer: Suchen Sie im Defender for Cloud-Portal auf der Seite „Empfehlungen“ nach Gastkonfigurationserweiterung muss auf Computern installiert sein und Empfehlung korrigieren, und wählen Sie diese Optionen aus.
Nur Azure-VMs: Sie müssen verwaltete Identitäten im Defender for Cloud-Portal zuweisen. Navigieren Sie zur Seite mit den Empfehlungen. Suchen Sie nach VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden, und wählen Sie dies aus. Setzen Sie die Empfehlung um.
(Optional) Nur Azure VMs: Aktivieren Sie die Azure Policy-Gastkonfiguration für Ihr gesamtes Abonnement.
Aktivieren Sie die Azure Policy-Gastkonfigurationserweiterung auf Ihren Azure-Computern in Ihrem gesamten Abonnement:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Navigieren Sie zu Umgebungseinstellungen>Ihr Abonnement>Einstellungen und Überwachung.
Schalten Sie den Gastkonfigurations-Agent (Preview) auf Ein um.
Wählen Sie Weiter.
GKP und AWS: Die Azure Policy-Gastkonfiguration wird automatisch installiert, wenn Sie mit Ihrem GKP-Projekt oder Ihren AWS-Konten mit aktivierter automatischer Azure Arc-Bereitstellung eine Verbindung mit Defender for Cloud herstellen.
Lokale Computer: Die Azure Policy-Gastkonfiguration ist standardmäßig aktiviert, wenn Sie lokale Computer als Azure Arc-fähige Computer oder VMs integrieren.
Nach der Aktivierung bewertet Defender for Cloud die Konfiguration Ihrer VMs automatisch anhand der vordefinierten Sicherheitsbaselines und identifiziert Abweichungen oder Fehlkonfigurationen, die ein Risiko für Ihre Umgebung darstellen könnten. Defender for Cloud erstellt Empfehlungen für jedes identifizierte Problem und bietet Anleitungen zum Umsetzen der Empfehlungen.
Defender for Servers-Featurestatus
Defender for Cloud bietet Ihnen die Möglichkeit, zu überprüfen, ob auf Ihren Ressourcen Defender for Cloud aktiviert ist.
So überprüfen Sie den Abdeckungsstatus Ihrer Ressourcen:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie Lagerbestand aus.
Suchen Sie die Spalte „Defender for Cloud“.
Hinweis
Die Defender for Servers-Einstellungen werden für jede Ressource standardmäßig von den Einstellungen auf Abonnementebene geerbt. Nachdem Sie Einstellungen auf Ressourcenebene geändert haben, erbt die Ressource die Einstellungen nicht mehr vom übergeordneten Abonnement, es sei denn, Sie löschen die von Ihnen konfigurierten Einstellungen.
Sie können die Abdeckung für alle Ihre Abonnements und Ressourcen auch mithilfe der Arbeitsmappe „Abdeckung“ überprüfen.
Deaktivieren des Defender for Servers-Plans oder der Funktionen
Um den Defender for Servers-Plan oder eines der Features des Plans zu deaktivieren, navigieren Sie zur Seite „Umgebungseinstellungen“ des entsprechenden Abonnements oder Arbeitsbereichs, und schalten Sie den entsprechenden Schalter auf Aus.
Hinweis
Wenn Sie den Defender for Servers-Plan für ein Abonnement deaktivieren, wird er nicht in einem Arbeitsbereich deaktiviert. Um den Plan für einen Arbeitsbereich zu deaktivieren, müssen Sie zur Seite „Pläne“ für den Arbeitsbereich navigieren und den Schalter auf Aus festlegen.
Deaktivieren von Defender for Servers auf Ressourcenebene
Um den Defender for Servers-Plan oder eines der Features des Plans zu deaktivieren, navigieren Sie zum Abonnement oder Arbeitsbereich, und legen Sie den Plan auf Aus fest.
Auf Ressourcenebene können Sie Defender for Servers Plan 1 aktivieren oder deaktivieren. Plan 2 kann nur auf Ressourcenebene deaktiviert werden.
So ist es beispielsweise möglich, Defender for Servers Plan 2 auf Abonnementebene zu aktivieren und bestimmte Ressourcen innerhalb des Abonnements zu deaktivieren. Plan 2 kann nicht nur für bestimmte Ressourcen aktiviert werden.