Planen von Agents, Erweiterungen und Azure Arc für Defender for Servers
In diesem Artikel erfahren Sie, wie Sie Ihre Agents, Erweiterungen und Azure Arc-Ressourcen für Ihre Microsoft Defender for Servers-Bereitstellung planen.
Defender for Servers ist einer der kostenpflichtigen Pläne von Microsoft Defender for Cloud.
Voraussetzungen
Der vorliegende Artikel ist der fünfte Teil der Reihe „Planungshandbuch für Defender for Servers“. Bevor Sie beginnen, lesen Sie sich die vorherigen Artikel durch:
- Beginnen der Planung der Bereitstellung
- Verstehen der Speicherorte Ihrer Daten und Anforderungen an den Log Analytics-Arbeitsbereich
- Überprüfen von Defender for Servers-Zugriffsrollen
- Wählen eines Defender for Servers-Plans
Überprüfen der Azure Arc-Anforderungen
Azure Arc unterstützt Sie beim Onboarding von Amazon Web Services (AWS), Google Cloud Platform (GCP) und lokalen Computern in Azure. Defender for Cloud nutzt Azure Arc für den Schutz von Nicht-Azure-Computern.
Grundlegende Funktionen zur Verwaltung der Cloudsicherheit
Für die kostenlosen grundlegenden CSPM-Features (Cloud Security Posture Management, Verwaltung des Cloudsicherheitsstatus) für AWS- und GCP-Computer ist Azure Arc nicht erforderlich.Für den vollen Funktionsumfang hingegen wird die Ausführung von Azure Arc auf AWS- oder GCP-Computern empfohlen.
Für lokale Computer ist das Azure Arc-Onboarding erforderlich.
Defender für Server-Plan
Um Defender for Servers verwenden zu können, müssen alle AWS-, GCP- und lokalen Computer Azure Arc-fähig sein.
Mithilfe des AWS- oder GCP-Multi-Cloud-Connectors können Sie den Azure Arc-Agent automatisch in Ihre AWS- oder GCP-Server einbinden.
Planen der Azure Arc-Bereitstellung
So planen Sie die Azure Arc-Bereitstellung
Überprüfen Sie die Azure Arc Planungsempfehlungen und die Voraussetzungen für die Bereitstellung.
Öffnen Sie die Netzwerkports für Azure Arc in Ihrer Firewall.
Azure Arc installiert den Connected Machine-Agent, um eine Verbindung mit den Computern herzustellen und Computer zu verwalten, die außerhalb von Azure gehostet werden. Überprüfen Sie die folgenden Informationen:
- Die Agent-Komponenten und von Computern gesammelten Daten
- Netzwerk- und Internetzugriff des Agents
- Verbindungsoptionen für den Agent
Log Analytics-Agent und Azure Monitor-Agent
Hinweis
Da der Log Analytics-Agent im August 2024 eingestellt wird und im Rahmen der Strategie für Defender for Cloud aktualisiert wurde, werden alle Defender for Server-Features und -Funktionen entweder durch Microsoft Defender for Endpoint Integration oder ohne Agent-Überprüfung bereitgestellt, ohne dass eine Abhängigkeit vom Log Analytics-Agent (MMA) oder dem Azure Monitor-Agent (AMA) besteht. Daher wird der Prozess der gemeinsamen automatischen Bereitstellung für beide Agents entsprechend angepasst. Weitere Informationen zu dieser Änderung finden Sie in dieser Ankündigung.
Defender for Cloud verwendet den Log Analytics- und den Azure Monitor-Agent, um Informationen von über Computeressourcen zu sammeln. Diese Daten werden anschließend zur weiteren Analyse an einen Log Analytics-Arbeitsbereich gesendet. Überprüfen Sie die Unterschiede und Empfehlungen für beide Agents.
Die folgende Tabelle beschreibt die Agents, die in Defender for Servers verwendet werden:
| Funktion | Log Analytics-Agent | Azure Monitor-Agent |
|---|---|---|
| Grundlegende CSPM-Empfehlungen (kostenlos), die vom Agent abhängen: Baselineempfehlung für Betriebssysteme (Azure-VMs) | 
|
Vom Azure Monitor-Agent wird die Azure Policy-Richtlinie Gastkonfigurationserweiterung verwendet. |
| Grundlegende CSPM-Features: Empfehlungen zu Systemupdates (Azure-VMs) |
|
Noch nicht verfügbar. |
| Grundlegende CSPM-Features: Empfehlungen zu Antischadsoftware/Endpunktschutz (Azure-VMs) |
|
|
| Angriffserkennung auf Betriebssystem- und Netzwerkebene, einschließlich Erkennung dateiloser Angriffe Plan 1 basiert auf Defender for Endpoint-Funktionen für Angriffserkennung. |
Plan 2 |
Plan 2 |
| Überwachung der Dateiintegrität (nur Plan 2) |
|
|
| Adaptive Anwendungssteuerungen (nur Plan 2) |
|
|
Qualys-Erweiterung
Die Qualys-Erweiterung ist in Defender for Servers-Plan 2 verfügbar. Sie wird bereitgestellt, wenn Sie Qualys für die Sicherheitsrisikobewertung nutzen möchten.
Weitere Informationen finden Sie hier:
Die Qualys-Erweiterung sendet abhängig von Ihrer Azure-Region Metadaten zur Analyse an eine von zwei Qualys-Rechenzentrumsregionen.
- Wenn Sie in einer europäischen Azure-Region tätig sind, erfolgt die Datenverarbeitung im Europäischen Rechenzentrum von Qualys.
- In anderen Regionen werden Daten im US-Rechenzentrum verarbeitet.
Um Qualys auf einem Rechner zu verwenden, muss die Erweiterung installiert sein, und der Computer muss mit dem entsprechenden Netzwerkendpunkt kommunizieren können:
- Rechenzentrum in Europa:
https://qagpublic.qg2.apps.qualys.eu - Rechenzentrum in den USA:
https://qagpublic.qg3.apps.qualys.com
- Rechenzentrum in Europa:
Gastkonfigurationserweiterung
Die Erweiterung führt Überwachungs- und Konfigurationsvorgänge in VMs aus.
- Wenn Sie den Azure Monitor-Agent verwenden, nutzt Defender for Cloud diese Erweiterung, um die Einstellungen der Sicherheitsbaseline für Betriebssysteme auf Windows- und Linux-Computern zu analysieren.
- Obwohl Azure Arc-fähige Server und die Gastkonfigurationserweiterung kostenfrei sind, können zusätzliche Kosten anfallen, wenn Sie Gastkonfigurationsrichtlinien auf Azure Arc-Servern außerhalb des Geltungsbereichs von Defender for Cloud verwenden.
Erfahren Sie mehr über die Gastkonfigurationserweiterung von Azure Policy.
Defender for Endpoint-Erweiterungen
Wenn Sie Defender for Servers aktivieren, stellt Defender for Cloud automatisch eine Defender for Endpoint-Erweiterung bereit. Die Erweiterung ist eine Verwaltungsschnittstelle, die ein Skript im Betriebssystem ausführt, um den Defender for Endpoint-Sensor auf dem Computer bereitzustellen und zu integrieren.
- Erweiterung für Windows-Computer:
MDE.Windows - Erweiterung für Linux-Computer:
MDE.Linux - Computer müssen die Mindestanforderungen erfüllen.
- Für einige Windows Server-Versionen gelten spezifische Anforderungen.
Überprüfen der Betriebssystemunterstützung
Überprüfen Sie vor der Bereitstellung von Defender for Servers, ob das Betriebssystem die Agents und Erweiterungen unterstützt:
- Vergewissern Sie sich, dass Ihre Betriebssysteme von Defender for Endpoint unterstützt werden.
- Überprüfen Sie die Anforderungen für den Azure Arc-Connect Machine-Agent.
- Überprüfen Sie die Betriebssystemunterstützung für den Log Analytics-Agent und den Azure Monitor-Agent.
Überprüfen der Agent-Bereitstellung
Wenn Sie einen Defender for Cloud-Tarif (einschließlich Defender for Servers) aktivieren, können Sie festlegen, dass die für Defender for Servers relevanten Agents automatisch bereitgestellt werden:
- Log Analytics-Agent und Azure Monitor-Agent für Azure-VMs
- Log Analytics-Agent und Azure Monitor-Agent für Azure Arc-VMs
- Qualys-Agent
- Gastkonfigurations-Agent
Wenn Sie Defender for Servers-Plan 1 oder -Plan 2 aktivieren, wird die Defender for Endpoint-Erweiterung automatisch auf allen unterstützten Computern im Abonnement bereitgestellt.
Überlegungen zur Bereitstellung
Die folgende Tabelle beschreibt, was bei der Bereitstellung zu beachten ist:
| Bereitstellung | Details |
|---|---|
| Defender for Endpoint-Sensor | Wenn auf Computern Microsoft Antimalware ausgeführt wird, auch als System Center Endpoint Protection (SCEP) bezeichnet, entfernt die Windows-Erweiterung dieses Tool automatisch vom Computer. Wenn Sie die Bereitstellung auf einem Computer durchführen, auf dem bereits der Defender for Endpoint-Sensor für den Legacy-Microsoft Monitoring Agent (MMA) ausgeführt wird, wird nach erfolgreicher Installation der einheitlichen Defender for Cloud/Defender for Endpoint-Lösung der Legacysensor von der Erweiterung beendet und deaktiviert. Die Änderung ist transparent, und der Schutzverlauf des Computers wird beibehalten. |
| AWS- und GCP-Computer | Konfigurieren Sie für diese Computer die automatische Bereitstellung, wenn Sie den AWS- oder GCP-Connector einrichten. |
| Manuelle Installation | Wenn Sie nicht möchten, dass Defender for Cloud den Log Analytics-Agent und den Azure Monitor-Agent bereitstellt, können Sie die Agents manuell installieren. Sie können den Agent mit dem Standardarbeitsbereich von Defender for Cloud oder einem benutzerdefinierten Arbeitsbereich verbinden. Für den Arbeitsbereich muss SecurityCenterFree (für kostenlose grundlegende CSPM-Features) oder die Sicherheitslösung (Defender for Servers-Plan 2) aktiviert sein. |
| Direktes Ausführen des Log Analytics-Agents | Wenn auf einer Windows-VM der Log Analytics-Agent zwar ausgeführt wird, aber nicht als VM-Erweiterung, installiert Defender for Cloud die Erweiterung. Der Agent meldet Daten an den Defender for Cloud-Arbeitsbereich und an den vorhandenen Agent-Arbeitsbereich. Auf Linux-VMs wird das Multi-Homing nicht unterstützt. Wenn bereits ein Agent vorhanden ist, wird der Log Analytics-Agent nicht automatisch bereitgestellt. |
| Operations Manager-Agent | Der Log Analytics-Agent kann parallel zum Operations Manager-Agent ausgeführt werden. Die Agents nutzen gemeinsame Laufzeitbibliotheken, die bei der Bereitstellung des Log Analytics-Agents aktualisiert werden. |
| Entfernen der Log Analytics-Erweiterung | Wenn Sie die Log Analytics-Erweiterung entfernen, kann Defender for Cloud keine Sicherheitsdaten und -empfehlungen sammeln, und es werden keine Warnungen ausgegeben. Defender for Cloud stellt innerhalb von 24 Stunden fest, dass die Erweiterung fehlt und installiert sie erneut. |
Wann sollte die automatische Bereitstellung deaktiviert werden?
In der folgenden Tabelle wird beschrieben, in welchen Fällen Sie die automatische Bereitstellung deaktivieren können:
| Situation | Relevanter Agent | Details |
|---|---|---|
| Sie verfügen über kritische VMs, auf denen keine Agents installiert sein sollten | Log Analytics-Agent, Azure Monitor-Agent | Die automatische Bereitstellung gilt für ein gesamtes Abonnement. Sie können sie für bestimmte Computer nicht deaktivieren. |
| Sie führen System Center Operations Manager-Agent-Version 2012 mit Operations Manager 2012 aus | Log Analytics-Agent | Aktivieren Sie bei dieser Konfiguration nicht die automatische Bereitstellung, da möglicherweise Verwaltungsfunktionen verloren gehen. |
| Sie möchten einen benutzerdefinierten Arbeitsbereich konfigurieren. | Log Analytics-Agent, Azure Monitor-Agent | Sie haben bei einem benutzerdefinierten Arbeitsbereich zwei Optionen: – Deaktivieren Sie die automatische Bereitstellung, wenn Sie Defender for Cloud zum ersten Mal einrichten. Konfigurieren Sie dann die Bereitstellung in Ihrem benutzerdefinierten Arbeitsbereich. – Führen Sie eine automatische Bereitstellung durch, um die Log Analytics-Agents auf den Computern zu installieren. Legen Sie einen benutzerdefinierten Arbeitsbereich fest, und rekonfigurieren Sie dann vorhandene VMs mit der neuen Arbeitsbereichseinstellung. |
Nächste Schritte
Nachdem Sie diese Planungsschritte durchgearbeitet haben, können Sie mit der Bereitstellung beginnen:
- Aktivieren von Defender for Servers-Plänen
- Verbinden lokaler Computer mit Azure
- Verbinden von AWS-Konten mit Defender for Cloud
- Verbinden von GCP-Projekten mit Defender for Cloud
- Weitere Informationen zum Skalieren Ihrer Defender for Servers-Bereitstellung