Verbinden von Nicht-Azure-Computern

  • 11 Minuten

Microsoft Defender für Cloud kann den Sicherheitszustand Ihrer Azure-fremden Computer überwachen. Dazu müssen diese jedoch zunächst mit Azure verbunden werden.

Sie können Azure-fremde Computer auf eine der folgenden Arten verbinden:

  • Verwenden von Servern mit Azure Arc-Unterstützung (empfohlen)

  • Auf den Defender für Cloud-Seiten im Azure-Portal (Erste Schritte und Bestand)

Hinzufügen eines Azure-fremden Computers mit Azure Arc

Server mit Azure Arc-Unterstützung sind die bevorzugte Methode für das Hinzufügen Ihrer Azure-fremden Computer zu Defender für Cloud. Ein Computer mit Servern mit Azure Arc-Unterstützung wird zu einer Azure-Ressource und genau wie Ihre anderen Ressourcen in Defender für Cloud mit Empfehlungen angezeigt. Außerdem bieten Server mit Azure Arc-Unterstützung erweiterte Funktionen, wie z. B. die Möglichkeit, Gastkonfigurationsrichtlinien auf dem Computer zu aktivieren, den Log Analytics-Agent als Erweiterung bereitzustellen, die Bereitstellung mit anderen Azure-Diensten zu vereinfachen usw.

Was sind Server mit Azure Arc-Aktivierung?

Mit Servern mit Azure Arc-Unterstützung können Sie Windows- und Linux-Computer, die außerhalb von Azure in Ihrem Unternehmensnetzwerk oder von anderen Cloudanbietern gehostet werden, auf konsistente Weise verwalten wie native virtuelle Azure-Computer. Wenn ein Hybridcomputer mit Azure verbunden wird, wird er zu einem verbundenen Computer und in Azure wie eine Ressource behandelt. Jeder verbundene Computer verfügt über eine Ressourcen-ID, befindet sich in einer Ressourcengruppe und profitiert von Azure-Standardkonstrukten wie Azure Policy und Tagging. Dienstanbieter, die die lokale Infrastruktur eines Kunden verwalten, können ihre Hybridcomputer genau wie heute mit Azure Lighthouse mit Azure Arc mit nativen Azure-Ressourcen über mehrere Kundenumgebungen hinweg verwalten.

Um diese Möglichkeit für Ihre außerhalb von Azure gehosteten Hybridcomputer nutzen zu können, muss auf jedem Computer, den Sie mit Azure verbinden möchten, der Azure Connected Machine-Agent installiert werden. Dieser Agent bietet keine weiteren Funktionen und ist kein Ersatz für den Log Analytics-Agent von Azure. Der Protokollanalyse-Agent für Windows und Linux ist erforderlich, wenn Sie das Betriebssystem und die auf dem Computer ausgeführten Workloads proaktiv überwachen möchten. Sie können die Rechner dann mit Automatisierungs-Runbooks oder Lösungen wie der Aktualisierungsverwaltung verwalten oder andere Azure-Dienste wie Defender für die Cloud nutzen.

Hinzufügen Azure-fremder Computer über das Azure-Portal

Sie können den Vorgang zum Hinzufügen eines Azure-fremden Servers an zwei verschiedenen Orten in Defender für Cloud starten:

  1. Öffnen Sie im Menü von Defender für Cloud die Seite Erste Schritte.
  2. Wählen Sie die Registerkarte Erste Schritte aus.
  3. Wählen Sie unter Nicht-Azure-Server hinzufügen die Option Konfigurieren aus.
  4. Öffnen Sie im Menü von Defender für Cloud die Seite „Bestand“.
  5. Wählen Sie die Schaltfläche + Nicht-Azure-Server hinzufügen aus.

Es wird eine Liste Ihrer Log Analytics-Arbeitsbereiche angezeigt. Die Liste enthält, falls zutreffend, den Standardarbeitsbereich, der von Defender für Cloud für Sie erstellt wurde, wenn die automatische Bereitstellung aktiviert wurde. Wählen Sie diesen Arbeitsbereich oder einen anderen Arbeitsbereich aus, den Sie verwenden möchten.

Sie können Computer einem vorhandenen Arbeitsbereich hinzufügen oder einen neuen Arbeitsbereich erstellen. Wählen Sie optional zum Erstellen eines neuen Arbeitsbereichs Neuen Arbeitsbereich erstellen aus.

Wählen Sie in der Liste der Arbeitsbereiche für den entsprechenden Arbeitsbereich Server hinzufügen aus. Dadurch wird die Seite Agent-Verwaltung geöffnet.

Wählen Sie hier das entsprechende nachstehende Verfahren aus, je nachdem, welchen Typ von Computern Sie integrieren möchten:

  • Integrieren Ihrer Azure Stack-VMs

  • Integrieren Ihrer Linux-Computer

  • Integrieren Ihrer Windows-Computer

Integrieren Ihrer Azure Stack-VMs

Zum Hinzufügen von Azure Stack-VMs benötigen Sie die Informationen auf der Seite Agent-Verwaltung, und Sie müssen für alle virtuellen Computer, die auf Ihrem Azure Stack ausgeführt werden, die VM-Erweiterung für Azure Monitor-, Update- und Konfigurationsverwaltung konfigurieren.

  1. Kopieren Sie auf der Seite Agent-Verwaltung die Arbeitsbereichs-ID und den Primärschlüssel in Editor.

  2. Melden Sie sich bei Ihrem Azure Stack-Portal an, und öffnen Sie die Seite Virtuelle Computer.

  3. Wählen Sie den virtuellen Computer aus, der mit Defender für Cloud geschützt werden soll.

  4. Wählen Sie Erweiterungen. Die Liste der auf dieser VM installierten VM-Erweiterungen wird angezeigt.

  5. Wählen Sie die Registerkarte Hinzufügen aus. Im Menü Neue Ressource wird eine Liste der verfügbaren VM-Erweiterungen angezeigt.

  6. Wählen Sie die Erweiterung Azure Monitor-, Update- und Konfigurationsverwaltung und dann Erstellen aus. Die Konfigurationsseite Erweiterung installieren wird geöffnet.

  7. Fügen Sie auf der Konfigurationsseite Erweiterung installieren die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie im vorherigen Schritt in Editor kopiert haben.

  8. Wählen Sie zum Abschluss der Konfiguration OK aus. Als Status der Erweiterung wird Bereitstellung erfolgreich angezeigt. Es kann bis zu einer Stunde dauern, bis der virtuelle Computer in Defender für Cloud angezeigt wird.

Integrieren Ihrer Linux-Computer

Zum Hinzufügen von Linux-Computern benötigen Sie den Befehl wget von der Seite Agent-Verwaltung.

  1. Kopieren Sie auf der Seite Agent-Verwaltung den Befehl wget in Editor. Speichern Sie diese Datei an einem Speicherort, auf den auf Ihrem Linux-Computer zugegriffen werden kann.

  2. Öffnen Sie die Datei auf Ihrem Linux-Computer mit dem Befehl wget. Wählen Sie den gesamten Inhalt aus, kopieren Sie ihn, und fügen Sie ihn in eine Terminalkonsole ein.

  3. Nach Abschluss der Installation können Sie überprüfen, ob omsagent installiert ist, indem Sie den Befehl „pgrep“ ausführen. Der Befehl gibt die PID von omsagent zurück. Die Protokolle für den Agent finden Sie unter „/var/opt/microsoft/omsagent/workspace id/log/“. Es kann bis zu 30 Minuten dauern, bis der neue Linux-Computer in Defender für Cloud angezeigt wird.

Integrieren Ihrer Windows-Computer

Zum Hinzufügen von Windows-Computern benötigen Sie die Informationen auf der Seite Agent-Verwaltung, und Sie müssen die entsprechende Agent-Datei (32/64 Bit) herunterladen.

  1. Klicken Sie auf den Link Windows-Agent herunterladen für den entsprechenden Prozessortyp Ihres Computers, um die Setupdatei herunterzuladen.

  2. Kopieren Sie auf der Seite Agent-Verwaltung die Arbeitsbereichs-ID und den Primärschlüssel in Editor.

  3. Kopieren Sie die heruntergeladene Setupdatei auf den Zielcomputer, und führen Sie sie aus.

  4. Führen Sie den Installations-Assistenten aus (Weiter, Ich stimme zu, Weiter, Weiter).

  5. Fügen Sie auf der Seite Azure Log Analytics die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie in Editor kopiert haben.

  6. Wenn der Computer Berichte an einen Log Analytics-Arbeitsbereich in Azure Government Cloud ausgeben soll, wählen Sie in der Dropdownliste Azure Cloud die Option Azure US-Regierung aus.

  7. Wenn der Computer über einen Proxyserver mit dem Log Analytics-Dienst kommunizieren muss, wählen Sie Erweitert aus, und geben Sie dann die URL sowie die Portnummer des Proxyservers an.

  8. Wenn Sie alle Konfigurationseinstellungen eingegeben haben, wählen Sie Weiter aus.

  9. Überprüfen Sie auf der Seite Bereit zum Installieren die anzuwendenden Einstellungen, und wählen Sie Installieren aus.

  10. Wählen Sie auf der Seite mit dem Hinweis, dass die Konfiguration erfolgreich abgeschlossen wurde, die Option Fertig stellen aus.

Nach Abschluss wird Microsoft Monitoring Agent in der Systemsteuerung angezeigt. Sie können hier Ihre Konfiguration überprüfen und sicherstellen, dass der Agent verbunden ist.