Azure Monitor-ügynök a Felhőhöz készült Defender
Annak érdekében, hogy a kiszolgáló erőforrásai biztonságban legyenek, Felhőhöz készült Microsoft Defender a kiszolgálókon telepített ügynökök használatával adatokat küld a kiszolgálókról a Felhőhöz készült Microsoft Defender elemzés céljából.
Ebben a cikkben áttekintést adunk az SQL-kiszolgálókhoz készült Defender gépeken való üzembe helyezéséhez szükséges AMA-beállításokról.
Feljegyzés
A frissített Felhőhöz készült Defender stratégia részeként az Azure Monitor Agent már nem szükséges a Defender for Servers ajánlatához. Az SQL Serverhez azonban továbbra is szükség lesz a Defenderre a gépeken. Ennek eredményeképpen a két ügynök előző automatikus fejlesztési folyamata ennek megfelelően módosult. További információ a bejelentésről.
Azure Monitor-ügynök a Defender for Serversben
Az Azure Monitor Agent (AMA) továbbra is elérhető a kiszolgálókon való üzembe helyezéshez, de nem szükséges a Defender for Servers funkcióinak és képességeinek fogadására. A kiszolgálók védelmének biztosítása érdekében fogadja a Defender for Servers összes biztonsági tartalmát, ellenőrizze, hogy a Defender for Endpoint (MDE) integrációja és az ügynök nélküli lemezvizsgálat engedélyezve van-e az előfizetésekben. Ez biztosítja, hogy zökkenőmentesen naprakész legyen, és megkapja az összes alternatív terméket, miután megkapták őket.
Az AMA kiépítése a Felhőhöz készült Microsoft Defender platformon keresztül csak a Defenderen keresztül érhető el a gépeken futó SQL-kiszolgálókhoz. Megtudhatja, hogyan helyezheti üzembe az AMA-t a kiszolgálókon szabványos módszerekkel, például PowerShell-, parancssori felülettel és Resource Manager-sablonokkal.
Elérhetőség
A rendelkezésre állással kapcsolatos alábbi információk csak az SQL-csomaghoz készült Defender esetében relevánsak.
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Általánosan elérhető (GA) |
| Releváns Defender-csomag: | Defender for SQL Servers on Machines |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos |
| Támogatott célhelyek: |  Azure-beli virtuális gépek Azure Arc-kompatibilis gépek |
| Szabályzatalapú: | Igen |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
Előfeltételek
Az AMA Felhőhöz készült Defender való üzembe helyezése előtt a következő előfeltételekkel kell rendelkeznie:
- Győződjön meg arról, hogy a többfelhős és helyszíni gépeken telepítve van az Azure Arc.
- AWS- és GCP-gépek
- Az AWS-összekötő előkészítése és az Azure Arc automatikus létrehozása.
- A GCP-összekötő előkészítése és az Azure Arc automatikus létrehozása.
- Helyszíni gépek
- AWS- és GCP-gépek
- Győződjön meg arról, hogy az Azure Monitor-ügynök által támogatott Defender-csomagok engedélyezve vannak:
Az SQL Server által célzott AMA automatikus leépítési folyamat üzembe helyezése
Az Azure Monitor Agent Felhőhöz készült Defender használatával történő üzembe helyezése a gépeken futó SQL-kiszolgálókhoz érhető el, az itt leírtak szerint.
A Log Analytics és az Azure Monitor-ügynökökkel való futtatás hatása
A Log Analytics és az Azure Monitor-ügynökök ugyanazon a gépen is futtathatók, de tisztában kell lennie az alábbi szempontokkal:
- Bizonyos javaslatokat vagy riasztásokat mindkét ügynök jelent, és kétszer jelenik meg a Felhőhöz készült Defender.
- Minden gép számlázása egyszer történik a Felhőhöz készült Defender, de ellenőrizze, hogy nyomon követi-e a Log Analyticshez és az Azure Monitorhoz kapcsolódó egyéb szolgáltatások számlázását, például a Log Analytics-munkaterület adatbetöltését.
- Mindkét ügynök teljesítménybeli hatással van a gépre.
Ha engedélyezi a Defender for Servers 2. csomagját, Felhőhöz készült Defender dönti el, hogy melyik ügynököt kívánja kiépíteni. A legtöbb esetben az alapértelmezett a Log Analytics-ügynök.
További információ az Azure Monitor-ügynökre való migrálásról.
Egyéni konfigurációk
Egyéni cél Log Analytics-munkaterület konfigurálása
Amikor automatikusan telepíti az Azure Monitor-ügynököt, meghatározhatja a telepített bővítmények cél-munkaterületét. Alapértelmezés szerint a cél az "alapértelmezett munkaterület", amelyet Felhőhöz készült Defender az előfizetés minden régiójához létrehoz: defaultWorkspace-<subscriptionId>-<regionShortName>. Felhőhöz készült Defender automatikusan konfigurálja az adatgyűjtési szabályokat, a munkaterület-megoldást és az adott munkaterület egyéb bővítményeit.
Ha egyéni Log Analytics-munkaterületet konfigurál:
- Felhőhöz készült Defender csak az egyéni munkaterület adatgyűjtési szabályait és egyéb bővítményeit konfigurálja. Konfigurálnia kell a munkaterület megoldását az egyéni munkaterületen.
- Azok a Log Analytics-ügynökkel rendelkező gépek, amelyek a biztonsági megoldással rendelkező Log Analytics-munkaterületre jelentenek, akkor is számlázva lesznek, ha a Defender for Servers csomag nincs engedélyezve. Az Azure Monitor-ügynökkel rendelkező gépek számlázása csak akkor történik meg, ha a csomag engedélyezve van az előfizetésben. A biztonsági megoldásra továbbra is szükség van a munkaterületen a csomagfunkciók használatához és az 500 MB-os kedvezményre való jogosultsághoz.
Log Analytics-munkaterületi megoldások
Az Azure Monitor-ügynökhöz Log Analytics-munkaterületi megoldások szükségesek. Ezek a megoldások automatikusan települnek, amikor az Azure Monitor-ügynököt automatikusan az alapértelmezett munkaterülettel építi ki.
A gyűjtött adatokhoz szükséges Log Analytics-munkaterületi megoldások a következők:
- Felhőbeli biztonsági helyzet kezelése (CSPM) – SecurityCenterFree megoldás
- Defender for Servers Plan 2 – Biztonsági megoldás
Egyéb biztonsági események gyűjteménye
A Log Analytics-ügynök Felhőhöz készült Defender való automatikus létrehozásakor dönthet úgy, hogy más biztonsági eseményeket gyűjt a munkaterületre.
A Log Analytics-munkaterületekhez hasonlóan a Defender for Servers 2. csomagjának felhasználói napi 500 MB ingyenes adatra jogosultak a biztonsági eseményeket is tartalmazó meghatározott adattípusokon.
Következő lépések
Most, hogy engedélyezte a Log Analytics-ügynököt, tekintse meg az ügynök által támogatott funkciókat: