Pianificare agenti, estensioni e Azure Arc per Defender per server
Questo articolo illustra come pianificare gli agenti, le estensioni e le risorse di Azure Arc per la distribuzione di Microsoft Defender per server.
Defender per server è uno dei piani a pagamento forniti da Microsoft Defender per il cloud.
Operazioni preliminari
Questo articolo è il quinto articolo della guida alla pianificazione di Defender per server. Prima di iniziare, esaminare gli articoli precedenti:
- Iniziare a pianificare la distribuzione
- Comprendere dove vengono archiviati i dati e i requisiti dell'area di lavoro Log Analytics
- Esaminare i ruoli di accesso di Defender per server
- Selezionare un piano defender per server
Esaminare i requisiti di Azure Arc
Azure Arc consente di eseguire l'onboarding di Amazon Web Services (AWS), Google Cloud Platform (GCP) e computer locali in Azure. Defender per il cloud usa Azure Arc per proteggere i computer non Azure.
Gestione del comportamento di sicurezza del cloud di base
Le funzionalità di gestione del comportamento di sicurezza cloud (CSPM) gratuite per i computer AWS e GCP non richiedono Azure Arc. Per la funzionalità completa, è consigliabile disporre di Azure Arc in esecuzione in computer AWS o GCP.
L'onboarding di Azure Arc è necessario per i computer locali.
Piano di Defender per i server
Per usare Defender per server, tutti i computer AWS, GCP e locali devono essere abilitati per Azure Arc.
È possibile eseguire automaticamente l'onboarding dell'agente Azure Arc nei server AWS o GCP con il connettore multicloud AWS o GCP.
Pianificare la distribuzione di Azure Arc
Per pianificare la distribuzione di Azure Arc:
Esaminare le raccomandazioni per la pianificazione di Azure Arc e i prerequisiti per la distribuzione.
Aprire le porte di rete per Azure Arc nel firewall.
Azure Arc installa l'agente del computer Connessione ed per connettersi e gestire computer ospitati all'esterno di Azure. Esaminare le informazioni seguenti:
- Componenti e dati dell'agente raccolti dai computer.
- Accesso alla rete e a Internet per l'agente.
- Connessione opzioni di Connessione per l'agente.
Agente di Log Analytics e agente di Monitoraggio di Azure
Nota
Poiché l'agente di Log Analytics è impostato per il ritiro nell'agosto 2024 e come parte della strategia aggiornata Defender per il cloud, tutte le funzionalità e le funzionalità di Defender per server verranno fornite tramite l'integrazione Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenza dall'agente di Log Analytics (MMA) o dall'agente di Monitoraggio di Azure (AMA). Di conseguenza, il processo di provisioning automatico condiviso per entrambi gli agenti verrà modificato di conseguenza. Per ulteriori informazioni su questa modifica, vedere questo annuncio.
Defender per il cloud usa l'agente di Log Analytics e l'agente di Monitoraggio di Azure per raccogliere informazioni dalle risorse di calcolo. Invia quindi i dati a un'area di lavoro Log Analytics per altre analisi. Esaminare le differenze e le raccomandazioni per entrambi gli agenti.
La tabella seguente descrive gli agenti usati in Defender per server:
| Funzionalità | Agente di Log Analytics | Agente di Monitoraggio di Azure |
|---|---|---|
| Raccomandazioni CPM fondamentali (gratuite) che dipendono dall'agente: raccomandazione della baseline del sistema operativo (macchine virtuali di Azure) | 
|
Con l'agente di Monitoraggio di Azure, viene usata l'estensione di configurazione guest Criteri di Azure. |
| Cspm di base: raccomandazioni per gli aggiornamenti di sistema (macchine virtuali di Azure) |
|
Non ancora disponibile. |
| CSPM di base: raccomandazioni per Antimalware/Endpoint Protection (macchine virtuali di Azure) |
|
|
| Rilevamento degli attacchi a livello di sistema operativo e di rete, incluso il rilevamento degli attacchi senza file Il piano 1 si basa sulle funzionalità di Defender per endpoint per il rilevamento degli attacchi. |
Piano 2 |
Piano 2 |
| Monitoraggio dell'integrità dei file (solo piano 2) |
|
|
| Controlli applicazioni adattivi (solo piano 2) |
|
|
Estensione Qualys
L'estensione Qualys è disponibile in Defender per server Piano 2. L'estensione viene distribuita se si vuole usare Qualys per la valutazione della vulnerabilità.
Ecco altre informazioni:
L'estensione Qualys invia metadati per l'analisi a una delle due aree del data center Qualys, a seconda dell'area di Azure.
- Se si opera all'interno di un'area di Azure europea, l'elaborazione dei dati avviene nel data center europeo Qualys.
- Per altre aree, l'elaborazione dei dati avviene nel data center degli Stati Uniti.
Per usare Qualys in un computer, l'estensione deve essere installata e il computer deve essere in grado di comunicare con l'endpoint di rete pertinente:
- Data center Europa:
https://qagpublic.qg2.apps.qualys.eu - Data center degli Stati Uniti:
https://qagpublic.qg3.apps.qualys.com
- Data center Europa:
Estensione di configurazione guest
L'estensione esegue operazioni di controllo e configurazione all'interno delle macchine virtuali.
- Se si usa l'agente di Monitoraggio di Azure, Defender per il cloud usa questa estensione per analizzare le impostazioni della baseline di sicurezza del sistema operativo nei computer Windows e Linux.
- Anche se i server abilitati per Azure Arc e l'estensione di configurazione guest sono gratuiti, se si usano criteri di configurazione guest nei server Azure Arc all'esterno dell'ambito di Defender per il cloud.
Altre informazioni sull'estensione di configurazione guest Criteri di Azure.
Estensioni di Defender per endpoint
Quando si abilita Defender per server, Defender per il cloud distribuisce automaticamente un'estensione defender per endpoint. L'estensione è un'interfaccia di gestione che esegue uno script all'interno del sistema operativo per distribuire e integrare il sensore defender per endpoint nel computer.
- Estensione computer Windows:
MDE.Windows - Estensione computer Linux:
MDE.Linux - I computer devono soddisfare i requisiti minimi.
- Alcune versioni di Windows Server hanno requisiti specifici.
Verificare il supporto del sistema operativo
Prima di distribuire Defender per server, verificare il supporto del sistema operativo per gli agenti e le estensioni:
- Verificare che i sistemi operativi siano supportati da Defender per endpoint.
- Controllare i requisiti per l'agente di Azure Arc Connessione Machine.
- Controllare il supporto del sistema operativo per l'agente di Log Analytics e l'agente di Monitoraggio di Azure.
Esaminare il provisioning dell'agente
Quando si abilitano i piani di Defender per il cloud, incluso Defender per server, è possibile scegliere di effettuare automaticamente il provisioning di alcuni agenti rilevanti per Defender per server:
- Agente di Log Analytics e agente di Monitoraggio di Azure per le macchine virtuali di Azure
- Agente di Log Analytics e agente di Monitoraggio di Azure per le macchine virtuali di Azure Arc
- Agente Qualys
- Agente di configurazione guest
Quando si abilita Defender per server piano 1 o Piano 2, viene eseguito automaticamente il provisioning dell'estensione Defender per endpoint in tutti i computer supportati nella sottoscrizione.
Considerazioni sul provisioning
Nella tabella seguente vengono descritte le considerazioni sul provisioning da tenere presenti:
| Provisioning in corso | Dettagli |
|---|---|
| Sensore defender per endpoint | Se i computer eseguono Microsoft Antimalware, noti anche come System Center Endpoint Protection (SCEP), l'estensione Windows lo rimuove automaticamente dal computer. Se si esegue la distribuzione in un computer in cui è già in esecuzione il sensore di Microsoft Monitoring Agent (MMA) Defender per endpoint legacy, dopo che la soluzione unificata di Defender per il cloud e Defender per endpoint è stata installata correttamente, l'estensione si arresta e disabilita il sensore legacy. La modifica è trasparente e la cronologia di protezione del computer viene mantenuta. |
| Computer AWS e GCP | Configurare il provisioning automatico quando si configura il connettore AWS o GCP. |
| Installazione manuale | Se non si vuole Defender per il cloud effettuare il provisioning dell'agente di Log Analytics e dell'agente di Monitoraggio di Azure, è possibile installare manualmente gli agenti. È possibile connettere l'agente all'area di lavoro Defender per il cloud predefinita o a un'area di lavoro personalizzata. L'area di lavoro deve avere securityCenterFree (per cspm di base gratuito) o la soluzione di sicurezza abilitata (Defender per server piano 2). |
| Agente di Log Analytics in esecuzione direttamente | Se una macchina virtuale Windows dispone dell'agente di Log Analytics in esecuzione ma non come estensione di macchina virtuale, Defender per il cloud installa l'estensione. L'agente segnala all'area di lavoro Defender per il cloud e all'area di lavoro dell'agente esistente. Nelle macchine virtuali Linux il multihoming non è supportato. Se esiste un agente esistente, il provisioning dell'agente di Log Analytics non viene eseguito automaticamente. |
| Agente di Operations Manager | L'agente di Log Analytics può funzionare affiancato all'agente di Operations Manager. Gli agenti condividono librerie di Common Runtime aggiornate quando viene distribuito l'agente di Log Analytics. |
| Rimozione dell'estensione Log Analytics | Se si rimuove l'estensione Log Analytics, Defender per il cloud non è in grado di raccogliere dati e raccomandazioni sulla sicurezza, generando avvisi mancanti. Entro 24 ore, Defender per il cloud determina che l'estensione è mancante e la reinstalla. |
Quando rifiutare esplicitamente il provisioning automatico
È possibile rifiutare esplicitamente il provisioning automatico nelle circostanze descritte nella tabella seguente:
| Situazione | Agente pertinente | Dettagli |
|---|---|---|
| Sono presenti macchine virtuali critiche in cui non devono essere installati agenti | Agente di Log Analytics, agente di Monitoraggio di Azure | Il provisioning automatico è per un'intera sottoscrizione. Non è possibile rifiutare esplicitamente i computer specifici. |
| Si esegue l'agente di System Center Operations Manager versione 2012 con Operations Manager 2012 | Agente di Log Analytics | Con questa configurazione, non attivare il provisioning automatico; le funzionalità di gestione potrebbero andarsi perse. |
| Si vuole configurare un'area di lavoro personalizzata | Agente di Log Analytics, agente di Monitoraggio di Azure | Sono disponibili due opzioni con un'area di lavoro personalizzata: - Rifiutare esplicitamente il provisioning automatico quando si configura Defender per il cloud per la prima volta. Configurare quindi il provisioning nell'area di lavoro personalizzata. - Consentire l'esecuzione del provisioning automatico per installare gli agenti di Log Analytics nei computer. Impostare un'area di lavoro personalizzata e quindi riconfigurare le macchine virtuali esistenti con la nuova impostazione dell'area di lavoro. |
Passaggi successivi
Dopo aver eseguito questi passaggi di pianificazione, è possibile avviare la distribuzione:
- Abilitare i piani di Defender per server
- Connessione computer locali in Azure.
- Connessione account AWS per Defender per il cloud.
- Connessione progetti GCP da Defender per il cloud.
- Informazioni sul ridimensionamento della distribuzione di Defender per Server.