Agents, extensies en Azure Arc for Defender for Servers plannen
Dit artikel helpt u bij het plannen van uw agents, extensies en Azure Arc-resources voor uw implementatie van Microsoft Defender for Servers.
Defender for Servers is een van de betaalde abonnementen van Microsoft Defender voor Cloud.
Voordat u begint
Dit artikel is het vijfde artikel in de planningshandleiding voor Defender for Servers. Bekijk de eerdere artikelen voordat u begint:
- Begin met het plannen van uw implementatie.
- Inzicht in waar uw gegevens worden opgeslagen en wat de vereisten voor log analytics-werkruimten zijn.
- Bekijk defender voor servers-toegangsrollen.
- Selecteer een plan voor Defender for Servers.
Vereisten voor Azure Arc controleren
Azure Arc helpt u bij het onboarden van Amazon Web Services (AWS), Google Cloud Platform (GCP) en on-premises machines naar Azure. Defender voor Cloud azure Arc gebruikt om niet-Azure-machines te beveiligen.
Basisbeheer voor cloudbeveiligingspostuur
Voor de gratis basisfuncties voor cloudbeveiligingspostuurbeheer (CSPM) voor AWS- en GCP-machines is Azure Arc niet vereist. Voor volledige functionaliteit raden we u aan Azure Arc uit te voeren op AWS- of GCP-machines.
Onboarding van Azure Arc is vereist voor on-premises machines.
Defender for Servers-abonnement
Als u Defender for Servers wilt gebruiken, moeten alle AWS-, GCP- en on-premises machines zijn ingeschakeld voor Azure Arc.
U kunt de Azure Arc-agent automatisch onboarden naar uw AWS- of GCP-servers met de AWS- of GCP-connector voor meerdere clouds.
Azure Arc-implementatie plannen
De implementatie van Azure Arc plannen:
Bekijk de planningsaanvelingen en implementatievereisten voor Azure Arc.
Open de netwerkpoorten voor Azure Arc in uw firewall.
Azure Arc installeert de Connected Machine-agent om verbinding te maken met en beheren van machines die buiten Azure worden gehost. Bekijk de volgende informatie:
- De agentonderdelen en gegevens die van computers zijn verzameld.
- Netwerk- en internettoegang voor de agent.
- Verbindingsopties voor de agent.
Log Analytics-agent en Azure Monitor-agent
Notitie
Omdat de Log Analytics-agent in augustus 2024 buiten gebruik wordt gesteld en als onderdeel van de bijgewerkte strategie van Defender voor Cloud, worden alle functies en mogelijkheden van Defender for Servers geleverd via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, zonder afhankelijkheid van Log Analytics-agent (MMA) of Azure Monitor-agent (AMA). Als gevolg hiervan wordt het gedeelde automatische inrichtingsproces voor beide agents dienovereenkomstig aangepast voor meer informatie over deze wijziging, zie deze aankondiging.
Defender voor Cloud gebruikt de Log Analytics-agent en de Azure Monitor-agent om gegevens van rekenresources te verzamelen. Vervolgens worden de gegevens naar een Log Analytics-werkruimte verzonden voor meer analyse. Bekijk de verschillen en aanbevelingen voor beide agents.
In de volgende tabel worden de agents beschreven die worden gebruikt in Defender for Servers:
| Functie | Log Analytics-agent | Azure Monitor-agent |
|---|---|---|
| Foundational CSPM-aanbevelingen (gratis) die afhankelijk zijn van de agent: aanbeveling voor de basislijn van het besturingssysteem (Azure-VM's) | 
|
Met de Azure Monitor-agent wordt de gastconfiguratie-extensie van Azure Policy gebruikt. |
| Foundational CSPM: Aanbevelingen voor systeemupdates (Azure-VM's) |
|
Nog niet beschikbaar. |
| Foundational CSPM: Aanbevelingen voor antimalware/eindpuntbeveiliging (Azure-VM's) |
|
|
| Detectie van aanvallen op besturingssysteemniveau en netwerklaag, inclusief detectie van bestandsloze aanvallen Plan 1 is afhankelijk van de mogelijkheden van Defender voor Eindpunt voor detectie van aanvallen. |
Abonnement 2 |
Abonnement 2 |
| Bewaking van bestandsintegriteit (alleen abonnement 2) |
|
|
De Qualys-extensie
De Qualys-extensie is beschikbaar in Defender for Servers Plan 2. De extensie wordt geïmplementeerd als u Qualys wilt gebruiken voor evaluatie van beveiligingsproblemen.
Hier vindt u meer informatie:
De Qualys-extensie verzendt metagegevens voor analyse naar een van de twee Qualys-datacenterregio's, afhankelijk van uw Azure-regio.
- Als u in een Europese Azure-regio werkt, vindt gegevensverwerking plaats in het Qualys European Data Center.
- Voor andere regio's vindt gegevensverwerking plaats in het Datacenter van de VS.
Als u Qualys op een computer wilt gebruiken, moet de extensie zijn geïnstalleerd en moet de computer kunnen communiceren met het relevante netwerkeindpunt:
- Datacenter Europa:
https://qagpublic.qg2.apps.qualys.eu - Vs-datacenter:
https://qagpublic.qg3.apps.qualys.com
- Datacenter Europa:
Gastconfiguratie-extensie
De extensie voert controle- en configuratiebewerkingen uit binnen VM's.
- Als u de Azure Monitor-agent gebruikt, gebruikt Defender voor Cloud deze extensie om de beveiligingsbasislijninstellingen van het besturingssysteem op Windows- en Linux-computers te analyseren.
- Hoewel servers met Azure Arc en de gastconfiguratie-extensie gratis zijn, zijn er mogelijk meer kosten van toepassing als u beleidsregels voor gastconfiguratie gebruikt op Azure Arc-servers buiten het bereik van Defender voor Cloud.
Meer informatie over de Gastconfiguratie-extensie van Azure Policy.
Defender voor Eindpunt-extensies
Wanneer u Defender for Servers inschakelt, implementeert Defender voor Cloud automatisch een Defender for Endpoint-extensie. De extensie is een beheerinterface waarmee een script in het besturingssysteem wordt uitgevoerd om de Defender for Endpoint-sensor op de computer te implementeren en te integreren.
- Extensie voor Windows-computers:
MDE.Windows - Extensie voor Linux-machines:
MDE.Linux - Machines moeten voldoen aan minimale vereisten.
- Sommige Windows Server-versies hebben specifieke vereisten.
De meeste Defender voor Eindpunt-services kunnen worden bereikt via *.endpoint.security.microsoft.com of via de servicetags van Defender voor Eindpunt. Zorg ervoor dat u bent verbonden met de Defender voor Eindpunt-service en weet wat de vereisten zijn voor automatische updates en andere functies.
Ondersteuning van het besturingssysteem controleren
Voordat u Defender for Servers implementeert, controleert u de ondersteuning van het besturingssysteem voor agents en extensies:
- Controleer of uw besturingssystemen worden ondersteund door Defender voor Eindpunt.
- Controleer de vereisten voor de Azure Arc Connect Machine-agent.
- Controleer de ondersteuning van het besturingssysteem voor de Log Analytics-agent en de Azure Monitor-agent.
Inrichting van agents controleren
Wanneer u plannen inschakelt in Defender voor Cloud, waaronder Defender voor Servers, kunt u ervoor kiezen om automatisch enkele agents in te richten die relevant zijn voor Defender voor Servers:
- Log Analytics-agent en Azure Monitor-agent voor Azure-VM's
- Log Analytics-agent en Azure Monitor-agent voor Azure Arc-VM's
- Qualys-agent
- Gastconfiguratieagent
Wanneer u Defender for Servers Abonnement 1 of Abonnement 2 inschakelt, wordt de Defender for Endpoint-extensie automatisch ingericht op alle ondersteunde computers in het abonnement.
Overwegingen voor inrichting
In de volgende tabel worden overwegingen voor het inrichten beschreven waarmee u rekening moet houden:
| Inrichting | DETAILS |
|---|---|
| Defender voor Eindpunt-sensor | Als op computers Microsoft Antimalware wordt uitgevoerd, ook wel Bekend als System Center Endpoint Protection (SCEP), wordt de Windows-extensie automatisch van de computer verwijderd. Als u implementeert op een computer waarop de verouderde Microsoft Monitoring Agent (MMA) Defender voor Eindpunt-sensor al wordt uitgevoerd, wordt de extensie gestopt en wordt de verouderde sensor uitgeschakeld nadat de geïntegreerde oplossing voor Defender voor Cloud en Defender for Endpoint is geïnstalleerd. De wijziging is transparant en de beveiligingsgeschiedenis van de machine blijft behouden. |
| AWS- en GCP-machines | Configureer automatische inrichting wanneer u de AWS- of GCP-connector instelt. |
| Handmatige installatie | Als u niet wilt dat Defender voor Cloud de Log Analytics-agent en Azure Monitor-agent inricht, kunt u agents handmatig installeren. U kunt de agent verbinden met de standaardwerkruimte Defender voor Cloud of een aangepaste werkruimte. Voor de werkruimte moet SecurityCenterFree (gratis basis-CSPM) of beveiligingsoplossing zijn ingeschakeld (Defender voor Servers-abonnement 2). |
| Log Analytics-agent die rechtstreeks wordt uitgevoerd | Als op een Windows-VM de Log Analytics-agent wordt uitgevoerd, maar niet als VM-extensie, Defender voor Cloud de extensie installeert. De agent rapporteert aan de Defender voor Cloud werkruimte en aan de bestaande agentwerkruimte. Op Linux-VM's wordt multihoming niet ondersteund. Als er een bestaande agent bestaat, wordt de Log Analytics-agent niet automatisch ingericht. |
| Operations Manager-agent | De Log Analytics-agent kan naast de Operations Manager-agent werken. De agents delen algemene runtimebibliotheken die worden bijgewerkt wanneer de Log Analytics-agent wordt geïmplementeerd. |
| De Log Analytics-extensie verwijderen | Als u de Log Analytics-extensie verwijdert, kunt Defender voor Cloud geen beveiligingsgegevens en aanbevelingen verzamelen, wat resulteert in ontbrekende waarschuwingen. Binnen 24 uur bepaalt Defender voor Cloud dat de extensie ontbreekt en opnieuw installeert. |
Wanneer moet u zich afmelden voor automatische inrichting
Mogelijk wilt u zich afmelden voor automatische inrichting in de omstandigheden die worden beschreven in de volgende tabel:
| Situatie | Relevante agent | DETAILS |
|---|---|---|
| U hebt kritieke VM's waarop geen agents moeten zijn geïnstalleerd | Log Analytics-agent, Azure Monitor-agent | Automatische inrichting is voor een volledig abonnement. U kunt zich niet afmelden voor specifieke computers. |
| U voert de System Center Operations Manager-agent versie 2012 uit met Operations Manager 2012 | Log Analytics-agent | Schakel met deze configuratie geen automatische inrichting in; beheermogelijkheden gaan mogelijk verloren. |
| U wilt een aangepaste werkruimte configureren | Log Analytics-agent, Azure Monitor-agent | U hebt twee opties met een aangepaste werkruimte: - Afmelden voor automatische inrichting wanneer u voor het eerst Defender voor Cloud instelt. Configureer vervolgens inrichting in uw aangepaste werkruimte. - Automatisch inrichten uitvoeren om de Log Analytics-agents op computers te installeren. Stel een aangepaste werkruimte in en configureer vervolgens bestaande VM's opnieuw met de nieuwe werkruimte-instelling. |
Volgende stappen
Nadat u deze planningsstappen hebt doorlopen, kunt u de implementatie starten:
- Plannen inschakelen in Defender for Servers
- On-premises machines verbinden met Azure.
- Koppel AWS-accounts aan Defender voor Cloud.
- GCP-projecten verbinden met Defender voor Cloud.
- Meer informatie over het schalen van uw Defender voor Server-implementatie.