Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Azure Local 2311.2 i nowsze
W tym artykule omówiono sposób używania Microsoft Defender dla Chmury do ochrony platformy Azure lokalnie przed różnymi zagrożeniami cybernetycznym i lukami w zabezpieczeniach.
Defender dla Chmury pomaga poprawić stan zabezpieczeń platformy Azure w środowisku lokalnym i chronić przed istniejącymi i zmieniającymi się zagrożeniami.
Aby uzyskać więcej informacji na temat usługi Microsoft Defender for Cloud, zobacz dokumentację usługi Microsoft Defender for Cloud.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zapoznaj się z dodatkowymi warunkami użytkowania dla wersji zapoznawczych platformy Microsoft Azure , aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:
- Masz dostęp do usługi Azure Local, która jest wdrażana, zarejestrowana i połączona z platformą Azure.
- Masz co najmniej rolę Właściciel albo Współautor w subskrypcji platformy Azure, aby włączyć Podstawowe zarządzanie stanem zabezpieczeń chmury (CSPM).
Włącz Defender dla Chmury dla Azure Local
Wykonaj następujące kroki, aby włączyć Defender dla Chmury dla usługi Azure Local.
- Krok 1: Włącz podstawowy CSPM.
- Krok 2. Włączanie usługi Defender dla serwerów dla poszczególnych maszyn i lokalnych maszyn wirtualnych platformy Azure z włączoną usługą Azure Arc.
Krok 1. Włączanie podstawowego CSPM
Ten krok włącza podstawowy plan Defender dla Chmury — bez dodatkowych kosztów. Ten plan umożliwia monitorowanie i identyfikowanie kroków, które można wykonać w celu zabezpieczenia usługi Azure Local, wraz z innymi zasobami platformy Azure i usługi Arc. Aby uzyskać instrukcje, zobacz Włączanie usługi Defender for Cloud w ramach subskrypcji platformy Azure.
Krok 2. Włączanie usługi Defender dla serwerów dla poszczególnych maszyn i lokalnych maszyn wirtualnych platformy Azure
Ten krok umożliwia zwiększenie funkcji zabezpieczeń, w tym alertów zabezpieczeń dla poszczególnych maszyn i lokalnych maszyn wirtualnych platformy Azure.
W tym celu wykonaj wszystkie instrukcje opisane w sekcji Włączanie planu usługi Defender for Servers , w tym:
- Wybieranie planu
- Konfigurowanie pokrycia monitorowania dla:
- Agent do analizy logów
- Ocena luk w zabezpieczeniach
- Ochrona punktów końcowych
Stosowanie inicjatywy testu porównawczego zabezpieczeń w chmurze firmy Microsoft
Po włączeniu planu Microsoft Defender dla Chmury Foundational CSPM należy zastosować inicjatywę Microsoft Cloud Security Benchmark (MCSB). Ustawienia zabezpieczeń można wyświetlić za pośrednictwem witryny Azure Portal tylko wtedy, gdy aplikacja MCSB jest stosowana. Użyj jednej z następujących metod, aby zastosować inicjatywę MCSB:
- Zastosuj MCSB za pośrednictwem portalu zgodnie z poniższym opisem.
- Ręcznie zastosuj punkt odniesienia zabezpieczeń obliczeniowych platformy Azure w usłudze Azure Policy do wszystkich serwerów klastra. Zobacz Punkt odniesienia zabezpieczeń systemu Windows.
Wykonaj następujące kroki, aby zastosować inicjatywę MCSB na poziomie subskrypcji:
Zaloguj się w witrynie Azure Portal i wyszukaj i wybierz pozycję Microsoft Defender for Cloud.
W okienku po lewej stronie przewiń w dół do sekcji Zarządzanie i wybierz pozycję Ustawienia środowiska.
Na stronie Ustawienia środowiska wybierz subskrypcję używaną z listy rozwijanej.
Wybierz blok Zasady zabezpieczeń .
W przypadku testu porównawczego zabezpieczeń w chmurze firmy Microsoft przestaw przycisk Stan na pozycję Wł.
Poczekaj co najmniej godzinę na ocenę uwzględnionych zasobów przez inicjatywę usługi Azure Policy.
Wyświetlanie zaleceń dotyczących zabezpieczeń
Zalecenia dotyczące zabezpieczeń są tworzone po zidentyfikowaniu potencjalnych luk w zabezpieczeniach. Te zalecenia prowadzą użytkownika przez proces konfigurowania wymaganej kontroli.
Po włączeniu usługi Defender for Cloud for Azure Local wykonaj następujące kroki, aby wyświetlić zalecenia dotyczące zabezpieczeń dla usługi Azure Local:
W portalu Azure przejdź do strony zasobów lokalnych i wybierz instancję.
W okienku po lewej stronie przewiń w dół do sekcji Zabezpieczenia (wersja zapoznawcza) i wybierz pozycję Microsoft Defender for Cloud.
Na stronie Microsoft Defender for Cloud w obszarze Zalecenia możesz wyświetlić bieżące zalecenia dotyczące zabezpieczeń dla wybranego wystąpienia lokalnego platformy Azure i jego obciążeń. Domyślnie rekomendacje są grupowane według typu zasobu.
(Opcjonalnie) Aby wyświetlić zalecenia dotyczące zabezpieczeń dla wielu lokalnych wystąpień platformy Azure, wybierz link Wyświetl w usłudze Defender for Cloud . Spowoduje to otwarcie strony Zalecenia w portalu usługi Microsoft Defender for Cloud. Ta strona zawiera zalecenia dotyczące zabezpieczeń we wszystkich zasobach platformy Azure, w tym w środowisku lokalnym platformy Azure.
Uwaga
Zalecenia wyłącznie dla platformy Azure Local są dostępne tylko w wersji Azure Local 2311 lub nowszej. Usługa Azure Stack HCI w wersji 22H2 zawiera zalecenia, które są również dostępne w systemie Windows Server.
Aby dowiedzieć się więcej na temat zaleceń dotyczących zabezpieczeń specyficznych dla usługi Azure Local, zapoznaj się z sekcją Rekomendacje dotyczące obliczeń platformy Azure w artykule Zalecenia dotyczące zabezpieczeń obliczeń .
Wykluczenia dotyczące zaleceń bezpieczeństwa
Poniższe zalecenia Windows Defender w Chmurze można pomijać dla kont magazynowych i usługi Azure Key Vault, które są skojarzone z lokalnymi wystąpieniami platformy Azure. Nie ignoruj jednak tych zaleceń dotyczących innych kont magazynu i Azure Key Vault, które możesz posiadać.
| Zasób, którego dotyczy problem | Rekomendacja | Przyczyna wykluczenia |
|---|---|---|
| Konto magazynu | Konta przechowywania powinny mieć szyfrowanie warstwy infrastruktury. | Szyfrowanie konta magazynu nie jest obsługiwane dla usługi Azure Local, ponieważ nie pozwala na przekazywanie klucza szyfrowania. |
| Konto magazynu | Konta magazynu powinny uniemożliwić dostęp do klucza współdzielonego. | Usługa Azure Local obsługuje dostęp do kont magazynu wyłącznie za pośrednictwem kluczy udostępnionych. |
| Konto magazynu | Konto pamięci masowej powinno korzystać z połączenia prywatnego. | Usługa Azure Local nie obsługuje obecnie połączeń usługi Private Link. |
| Azure Key Vault | Usługa Azure Key Vault powinna używać łącza prywatnego. | Usługa Azure Local nie obsługuje obecnie połączeń usługi Private Link. |
| Maszyna — Azure Arc | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach lokalnych platformy Azure. | Funkcja Windows Defender Exploit Guard nie ma zastosowania do jednostek SKU server-core bez graficznego interfejsu użytkownika, takiego jak lokalny system operacyjny platformy Azure. |
| Maszyna — Azure Arc | Maszyny lokalne platformy Azure należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemowych. | Maszyny lokalne platformy Azure nie powinny być aktualizowane indywidualnie. Użyj sekcji Azure Local w usłudze Azure Update Manager, aby zaktualizować wiele systemów lub stronę Aktualizacje w widoku zasobów lokalnych platformy Azure za każdym razem, gdy aktualizacja jest dostępna dla wystąpienia lokalnego platformy Azure. Aktualizowanie poszczególnych maszyn może spowodować stan trybu mieszanego, który nie jest obsługiwany. |
| Maszyna — Azure Arc | Aktualizacje systemu powinny być instalowane na maszynach lokalnych platformy Azure przy użyciu usługi Azure Update Manager. | Maszyny lokalne platformy Azure nie powinny być aktualizowane indywidualnie. Skorzystaj z sekcji Azure Local w usłudze Azure Update Manager, aby zaktualizować wiele systemów lub stronę Aktualizacje w widoku zasobów lokalnych platformy Azure za każdym razem, gdy aktualizacja jest dostępna dla wystąpienia lokalnego platformy Azure. Aktualizowanie poszczególnych maszyn może spowodować stan trybu mieszanego, który nie jest obsługiwany. |
| Maszyna — Azure Arc | Maszyny lokalne platformy Azure powinny mieć rozwiązanie do oceny luk w zabezpieczeniach. | Usługa Microsoft Defender Vulnerability Management nie obsługuje obecnie usługi Azure Local. |
Monitorowanie maszyn lokalnych platformy Azure i lokalnych maszyn wirtualnych platformy Azure
Przejdź do portalu usługi Microsoft Defender for Cloud, aby monitorować alerty dla poszczególnych maszyn lokalnych platformy Azure i lokalnych maszyn wirtualnych platformy Azure.
Wykonaj następujące kroki, aby uzyskać dostęp do stron portalu usługi Microsoft Defender for Cloud w celu monitorowania poszczególnych serwerów i lokalnych maszyn wirtualnych platformy Azure:
Zaloguj się w witrynie Azure Portal i wyszukaj i wybierz pozycję Microsoft Defender for Cloud.
Na stronie Przegląd portalu usługi Microsoft Defender for Cloud przedstawiono ogólny stan zabezpieczeń środowiska. W okienku nawigacji po lewej stronie przejdź do różnych stron portalu, takich jak Zalecenia , aby wyświetlić zalecenia dotyczące zabezpieczeń poszczególnych serwerów i maszyn wirtualnych działających na platformie Azure Lokalnie lub Alerty zabezpieczeń , aby monitorować alerty dla nich.
