Agent usługi Azure Monitor w usłudze Defender dla Chmury
Aby upewnić się, że zasoby serwera są bezpieczne, Microsoft Defender dla Chmury używa agentów zainstalowanych na serwerach do wysyłania informacji o serwerach do Microsoft Defender dla Chmury na potrzeby analizy.
W tym artykule przedstawiono omówienie preferencji usługi AMA dotyczących wdrażania serwerów usługi Defender for SQL na maszynach.
Uwaga
W ramach zaktualizowanej strategii Defender dla Chmury agent usługi Azure Monitor nie będzie już wymagany dla oferty usługi Defender for Servers. Jednak nadal będzie ona wymagana dla usługi Defender dla programu SQL Server na maszynach. W związku z tym poprzedni proces automatycznej aprowizacji dla obu agentów został odpowiednio dostosowany. Dowiedz się więcej o tym ogłoszeniu.
Agent usługi Azure Monitor w usłudze Defender dla serwerów
Agent usługi Azure Monitor (AMA) jest nadal dostępny do wdrożenia na serwerach, ale nie jest wymagany do odbierania funkcji i możliwości usługi Defender for Servers. Aby zapewnić bezpieczeństwo serwerów, uzyskaj całą zawartość zabezpieczeń usługi Defender for Servers, sprawdź, czy integracja z usługą Defender for Endpoint (MDE) i skanowanie dysków bez agenta są włączone w subskrypcjach. Zapewnia to bezproblemową aktualną dostępność i otrzymywanie wszystkich alternatywnych elementów dostarczanych po ich udostępnieniu.
Aprowizowanie usługi AMA jest dostępne za pośrednictwem platformy Microsoft Defender dla Chmury tylko za pośrednictwem usługi Defender dla serwerów SQL na maszynach. Dowiedz się, jak wdrożyć usługę AMA na serwerach przy użyciu standardowych metod, w tym programu PowerShell, interfejsu wiersza polecenia i szablonów usługi Resource Manager.
Dostępność
Poniższe informacje dotyczące dostępności dotyczą tylko planu usługi Defender for SQL .
Aspekt | Szczegóły |
---|---|
Stan wydania: | Wersja ogólnie dostępna |
Odpowiedni plan usługi Defender: | Usługa Defender for SQL Servers na maszynach |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel |
Obsługiwane miejsca docelowe: | Maszyny wirtualne platformy Azure Maszyny z obsługą usługi Azure Arc |
Oparte na zasadach: | Tak |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Wymagania wstępne
Przed wdrożeniem usługi AMA z Defender dla Chmury należy spełnić następujące wymagania wstępne:
- Upewnij się, że na maszynach wielochmurowych i lokalnych zainstalowano usługę Azure Arc.
- Maszyny AWS i GCP
- Dołącz łącznik platformy AWS i automatycznie aprowizuj usługę Azure Arc.
- Dołącz łącznik GCP i automatycznie aprowizuj usługę Azure Arc.
- Maszyny lokalne
- Maszyny AWS i GCP
- Upewnij się, że plany usługi Defender, które mają być obsługiwane przez agenta usługi Azure Monitor, są włączone:
Wdrażanie docelowego procesu automatycznej aprowizacji usługi AMA programu SQL Server
Wdrażanie agenta usługi Azure Monitor przy użyciu Defender dla Chmury jest dostępne dla serwerów SQL na maszynach, jak opisano tutaj.
Wpływ działania zarówno na usługę Log Analytics, jak i agentów usługi Azure Monitor
Możesz uruchomić zarówno agentów usługi Log Analytics, jak i usługi Azure Monitor na tej samej maszynie, ale należy pamiętać o następujących zagadnieniach:
- Niektóre zalecenia lub alerty są zgłaszane przez obu agentów i są wyświetlane dwa razy w Defender dla Chmury.
- Opłaty za każdą maszynę są naliczane raz w Defender dla Chmury, ale pamiętaj, aby śledzić rozliczenia innych usług połączonych z usługą Log Analytics i Usługą Azure Monitor, takich jak pozyskiwanie danych obszaru roboczego usługi Log Analytics.
- Obaj agenci mają wpływ na wydajność maszyny.
Po włączeniu usługi Defender for Servers (plan 2) Defender dla Chmury decyduje, który agent ma być aprowizacji. W większości przypadków wartość domyślna to agent usługi Log Analytics.
Dowiedz się więcej o migracji do agenta usługi Azure Monitor.
Konfiguracje niestandardowe
Konfigurowanie niestandardowego docelowego obszaru roboczego usługi Log Analytics
Podczas instalowania agenta usługi Azure Monitor z automatycznym aprowizowaniem można zdefiniować docelowy obszar roboczy zainstalowanych rozszerzeń. Domyślnie miejscem docelowym jest "domyślny obszar roboczy", który Defender dla Chmury tworzy dla każdego regionu w subskrypcji: defaultWorkspace-<subscriptionId>-<regionShortName>
. Defender dla Chmury automatycznie konfiguruje reguły zbierania danych, rozwiązanie obszaru roboczego i inne rozszerzenia dla tego obszaru roboczego.
Jeśli skonfigurujesz niestandardowy obszar roboczy usługi Log Analytics:
- Defender dla Chmury konfiguruje tylko reguły zbierania danych i inne rozszerzenia dla niestandardowego obszaru roboczego. Należy skonfigurować rozwiązanie obszaru roboczego w niestandardowym obszarze roboczym.
- Opłaty za maszyny z agentem usługi Log Analytics, które raportują do obszaru roboczego usługi Log Analytics z rozwiązaniem zabezpieczeń, są naliczane nawet wtedy, gdy plan usługi Defender for Servers nie jest włączony. Opłaty za maszyny z agentem usługi Azure Monitor są naliczane tylko wtedy, gdy plan jest włączony w ramach subskrypcji. Rozwiązanie zabezpieczeń jest nadal wymagane w obszarze roboczym, aby pracować z funkcjami planów i kwalifikować się do korzyści 500 MB.
Rozwiązania obszaru roboczego usługi Log Analytics
Agent usługi Azure Monitor wymaga rozwiązań obszaru roboczego usługi Log Analytics. Te rozwiązania są instalowane automatycznie podczas automatycznej aprowizacji agenta usługi Azure Monitor z domyślnym obszarem roboczym.
Wymagane rozwiązania obszaru roboczego usługi Log Analytics dla zbieranych danych to:
- Zarządzanie stanem zabezpieczeń w chmurze (CSPM) — rozwiązanie SecurityCenterFree
- Defender for Servers Plan 2 — rozwiązanie zabezpieczeń
Inne zbieranie zdarzeń zabezpieczeń
Podczas automatycznej aprowizacji agenta usługi Log Analytics w Defender dla Chmury można wybrać zbieranie innych zdarzeń zabezpieczeń w obszarze roboczym.
Podobnie jak w obszarach roboczych usługi Log Analytics, usługa Defender dla serwerów (plan 2) kwalifikuje się do 500 MB bezpłatnych danych dziennie na zdefiniowanych typach danych , które obejmują zdarzenia zabezpieczeń.
Następne kroki
Po włączeniu agenta usługi Log Analytics zapoznaj się z funkcjami obsługiwanymi przez agenta: