Sunucular için Defender için aracıları, uzantıları ve Azure Arc'ı planlama
Bu makale, Sunucular için Microsoft Defender dağıtımınız için aracılarınızı, uzantılarınızı ve Azure Arc kaynaklarınızı planlamanıza yardımcı olur.
Sunucular için Defender, Bulut için Microsoft Defender tarafından sağlanan ücretli planlardan biridir.
Başlamadan önce
Bu makale, Sunucular için Defender planlama kılavuzundaki beşinci makaledir. Başlamadan önce önceki makaleleri gözden geçirin:
- Dağıtımınızı planlamaya başlama
- Verilerinizin nerede depolandığını ve Log Analytics çalışma alanı gereksinimlerini anlama
- Sunucular için Defender erişim rollerini gözden geçirin
- Sunucular için Defender planı seçme
Azure Arc gereksinimlerini gözden geçirme
Azure Arc, Amazon Web Services (AWS), Google Cloud Platform (GCP) ve şirket içi makineleri Azure'a eklemenize yardımcı olur. Bulut için Defender, Azure olmayan makineleri korumak için Azure Arc kullanır.
Temel bulut güvenliği duruş yönetimi
AWS ve GCP makineleri için ücretsiz temel bulut güvenliği duruş yönetimi (CSPM) özellikleri Azure Arc gerektirmez. Tam işlevsellik için AWS veya GCP makinelerinde Çalışan Azure Arc'a sahip olmanız önerilir.
Şirket içi makineler için Azure Arc ekleme gereklidir.
Sunucular için Defender planı
Sunucular için Defender'ı kullanmak için tüm AWS, GCP ve şirket içi makinelerin Azure Arc özellikli olması gerekir.
AWS veya GCP çoklu bulut bağlayıcısı ile Azure Arc aracısını AWS veya GCP sunucularınıza otomatik olarak ekleyebilirsiniz.
Azure Arc dağıtım planı
Azure Arc dağıtım planlamak için:
Azure Arc planlama önerilerini ve dağıtım önkoşullarını gözden geçirin.
Güvenlik duvarınızda Azure Arc için ağ bağlantı noktalarını açın.
Azure Arc, Azure dışında barındırılan makinelere bağlanmak ve makineleri yönetmek için Bağlan Makine aracısını yükler. Aşağıdaki bilgileri gözden geçirin:
- Aracı bileşenleri ve makinelerden toplanan veriler.
- Aracı için ağ ve internet erişimi .
- Aracı için Bağlan seçenekleri.
Log Analytics aracısı ve Azure İzleyici aracısı
Not
Log Analytics aracısı Ağustos 2024'te kullanımdan kaldırmaya ayarlandığından ve Bulut için Defender güncelleştirilmiş strateji kapsamında tüm Sunucular için Defender özellikleri ve özellikleri Uç Nokta için Microsoft Defender tümleştirme veya aracısız tarama yoluyla sağlanacaktır, Log Analytics aracısı (MMA) veya Azure İzleyici aracısı (AMA) bağımlılığı olmadan. Sonuç olarak, her iki aracı için de paylaşılan otomatik sağlama işlemi uygun şekilde ayarlanır Bu değişiklik hakkında daha fazla bilgi için bu duyuruya bakın.
Bulut için Defender işlem kaynaklarından bilgi toplamak için Log Analytics aracısını ve Azure İzleyici aracısını kullanır. Ardından verileri daha fazla analiz için log analytics çalışma alanına gönderir. Her iki aracı için de farklılıkları ve önerileri gözden geçirin.
Aşağıdaki tabloda Sunucular için Defender'da kullanılan aracılar açıklanmaktadır:
| Özellik | Log Analytics aracısı | Azure İzleyici aracısı |
|---|---|---|
| Aracıya bağlı temel CSPM önerileri (ücretsiz): İşletim sistemi temel önerisi (Azure VM'leri) | 
|
Azure İzleyici aracısı ile Azure İlkesi konuk yapılandırma uzantısı kullanılır. |
| Temel CSPM: Sistem güncelleştirme önerileri (Azure VM'leri) |
|
Henüz kullanılamıyor. |
| Temel CSPM: Kötü amaçlı yazılımdan koruma/uç nokta koruma önerileri (Azure VM'leri) |
|
|
| dosyasız saldırı algılama dahil olmak üzere işletim sistemi düzeyinde ve ağ katmanında saldırı algılama Plan 1, saldırı algılama için Uç Nokta için Defender özelliklerine dayanır. |
içerir |
içerir |
| Dosya bütünlüğünü izleme (yalnızca Plan 2) |
|
|
| Uyarlamalı uygulama denetimleri (yalnızca Plan 2) |
|
|
Qualys uzantısı
Qualys uzantısı Sunucular için Defender Plan 2'de kullanılabilir. Güvenlik açığı değerlendirmesi için Qualys'i kullanmak istiyorsanız uzantı dağıtılır.
Burada daha fazla bilgi bulabilirsiniz:
Qualys uzantısı, Azure bölgenize bağlı olarak iki Qualys veri merkezi bölgesinden birine analiz için meta veriler gönderir.
- Bir Avrupa Azure bölgesinde çalışıyorsanız, veri işleme Qualys Avrupa veri merkezinde gerçekleşir.
- Diğer bölgeler için veri işleme, ABD veri merkezinde gerçekleşir.
Qualys'i bir makinede kullanmak için uzantının yüklenmesi ve makinenin ilgili ağ uç noktasıyla iletişim kurabilmesi gerekir:
- Avrupa veri merkezi:
https://qagpublic.qg2.apps.qualys.eu - ABD veri merkezi:
https://qagpublic.qg3.apps.qualys.com
- Avrupa veri merkezi:
Konuk yapılandırma uzantısı
Uzantı, VM'ler içinde denetim ve yapılandırma işlemleri gerçekleştirir.
- Azure İzleyici Aracısı kullanıyorsanız Bulut için Defender Windows ve Linux makinelerinde işletim sistemi güvenlik temeli ayarlarını analiz etmek için bu uzantıyı kullanır.
- Azure Arc özellikli sunucular ve konuk yapılandırma uzantısı ücretsiz olsa da, Azure Arc sunucularında Bulut için Defender kapsamı dışında konuk yapılandırma ilkeleri kullanıyorsanız daha fazla maliyet uygulanabilir.
Azure İlkesi konuk yapılandırma uzantısı hakkında daha fazla bilgi edinin.
Uç Nokta için Defender uzantıları
Sunucular için Defender'ı etkinleştirdiğinizde Bulut için Defender otomatik olarak bir Uç Nokta için Defender uzantısı dağıtır. Uzantı, makinede Uç Nokta için Defender algılayıcısını dağıtmak ve tümleştirmek için işletim sistemi içinde bir betik çalıştıran bir yönetim arabirimidir.
- Windows makineleri uzantısı:
MDE.Windows - Linux makineleri uzantısı:
MDE.Linux - Makineler en düşük gereksinimleri karşılamalıdır.
- Bazı Windows Server sürümlerinin belirli gereksinimleri vardır.
İşletim sistemi desteğini doğrulama
Sunucular için Defender'ı dağıtmadan önce aracılar ve uzantılar için işletim sistemi desteğini doğrulayın:
- İşletim sistemlerinizin Uç Nokta için Defender tarafından desteklendiğini doğrulayın.
- Azure Arc Bağlan Machine aracısının gereksinimlerini denetleyin.
- Log Analytics aracısı ve Azure İzleyici aracısı için işletim sistemi desteğini denetleyin.
Aracı sağlamayı gözden geçirme
Sunucular için Defender dahil olmak üzere Bulut için Defender planlarını etkinleştirdiğinizde, Sunucular için Defender'a uygun bazı aracıları otomatik olarak sağlamayı seçebilirsiniz:
- Azure VM'leri için Log Analytics aracısı ve Azure İzleyici aracısı
- Azure Arc VM'leri için Log Analytics aracısı ve Azure İzleyici aracısı
- Qualys aracısı
- Konuk yapılandırma aracısı
Sunucular için Defender Plan 1 veya Plan 2'yi etkinleştirdiğinizde, Uç Nokta için Defender uzantısı abonelikte desteklenen tüm makinelerde otomatik olarak sağlanır.
Sağlama konusunda dikkat edilmesi gerekenler
Aşağıdaki tabloda, dikkat edilmesi gereken sağlama konuları açıklanmaktadır:
| Hazırlanıyor | Ayrıntılar |
|---|---|
| Uç Nokta için Defender algılayıcısı | Makineler System Center Endpoint Protection (SCEP) olarak da bilinen Microsoft Kötü Amaçlı Yazılımdan Koruma çalıştırıyorsa, Windows uzantısı bunu otomatik olarak makineden kaldırır. Eski Uç Nokta için Microsoft Monitoring agent (MMA) Defender algılayıcısının çalıştığı bir makinede dağıtım yaparsanız, Bulut için Defender ve Uç Nokta için Defender birleşik çözümü başarıyla yüklendikten sonra uzantı durdurulur ve eski algılayıcıyı devre dışı bırakır. Değişiklik saydamdır ve makinenin koruma geçmişi korunur. |
| AWS ve GCP makineleri | AWS veya GCP bağlayıcısını ayarlarken otomatik sağlamayı yapılandırın. |
| El ile yükleme | Bulut için Defender Log Analytics aracısını ve Azure İzleyici aracısını sağlamasını istemiyorsanız aracıları el ile yükleyebilirsiniz. Aracıyı varsayılan Bulut için Defender çalışma alanına veya özel bir çalışma alanına bağlayabilirsiniz. Çalışma alanında SecurityCenterFree (ücretsiz temel CSPM için) veya Güvenlik çözümü etkinleştirilmiş olmalıdır (Sunucular için Defender Plan 2). |
| Doğrudan çalışan Log Analytics aracısı | Windows VM'sinde Log Analytics aracısı çalışıyorsa ancak VM uzantısı olarak çalışmıyorsa Bulut için Defender uzantıyı yükler. Aracı, Bulut için Defender çalışma alanına ve mevcut aracı çalışma alanına raporlar. Linux VM'lerinde çoklu giriş desteklenmez. Mevcut bir aracı varsa Log Analytics aracısı otomatik olarak sağlanmamıştır. |
| Operations Manager aracısı | Log Analytics aracısı Operations Manager aracısı ile yan yana çalışabilir. Aracılar, Log Analytics aracısı dağıtıldığında güncelleştirilen ortak çalışma zamanı kitaplıklarını paylaşır. |
| Log Analytics uzantısını kaldırma | Log Analytics uzantısını kaldırırsanız Bulut için Defender güvenlik verilerini ve önerilerini toplayamaz ve bu da eksik uyarılarla sonuçlanır. 24 saat içinde Bulut için Defender uzantının eksik olduğunu belirler ve yeniden yükler. |
Otomatik sağlamanın ne zaman geri çevirilmesi gerekiyor?
Aşağıdaki tabloda açıklanan koşullarda otomatik sağlamayı geri çevirmek isteyebilirsiniz:
| Durum | İlgili aracı | Ayrıntılar |
|---|---|---|
| Aracıların yüklü olmaması gereken kritik VM'leriniz var | Log Analytics aracısı, Azure İzleyici aracısı | Otomatik sağlama, aboneliğin tamamına yöneliktir. Belirli makineleri geri çeviremezsiniz. |
| Operations Manager 2012 ile System Center Operations Manager aracı sürümü 2012'yi çalıştırıyorsunuz | Log Analytics aracısı | Bu yapılandırmayla otomatik sağlamayı açmayın; yönetim özellikleri kaybolabilir. |
| Özel çalışma alanı yapılandırmak istiyorsunuz | Log Analytics aracısı, Azure İzleyici aracısı | Özel çalışma alanı içeren iki seçeneğiniz vardır: - Bulut için Defender ilk ayarladığınızda otomatik sağlamayı geri çevirme. Ardından, özel çalışma alanınızda sağlamayı yapılandırın. - Log Analytics aracılarını makinelere yüklemek için otomatik sağlamanın çalışmasına izin verin. Özel bir çalışma alanı ayarlayın ve mevcut VM'leri yeni çalışma alanı ayarıyla yeniden yapılandırın. |
Sonraki adımlar
Bu planlama adımlarını tamamladıktan sonra dağıtımı başlatabilirsiniz:
- Sunucular için Defender planlarını etkinleştirme
- Şirket içi makineleri Azure'a Bağlan.
- aws hesaplarını Bulut için Defender Bağlan.
- GCP projelerini Bulut için Defender Bağlan.
- Sunucu için Defender dağıtımınızı ölçeklendirme hakkında bilgi edinin.