你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Defender for Servers 规划代理、扩展和 Azure Arc

本文帮助你为 Microsoft Defender for Servers 部署规划代理、扩展和 Azure Arc 资源。

Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。

准备阶段

本文是 Defender for Servers 规划指南系列中的第五篇文章。 在开始之前,请查看前面的文章:

  1. 开始规划部署
  2. 了解数据的存储位置和 Log Analytics 工作区要求
  3. 查看 Defender for Servers 访问角色
  4. 选择 Defender for Servers 计划

查看 Azure Arc 要求

Azure Arc 可帮助你将 Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和本地计算机加入 Azure。 Defender for Cloud 使用 Azure Arc 来保护非 Azure 计算机。

基础云安全态势管理

AWS 和 GCP 计算机的免费基础云安全态势管理 (CSPM) 功能不需要 Azure Arc。若要获得完整功能,建议在 AWS 或 GCP 计算机上运行 Azure Arc。

对于本地计算机,需要执行 Azure Arc 加入。

用于服务器的 Defender 计划

若要使用 Defender for Servers,所有 AWS、GCP 和本地计算机都应已启用 Azure Arc。

可以使用 AWS 或 GCP 多云连接器自动将 Azure Arc 代理加入 AWS 或 GCP 服务器。

计划 Azure Arc 部署

规划 Azure Arc 部署:

  1. 查看 Azure Arc 规划建议部署先决条件

  2. 在防火墙中打开“Azure Arc 网络端口”。

  3. Azure Arc 安装 Connected Machine 代理以连接和管理托管在 Azure 外部的计算机。 查看以下信息:

Log Analytics 代理和 Azure Monitor 代理

注意

由于 Log Analytics 代理将于 2024 年 8 月停用,并且是 Defender for Cloud 已更新策略的一部分,因此所有 Defender for Servers 特性和功能都将通过 Microsoft Defender for Endpoint 集成无代理扫描提供,而不依赖于 Log Analytics 代理 (MMA) 或 Azure Monitor 代理 (AMA)。 因此,将会相应调整这两个代理的共享自动预配过程。有关此更改的详细信息,请参阅此公告

Defender for Cloud 使用 Log Analytics 代理和 Azure Monitor 代理从计算资源收集信息。 然后,它将数据发送到 Log Analytics 工作区以做进一步分析。 查看这两个代理的差异和建议

下表描述了 Defender for Servers 中使用的代理:

功能 Log Analytics 代理 Azure Monitor 代理
取决于代理的基础 CSPM 建议(免费):OS 基线建议 (Azure VM)

使用 Azure Monitor 代理时,将使用 Azure Policy 来宾配置扩展
基础 CSPM:系统更新建议 (Azure VM) 尚不可用。
基础 CSPM:反恶意软件/终结点保护建议 (Azure VM)
OS 级别和网络层的攻击检测,包括无文件攻击检测

计划 1 依赖 Defender for Endpoint 功能进行攻击检测。


计划 2


计划 2
文件完整性监视(仅限计划 2)

Qualys 扩展

Defender for Servers 计划 2 中提供了 Qualys 扩展。 如果你想要使用 Qualys 进行漏洞评估,请部署该扩展。

详细信息如下:

  • Qualys 扩展将元数据发送到两个 Qualys 数据中心区域之一进行分析,具体取决于 Azure 区域。

    • 如果你在欧洲 Azure 区域内运营,则数据处理将在 Qualys 欧洲数据中心进行。
    • 其他区域的数据处理在美国数据中心进行。
  • 若要在计算机上使用 Qualys,则必须安装扩展,并且计算机必须能够与相关网络终结点通信:

    • 欧洲数据中心:https://qagpublic.qg2.apps.qualys.eu
    • 美国数据中心:https://qagpublic.qg3.apps.qualys.com

来宾配置扩展

该扩展在 VM 中执行审核和配置操作。

  • 如果使用 Azure Monitor 代理,Defender for Cloud 会使用此扩展分析 Windows 和 Linux 计算机上的操作系统安全基线设置。
  • 虽然已启用 Azure Arc 的服务器和来宾配置扩展可供免费使用,但如果在 Defender for Cloud 范围之外的 Azure Arc 服务器上使用来宾配置策略,可能会产生其他费用。

详细了解 Azure Policy 来宾配置扩展

Defender for Endpoint 扩展

启用 Defender for Servers 时,Defender for Cloud 会自动部署 Defender for Endpoint 扩展。 该扩展是一个管理接口,它在操作系统中运行脚本,以在计算机上部署和集成 Defender for Endpoint 传感器。

  • Windows 计算机扩展:MDE.Windows
  • Linux 计算机扩展:MDE.Linux
  • 计算机必须满足最低要求
  • 某些 Windows Server 版本有特定的要求

可以通过 *.endpoint.security.microsoft.com 或通过 Defender for Endpoint 服务标记访问大多数 Defender for Endpoint 服务。 请确保连接到 Defender for Endpoint 服务,并了解自动更新和其他功能的要求。

验证操作系统支持

在部署 Defender for Servers 之前,请验证操作系统对代理和扩展的支持:

查看代理预配

启用 Defender for Cloud(包括 Defender for Servers)计划时,可以选择自动预配与 Defender for Servers 相关的某些代理:

  • 适用于 Azure VM 的 Log Analytics 代理和 Azure Monitor 代理
  • 适用于 Azure Arc VM 的 Log Analytics 代理和 Azure Monitor 代理
  • Qualys 代理
  • 来宾配置代理

当启用 Defender for Servers 计划 1 或计划 2 时,会在订阅中的所有受支持计算机上自动预配 Defender for Endpoint 扩展。

预配注意事项

下表描述了需要知道的预配注意事项:

设置 详细信息
Defender for Endpoint 传感器 如果计算机运行的是 Microsoft Antimalware,也称为 System Center Endpoint Protection (SCEP),Windows 扩展会自动将其从计算机中删除。

如果在已运行旧版 Microsoft Monitoring Agent (MMA) Defender for Endpoint 传感器的计算机上进行部署,则在成功安装 Defender for Cloud 和 Defender for Endpoint 统一解决方案后,该扩展将停止并禁用旧版传感器。 更改透明,并且会保留计算机的防护历史记录。
AWS 和 GCP 计算机 在设置 AWS 或 GCP 连接器时配置自动预配。
手动安装 如果你不希望 Defender for Cloud 预配 Log Analytics 代理和 Azure Monitor 代理,可以手动安装代理。

可以将代理连接到默认的 Defender for Cloud 工作区或自定义工作区。

工作区必须启用 SecurityCenterFree(适用于免费的基础 CSPM)或安全解决方案(Defender for Servers 计划 2)。
Log Analytics 代理直接运行 如果 Windows VM 正在运行 Log Analytics 代理,但不作为 VM 扩展,则 Defender for Cloud 将安装该扩展。 代理向 Defender for Cloud 工作区和现有代理工作区报告。

在 Linux VM 上不支持多宿主。 如果存在现有的代理,则不会自动预配 Log Analytics 代理。
Operations Manager 代理 Log Analytics 代理可与 Operations Manager 代理并行工作。 这些代理共享公共运行时库,这些库将在部署 Log Analytics 代理时更新。
删除 Log Analytics 扩展 如果删除 Log Analytics 扩展,Defender for Cloud 将无法收集安全数据和建议,导致警报缺失。 在 24 小时内,Defender for Cloud 将确定该扩展缺失并重新安装。

何时选择禁用自动预配

对于下表中所述的情况,可以选择禁用自动预配:

场景 相关代理 详细信息
你拥有不应安装代理的关键 VM Log Analytics 代理、Azure Monitor 代理 自动预配适用于整个订阅。 不能针对特定计算机取消。
在 Operations Manager 2012 中运行 System Center Operations Manager 代理版本 2012 Log Analytics 代理 使用此配置时,请勿启用自动预配;管理功能可能会丢失。
你需要配置自定义工作区 Log Analytics 代理、Azure Monitor 代理 自定义工作区有两个选项:

- 首次设置 Defender for Cloud 时选择取消自动预配。 然后,在自定义工作区上配置预配。

- 运行自动预配以在计算机上安装 Log Analytics 代理。 设置自定义工作区,然后使用新工作区设置重新配置现有 VM。

后续步骤

完成以下计划步骤后,可以开始部署: