你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

自动预配 Azure Monitor 代理以使用 Microsoft Defender for Cloud 保护服务器

为确保服务器资源安全,Microsoft Defender for Cloud 使用安装在服务器上的代理将有关服务器的信息发送到 Microsoft Defender for Cloud 进行分析。 可以使用自动预配在服务器上以静默方式部署 Azure Monitor 代理。

本文介绍如何使用自动预配来部署代理,以保护服务器。

可用性

方面 详细信息
发布状态: 预览
相关的 Defender 计划: - 用于终结点保护评估安全态势管理 (CSPM)(免费且默认启用)
- 用于自适应应用程序控制无文件攻击检测文件完整性监视Microsoft Defender for Servers 计划 2
支持的目标: Azure 虚拟机
已启用 Azure Arc 的计算机
基于策略:
云: 商用云
Azure 政府、Azure 中国世纪互联

先决条件

启用自动配置之前,必须具备以下先决条件:

使用自动预配部署 Azure Monitor 代理

使用自动预配部署 Azure Monitor 代理:

  1. 在 Defender for Cloud 的菜单中,打开“环境设置”。

  2. 选择相关订阅。

  3. 打开“自动预配”页。

    用于启用 Azure Monitor 代理的“自动预配”菜单项的屏幕截图。

  4. 启用 Azure Monitor 代理的部署:

    1. 对于“Log Analytics 代理/Azure Monitor 代理”,选择“开”状态。

      在“配置”栏中,可以看到已启用的代理类型。 启用自动预配后,Defender for Cloud 会根据环境决定要预配的代理。 在大多数情况下,默认为 Log Analytics 代理。

      用于启用 Azure Monitor 代理的“自动预配”页的屏幕截图。

    2. 对于“Log Analytics 代理/Azure Monitor 代理”,选择“编辑配置”。

      编辑 Azure Monitor 代理配置的屏幕截图。

    3. 对于自动预配配置代理类型,选择“Azure Monitor 代理”。

      选择“Azure Monitor 代理”的屏幕截图。

    默认情况下:

    • Azure Monitor 代理安装在所选订阅中的所有现有计算机上,以及订阅中创建的所有新计算机上。
    • 不会从已安装 Log Analytics 代理的计算机上卸载该代理。 可以将 Log Analytics 代理保留在计算机上,如果不需要 Log Analytics 代理执行其他保护,也可以手动删除该代理
    • 代理将数据发送到订阅的默认工作区。 还可以配置自定义工作区以向其发送数据。
    • 无法启用其他安全事件集合

使用 Log Analytics 和 Azure Monitor 代理运行的影响

可以在同一台计算机上同时运行 Log Analytics 和 Azure Monitor 代理,但应注意以下注意事项:

  • 两个代理都会报告某些建议或警报,并在 Defender for Cloud 中出现两次。
  • 每台计算机在 Defender for Cloud 中计费一次,但请确保对连接到 Log Analytics 和 Azure Monitor 的其他服务(例如 Log Analytics 工作区数据引入)的计费进行跟踪。
  • 这两个代理都会对计算机产生性能影响。

启用自动预配后,Defender for Cloud 将决定要预配的代理。 在大多数情况下,默认为 Log Analytics 代理。

详细了解如何迁移到 Azure Monitor 代理

自定义配置

配置自定义目标 Log Analytics 工作区

使用自动预配安装 Azure Monitor 代理时,可以定义已安装扩展的目标工作区。 默认情况下,目标是 Defender for Cloud 为订阅中的每个区域创建的“默认工作区”:defaultWorkspace-<subscriptionId>-<regionShortName>。 Defender for Cloud 自动为该工作区配置数据收集规则、工作区解决方案和其他扩展。

如果配置自定义 Log Analytics 工作区:

  • Defender for Cloud 仅为自定义工作区配置数据收集规则和其他扩展。 你必须在自定义工作区上配置工作区解决方案。
  • 即使未启用 Defender for Servers 计划,也会对使用安全解决方案向 Log Analytics 工作区报告的具有 Log Analytics 代理的计算机进行计费。 仅当订阅上启用了计划时,才会对具有 Azure Monitor 代理的计算机计费。 工作区仍需要安全解决方案才能使用计划功能并有资格获得 500 MB 的权益。

为 Azure Monitor 代理配置自定义目标工作区:

  1. 在 Defender for Cloud 的菜单中,打开“环境设置”。
  2. 选择相关订阅。
  3. 打开“自动预配”页。
  4. 对于“Log Analytics 代理/Azure Monitor 代理”,选择“编辑配置”。
  5. 选择“自定义工作区”,然后选择要将数据发送到的工作区。

Log Analytics 工作区解决方案

Azure Monitor 代理需要 Log Analytics 工作区解决方案。 使用默认工作区自动预配 Azure Monitor 代理时,会自动安装这些解决方案。

收集的数据所需的 Log Analytics 工作区解决方案包括:

  • 安全态势管理 (CSPM) – SecurityCenterFree 解决方案
  • Defender for Servers 计划 2 – 安全解决方案

Defender for Cloud 的其他扩展

Azure Monitor 代理需要其他扩展。 自动预配 Azure Monitor 代理时,会自动安装支持终结点保护建议和无文件攻击检测的 ASA 扩展。

其他安全事件集合

在 Defender for Cloud 中自动预配 Log Analytics 代理时,可以选择将其他安全事件收集到工作区。 在 Defender for Cloud 中自动预配 Azure Monitor 代理时,将其他安全事件收集到工作区的选项不可用。 Defender for Cloud 不依赖于这些安全事件,但它们有助于通过 Microsoft Sentinel 进行调查。

如果想在自动预配 Azure Monitor 代理时收集安全事件,可以创建数据收集规则来收集所需的事件。

与 Log Analytics 工作区一样,对于定义的数据类型(包括安全事件),Defender for Cloud 用户每天有资格获得500 MB 的免费数据

后续步骤

现在已启用 Azure Monitor 代理,请查看代理支持的功能: