你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Cloud 中的 Azure Monitor 代理
为确保服务器资源安全,Microsoft Defender for Cloud 使用安装在服务器上的代理将有关服务器的信息发送到 Microsoft Defender for Cloud 进行分析。
在本文中,我们概述了在计算机上部署 Defender for SQL 服务器时的 AMA 首选项。
注意
作为 Defender for Cloud 更新策略的一部分,Defender for Servers 产品/服务不再需要 Azure Monitor 代理。 但是,对于计算机上的 SQL Server,Defender 仍然需要它。 因此,已相应地调整了这两个代理的上一个自动预配过程。 详细了解此公告。
Defender for Servers 中的 Azure Monitor 代理
Azure Monitor 代理 (AMA) 仍可用于在服务器上部署,但不需要接收 Defender for Servers 特性和功能。 若要确保服务器受到保护,请接收 Defender for Servers 的所有安全内容,验证 Defender for Endpoint (MDE) 集成和无代理磁盘扫描是否在订阅上启用。 这可确保无缝保持最新状态,并在提供备用可交付结果后接收所有备用可交付结果。
AMA 预配仅可通过计算机上的 Defender for SQL Server 通过 Microsoft Defender for Cloud 平台提供。 了解如何使用 PowerShell、CLI 和资源管理器模板等标准方法在服务器上部署 AMA。
可用性
有关可用性的以下信息仅适用于 Defender for SQL 计划。
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布 (GA) |
| 相关的 Defender 计划: | 计算机上的 Defender for SQL Server |
| 所需的角色和权限(订阅级别): | 所有者 |
| 支持的目标: |  Azure 虚拟机 已启用 Azure Arc 的计算机 |
| 基于策略: | 是 |
| 云: | 商用云 Azure 政府、由 21Vianet 运营的 Microsoft Azure |
先决条件
在使用 Defender for Cloud 部署 AMA 之前,必须具备以下先决条件:
- 确保多云和本地计算机已安装 Azure Arc。
- AWS 和 GCP 计算机
- 载入 AWS 连接器并自动预配 Azure Arc。
- 载入 GCP 连接器并自动预配 Azure Arc。
- 本地计算机
- AWS 和 GCP 计算机
- 确保已启用希望 Azure Monitor 代理提供支持的 Defender 计划:
部署面向 SQL 服务器的 AMA 自动预配过程
使用 Defender for Cloud 部署 Azure Monitor 代理适用于计算机上的 SQL 服务器,详见此处。
使用 Log Analytics 和 Azure Monitor 代理运行的影响
可以在同一台计算机上同时运行 Log Analytics 和 Azure Monitor 代理,但应注意以下注意事项:
- 两个代理都会报告某些建议或警报,并在 Defender for Cloud 中出现两次。
- 每台计算机在 Defender for Cloud 中计费一次,但请确保对连接到 Log Analytics 和 Azure Monitor 的其他服务(例如 Log Analytics 工作区数据引入)的计费进行跟踪。
- 这两个代理都会对计算机产生性能影响。
启用 Defender for Servers 计划 2 后,Defender for Cloud 将决定要预配的代理。 在大多数情况下,默认为 Log Analytics 代理。
自定义配置
配置自定义目标 Log Analytics 工作区
使用自动预配安装 Azure Monitor 代理时,可以定义已安装的扩展的目标工作区。 默认情况下,目标是 Defender for Cloud 为订阅中的每个区域创建的“默认工作区”:defaultWorkspace-<subscriptionId>-<regionShortName>。 Defender for Cloud 自动为该工作区配置数据收集规则、工作区解决方案和其他扩展。
如果配置自定义 Log Analytics 工作区:
- Defender for Cloud 仅为自定义工作区配置数据收集规则和其他扩展。 你必须在自定义工作区上配置工作区解决方案。
- 即使未启用 Defender for Servers 计划,也会对使用安全解决方案向 Log Analytics 工作区报告的具有 Log Analytics 代理的计算机进行计费。 仅当订阅上启用了计划时,才会对具有 Azure Monitor 代理的计算机计费。 工作区仍需要安全解决方案才能使用计划功能并有资格获得 500 MB 的权益。
Log Analytics 工作区解决方案
Azure Monitor 代理需要 Log Analytics 工作区解决方案。 使用默认工作区自动预配 Azure Monitor 代理时,会自动安装这些解决方案。
收集的数据所需的 Log Analytics 工作区解决方案包括:
- 云安全态势管理 (CSPM) – SecurityCenterFree 解决方案
- Defender for Servers 计划 2 – 安全解决方案
其他安全事件集合
在 Defender for Cloud 中自动预配 Log Analytics 代理时,可以选择将其他安全事件收集到工作区。
与在 Log Analytics 工作区中一样,对于定义的数据类型(包括安全事件),Defender for Servers 计划 2 用户每天有资格获得 500 MB 的免费数据。
后续步骤
现在已启用 Log Analytics 代理,请查看代理支持的功能: