你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
缩放 Defender for Servers 部署
本文帮助你缩放 Microsoft Defender for Servers 部署。
Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。
准备阶段
本文是 Defender for Servers 规划指南系列中的第六篇(也是最后一篇)文章。 在开始之前,请查看前面的文章:
缩放概述
当你启用 Defender for Cloud 订阅时,会执行以下过程:
- 在订阅中自动注册 microsoft.security 资源提供程序。
- 同时,将负责创建安全建议和计算安全分数的云安全基准计划分配到订阅。
- 在订阅上启用 Defender for Cloud 后,打开 Defender for Servers 计划 1 或 Defender for Servers 计划 2,然后启用自动预配。
在接下来的部分中,查看缩放部署时执行的具体步骤的注意事项:
- 缩放云安全基准部署
- 缩放 Defender for Servers 计划
- 缩放自动预配
缩放云安全基准部署
在已缩放的部署中,你可能希望自动分配云安全基准(以前称为 Azure 安全基准)。
管理组中的每个现有和将来订阅都会继承这种分配。 若要将部署设置为自动应用基准,请将策略计划分配到管理组(根),而不是分配到每个订阅。
可以在 GitHub 中获取 Azure 安全基准策略定义。
详细了解如何使用内置策略定义来注册资源提供程序。
缩放 Defender for Servers 计划
可以使用策略定义大规模启用 Defender for Servers:
要获取内置的“配置要启用的 Azure Defender for Servers”策略定义,请在部署的 Azure 门户中转到“Azure Policy”>“策略定义”。
或者,可以使用自定义策略启用 Defender for Servers 并同时选择计划。
在每个订阅上只能启用一个 Defender for Servers 计划。 不能对同一订阅同时启用 Defender for Servers 计划 1 和计划 2。
如果你要在环境中同时使用这两个计划,请将订阅划分为两个管理组。 在每个管理组中分配一个策略,以便在每个基础订阅中启用相应的计划。
缩放自动预配
可以通过将内置策略定义分配给 Azure 管理组以涵盖基础订阅,来设置自动预配。 下表汇总了定义:
| Agent | 策略 |
|---|---|
| Log Analytics 代理(默认工作区) | 允许安全中心在订阅中自动预配包含默认工作区的 Log Analytics 代理 |
| Log Analytics 代理(自定义工作区) | 允许安全中心在订阅中自动预配包含自定义工作区的 Log Analytics 代理 |
| Azure Monitor 代理(默认数据收集规则) |
[预览版]:将 Arc 计算机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道 [预览版]:将虚拟机配置为使用 Azure Monitor 代理创建默认的 Microsoft Defender for Cloud 管道 |
| Azure Monitor 代理(自定义数据收集规则) |
[预览版]:将 Arc 计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道 [预览版]:将计算机配置为使用 Azure Monitor 代理创建 Microsoft Defender for Cloud 用户定义管道 |
| Qualys 漏洞评估 | 配置计算机以接收漏洞评估提供程序 |
| 来宾配置扩展 | 概述与先决条件 |
若要查看策略定义,请在 Azure 门户中转到“策略”>“定义”。
后续步骤
开始为方案执行部署:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈