你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:将非 Azure 计算机连接到 Microsoft Defender for Cloud

Defender for Cloud 可以监视非 Azure 计算机的安全态势,但首先需要将其连接到 Azure。

可以通过以下任何一种方式连接非 Azure 计算机:

  • 使用启用了 Azure Arc 的服务器(推荐)
  • 使用 Azure 门户中的 Defender for Cloud 的页面(“入门”和“库存” )

此页上对上述每种方式都进行了介绍。

提示

如果要连接其他云提供商的计算机,请参阅连接 AWS 帐户连接 GCP 项目

使用 Azure Arc 添加非 Azure 计算机

若要将非 Azure 计算机添加到 Microsoft Defender for Cloud,首选方法是使用已启用 Azure Arc 的服务器

已启用 Azure Arc 的服务器的计算机将成为一项 Azure 资源,并且(在计算机上安装日志分析代理后)会显示在 Defender for Cloud,并与其他 Azure 资源一样提供建议。

此外,启用了 Azure Arc 的服务器还提供增强功能,例如在计算机上启用来宾配置策略、使用其他 Azure 服务简化部署等选项。 有关这些优势的概述,请参阅支持的云操作

注意

Defender for Cloud 的用于部署 Log Analytics 代理的自动部署工具适用于运行 Azure Arc 的计算机,但此功能目前处于预览版阶段。 在已经使用 Azure Arc 连接了计算机时,请使用相关的 Defender for Cloud 建议来部署代理,以便获得 Defender for Cloud 提供的全方位保护:

详细了解启用了 Azure Arc 的服务器

若要部署 Azure Arc,请执行以下操作:

提示

若要加入在 Amazon Web Services (AWS) 上运行的计算机,Defender for Cloud 的 AWS 连接器将为你以透明方式处理 Azure Arc 部署。 在将 AWS 帐户连接到 Microsoft Defender for Cloud 中了解详细信息。

从 Azure 门户添加非 Azure 计算机

  1. 在 Defender for Cloud 的菜单中,打开“开始使用”页。

  2. 选择“入门”选项卡。

  3. 在“添加非 Azure 服务器”下方,选择“配置”。

    “开始使用”页中的“开始使用”选项卡。

    提示

    还可以通过“库存”页面的“添加非 Azure 服务器”按钮打开“添加计算机”。

    从“资产清单”页添加非 Azure 计算机。

    此时将显示 Log Analytics 工作区的列表。 该列表包含启用自动预配时由 Defender for Cloud 创建的默认工作区(如果适用)。 选择此工作区或要使用的其他工作区。

    可以将计算机添加到现有的工作区,也可以新建一个工作区。

  4. (可选)如果要新建一个工作区,请选择“新建工作区”。

  5. 在工作区列表中,为相关工作区选择“添加服务器”。

    随即会显示“代理管理”页。

    在这里,根据要加入的计算机类型,在下方选择相关过程:

加入 Azure Stack Hub VM

若要添加 Azure Stack Hub VM,你需要“代理管理”页上的信息,并在虚拟机(在 Azure Stack Hub 实例上运行)上配置“Azure Monitor、更新和配置管理”虚拟机扩展。

  1. 从“代理管理”页上,将工作区 ID和主密钥复制到记事本中。
  2. 登录到“Azure Stack Hub”门户,然后打开“虚拟机”页。
  3. 选择要使用 Defender for Cloud 保护的虚拟机。

    提示

    若要了解如何在 Azure Stack Hub 上创建虚拟机,请参阅此适用于 Windows 虚拟机的快速入门此适用于 Linux 虚拟机的快速入门

  4. 选择“扩展”。 此时将显示此虚拟机上安装的虚拟机扩展列表。
  5. 选择“添加”选项卡。“新建资源”菜单会显示可用虚拟机扩展的列表。
  6. 选择“Azure 监视、更新和配置管理”扩展,然后选择“创建”。 此时会打开“安装扩展”配置页。

    注意

    如果在市场中没有看到“Azure Monitor、更新和配置管理”扩展,请联系 Azure Stack Hub 操作员,让该操作员将其列出。

  7. 在“安装扩展”配置页上,粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。
  8. 完成配置后,选择“确定”。 扩展的状态将显示为“预配成功”。 最长可能需要经过一小时,该虚拟机才会显示在 Defender for Cloud 中。

加入 Linux 计算机

若要添加 Linux 计算机,需要“代理管理”页中的 WGET 命令。

  1. 从“代理管理”页上,将 WGET 命令复制到记事本中。 将此文件保存到可以从你的 Linux 计算机访问的位置。

  2. 在 Linux 计算机上,打开包含 WGET 命令的文件。 选择整个内容,并将其复制并粘贴到终端控制台。

  3. 在安装完成后,可以通过运行 pgrep 命令验证 omsagent 是否已安装。 该命令将返回 omsagent PID。

    可以在以下位置找到代理的日志:/var/opt/microsoft/omsagent/\<workspace id>/log/。 新 Linux 计算机最多可能需要 30 分钟才能显示在 Defender for Cloud 中。

加入 Windows 计算机

若要添加 Windows 计算机,需要“代理管理”页上的信息,并下载合适的代理文件(32/64 位)。

  1. 选择适用于计算机处理器类型的“下载 Windows 代理”链接,以下载安装程序文件。
  2. 从“代理管理”页上,将工作区 ID和主密钥复制到记事本中。
  3. 将设置文件复制并下载到目标计算机并运行。
  4. 按照安装向导的步骤操作(“下一步”,“我同意”,“下一步”,“下一步” )。
    1. Azure Log Analytics 页上,粘贴复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。
    2. 如果计算机应向 Azure 政府云中的 Log Analytics 工作区报告,请从“Azure 云”下拉列表中选择“Azure 美国政府” 。
    3. 如果计算机需要通过代理服务器来与 Log Analytics 服务通信,请选择“高级”并提供代理服务器的 URL 和端口号。
    4. 输入所有配置设置后,选择“下一步”。
    5. 在“准备安装”页上,查看要应用的设置,并选择“安装” 。
    6. 在“配置已成功完成”页上,选择“完成”。

完成后,Microsoft Monitoring Agent 将显示在“控制面板”中 。 可以在该处检查配置,并验证代理是否已连接。

有关安装和配置代理的详细信息,请参阅连接 Windows 计算机

验证

恭喜! 现在,可以在同一个位置查看 Azure 和非 Azure 计算机了。 打开“资产清单”页,并筛选到相关的资源类型。 这些图标区分类型:

非 Azure 计算机的 Defender for Cloud 图标。 非 Azure 计算机

Azure 计算机的 Defender for Cloud 图标。 Azure VM

Azure Arc 服务器的 Defender for Cloud 图标。 支持 Azure Arc 服务器

后续步骤

本页展示了如何将非 Azure 计算机添加到 Microsoft Defender for Cloud。 若要监视其状态,请使用以下页面中介绍的清单工具: