你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Defender for Servers
Microsoft Defender for Cloud 中的 Defender for Servers 为在 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和本地环境中运行的 Windows 和 Linux 计算机提供威胁检测和高级防御。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、文件完整性监视 (FIM) 等的集成许可证。
Microsoft Defender for Servers 提供与 Microsoft Defender for Endpoint 的自动本机集成。 若要了解详细信息,请参阅通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点。 启用此集成后,将可以从 Microsoft Defender 漏洞管理访问漏洞发现结果。
Defender for Servers 提供两个计划选项,它们有着不同的防护级别和成本。 你可以在定价页上了解有关 Defender for Clouds 定价的更多信息。
先决条件
需要 Microsoft Azure 订阅。 如果你没有 Azure 订阅,可以注册免费订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
启用 Defender for Servers 计划
可以在 Azure 订阅、AWS 帐户或 GCP 项目上启用 Defender for Servers 计划,或者在 Log Analytics 工作区级别或在资源级别启用该计划。
在 Azure 订阅、AWS 帐户或 GCP 项目上启用
可以从“环境设置”页启用 Defender for Servers 计划,以保护 Azure 订阅、AWS 帐户或 GCP 项目中的所有计算机。
要启用 Defender for Servers 计划:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
在“Defender 计划”页上,将“服务器”开关切换为“打开”。
在启用该计划后,你可以配置该计划的功能以满足你的需求。 在订阅上启用 Defender for Servers 时,它不会将该覆盖范围扩展到附加的工作区。 你需要在 Log Analytics 工作区级别启用 Defender for Servers。
选择 Defender for Servers 计划
启用 Defender for Servers 计划时,系统会让你选择要启用的计划–计划 1 或计划 2。 有两个计划可供选择,它们可为资源提供不同级别的保护。
比较每个计划提供的可用功能。
若要选择 Defender for Servers 计划,请执行以下操作:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
选择“更改计划”。
在弹出窗口中,选择“计划 2”或“计划 1”。
选择“确认”。
选择“保存”。
在启用该计划后,你可以配置该计划的功能以满足你的需求。
在 Log Analytics 工作区级别启用该计划
在订阅上启用 Defender for Servers 时,Defender for Servers 提供的覆盖范围不会自动扩展到 Log Analytics 工作区。 你需要在每个工作区上启用 Defender for Servers。 工作区上的 Defender for Servers 仅支持计划 2。
若要在 Log Analytics 工作区上启用 Defender for Servers,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关工作区。
将服务器计划切换为“开”。
选择“保存”。
通过在 Log Analytics 工作区上启用 Defender for Servers,无法启用所有可用的安全保护。 还可以通过 Foundational CSPM 和确保计算机上的 SQL 服务器安全来保护 Log Analytics 工作区。
重要
在工作区上启用 Defender for Servers 时,无论其连接的订阅的设置如何,所有连接的计算机都会自动启用计划 2。
在资源级别禁用 Defender for Servers
若要保护所有现有资源和将来的资源,建议在整个 Azure 订阅上启用 Defender for Servers。
通过在资源级别启用 Defender for Servers 计划,可以在较低层次结构级别排除特定资源或管理安全配置。 可以使用 REST API 或大规模在资源级别启用计划。
支持的资源类型包括:
- Azure VM。
- 包含 Azure Arc 的本地资源。
- Azure 虚拟机规模集灵活模式。
通过 REST API 在资源级别启用 Defender for Servers
在资源级别启用或禁用 Defender for Servers 的功能只能通过 REST API 获得。 了解如何与 API 交互,以在资源或订阅级别管理 Defender for Servers。
在启用该计划后,你可以配置该计划的功能以满足你的需求。
大规模在资源级别启用 Defender for Servers
使用以下基础脚本文件根据你的特定需求对其进行自定义。
下载此文件并将其保存为 PowerShell 文件。
运行下载的文件。
选择是按标记还是按资源组设置定价。
按照屏幕上的其余说明操作。
在启用该计划后,你可以配置该计划的功能以满足你的需求。