在混合环境中启用 Azure 安全中心
Contoso 的 IT 员工希望使用安全中心来帮助保护其 VM 工作负载和本地服务器。 若要将 VM 和本地服务器加入安全中心,必须完成以下任务:
- 启用标准定价层
- 启用自动设置
- 加入 VM 和服务器
注意
必须为安全中心和关联的所有 Log Analytics 工作区启用标准定价。
启用安全中心标准定价层
若要使用安全中心高级功能或将其与本地服务器结合使用,需在 Azure 订阅中启用安全中心标准定价层。 安全中心仪表板中列出了未升级为标准定价层的订阅。 如果已具有默认 Log Analytics 工作区,则还需将其升级为标准定价层。
若要切换为标准层定价,请遵循以下过程:
- 在 Azure 门户中,选择“安全中心”。
- 在导航窗格中,选择“定价和设置”。
- 在细节窗格中,选择你的订阅。
- 选择“标准”并选择“保存”。
- 如有必要,请针对要与安全中心结合使用的所有 Log Analytics 工作区重复这些步骤。
启用自动设置
如果启用自动预配,则安全中心将在现有的 Azure VM 和未来创建的所有 Azure VM 上安装 Log Analytics 代理。 启用自动预配后,可以选择将数据存储在安全中心创建的默认 Log Analytics 工作区中,也可以选择存储在现有工作区中。 如果未显示任何工作区,请新建工作区或升级现有的工作区。
若要启用自动预配,请遵循以下过程:
在 Azure 门户中,选择“安全中心”。
在导航窗格中,选择“定价和设置”。
在细节窗格中,选择你的订阅,然后在导航窗格中,选择“数据集合”。
在细节窗格中的“自动预配”下,选择“打开”。 你还可以选择“工作区配置”标头下的首选 Log Analytics 工作区。
选择“保存”。
加入本地服务器和计算机
为订阅将安全中心升级为标准层后,可以加入本地计算机。 这需要下载 Log Analytics 代理并将其安装到计算机。 遵循以下过程安装所需代理:
在 Azure 门户中,选择“安全中心”。
在导航窗格中,选择“入门”。
在细节窗格中,选择“安装代理”选项卡。VM 上应已安装代理,因此“安装代理”按钮变灰且不可用。
选择“入门”选项卡。
在细节窗格的“添加非 Azure 服务器”标头下,选择“配置”。
如有必要,请在“将服务器加入安全中心”边栏选项卡上,选择“新建工作区”。
新建 Log Analytics 工作区。
在选定的工作区中选择“+ 添加服务器”。
在“代理管理”边栏选项卡上,选择所需代理的相应链接。 通常将选择“下载 Windows 代理 (64 位)”。
复制工作区 ID 和主密钥。 需使用这些才能安装代理。
将下载的代理复制到本地服务器。
运行 MMASetup-AMD64.exe 文件以安装代理。
出现提示时,在“Azure 设置选项”页的“Microsoft Monitoring Agent 安装向导”中,依次选择“将代理连接到 Azure Log Analytics (OMS)”复选框和“下一步”。
在“Azure Log Analytics”页上,输入先前复制的工作区 ID 和主密钥。
完成剩余步骤以完成安装过程。
将 Windows 服务器和计算机加入 Defender ATP
在安全中心中提供威胁防护的方式是将其与 Defender ATP 集成。 其与安全中心结合使用时可提供完整的终结点检测和响应 (EDR) 解决方案。 可以使用以下内容将 Windows Server 2019 或 Windows 10 计算机加入 Defender ATP:
- 本地脚本
- 组策略
- Microsoft Endpoint Configuration Manager
- 用于非永久性计算机的虚拟桌面基础结构加入脚本
附加阅读材料
你可以通过查看以下文档来了解详细信息: