在混合环境中启用 Azure 安全中心

已完成

Contoso 的 IT 员工希望使用安全中心来帮助保护其 VM 工作负载和本地服务器。 若要将 VM 和本地服务器加入安全中心,必须完成以下任务:

  • 启用标准定价层
  • 启用自动设置
  • 加入 VM 和服务器

注意

必须为安全中心和关联的所有 Log Analytics 工作区启用标准定价。

启用安全中心标准定价层

若要使用安全中心高级功能或将其与本地服务器结合使用,需在 Azure 订阅中启用安全中心标准定价层。 安全中心仪表板中列出了未升级为标准定价层的订阅。 如果已具有默认 Log Analytics 工作区,则还需将其升级为标准定价层

若要切换为标准层定价,请遵循以下过程:

  1. 在 Azure 门户中,选择“安全中心”
  2. 在导航窗格中,选择“定价和设置”
  3. 在细节窗格中,选择你的订阅。
  4. 选择“标准”并选择“保存”
  5. 如有必要,请针对要与安全中心结合使用的所有 Log Analytics 工作区重复这些步骤。

启用自动设置

如果启用自动预配,则安全中心将在现有的 Azure VM 和未来创建的所有 Azure VM 上安装 Log Analytics 代理。 启用自动预配后,可以选择将数据存储在安全中心创建的默认 Log Analytics 工作区中,也可以选择存储在现有工作区中。 如果未显示任何工作区,请新建工作区或升级现有的工作区。

若要启用自动预配,请遵循以下过程:

  1. 在 Azure 门户中,选择“安全中心”

  2. 在导航窗格中,选择“定价和设置”

  3. 在细节窗格中,选择你的订阅,然后在导航窗格中,选择“数据集合”

  4. 在细节窗格中的“自动预配”下,选择“打开”。 你还可以选择“工作区配置”标头下的首选 Log Analytics 工作区

  5. 选择“保存”。

    A screenshot of the Data Collection tab of the Pricing & settings blade in the Azure Security Center. Auto Provisioning is on, and the default Workspace configuration, which is to use workspaces created by Security Center, is selected.

加入本地服务器和计算机

为订阅将安全中心升级为标准层后,可以加入本地计算机。 这需要下载 Log Analytics 代理并将其安装到计算机。 遵循以下过程安装所需代理:

  1. 在 Azure 门户中,选择“安全中心”

  2. 在导航窗格中,选择“入门”

  3. 在细节窗格中,选择“安装代理”选项卡。VM 上应已安装代理,因此“安装代理”按钮变灰且不可用

  4. 选择“入门”选项卡。

  5. 在细节窗格的“添加非 Azure 服务器”标头下,选择“配置”

  6. 如有必要,请在“将服务器加入安全中心”边栏选项卡上,选择“新建工作区”

  7. 新建 Log Analytics 工作区。

  8. 在选定的工作区中选择“+ 添加服务器”

    A screenshot of the Onboard servers to Security Center blade in the Azure portal. The administrator has selected the ContosoDemoAnalytics workspace.

  9. 在“代理管理”边栏选项卡上,选择所需代理的相应链接。 通常将选择“下载 Windows 代理 (64 位)”

  10. 复制工作区 ID 和主密钥。 需使用这些才能安装代理。

    A screenshot of the Agents management blade in the Azure portal. Links are provided to download the Windows agents, and Workspace ID and keys are generated.

  11. 将下载的代理复制到本地服务器。

  12. 运行 MMASetup-AMD64.exe 文件以安装代理。

  13. 出现提示时,在“Azure 设置选项”页的“Microsoft Monitoring Agent 安装向导”中,依次选择“将代理连接到 Azure Log Analytics (OMS)”复选框和“下一步”

    A screenshot of the Agent Setup Options page in the Microsoft Monitoring Agent Setup Wizard. The administrator has selected the Connect the agent to Azure Log Analytics (OMS) check box.

  14. 在“Azure Log Analytics”页上,输入先前复制的工作区 ID 和主密钥

    A screenshot of the Azure Log Analytics page in the Microsoft Monitoring Agent Setup Wizard. The administrator has entered the Workspace ID and Workspace key.

  15. 完成剩余步骤以完成安装过程。

将 Windows 服务器和计算机加入 Defender ATP

在安全中心中提供威胁防护的方式是将其与 Defender ATP 集成。 其与安全中心结合使用时可提供完整的终结点检测和响应 (EDR) 解决方案。 可以使用以下内容将 Windows Server 2019 或 Windows 10 计算机加入 Defender ATP:

  • 本地脚本
  • 组策略
  • Microsoft Endpoint Configuration Manager
  • 用于非永久性计算机的虚拟桌面基础结构加入脚本

附加阅读材料

你可以通过查看以下文档来了解详细信息: