连接非 Azure 计算机

  • 11 分钟

Microsoft Defender for Cloud 可以监视非 Azure 计算机的安全态势,但首先你需要将其连接到 Azure。

可以通过以下任何一种方式连接非 Azure 计算机:

  • 使用启用了 Azure Arc 的服务器(推荐)

  • 使用 Azure 门户中的 Defender for Cloud 的页面(“入门”和“库存” )

使用 Azure Arc 添加非 Azure 计算机

启用 Azure Arc 的服务器是将非 Azure 计算机添加到 Defender for Cloud 的首选方法。 启用了 Azure Arc 的计算机将成为 Azure 资源,并出现在 Defender for Cloud 中,并提供类似其他 Azure 资源的建议。 此外,启用了 Azure Arc 的服务器还提供增强功能,例如“在计算机上启用来宾配置策略”、“将 Log Analytics 代理部署为扩展”和“使用其他 Azure 服务简化部署”等选项。

什么是已启用 Azure Arc 的服务器?

使用已启用 Azure Arc 的服务器,你可以按照管理本地 Azure 虚拟机的方式,管理在 Azure 外部、在企业网络上或其他云提供商中托管的 Windows 和 Linux 计算机。 当混合计算机连接到 Azure 时,它将成为一台联网计算机,被视为 Azure 中的资源。 每台联网计算机都有一个资源 ID,包含在一个资源组中,可受益于标准的 Azure 构造,例如 Azure Policy 和应用标记。 为客户管理本地基础结构的服务提供商可以通过结合使用 Azure Arc 和 Azure Lighthouse 来管理其混合计算机,与当前跨多个客户环境管理本机 Azure 资源一样。

若要为托管在 Azure 外部的混合计算机提供此体验,需要在打算连接到 Azure 的每台计算机上安装 Azure Connected Machine 代理。 此代理不提供任何其他功能,而且不会取代 Azure Log Analytics 代理。 要主动监视计算机上运行的 OS 和工作负载,需要适用于 Windows 和 Linux 的 Log Analytics 代理。 然后使用自动化 Runbook 或解决方案(如更新管理)来管理计算机,或者使用 Defender for Cloud 等其他 Azure 服务。

从 Azure 门户添加非 Azure 计算机

你可以从 Defender for Cloud 内的两个不同位置开始添加非 Azure 服务器:

  1. 在 Defender for Cloud 的菜单中,打开“开始使用”页。
  2. 选择“入门”选项卡。
  3. 在“添加非 Azure 服务器”下方,选择“配置”。
  4. 在 Defender for Cloud 的菜单中,打开“清单”页。
  5. 选择“+ 添加非 Azure 服务器”按钮。

此时将显示 Log Analytics 工作区的列表。 该列表包含启用自动预配时由 Defender for Cloud 创建的默认工作区(如果适用)。 选择此工作区或要使用的其他工作区。

可以将计算机添加到现有的工作区,也可以新建一个工作区。 (可选)如果要新建一个工作区,请选择“新建工作区”。

在工作区列表中,为相关工作区选择“添加服务器”。 随即会显示“代理管理”页。

在这里,根据要加入的计算机类型,在下方选择相关过程:

  • 加入 Azure Stack VM

  • 加入 Linux 计算机

  • 加入 Windows 计算机

加入 Azure Stack VM

若要添加 Azure Stack VM,需要“代理管理”页上的信息,并在 Azure Stack 上运行的虚拟机上配置“Azure Monitor、更新和配置管理”虚拟机扩展。

  1. 从“代理管理”页上,将工作区 ID和主密钥复制到记事本中。

  2. 登录到“Azure Stack”门户,然后打开“虚拟机”页。

  3. 选择要使用 Defender for Cloud 保护的虚拟机。

  4. 选择“扩展”。 此时将显示此虚拟机上安装的虚拟机扩展列表。

  5. 选择“添加”选项卡。“新建资源”菜单会显示可用虚拟机扩展的列表。

  6. 选择“Azure 监视、更新和配置管理”扩展,然后选择“创建”。 此时会打开“安装扩展”配置页。

  7. 在“安装扩展”配置页上,粘贴在前面步骤中复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。

  8. 完成配置后,选择“确定”。 扩展的状态将显示为“预配成功”。 最长可能需要经过一小时,该虚拟机才会显示在 Defender for Cloud 中。

加入 Linux 计算机

若要添加 Linux 计算机,需要“代理管理”页中的 WGET 命令。

  1. 从“代理管理”页上,将 WGET 命令复制到记事本中。 将此文件保存到可从你的 Linux 计算机访问的位置。

  2. 在 Linux 计算机上,打开包含 WGET 命令的文件。 选择整个内容,并将其复制并粘贴到终端控制台。

  3. 在安装完成后,可以通过运行 [pgrep] 命令验证 omsagent 是否已安装。 该命令将返回 omsagent PID。 可以在以下位置找到代理的日志:/var/opt/microsoft/omsagent/workspace id/log/。新 Linux 计算机可能需要 30 分钟才能显示在 Defender for Cloud 中。

加入 Windows 计算机

若要添加 Windows 计算机,需查看“代理管理”页上的信息,并下载合适的代理文件(32/64 位)。

  1. 选择适用于计算机处理器类型的“下载 Windows 代理”链接,以下载安装程序文件。

  2. 从“代理管理”页上,将工作区 ID和主密钥复制到记事本中。

  3. 将设置文件复制并下载到目标计算机并运行。

  4. 按照安装向导的步骤操作(“下一步”,“我同意”,“下一步”,“下一步” )。

  5. 在 Azure Log Analytics 页上,粘贴复制到记事本的“工作区 ID” 和“工作区密钥(主密钥)” 。

  6. 如果计算机应向 Azure 政府云中的 Log Analytics 工作区报告,请从“Azure 云”下拉列表中选择“Azure 美国政府” 。

  7. 如果计算机需要通过代理服务器来与 Log Analytics 服务通信,请选择“高级”并提供代理服务器的 URL 和端口号。

  8. 输入所有配置设置后,选择“下一步”。

  9. 在“准备安装”页上,查看要应用的设置,并选择“安装” 。

  10. 在“配置已成功完成”页上,选择“完成”。

完成后,Microsoft Monitoring Agent 将显示在“控制面板”中 。 可以在该处检查配置,并验证代理是否已连接。