将混合云和多云环境连接到 Microsoft Defender for Cloud

7 分钟

将混合云和多云环境连接到 Microsoft Defender for Cloud 对于在各种 IT 环境中保持统一的安全态势至关重要。借助适用于非 Azure 计算机的已启用 Azure Arc 的服务器、Native Cloud Connector 和经典连接器，你可以将 Microsoft Defender for Cloud 的功能扩展到非 Azure 资源。此集成让你可以全面监视、检测和响应安全威胁。在这里，我们提供了该过程的信息性概述，以及成功连接的详细要求。

将非 Azure 计算机连接到 Microsoft Defender for Cloud

Microsoft Defender for Cloud 可以监视非 Azure 计算机的安全态势，但首先你需要将其连接到 Azure。

可以通过以下任何一种方式连接非 Azure 计算机：

使用 Azure Arc 加入：
- 通过使用已启用 Azure Arc 的服务器（推荐）
- 使用 Azure 门户
使用 Microsoft Defender for Endpoint 直接加入

使用 Azure Arc 连接本地计算机

具有已启用 Azure Arc 的服务器的计算机将成为 Azure 资源。在其上安装 Log Analytics 代理后，它会显示在 Defender for Cloud 中，其中包含类似于其他 Azure 资源的建议。

已启用 Azure Arc 的服务器还提供增强功能，例如在计算机上启用来宾配置策略以及使用其他 Azure 服务简化部署。有关已启用 Azure Arc 的服务器的优势概述，请参阅支持的云操作。

要在计算机上部署 Azure Arc，请按照快速入门：使用已启用 Azure Arc 的服务器连接混合计算机中的说明进行操作。

要在多台计算机上大规模部署 Azure Arc，请按照将混合计算机大规模连接到 Azure中的说明进行操作。

用于自动部署 Log Analytics 代理的 Defender for Cloud 工具适用于运行 Azure Arc 的计算机。但是，此功能目前处于预览版阶段。在使用 Azure Arc 连接计算机时，请使用相关的 Defender for Cloud 建议来部署代理，以便获得 Defender for Cloud 提供的全方位保护：

日志分析代理应安装在基于 Linux 的 Azure Arc 计算机上
日志分析代理应安装在基于 Windows 的 Azure Arc 计算机上

将 AWS 帐户连接到 Microsoft Defender for Cloud

工作负载通常跨多个云平台。云安全服务必须执行相同的操作。 Microsoft Defender for Cloud 可帮助保护 Amazon Web Services (AWS) 中的工作负载，但需要设置它们与 Azure 订阅之间的连接。

如果要连接以前使用经典连接器连接过的 AWS 帐户，必须先删除该帐户。使用通过经典连接器和本机连接器连接的 AWS 帐户可能会生成重复的建议。

先决条件

要完成本文中的过程，需要：

一个 Microsoft Azure 订阅。如果没有 Azure 订阅，可以免费注册。
在 Azure 订阅上设置 Microsoft Defender for Cloud。
访问 AWS 账户。
相关 Azure 订阅的“参与者”权限和 AWS 帐户的“管理员”权限。

Defender for Containers

如果选择 Microsoft Defender for Containers 计划，你需要：

至少一个有权访问 EKS Kubernetes API 服务器的 Amazon EKS 群集。
用于在群集区域中创建新的 Amazon 简单队列服务 (SQS) 队列、Kinesis Data Firehose 传送流和 Amazon S3 存储桶的资源容量。

Defender for SQL

如果选择 Microsoft Defender for SQL 计划，你需要：

已在订阅上启用 Microsoft Defender for SQL。了解如何保护数据库。
活动 AWS 帐户，且 EC2 实例运行 SQL Server 或 Relational Database Service (RDS) Custom for SQL Server。
在 EC2 实例或 RDS Custom for SQL Server 上安装 Azure Arc for servers。

建议使用自动预配过程在所有现有和将来的 EC2 实例上安装 Azure Arc。若要启用 Azure Arc 自动预配，需要拥有相关 Azure 订阅的所有者权限。

AWS 系统管理器 (SSM) 使用 SSM 代理完成自动预配。某些 Amazon 计算机映像已经预安装了 SSM 代理。如果 EC2 实例没有 SSM 代理，请按照 Amazon 中的以下说明进行安装：为混合和多云环境安装 SSM 代理 (Windows)。

确保 SSM 代理具有托管策略 AmazonSSMManagedInstanceCore。它将为 AWS Systems Manager 服务启用核心功能。

在已连接 Azure Arc 的计算机上启用以下其他扩展：

用于终结点的 Microsoft Defender
漏洞评估解决方案（危险和漏洞管理或 Qualys）
已连接 Azure Arc 的计算机上的 Log Analytics 代理或 Azure Monitor 代理

确保所选 Log Analytics 工作区已安装安全解决方案。目前已在“订阅”级别配置 Log Analytics 代理和 Azure Monitor 代理。同一订阅下的所有 AWS 帐户和 Google Cloud Platform (GCP) 项目均继承 Log Analytics 代理和 Azure Monitor 代理的订阅设置。

适用于服务器的 Defender

如果选择 Microsoft Defender for Servers 计划，你需要：

已在订阅上启用 Microsoft Defender for Servers。在启用增强的安全功能中了解如何启用计划。
一个具有 EC2 实例的有效 AWS 帐户。
已在 EC2 实例上安装 Azure Arc for servers。

建议使用自动预配过程在所有现有和将来的 EC2 实例上安装 Azure Arc。若要启用 Azure Arc 自动预配，需要拥有相关 Azure 订阅的所有者权限。

AWS 系统管理器 (SSM) 使用 SSM 代理完成自动预配。某些 Amazon 计算机映像已经预安装了 SSM 代理。如果你的 EC2 实例没有 SSM 代理，请按照 Amazon 提供的以下说明之一进行安装：

为混合和多云环境安装 SSM 代理 (Windows)
为混合和多云环境安装 SSM 代理 (Linux)

确保 SSM 代理具有托管策略 AmazonSSMManagedInstanceCore，它将为 AWS Systems Manager 服务启用核心功能。

若要在现有和将来的 EC2 实例上手动安装 Azure Arc，请使用 EC2 实例应连接到 Azure Arc 建议标识未安装 Azure Arc 的实例。