分享方式:


規劃適用於伺服器的 Defender 部署

適用於伺服器的 Microsoft Defender 會將保護延伸到您在 Azure 中執行的 Windows 和 Linux 機器、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和內部部署。 適用於伺服器的 Defender 會與適用於端點的 Microsoft Defender 整合,以提供端點偵測及回應 (EDR) 和其他威脅防護功能。

本指南可協助您設計和規劃有效的適用於伺服器的 Defender 部署。 適用於雲端的 Microsoft Defender 針對適用於伺服器的 Defender 提供兩個付費方案。

關於本指南

本指南的目標受眾是雲端解決方案和基礎結構架構設計人員、安全性架構設計人員和分析師,以及任何參與保護雲端和混合式伺服器和工作負載的人員。

本指南會回答下列問題:

  • 適用於伺服器的 Defender 有何用途及其部署方式?
  • 我的資料儲存在哪裡,以及我需要哪些 Log Analytics 工作區?
  • 誰需要存取適用於伺服器的 Defender 資源?
  • 我應該選擇哪個適用於伺服器的 Defender 方案,以及我應該使用哪些弱點評量解決方案?
  • 何時需要使用 Azure Arc,以及需要哪些代理程式和延伸模組?
  • 如何調整部署規模?

開始之前

在檢閱適用於伺服器 的 Defender 規劃指南中的一系列文章之前:

部署概觀

下表顯示適用於伺服器的 Defender 部署程序概觀:

階段 詳細資料
開始保護資源 • 當您在入口網站中開啟適用於雲端的 Defender 時,其會使用免費的基礎 CSPM 評量和建議,開始保護資源。

• 適用於雲端的 Defender 會建立已啟用 SecurityCenterFree 解決方案的預設 Log Analytics 工作區。

• 建議開始出現在入口網站中。
啟用適用於伺服器的 Defender • 當您啟用付費方案時,適用於雲端的 Defender 會在其預設工作區上啟用「安全性」解決方案。

• 啟用適用於伺服器的 Defender 方案 1 (僅限訂用帳戶) 或方案 2 (訂用帳戶和工作區)。

• 啟用方案之後,請決定您要如何在訂用帳戶或工作群組中的 Azure VM 上安裝代理程式和延伸模組。

• 根據預設,有些延伸模組會啟用自動佈建。
保護 AWS/GCP 機器 • 針對適用於伺服器的 Defender 部署,您可設定連接器、關閉不需要的方案、設定自動佈建設定、向 AWS/GCP 進行驗證,以及部署設定。

• 自動佈建包括適用於雲端的 Defender 所使用的代理程式和 Azure Connected Machine 代理程式,以使用 Azure Arc 上線至 Azure。

• AWS 使用 CloudFormation 範本。

• GCP 使用 Cloud Shell 範本。

• 建議開始出現在入口網站中。
保護內部部署伺服器 • 將它們上線為 Azure Arc 機器,並使用自動化佈建來部署代理程式。
基礎 CSPM • 當您使用未啟用方案的基礎 CSPM 時,不需支付任何費用。

• AWS/GCP 機器不需要使用 Azure Arc 來設定基礎 CSPM。 內部部署機器會執行。

• 某些基本建議僅依賴代理程式:反惡意程式碼軟體 / 端點保護 (Log Analytics 代理程式或 Azure 監視器代理程式) | OS 基準建議 (Log Analytics 代理程式或 Azure 監視器代理程式和客體設定延伸模組) |

當您在 Azure 訂用帳戶或已連線的 AWS 帳戶上啟用適用於伺服器的 Microsoft Defender 時,所有已連線的電腦都會受到適用於伺服器的 Defender 保護。 您可以在 Log Analytics 工作區層級啟用適用於伺服器的 Microsoft Defender,但只有向該工作區回報的伺服器會受到保護並計費,而且這些伺服器不會獲得一些好處,例如適用於端點的 Microsoft Defender、弱點評估,以及 Just-In-Time VM 存取。

下一步

開始規劃程序之後,請檢閱此規劃系列的第二篇文章來瞭解資料的儲存方式,以及 Log Analytics 工作區需求。