規劃適用於伺服器的 Defender 部署
適用於伺服器的 Microsoft Defender 會將保護延伸到您在 Azure 中執行的 Windows 和 Linux 機器、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和內部部署。 適用於伺服器的 Defender 會與適用於端點的 Microsoft Defender 整合,以提供端點偵測及回應 (EDR) 和其他威脅防護功能。
本指南可協助您設計和規劃有效的適用於伺服器的 Defender 部署。 適用於雲端的 Microsoft Defender 針對適用於伺服器的 Defender 提供兩個付費方案。
關於本指南
本指南的目標受眾是雲端解決方案和基礎結構架構設計人員、安全性架構設計人員和分析師,以及任何參與保護雲端和混合式伺服器和工作負載的人員。
本指南會回答下列問題:
- 適用於伺服器的 Defender 有何用途及其部署方式?
- 我的資料儲存在哪裡,以及我需要哪些 Log Analytics 工作區?
- 誰需要存取適用於伺服器的 Defender 資源?
- 我應該選擇哪個適用於伺服器的 Defender 方案,以及我應該使用哪些弱點評量解決方案?
- 何時需要使用 Azure Arc,以及需要哪些代理程式和延伸模組?
- 如何調整部署規模?
開始之前
在檢閱適用於伺服器 的 Defender 規劃指南中的一系列文章之前:
部署概觀
下表顯示適用於伺服器的 Defender 部署程序概觀:
| 階段 | 詳細資料 |
|---|---|
| 開始保護資源 | • 當您在入口網站中開啟適用於雲端的 Defender 時,其會使用免費的基礎 CSPM 評量和建議,開始保護資源。 • 適用於雲端的 Defender 會建立已啟用 SecurityCenterFree 解決方案的預設 Log Analytics 工作區。 • 建議開始出現在入口網站中。 |
| 啟用適用於伺服器的 Defender | • 當您啟用付費方案時,適用於雲端的 Defender 會在其預設工作區上啟用「安全性」解決方案。 • 啟用適用於伺服器的 Defender 方案 1 (僅限訂用帳戶) 或方案 2 (訂用帳戶和工作區)。 • 啟用方案之後,請決定您要如何在訂用帳戶或工作群組中的 Azure VM 上安裝代理程式和延伸模組。 • 根據預設,有些延伸模組會啟用自動佈建。 |
| 保護 AWS/GCP 機器 | • 針對適用於伺服器的 Defender 部署,您可設定連接器、關閉不需要的方案、設定自動佈建設定、向 AWS/GCP 進行驗證,以及部署設定。 • 自動佈建包括適用於雲端的 Defender 所使用的代理程式和 Azure Connected Machine 代理程式,以使用 Azure Arc 上線至 Azure。 • AWS 使用 CloudFormation 範本。 • GCP 使用 Cloud Shell 範本。 • 建議開始出現在入口網站中。 |
| 保護內部部署伺服器 | • 將它們上線為 Azure Arc 機器,並使用自動化佈建來部署代理程式。 |
| 基礎 CSPM | • 當您使用未啟用方案的基礎 CSPM 時,不需支付任何費用。 • AWS/GCP 機器不需要使用 Azure Arc 來設定基礎 CSPM。 內部部署機器會執行。 • 某些基本建議僅依賴代理程式:反惡意程式碼軟體 / 端點保護 (Log Analytics 代理程式或 Azure 監視器代理程式) | OS 基準建議 (Log Analytics 代理程式或 Azure 監視器代理程式和客體設定延伸模組) | |
- 深入了解基礎雲端安全性態勢管理 (CSPM)。
- 深入了解 Azure Arc 上線。
當您在 Azure 訂用帳戶或已連線的 AWS 帳戶上啟用適用於伺服器的 Microsoft Defender 時,所有已連線的電腦都會受到適用於伺服器的 Defender 保護。 您可以在 Log Analytics 工作區層級啟用適用於伺服器的 Microsoft Defender,但只有向該工作區回報的伺服器會受到保護並計費,而且這些伺服器不會獲得一些好處,例如適用於端點的 Microsoft Defender、弱點評估,以及 Just-In-Time VM 存取。
下一步
開始規劃程序之後,請檢閱此規劃系列的第二篇文章來瞭解資料的儲存方式,以及 Log Analytics 工作區需求。