適用於:Azure Local 2311.2 和更新版本
本文討論如何使用 適用於雲端的 Microsoft Defender 來保護 Azure Local 免於各種網路威脅和弱點。
適用於雲端的 Defender 可協助改善 Azure 本機的安全性狀態,並可防範現有和不斷演變的威脅。
如需 Microsoft Defender for Cloud 的詳細資訊,請參閱 Microsoft Defender for Cloud 文件。
重要
這項功能目前為「預覽」狀態。 如需適用於 Beta、預覽版或尚未發行至正式運作的 Azure 功能的法律條款,請參閱 Microsoft 適用於 azure 預覽版的補充使用規定 。
必要條件
開始之前,請確定下列必要條件已完成:
- 您可以存取已部署、註冊並連線到 Azure 的 Azure Local。
- 您的 Azure 訂用帳戶中至少有 擁有者 或 參與者 角色,以開啟基礎雲端安全性狀態管理 (CSPM)。
啟用適用於 Azure Local 的雲端防禦者
請遵循下列步驟來為 Azure Local 啟用雲端的 Defender。
- 步驟 1:開啟基礎 CSPM。
- 步驟 2:為獨立機器和透過 Azure Arc 啟用的 Azure 本地主機虛擬機(VM)開啟適用於伺服器的 Defender。
步驟 1:開啟基礎 CSPM
此步驟會開啟基本 適用於雲端的 Defender 方案,不需額外費用。 此方案可讓您監控並識別可採取的步驟,以確保 Azure 本地環境及其他 Azure 和 Arc 資源的安全。 如需指示,請參閱 在 Azure 訂用帳戶上啟用適用於雲端的 Defender。
步驟 2:針對個別電腦和 Azure 本機虛擬機開啟適用於伺服器的 Defender
此步驟可讓您獲得增強的安全性功能,包括單一機器和 Azure 本地端 VM 的安全性警示。
若要這樣做,請遵循 啟用適用於伺服器的 Defender 方案 一節中的所有指示,其中包括:
- 選取方案
- 設定監控範圍:
- Log Analytics 代理程式
- 弱點評估
- 端點保護
套用 Microsoft Cloud Security Benchmark 方案
開啟 適用於雲端的 Microsoft Defender 基礎 CSPM 方案之後,您必須套用 Microsoft 雲端安全性效能評定 (MCSB) 方案。 只有當套用 MCSB 時,您才能透過 Azure 入口網站 檢視安全性設定。 使用下列其中一種方法來套用 MCSB 方案:
- 透過入口網站套用MCSB,如下所示。
- 在 Azure 原則中手動將 Azure 計算安全性基準套用至所有叢集伺服器。 請參閱 Windows 安全性基準。
請遵循下列步驟,在訂用帳戶層級套用MCSB方案:
登入 Azure 入口網站,然後搜尋並選取 [Microsoft Defender for Cloud]。
在左窗格中,向下捲動至 [ 管理 ] 區段,然後選取 [ 環境設定]。
在 [ 環境設定] 頁面上,從下拉式清單中選取使用中的訂用帳戶。
選取 [ 安全策略 ] 標籤。
針對 Microsoft雲端安全性效能評定,請將 [ 狀態 ] 按鈕切換為 [開啟]。
![顯示如何在 [狀態] 按鈕上切換的螢幕快照。](media/manage-security-with-defender-for-cloud/toggle-on-status.png?view=azloc-2510)
請至少等候一小時,讓 Azure 政策組合評估所包含的資源。
![顯示如何在 [狀態] 按鈕上切換的螢幕快照。](media/manage-security-with-defender-for-cloud/toggle-on-status.png?view=azloc-2510#lightbox)
檢視安全性建議
識別潛在的安全性弱點時,就會建立安全性建議。 這些建議會引導您完成所需控制的設定過程。
啟用 Azure 本機的雲端防禦者之後,請遵循下列步驟來檢視 Azure 本機的安全建議:
在 [Azure 入口網站] 中,移至 [Azure 本機資源] 頁面,然後選取您的實例。
在左窗格中,向下捲動至 [安全性(預覽)] 區段,然後選取 Microsoft 適用於雲端的 Defender。
在 [適用於雲端的Microsoft Defender ] 頁面上,您可以在 [ 建議] 底下,檢視所選 Azure 本機實例及其工作負載的目前安全性建議。 根據預設,建議會依資源類型分組。
若要檢視多個 Azure 本機實例的安全性建議(可選),請選取「在雲端中的 Defender 中檢視」連結。 這會在 Microsoft Defender for Cloud 入口網站中開啟 [建議 ] 頁面。 此頁面提供所有 Azure 資源的安全性建議,包括 Azure Local。
注意
Azure 本機獨佔建議僅適用於 Azure Local 2311 或更新版本。 Azure Stack HCI 版本 22H2 會顯示 Windows Server 上也提供的建議。
若要深入瞭解 Azure 本機特定的安全性建議,請參閱計算安全性建議一文中的 Azure 計算建議一節。
安全性建議排除項目
您可以針對與 Azure 本機實例相關聯的記憶體帳戶和 Azure Key Vault,忽略下方適用於雲端的 Windows Defender 建議。 不過,請勿忽略您可能擁有的其他記憶體帳戶和 Azure Key Vault 的這些建議。
| 受影響的資源 | 建議 | 排除原因 |
|---|---|---|
| 記憶體帳戶 | 記憶體帳戶應具有基礎結構加密。 | Azure 本機實例不支援記憶體帳戶加密,因為它不允許傳入加密密鑰。 |
| 記憶體帳戶 | 記憶體帳戶應防止共用金鑰存取。 | Azure Local 支援透過共用密鑰專屬存取儲存帳戶。 |
| 記憶體帳戶 | 記憶體帳戶應該使用私人連結連線。 | Azure Local 目前不支援私有連接。 |
| Azure 金鑰保管庫 | Azure Key Vault 應該使用私人連結。 | Azure Local 目前不支援私有連接。 |
| 機器 – Azure Arc | 應在 Azure 本機電腦上啟用 Windows Defender 惡意探索防護。 | Windows Defender 威脅防護不適用於沒有 GUI 的伺服器核心 SKU,例如 Azure 本機作業系統。 |
| 機器 – Azure Arc | Azure 本機電腦應設定為定期檢查遺漏的系統更新。 | Azure 本機電腦不應個別更新。 每當 Azure 本機實例有可用的更新時,請使用 Azure 更新管理員中的 [Azure 本機] 區段或 Azure 本機資源檢視上的 [更新] 頁面來更新多個系統。 更新個別機器可能會導致系統進入不支援的混合模式狀態。 |
| 機器 – Azure Arc | 系統更新應該使用 Azure 更新管理員在您的 Azure 本機機器上安裝。 | Azure 本機電腦不應個別更新。 使用 Azure Update Manager 中的 [Azure 本機] 區段,在 Azure 本機資源檢視上更新多個系統或 [更新] 頁面,每當 Azure 本機實例有可用的更新時。 更新個別機器可能會導致系統進入不支援的混合模式狀態。 |
| 機器 – Azure Arc | Azure 本地設備應該具備漏洞評估方案。 | Microsoft Defender 弱點管理目前不支援 Azure 服務區域內。 |
監控 Azure 在地機器和 Azure 在地虛擬機
前往 Microsoft Defender for Cloud 入口網站,以監視個別 Azure 本機機器和 Azure 本機 VM 的警示。
請遵循這些步驟來存取 Microsoft Defender for Cloud 入口網站的頁面,以監控個別伺服器和 Azure 區域 VM:
登入 Azure 入口網站,然後搜尋並選取 [Microsoft Defender for Cloud]。
雲端用 Microsoft Defender 入口 網站 的 [概觀] 頁面會顯示您環境的整體安全狀況。 從左側導覽窗格,流覽至各種入口網站頁面,例如 建議,以檢視個別伺服器和在 Azure 本機上執行的 VM 的安全性建議,或 安全性警示,以監控其警示訊息。
