連線 已啟用 Azure Arc 的伺服器 適用於雲端的 Microsoft Defender
本文提供如何將已啟用 Azure Arc 的伺服器上架至 適用於雲端的 Microsoft Defender 的指引。 這可協助您開始收集安全性相關組態和事件記錄檔,以便建議動作並改善整體 Azure 安全性狀態。
在下列程式中,您會在 Azure 訂用帳戶上啟用和設定 適用於雲端的 Microsoft Defender 標準層。 這提供進階威脅防護和偵測功能。 此程式包括:
- 設定 Log Analytics 工作區,其中會匯總記錄和事件以供分析。
- 指派 適用於雲端的 Defender 預設安全策略。
- 檢閱 適用於雲端的 Defender 建議。
- 使用快速修正補救,在已啟用 Azure Arc 的伺服器上套用建議的設定。
重要
本文中的程式假設您已部署在內部部署或其他雲端上執行的 VM 或伺服器,而且您已將它們連線至 Azure Arc。如果您尚未這麼做,下列資訊可協助您自動執行這項作業。
- GCP Ubuntu 實例
- GCP Windows 實例
- AWS Ubuntu EC2 實例
- AWS Amazon Linux 2 EC2 實例
- VMware vSphere Ubuntu VM
- VMware vSphere Windows Server VM
- Vagrant Ubuntu 方塊
- Vagrant Windows 方塊
必要條件
複製 Azure Arc Jumpstart 存放庫。
git clone https://github.com/microsoft/azure_arc
如前所述,本指南從您已將 VM 或裸機伺服器部署至 Azure Arc 的位置開始。在此案例中,我們使用已連線到 Azure Arc 的 Google Cloud Platform (GCP) 實例,並顯示為 Azure 中的資源。 如下列螢幕快照所示:
安裝或更新 Azure CLI。 Azure CLI 應該執行 2.7 版或更新版本。 使用
az --version
來檢查您目前的已安裝版本。建立 Azure 服務主體。
若要將 VM 或裸機伺服器連線至 Azure Arc,則需要指派參與者角色的 Azure 服務主體。 若要建立它,請登入您的 Azure 帳戶,然後執行下列命令。 您也可以在 Azure Cloud Shell 中執行此命令。
az login az account set -s <Your Subscription ID> az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
例如:
az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
輸出應該看起來像這樣:
{ "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX", "displayName": "http://AzureArcServers", "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX", "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX" }
注意
強烈建議您將服務主體的範圍設定為特定的 Azure 訂用帳戶和資源群組。
上線 適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 收集的數據會儲存在Log Analytics工作區中。 您可以使用 適用於雲端的 Defender 所建立的預設預設值,或由您建立的自定義帳戶。 如果您想要建立專用工作區,您可以編輯 Azure Resource Manager 範本 (ARM 範本) 參數檔案來自動化部署,為您的工作區提供名稱和位置:
若要部署 ARM 範本,請瀏覽至 部署資料夾 ,然後執行下列命令:
az deployment group create --resource-group <Name of the Azure resource group> \ --template-file <The `log_analytics-template.json` template file location> \ --parameters <The `log_analytics-template.parameters.json` template file location>
如果您要使用使用者定義的工作區,您應該指示 適用於雲端的 Defender 使用,而不是透過下列命令使用預設工作區:
az security workspace-setting create --name default \ --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
選取 適用於雲端的 Microsoft Defender 層。 免費層預設會在所有 Azure 訂用帳戶上啟用,並提供持續的安全性評量和可採取動作的安全性建議。 在本指南中,您會使用適用於 Azure 虛擬機器 的標準層,以擴充這些功能,在混合式雲端工作負載中提供統一的安全性管理和威脅防護。 若要啟用 VM 適用於雲端的 Microsoft Defender 的標準層,請執行下列命令:
az security pricing create -n VirtualMachines --tier 'standard'
指派預設 適用於雲端的 Microsoft Defender 原則方案。 適用於雲端的 Defender 根據原則提出其安全性建議。 有一個特定方案,會將 適用於雲端的 Defender 原則分組,其定義標識碼
1f3afdf9-d0c9-4c3d-847f-89da613e70a8
為 。 下列命令會將 適用於雲端的 Defender 方案指派給您的訂用帳戶。az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \ --scope '/subscriptions/<Your subscription ID>' \ --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
Azure Arc 和 適用於雲端的 Microsoft Defender 整合
成功上線 適用於雲端的 Microsoft Defender 之後,您會收到可協助您保護資源的建議,包括已啟用 Azure Arc 的伺服器。 適用於雲端的 Defender 會定期分析 Azure 資源的安全性狀態,以識別潛在的安全性弱點。
在 [VM 和伺服器] 下的 [計算與應用程式] 區段中,適用於雲端的 Microsoft Defender 提供 VM 和計算機所有探索到的安全性建議概觀,包括 Azure VM、Azure 傳統 VM、伺服器和 Azure Arc 機器。
在已啟用 Azure Arc 的伺服器上,適用於雲端的 Microsoft Defender 建議安裝 Log Analytics 代理程式。 每個建議也包括:
- 建議的簡短描述。
- 在此案例中,安全分數會影響狀態為 High。
- 需要執行才能實作建議的補救步驟。
如需特定建議,例如在下列螢幕快照中,您也會取得 快速修正 ,讓您快速補救多個資源的建議。
下列補救 快速修正 是使用ARM範本在 Azure Arc 機器上部署Log Analytics代理程式擴充功能。
您可以從工作負載保護儀錶板使用 ARM 範本觸發補救,方法是選取用於 適用於雲端的 Microsoft Defender 的 Log Analytics 工作區,然後選擇 [補救 1 資源]。
在已啟用 Azure Arc 的伺服器套用建議之後,資源會標示為狀況良好。
清除您的環境
完成下列步驟以清除您的環境。
遵循每個指南的卸除指示,從每個環境移除虛擬機。
在 Azure CLI 中執行下列腳本,以移除 Log Analytics 工作區。 提供您在建立 Log Analytics 工作區時所使用的工作區名稱。
az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應