閱讀英文

共用方式為

部署適用於伺服器的 Defender

  • 發行項

適用於雲端的 Microsoft Defender 中的適用於伺服器的Defender會保護在 Azure、Amazon Web Services (AWS)、Google 雲端平臺 (GCP) 和內部部署環境中執行的 Windows 和 Linux 虛擬機 (VM)。 適用於伺服器的 Defender 提供改善電腦安全性狀態的建議,並保護機器免於安全性威脅。

本文可協助您部署適用於伺服器的Defender方案。

注意

啟用方案之後,就會開始 30 天的試用期間。 此試用期間無法停止、暫停或延長。 若要充分利用完整的 30 天試用版, 請規劃您的評估目標

必要條件

需求 詳細資料
規劃部署 檢閱 適用於伺服器的Defender規劃指南

檢查部署和使用計劃所需的 許可權、 選擇方案和部署範圍,以及 了解數據的收集和儲存方式。
比較方案功能 了解及比較 適用於伺服器的 Defender 方案功能。
檢閱定價 在 適用於雲端的 Defender 定價頁面上檢閱適用於伺服器的Defender定價
取得 Azure 訂用帳戶 您需要 Microsoft Azure 訂用帳戶。 如有需要,請註冊免費 註冊。
開啟 適用於雲端的 Defender 請確定訂用帳戶中提供 適用於雲端的 Defender。
將 AWS/GCP 機器上線 若要保護 AWS 和 GCP 機器,請將 AWS 帳戶GCP 專案連線到 適用於雲端的 Defender。

根據預設,連線程式會將機器上線為已啟用 Azure Arc 的 VM。
將內部部署機器上線 將內部部署機器上線為 Azure Arc VM ,以取得適用於伺服器的 Defender 中的完整功能。

如果您直接 安裝適用於端點的 Defender 代理程式 而非上線 Azure Arc,讓內部部署機器上線,則只有方案 1 功能可供使用。 在適用於伺服器的 Defender 方案 2 中,除了方案 1 功能之外,您只能取得進階 Defender 弱點管理功能。
檢閱支援需求 檢查 適用於伺服器的 Defender 需求和支持 資訊。
利用 500 MB 免費數據擷取 啟用適用於伺服器的 Defender 方案 2 時,可用的免費 500 MB 數據擷取優點適用於特定資料類型。 瞭解需求並設定免費數據擷取
Defender 整合 適用於端點的Defender和適用於弱點管理的Defender預設會在適用於雲端的 Defender中整合。

當您啟用適用於伺服器的 Defender 時,您會同意適用於伺服器的 Defender 方案,以存取與弱點、已安裝的軟體和端點警示相關的適用於端點的 Defender 資料。
在資源層級啟用 雖然我們建議為訂用帳戶啟用適用於伺服器的 Defender,但如有需要,您可以針對 Azure VM、已啟用 Azure Arc 的伺服器和 Azure 虛擬機器擴展集,在資源層級啟用 Defender。

您可以在資源層級啟用方案 1。

您可以在資源層級停用方案 1 和方案 2。

在 Azure、AWS 或 GCP 上啟用

您可以為 Azure 訂用帳戶、AWS 帳戶或 GCP 專案啟用適用於伺服器的 Defender 方案。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]

  4. 選取相關的 Azure 訂用帳戶、AWS 帳戶或 GCP 專案。

  5. 在 [Defender 方案] 頁面上,將 [伺服器] 切換為 [開啟]

    顯示如何將適用於伺服器的 Defender 方案切換為開啟的螢幕擷取畫面。

  6. 根據預設,這會開啟適用於伺服器的 Defender 方案 2。 如果您想要切換方案,請選取 [ 變更方案]。

    顯示您在 [環境設定] 頁面上選取變更方案的螢幕擷取畫面。

  7. 在彈出視窗中,選取 [方案 2] 或 [方案 1]

    快顯視窗的螢幕擷取畫面,您可以在其中選取方案 1 或方案 2。

  8. 選取確認

  9. 選取 [儲存]。

啟用方案之後,您就能夠設定方案的功能,以符合您的需求。

在訂用帳戶上停用

  1. 在適用於雲端的 Defender 中,選取 [環境設定]
  2. 將方案切換為 [ 關閉]。

注意

如果您在 Log Analytics 工作區上啟用適用於伺服器的 Defender 方案 2,您必須明確停用它。 若要這樣做,請流覽至工作區的方案頁面,並將切換開關切換為 [關閉]。

在資源層級啟用適用於伺服器的 Defender

雖然我們建議您為整個 Azure 訂用帳戶啟用方案,但您可能需要混合方案、排除特定資源,或只在特定機器上啟用適用於伺服器的 Defender。 若要這樣做,您可以在資源層級啟用或停用適用於伺服器的 Defender。 開始之前,請先檢閱 部署範圍選項

在個別電腦上設定

在特定電腦上啟用和停用方案。

在具有 REST API 的電腦上啟用方案 1

  1. 若要為機器啟用方案 1,請在 [更新定價] 中建立具有端點的 PUT 要求。

  2. 在 PUT 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。

    rest 
        PUT
    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01

  3. 新增此要求本文。

    JSON 
    {
 "properties": {
"pricingTier": "Standard",
"subPlan": "P1"
  }
}

使用 REST API 停用電腦上的方案

  1. 若要在機器層級停用適用於伺服器的 Defender,請使用端點建立 PUT 要求。

  2. 在 PUT 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。

    rest 
        PUT
    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01

  3. 新增此要求本文。

    JSON 
    {
 "properties": {
"pricingTier": "Free",
  }
}

使用 REST API 移除資源層級設定

  1. 若要使用 REST API 移除機器層級設定,請使用端點建立 DELETE 要求。

  2. 在 DELETE 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。

    rest 
        DELETE
    https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01

大規模設定多部機器

使用文稿啟用方案 1

  1. 下載此檔案,並儲存為 PowerShell 檔案。
  2. 執行下載的檔案。
  3. 視需要自定義。 依標記或依資源群組選取資源。
  4. 遵循螢幕上其餘的指示操作。

使用 Azure 原則 啟用方案 1(在資源群組上)

  1. 登入 Azure 入口網站 並流覽至原則儀錶板。
  2. 在 [原則] 儀表板中,從左側功能表選取 [定義]
  3. 在 [資訊安全中心 – 細微定價] 類別中,搜尋 ,然後針對所有資源 (資源層級) 選取 [設定適用於伺服器的 Azure Defender] 來啟用 (具有 'P1' 子計劃)。 此原則可在指派範圍下的所有資源上啟用適用於伺服器的 Defender 方案 1(Azure VM、VMSS 和已啟用 Azure Arc 的伺服器)。
  4. 選取原則並檢閱。
  5. 選取 [ 指派 ],然後根據您的需求編輯指派詳細數據。 在 [基本] 索引標籤中,選取 [範圍],選取相關的資源群組。
  6. 在 [補救] 索引卷標中,選取 [建立補救工作]。
  7. 編輯所有詳細數據之後,請選取 [檢閱 + 建立]。 然後選取建立

使用 Azure 原則 啟用專案 1 (在資源標記上)

  1. 登入 Azure 入口網站 並流覽至 [原則] 儀錶板。
  2. 在 [原則] 儀表板中,從左側功能表選取 [定義]
  3. 在 [ 資訊安全中心 – 細微定價 ] 類別中,搜尋並選取 [為伺服器設定要啟用的 Azure Defender] (含 'P1' 子計劃),以取得具有所選卷標的所有資源。 此原則可在指派範圍下的所有資源上啟用適用於伺服器的 Defender 方案 1(Azure VM、VMSS 和已啟用 Azure Arc 的伺服器)。
  4. 選取原則並檢閱。
  5. 選取 [ 指派 ],然後根據您的需求編輯指派詳細數據。
  6. 在 [參數] 索引標籤中,清除 [僅顯示需要輸入或檢閱的參數]
  7. [包含標籤名稱] 中,輸入自定義標籤名稱。 在 [包含標籤] 陣列中 輸入標記的值
  8. 在 [補救] 索引卷標中,選取 [建立補救工作]。
  9. 編輯所有詳細數據之後,請選取 [檢閱 + 建立]。 然後選取建立

使用腳本停用計劃

  1. 下載此檔案,並儲存為 PowerShell 檔案。
  2. 執行下載的檔案。
  3. 視需要自定義。 依標記或依資源群組選取資源。
  4. 遵循螢幕上其餘的指示操作。

使用 Azure 原則 停用機制(適用於資源群組)

  1. 登入 Azure 入口網站 並流覽至原則儀錶板。
  2. 在 [原則] 儀表板中,從左側功能表選取 [定義]
  3. 在 [資訊安全中心 – 細微定價] 類別中,搜尋 ,然後選取 [設定要停用所有資源的 Azure Defender 伺服器] (資源層級)。 此原則會在指派範圍下停用所有資源上的適用於伺服器的 Defender(Azure VM、VMSS 和已啟用 Azure Arc 的伺服器)。
  4. 選取原則並檢閱。
  5. 選取 [ 指派 ],然後根據您的需求編輯指派詳細數據。 在 [基本] 索引標籤中,選取 [範圍],選取相關的資源群組。
  6. 在 [補救] 索引卷標中,選取 [建立補救工作]。
  7. 編輯所有詳細數據之後,請選取 [檢閱 + 建立]。 然後選取建立

使用 Azure 原則 停用機制(適用於資源標籤)

  1. 登入 Azure 入口網站 並流覽至 [原則] 儀錶板。
  2. 在 [原則] 儀表板中,從左側功能表選取 [定義]
  3. 在 [ 資訊安全中心 – 細微定價 ] 類別中,搜尋 ,然後選取 [設定適用於伺服器的 Azure Defender] 以停用具有所選卷標的資源(資源層級)。 此原則會根據您定義的標籤,停用指派範圍下所有資源的 Defender for Servers(Azure VM、VMSS 和已啟用 Azure Arc 的伺服器)。
  4. 選取原則並檢閱。
  5. 選取 [ 指派 ],然後根據您的需求編輯指派詳細數據。
  6. 在 [參數] 索引標籤中,清除 [僅顯示需要輸入或檢閱的參數]
  7. [包含標籤名稱] 中,輸入自定義標籤名稱。 在 [包含標籤] 陣列中 輸入標記的值
  8. 在 [補救] 索引卷標中,選取 [建立補救工作]。
  9. 編輯所有詳細數據之後,請選取 [檢閱 + 建立]。 然後選取建立

使用文稿移除每個資源群組 ( 資源群組或標籤 )

  1. 下載此檔案,並儲存為 PowerShell 檔案。
  2. 執行下載的檔案。
  3. 視需要自定義。 依標記或依資源群組選取資源。
  4. 遵循螢幕上其餘的指示操作。

下一步