在運算子連接點訂用帳戶上設定適用於雲端的 Defender 安全性環境
本指南提供如何啟用適用於雲端的 Microsoft Defender 以及啟動和設定其增強式安全性方案選項的指示,這些選項可用來保護運算子連接點裸機計算伺服器和工作負載。
開始之前
為了協助您了解適用於雲端的 Defender 及其許多安全性功能,適用於雲端的 Microsoft Defender 文件網站提供各種不同的資料,您可能會覺得有所幫助。
必要條件
若要成功完成本指南中的動作:
- 您必須擁有 Azure 運算子連接點訂用帳戶。
- 您必須在內部部署環境中執行已部署的 Azure Arc 連線運算子連接點執行個體。
- 您必須在訂用帳戶中使用 Azure 入口網站使用者帳戶搭配擁有者、參與者或讀者角色。
啟用適用於雲端的 Defender
在運算子連接點訂用帳戶上啟用適用於雲端的 Microsoft Defender 很簡單,並可立即讓您存取其免費的內含安全性功能。 若要開啟適用於雲端的 Defender:
- 登入 Azure 入口網站。
- 在頂端的搜尋方塊中,輸入「適用於雲端的Defender」。
- 選取[服務] 之下的 [適用於雲端的 Microsoft Defender]。
當適用於雲端的 Defender 概觀頁面開啟時,您已在訂用帳戶上成功啟動適用於雲端的 Defender。 概觀頁面是互動式儀表板使用者體驗,可提供運算子連接點安全性態勢的全方位檢視。 它會顯示安全性警示、涵蓋範圍資訊等等。 使用此儀表板,您可以評估工作負載的安全性,並找出並降低風險。
啟動適用於雲端的 Defender 之後,您可選擇啟用適用於雲端的 Defender 增強式安全性功能,以提供重要的伺服器和工作負載保護:
- 適用於伺服器的 Defender
- 適用於端點的 Defender – 透過適用於伺服器的 Defender 提供
- 適用於容器的 Defender
設定適用於伺服器的 Defender 方案來保護裸機伺服器
若要利用適用於端點的 Microsoft Defender 所提供的內部部署裸機電腦 (BMM) 計算伺服器的新增安全性保護,您可以在運算子連接點訂用帳戶上啟用和設定適用於伺服器的 Defender 方案。
必要條件
- 您的訂用帳戶必須啟用適用於雲端的 Defender。
若要設定適用於伺服器的 Defender 方案:
- 在適用於雲端的 Defender 之下開啟適用於伺服器的 Defender 方案功能。
- 選取其中一個適用於伺服器的 Defender 方案。
- 在 [Defender 方案] 頁面上,按一下 [監視涵蓋範圍] 資料行底下伺服器的 [設定] 連結。 [設定與監視] 頁面將會開啟。
- 確定 [Log Analytics 代理程式/Azure 監視器代理程式] 設定為 [關閉]。
- 確定 [Endpoint Protection] 設定為 [關閉]。
- 按一下 [繼續] 以儲存任何變更的設定。
啟用適用於端點的 Defender 的運算子連接點特定需求
重要
在運算子連接點中,適用於端點的 Microsoft Defender 會依據每個叢集啟用,而不是一次跨所有叢集啟用,這是在適用於伺服器的 Defender 中啟用 Endpoint Protection 設定時的預設行為。 若要要求在一或多個內部部署工作負載叢集中開啟 Endpoint Protection,您必須開啟 Microsoft 支援票證,而支援小組後續會執行啟用動作。 在開啟票證之前,您的訂用帳戶中必須有作用中的適用於伺服器的 Defender 方案。
一旦 Microsoft 支援啟用適用於端點的 Defender,其組態是由平台管理,以確保最佳的安全性和效能,並降低設定錯誤的風險。
設定適用於容器的 Defender 方案以保護 Azure Kubernetes Service 叢集工作負載
您可以在訂用帳戶上啟用並設定適用於容器的 Defender 方案,以保護執行操作員工作負載的內部部署 Kubernetes 叢集。
必要條件
- 您的訂用帳戶必須啟用適用於雲端的 Defender。
若要設定適用於容器的 Defender 方案:
- 在適用於雲端的 Defender 之下開啟適用於容器的 Defender 方案功能。
- 在 [Defender 方案] 頁面上,按一下 [監視涵蓋範圍] 資料行底下容器的 [設定] 連結。 [設定與監視] 頁面將會開啟。
- 確定 [DefenderDaemonSet] 設定為 [關閉]。
- 確定 [適用於 Kubernetes 的 Azure 原則] 設定為 [關閉]。
- 按一下 [繼續] 以儲存任何變更的設定。
