將已啟用 Azure Arc 的伺服器上線至適用於雲端的 Microsoft Defender

  • 5 分鐘

Tailwind Traders 已將其機器上線至已啟用 Azure Arc 的伺服器,現在想要將這些伺服器上線至適用於雲端的 Microsoft Defender。 在此單元中,您將了解如何透過啟用 Log Analytics,將已啟用 Azure Arc 的伺服器上線至適用於雲端的 Microsoft Defender。

透過 Azure Arc 新增非 Azure 電腦

因為您的 Azure VM 已經註冊為受控的 Azure 資源,所以必須重新設定 VM。 重新設定 VM 涉及移除延伸模組、停用 Azure VM 客體代理程式,以及封鎖 Azure IMDS 存取。 完成這三項變更之後,Azure VM 的行為就會像 Azure 外部的任何機器或伺服器一樣。 此重新設定的 Azure VM 可當成起點來安裝和評估已啟用 Azure Arc 的伺服器。

將非 Azure 機器新增至適用於雲端的 Microsoft Defender 的慣用方法是透過已啟用 Azure Arc 的伺服器。 透過已啟用 Azure Arc 的伺服器將機器連線至 Azure,會建立適用於混合式機器的 Azure 資源。 當您在已啟用 Arc 的伺服器上安裝 Log Analytics 代理程式時,混合式機器也會出現在適用於雲端的 Defender 中。 就像您的其他 Azure 資源一樣,已啟用 Arc 的伺服器在您的安全分數中也可以有安全性建議、一般警示以及可進行擷取。

適用於雲端的 Defender 的 Log Analytics 自動部署工具不支援執行 Azure Arc 的機器。Log Analytics 代理程式的部署選項包括:

  • 您可以從 Azure 入口網站部署適用於已啟用 Azure Arc 伺服器的延伸模組。 您也可以使用 PowerShell、Azure CLI 或透過 Azure Resource Manager (ARM) 範本部署。
  • 透過設定已啟用 Azure Arc 的 Linux 伺服器上的 Log Analytics 延伸模組 / 設定已啟用 Azure Arc 的 Windows 伺服器上的 Log Analytics 延伸模組原則定義的 Azure 原則。
  • Azure 自動化及其 PowerShell 和 Python 支援可自動化部署 Log Analytics 代理程式的 VM 延伸模組。

從 Azure 入口網站啟用 Log Analytics 的 VM 延伸模組

您可以透過 Azure 入口網站套用 VM 延伸模組至已啟用 Azure Arc 的伺服器受控機器:

  1. 在瀏覽器中,移至 Azure 入口網站

  2. 在入口網站中,搜尋並選取 [伺服器 - Azure Arc],然後從清單中選取您的混合式機器。

  3. 選擇 [延伸模組],然後選取 [新增]。 請從可用的延伸模組清單中選擇 Log Analytics 的 VM 延伸模組,然後遵循精靈中的指示。

    Screenshot of the Log Analytics VM Extension selection from the Azure portal.

  4. 若要完成安裝,請提供工作區識別碼和主索引鍵。

    Screenshot of Log Analytics VM Extension configuration with the correct workspace details

  5. 確認已提供的必要資訊之後,請選取 [檢閱 + 建立]。 隨即顯示部署的摘要,您可以檢閱部署的狀態。

確認您的部署

現在,您已可在同一位置檢視您的 Azure 機器和非 Azure 機器。 在適用於雲端的 Microsoft Defender 中開啟資產清查頁面,篩選至相關的資源類型。

在適用於雲端的 Microsoft Defender 中,資產清查頁面提供可檢視已連線資源及其安全性態勢的單一區域。 適用於雲端的 Defender 會定期分析連線至訂用帳戶的資源安全性狀態,找出潛在的安全性弱點。 然後提供您如何補救這些弱點的建議。