Freigeben über


Planen von Agents, Erweiterungen und Azure Arc für Defender for Servers

In diesem Artikel erfahren Sie, wie Sie Ihre Agents, Erweiterungen und Azure Arc-Ressourcen für Ihre Microsoft Defender for Servers-Bereitstellung planen.

Defender for Servers ist einer der kostenpflichtigen Pläne von Microsoft Defender for Cloud.

Voraussetzungen

Der vorliegende Artikel ist der fünfte Teil der Reihe „Planungshandbuch für Defender for Servers“. Bevor Sie beginnen, lesen Sie sich die vorherigen Artikel durch:

  1. Beginnen der Planung der Bereitstellung
  2. Verstehen der Speicherorte Ihrer Daten und Anforderungen an den Log Analytics-Arbeitsbereich
  3. Überprüfen von Defender for Servers-Zugriffsrollen
  4. Auswählen eines Plans für Defender for Servers

Überprüfen der Azure Arc-Anforderungen

Azure Arc unterstützt Sie beim Onboarding von Amazon Web Services (AWS), Google Cloud Platform (GCP) und lokalen Computern in Azure. Defender for Cloud nutzt Azure Arc für den Schutz von Nicht-Azure-Computern.

Grundlegende Funktionen zur Verwaltung der Cloudsicherheit

Für die kostenlosen grundlegenden CSPM-Features (Cloud Security Posture Management, Verwaltung des Cloudsicherheitsstatus) für AWS- und GCP-Computer ist Azure Arc nicht erforderlich.Für den vollen Funktionsumfang hingegen wird die Ausführung von Azure Arc auf AWS- oder GCP-Computern empfohlen.

Für lokale Computer ist das Azure Arc-Onboarding erforderlich.

Defender für Server-Plan

Um Defender for Servers verwenden zu können, müssen alle AWS-, GCP- und lokalen Computer Azure Arc-fähig sein.

Mithilfe des AWS- oder GCP-Multi-Cloud-Connectors können Sie den Azure Arc-Agent automatisch in Ihre AWS- oder GCP-Server einbinden.

Planen der Azure Arc-Bereitstellung

So planen Sie die Azure Arc-Bereitstellung

  1. Überprüfen Sie die Azure Arc Planungsempfehlungen und die Voraussetzungen für die Bereitstellung.

  2. Öffnen Sie die Netzwerkports für Azure Arc in Ihrer Firewall.

  3. Azure Arc installiert den Connected Machine-Agent, um eine Verbindung mit den Computern herzustellen und Computer zu verwalten, die außerhalb von Azure gehostet werden. Überprüfen Sie die folgenden Informationen:

Log Analytics-Agent und Azure Monitor-Agent

Hinweis

Da der Log Analytics-Agent im August 2024 eingestellt wird und im Rahmen der Strategie für Defender for Cloud aktualisiert wurde, werden alle Defender for Server-Features und -Funktionen entweder durch Microsoft Defender for Endpoint Integration oder ohne Agent-Überprüfung bereitgestellt, ohne dass eine Abhängigkeit vom Log Analytics-Agent (MMA) oder dem Azure Monitor-Agent (AMA) besteht. Daher wird der Prozess der gemeinsamen automatischen Bereitstellung für beide Agents entsprechend angepasst. Weitere Informationen zu dieser Änderung finden Sie in dieser Ankündigung.

Defender for Cloud verwendet den Log Analytics- und den Azure Monitor-Agent, um Informationen von über Computeressourcen zu sammeln. Diese Daten werden anschließend zur weiteren Analyse an einen Log Analytics-Arbeitsbereich gesendet. Überprüfen Sie die Unterschiede und Empfehlungen für beide Agents.

Die folgende Tabelle beschreibt die Agents, die in Defender for Servers verwendet werden:

Funktion Log Analytics-Agent Azure Monitor-Agent
Grundlegende CSPM-Empfehlungen (kostenlos), die vom Agent abhängen: Baselineempfehlung für Betriebssysteme (Azure-VMs)

Vom Azure Monitor-Agent wird die Azure Policy-Richtlinie Gastkonfigurationserweiterung verwendet.
Grundlegende CSPM-Features: Empfehlungen zu Systemupdates (Azure-VMs) Noch nicht verfügbar.
Grundlegende CSPM-Features: Empfehlungen zu Antischadsoftware/Endpunktschutz (Azure-VMs)
Angriffserkennung auf Betriebssystem- und Netzwerkebene, einschließlich Erkennung dateiloser Angriffe

Plan 1 basiert auf Defender for Endpoint-Funktionen für Angriffserkennung.


Plan 2


Plan 2
Überwachung der Dateiintegrität (nur Plan 2)

Qualys-Erweiterung

Die Qualys-Erweiterung ist in Defender for Servers-Plan 2 verfügbar. Sie wird bereitgestellt, wenn Sie Qualys für die Sicherheitsrisikobewertung nutzen möchten.

Weitere Informationen finden Sie hier:

  • Die Qualys-Erweiterung sendet abhängig von Ihrer Azure-Region Metadaten zur Analyse an eine von zwei Qualys-Rechenzentrumsregionen.

    • Wenn Sie in einer europäischen Azure-Region tätig sind, erfolgt die Datenverarbeitung im Europäischen Rechenzentrum von Qualys.
    • In anderen Regionen werden Daten im US-Rechenzentrum verarbeitet.
  • Um Qualys auf einem Rechner zu verwenden, muss die Erweiterung installiert sein, und der Computer muss mit dem entsprechenden Netzwerkendpunkt kommunizieren können:

    • Rechenzentrum in Europa: https://qagpublic.qg2.apps.qualys.eu
    • Rechenzentrum in den USA: https://qagpublic.qg3.apps.qualys.com

Gastkonfigurationserweiterung

Die Erweiterung führt Überwachungs- und Konfigurationsvorgänge in VMs aus.

  • Wenn Sie den Azure Monitor-Agent verwenden, nutzt Defender for Cloud diese Erweiterung, um die Einstellungen der Sicherheitsbaseline für Betriebssysteme auf Windows- und Linux-Computern zu analysieren.
  • Obwohl Azure Arc-fähige Server und die Gastkonfigurationserweiterung kostenfrei sind, können zusätzliche Kosten anfallen, wenn Sie Gastkonfigurationsrichtlinien auf Azure Arc-Servern außerhalb des Geltungsbereichs von Defender for Cloud verwenden.

Erfahren Sie mehr über die Gastkonfigurationserweiterung von Azure Policy.

Defender for Endpoint-Erweiterungen

Wenn Sie Defender for Servers aktivieren, stellt Defender for Cloud automatisch eine Defender for Endpoint-Erweiterung bereit. Die Erweiterung ist eine Verwaltungsschnittstelle, die ein Skript im Betriebssystem ausführt, um den Defender for Endpoint-Sensor auf dem Computer bereitzustellen und zu integrieren.

Die meisten Defender for Endpoint-Dienste können über *.endpoint.security.microsoft.com oder über die Defender for Endpoint-Diensttags erreicht werden. Stellen Sie sicher, dass Sie mit dem Defender for Endpoint-Dienst verbunden sind und die Anforderungen für automatische Updates und andere Features kennen.

Überprüfen der Betriebssystemunterstützung

Überprüfen Sie vor der Bereitstellung von Defender for Servers, ob das Betriebssystem die Agents und Erweiterungen unterstützt:

Überprüfen der Agent-Bereitstellung

Wenn Sie Pläne in Defender for Cloud (einschließlich Defender for Servers) aktivieren, können Sie festlegen, dass die für Defender for Servers relevanten Agents automatisch bereitgestellt werden:

  • Log Analytics-Agent und Azure Monitor-Agent für Azure-VMs
  • Log Analytics-Agent und Azure Monitor-Agent für Azure Arc-VMs
  • Qualys-Agent
  • Gastkonfigurations-Agent

Wenn Sie Defender for Servers-Plan 1 oder -Plan 2 aktivieren, wird die Defender for Endpoint-Erweiterung automatisch auf allen unterstützten Computern im Abonnement bereitgestellt.

Überlegungen zur Bereitstellung

Die folgende Tabelle beschreibt, was bei der Bereitstellung zu beachten ist:

Bereitstellung Details
Defender for Endpoint-Sensor Wenn auf Computern Microsoft Antimalware ausgeführt wird, auch als System Center Endpoint Protection (SCEP) bezeichnet, entfernt die Windows-Erweiterung dieses Tool automatisch vom Computer.

Wenn Sie die Bereitstellung auf einem Computer durchführen, auf dem bereits der Defender for Endpoint-Sensor für den Legacy-Microsoft Monitoring Agent (MMA) ausgeführt wird, wird nach erfolgreicher Installation der einheitlichen Defender for Cloud/Defender for Endpoint-Lösung der Legacysensor von der Erweiterung beendet und deaktiviert. Die Änderung ist transparent, und der Schutzverlauf des Computers wird beibehalten.
AWS- und GCP-Computer Konfigurieren Sie für diese Computer die automatische Bereitstellung, wenn Sie den AWS- oder GCP-Connector einrichten.
Manuelle Installation Wenn Sie nicht möchten, dass Defender for Cloud den Log Analytics-Agent und den Azure Monitor-Agent bereitstellt, können Sie die Agents manuell installieren.

Sie können den Agent mit dem Standardarbeitsbereich von Defender for Cloud oder einem benutzerdefinierten Arbeitsbereich verbinden.

Für den Arbeitsbereich muss SecurityCenterFree (für kostenlose grundlegende CSPM-Features) oder die Sicherheitslösung (Defender for Servers-Plan 2) aktiviert sein.
Direktes Ausführen des Log Analytics-Agents Wenn auf einer Windows-VM der Log Analytics-Agent zwar ausgeführt wird, aber nicht als VM-Erweiterung, installiert Defender for Cloud die Erweiterung. Der Agent meldet Daten an den Defender for Cloud-Arbeitsbereich und an den vorhandenen Agent-Arbeitsbereich.

Auf Linux-VMs wird das Multi-Homing nicht unterstützt. Wenn bereits ein Agent vorhanden ist, wird der Log Analytics-Agent nicht automatisch bereitgestellt.
Operations Manager-Agent Der Log Analytics-Agent kann parallel zum Operations Manager-Agent ausgeführt werden. Die Agents nutzen gemeinsame Laufzeitbibliotheken, die bei der Bereitstellung des Log Analytics-Agents aktualisiert werden.
Entfernen der Log Analytics-Erweiterung Wenn Sie die Log Analytics-Erweiterung entfernen, kann Defender for Cloud keine Sicherheitsdaten und -empfehlungen sammeln, und es werden keine Warnungen ausgegeben. Defender for Cloud stellt innerhalb von 24 Stunden fest, dass die Erweiterung fehlt und installiert sie erneut.

Wann sollte die automatische Bereitstellung deaktiviert werden?

In der folgenden Tabelle wird beschrieben, in welchen Fällen Sie die automatische Bereitstellung deaktivieren können:

Situation Relevanter Agent Details
Sie verfügen über kritische VMs, auf denen keine Agents installiert sein sollten Log Analytics-Agent, Azure Monitor-Agent Die automatische Bereitstellung gilt für ein gesamtes Abonnement. Sie können sie für bestimmte Computer nicht deaktivieren.
Sie führen System Center Operations Manager-Agent-Version 2012 mit Operations Manager 2012 aus Log Analytics-Agent Aktivieren Sie bei dieser Konfiguration nicht die automatische Bereitstellung, da möglicherweise Verwaltungsfunktionen verloren gehen.
Sie möchten einen benutzerdefinierten Arbeitsbereich konfigurieren. Log Analytics-Agent, Azure Monitor-Agent Sie haben bei einem benutzerdefinierten Arbeitsbereich zwei Optionen:

– Deaktivieren Sie die automatische Bereitstellung, wenn Sie Defender for Cloud zum ersten Mal einrichten. Konfigurieren Sie dann die Bereitstellung in Ihrem benutzerdefinierten Arbeitsbereich.

– Führen Sie eine automatische Bereitstellung durch, um die Log Analytics-Agents auf den Computern zu installieren. Legen Sie einen benutzerdefinierten Arbeitsbereich fest, und rekonfigurieren Sie dann vorhandene VMs mit der neuen Arbeitsbereichseinstellung.

Nächste Schritte

Nachdem Sie diese Planungsschritte durchgearbeitet haben, können Sie mit der Bereitstellung beginnen: