Installieren der Azure-Computerkonfigurationserweiterung
Defender for Cloud bewertet die Betriebssystemkonfiguration anhand von Windows- und Linux-Computesicherheitsbaselines von Microsoft Cloud Security Benchmark (MCSB).
Die für die Bewertung erforderlichen Informationen werden von der Azure-Computerkonfigurationserweiterung gesammelt (ehemals Azure Policy-Gastkonfiguration genannt).
In diesem Artikel wird beschrieben, wie Sie die Erweiterung bereitstellen.
Voraussetzungen
| Anforderung | Details |
|---|---|
| Planen | Um Betriebssystemempfehlungen basierend auf MCSB-Computesicherheitsbaselines zu erhalten, muss Defender for Servers Plan 2 aktiviert sein. |
| Computerunterstützung | Überprüfen Sie unterstützte Azure-VMs und Azure Arc-VMs, auf denen Windows und Linux ausgeführt wird. |
| Anforderungen für die Erweiterung | Überprüfen Sie die Anforderungen für die Erweiterungsbereitstellung für Azure-VMs. |
| Berechtigungen | Zum Anzeigen der Empfehlungen und Untersuchen der Betriebssystembaselinedaten ist die Leseberechtigung für das relevante Azure-Abonnement erforderlich. |
Hinweis
Die Sammlung mit der Computerkonfigurationserweiterung ersetzt die ältere Methode der Datensammlung, die den Log Analytics-Agent verwendet hat (auch bekannt als Microsoft Monitoring Agent oder MMA). Die Verwendung des MMA wird bis November 2024 unterstützt.
Installation auf AWS/GCP
Für AWS/GCP-Computer wird die Computerkonfiguration standardmäßig installiert, wenn Sie die Arc-Bereitstellung im AWS- oder GCP-Connector auswählen.
Installation auf lokalen Computern
Für lokale Computer wird die Computerkonfiguration standardmäßig aktiviert, wenn Sie lokale VMs als Azure Arc-fähige VMs integrieren.
Installation auf Azure-Computern
Wenn Defender for Servers Plan 2 aktiviert ist, können Sie die Computerkonfigurationserweiterung auf Computern mit einer Empfehlung von Defender for Cloud installieren.
Suchen Sie nach den entsprechenden Empfehlungen.
- Azure-Computer: Suchen Sie die Empfehlung Gastkonfigurationserweiterung sollte auf Computern installiert werden.
- Azure-VMs: Nur auf Azure-VMs müssen Sie dem Computer eine verwaltete Identität zuweisen. Suchen Sie dazu nach der Empfehlung Gastkonfigurationserweiterung für virtuelle Computer sollte mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden.
Implementieren Sie die Empfehlungen nach Bedarf.
Automatische Bereitstellung der Gastkonfigurationserweiterung
Für Azure-VMs können Sie die Installation der Gastkonfigurationserweiterung auf Azure-VMs im gesamten Abonnement automatisch bereitstellen.
Öffnen Sie in Defender for Cloud Umgebungseinstellungen>Ihr Abonnement>Einstellungen und Überwachung.
Wählen Sie unter Einstellungen die Option Gastkonfiguration aus.
Schalten Sie den Gastkonfigurations-Agent (Preview) auf Ein um.
Wählen Sie Weiter.
Wenn die Computerkonfigurationserweiterung auf dem Computer aktiviert ist, kann der Computer anhand von Windows- und Linux-Betriebssystembaselines bewertet werden.
Nächster Schritt
Überprüfen Sie die Empfehlungen zu Fehlkonfigurationen des Betriebssystems.