Verbinden von Hybrid-Cloud- und Multicloud-Umgebungen mit Microsoft Defender für Cloud

  • 7 Minuten

Die Verbindung von Hybrid-Cloud- und Multicloud-Umgebungen mit Microsoft Defender für Cloud ist entscheidend, um einen einheitlichen Sicherheitsstatus über verschiedene IT-Landschaften hinweg aufrechtzuerhalten. Mit Azure Arc-aktivierten Servern für Nicht-Azure-Computer, den nativen Cloud Connector und den klassischen Connector können Sie die Funktionen von Microsoft Defender für Cloud auf Nicht-Azure-Ressourcen erweitern. Diese Integration ermöglicht Es Ihnen, Sicherheitsbedrohungen umfassend zu überwachen, zu erkennen und darauf zu reagieren. Hier bieten wir einen informativen Überblick über den Prozess sowie detaillierte Anforderungen für eine erfolgreiche Verbindung.

Verbinden Ihrer Nicht-Azure-Computer mit Microsoft Defender for Cloud

Microsoft Defender für Cloud kann den Sicherheitsstatus Ihrer Nicht-Azure-Computer überwachen, aber zuerst müssen Sie sie mit Azure verbinden.

Sie können Ihre Nicht-Azure-Computer auf eine der folgenden Arten verbinden:

  • Onboarding mit Azure Arc:

    • Mithilfe von Azure Arc-fähigen Servern (empfohlen)
    • Mithilfe des Azure-Portals

  • Direktes Onboarding mit Microsoft Defender für Endpunkt

Verbinden lokaler Computer mithilfe von Azure Arc

Ein Computer mit Azure Arc-fähigen Servern wird zu einer Azure-Ressource. Wenn Sie den Log Analytics-Agent darauf installieren, wird er in Defender für Cloud mit Empfehlungen wie Ihren anderen Azure-Ressourcen angezeigt.

Azure Arc-fähige Server bieten erweiterte Funktionen, z. B. das Aktivieren von Gastkonfigurationsrichtlinien auf dem Computer und die Vereinfachung der Bereitstellung mit anderen Azure-Diensten. Eine Übersicht über die Vorteile von Azure Arc-fähigen Servern finden Sie unter "Unterstützte Cloudvorgänge".

Um Azure Arc auf einem Computer bereitzustellen, befolgen Sie die Anweisungen in der Schnellstartanleitung: Verbinden von Hybridcomputern mit Azure Arc-fähigen Servern.

Um Azure Arc auf mehreren Computern im großen Maßstab bereitzustellen, befolgen Sie die Anweisungen in "Verbinden von Hybridcomputern mit Azure im großen Maßstab".To deploy Azure at scale, follow the instructions in Connect hybrid machines to Azure at scale.

Defender for Cloud tools for automatically deploying the Log Analytics agent work with machines running Azure Arc. Diese Funktion befindet sich derzeit jedoch in der Vorschau. Wenn Sie Ihre Computer mithilfe von Azure Arc verbinden, verwenden Sie die entsprechende Defender for Cloud-Empfehlung, um den Agent bereitzustellen und von den vollständigen Schutzbereichen zu profitieren, die Defender für Cloud bietet:

  • Log Analytics-Agent sollte auf Ihren Linux-basierten Azure Arc-Computern installiert sein
  • Log Analytics-Agent sollte auf Ihren Windows-basierten Azure Arc-Computern installiert sein

Verbinden Ihres AWS-Kontos mit Microsoft Defender for Cloud

Workloads umfassen häufig mehrere Cloudplattformen. Cloudsicherheitsdienste müssen dasselbe tun. Microsoft Defender für Cloud trägt zum Schutz von Workloads in Amazon Web Services (AWS) bei, aber Sie müssen die Verbindung zwischen ihnen und Defender for Cloud einrichten.

Wenn Sie ein AWS-Konto verbinden, das Sie zuvor über den klassischen Connector verbunden haben, müssen Sie es zuerst entfernen. Die Verwendung eines AWS-Kontos, das sowohl von klassischen als auch nativen Connectors verbunden ist, kann doppelte Empfehlungen liefern.

Voraussetzungen

Um die Verfahren in diesem Artikel abzuschließen, benötigen Sie Folgendes:

  • Ein Microsoft Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie sich kostenlos registrieren.
  • Microsoft Defender für Cloud ist in Ihrem Azure-Abonnement eingerichtet.
  • Zugriff auf ein AWS-Konto.
  • Berechtigung "Mitwirkender" für das entsprechende Azure-Abonnement und Administratorberechtigungen für das AWS-Konto.

Defender für Container

Wenn Sie den Microsoft Defender für Container-Plan auswählen, benötigen Sie Folgendes:

  • Mindestens ein Amazon EKS-Cluster mit Zugriffsberechtigung auf den EKS Kubernetes-API-Server.
  • Die Ressourcenkapazität zum Erstellen einer neuen SQS-Warteschlange (Amazon Simple Queue Service), kinesis Data Firehose-Übermittlungsstreams und Amazon S3-Buckets in der Region des Clusters.

Defender für SQL

Wenn Sie den Microsoft Defender für SQL-Plan auswählen, benötigen Sie Folgendes:

  • Microsoft Defender für SQL ist in Ihrem Abonnement aktiviert. Erfahren Sie, wie Sie Ihre Datenbanken schützen.
  • Ein aktives AWS-Konto mit EC2-Instanzen, in denen SQL Server oder relationaler Datenbankdienst (RELATIONAL Database Service, RDS) für SQL Server ausgeführt wird.
  • Azure Arc für Server, die auf Ihren EC2-Instanzen oder RDS Custom für SQL Server installiert sind.

Es wird empfohlen, azure Arc mit dem automatischen Bereitstellungsprozess auf allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Um die automatische Bereitstellung von Azure Arc zu aktivieren, benötigen Sie die Berechtigung "Besitzer" für das entsprechende Azure-Abonnement.

AWS Systems Manager (SSM) verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Einige Amazon Machine Images haben den SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agent verfügen, installieren Sie ihn mithilfe dieser Anweisungen von Amazon: Installieren Sie SSM-Agent für eine Hybrid- und Multicloud-Umgebung (Windows).

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt. Es ermöglicht kernige Funktionen für den AWS Systems Manager-Dienst.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

  • Microsoft Defender für Endpunkt
  • Eine Lösung zur Sicherheitsrisikobewertung (Bedrohungs- und Sicherheitsrisikoverwaltung oder Qualys)
  • Der Log Analytics-Agent auf mit Azure Arc verbundenen Computern oder dem Azure Monitor-Agent

Stellen Sie sicher, dass der ausgewählte Log Analytics-Arbeitsbereich eine Sicherheitslösung installiert hat. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und Google Cloud Platform (GCP)-Projekte unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Defender für Server

Wenn Sie den Microsoft Defender für Server-Plan auswählen, benötigen Sie Folgendes:

  • Microsoft Defender für Server, die für Ihr Abonnement aktiviert sind. Erfahren Sie, wie Sie Pläne in "Erweiterte Sicherheitsfeatures aktivieren" aktivieren.
  • Ein aktives AWS-Konto mit EC2-Instanzen.
  • Azure Arc für Server, die auf Ihren EC2-Instanzen installiert sind.

Es wird empfohlen, azure Arc mit dem automatischen Bereitstellungsprozess auf allen vorhandenen und zukünftigen EC2-Instanzen zu installieren. Um die automatische Bereitstellung von Azure Arc zu aktivieren, benötigen Sie die Berechtigung "Besitzer" für das entsprechende Azure-Abonnement.

AWS Systems Manager verwaltet die automatische Bereitstellung mithilfe des SSM-Agents. Einige Amazon Machine Images haben den SSM-Agent bereits vorinstalliert. Wenn Ihre EC2-Instanzen nicht über den SSM-Agent verfügen, installieren Sie ihn mithilfe einer der folgenden Anweisungen von Amazon:

  • Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Windows)
  • Installieren des SSM-Agents für eine Hybrid- und Multicloud-Umgebung (Linux)

Stellen Sie sicher, dass Ihr SSM-Agent über die verwaltete Richtlinie AmazonSSMManagedInstanceCore verfügt, die kernfunktionen für den AWS Systems Manager-Dienst ermöglicht.

Wenn Sie Azure Arc manuell auf Ihren vorhandenen und zukünftigen EC2-Instanzen installieren möchten, sollten Sie die EC2-Instanzen mit Azure Arc-Empfehlung verbinden, um Instanzen zu identifizieren, die Azure Arc nicht installiert haben.

Aktivieren Sie diese anderen Erweiterungen auf den mit Azure Arc verbundenen Computern:

  • Microsoft Defender für Endpunkt
  • Eine Lösung zur Sicherheitsrisikobewertung (Bedrohungs- und Sicherheitsrisikoverwaltung oder Qualys)
  • Der Log Analytics-Agent auf mit Azure Arc verbundenen Computern oder dem Azure Monitor-Agent

Stellen Sie sicher, dass der ausgewählte Log Analytics-Arbeitsbereich eine Sicherheitslösung installiert hat. Der Log Analytics-Agent und der Azure Monitor-Agent sind derzeit auf Abonnementebene konfiguriert. Alle Ihre AWS-Konten und GCP-Projekte unter demselben Abonnement erben die Abonnementeinstellungen für den Log Analytics-Agent und den Azure Monitor-Agent.

Defender for Servers weist Ihren AWS-Ressourcen Tags zu, um den automatischen Bereitstellungsprozess zu verwalten. Diese Tags müssen Ihren Ressourcen ordnungsgemäß zugewiesen sein, damit Defender für Cloud sie verwalten kann: AccountId, Cloud, InstanceIdund MDFCSecurityConnector.

Defender CSPM

Wenn Sie den Microsoft Defender Cloud Security Posture Management-Plan auswählen, benötigen Sie Folgendes:

  • Ein Azure-Abonnement. Wenn Sie nicht über ein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
  • Sie müssen Microsoft Defender für Cloud in Ihrem Azure-Abonnement aktivieren.
  • Verbinden Sie Ihre Nicht-Azure-Computer, AWS-Konten.
  • Um Zugriff auf alle features zu erhalten, die über den CSPM-Plan verfügbar sind, muss der Plan vom Abonnementbesitzer aktiviert werden.