Planeamiento de agentes, extensiones y Azure Arc para Defender para servidores
Este artículo le ayuda a planear los agentes, las extensiones y los recursos de Azure Arc para la implementación de Microsoft Defender para servidores.
Defender para servidores es uno de los planes de pago que ofrece Microsoft Defender for Cloud.
Antes de empezar
Este artículo es el quinto de la guía de planificación de Defender para servidores. Antes de empezar, revise los artículos anteriores:
- Planeamiento de la implementación de Defender para servidores.
- Revisión de la residencia de datos y el diseño del área trabajo.
- Revisión de los roles de acceso de Defender para servidores.
- Seleccione un plan para Defender para servidores.
Revisión de los requisitos de Azure Arc
Azure Arc le ayuda a incorporar Amazon Web Services (AWS), Google Cloud Platform (GCP) y máquinas locales a Azure. Defender for Cloud usa Azure Arc para proteger las máquinas que no son de Azure.
Administración de la posición de seguridad en la nube básica
Las características gratuitas de administración de la posición de seguridad en la nube (CSPM) para máquinas AWS y GCP no requieren Azure Arc. Para obtener una funcionalidad completa, se recomienda que Azure Arc se ejecute en máquinas AWS o GCP.
La incorporación de Azure Arc es necesaria para máquinas locales.
Plan de Azure Defender para servidores
Para usar Defender para servidores, todas las máquinas con AWS, GCP y locales deben estar habilitadas para Azure Arc.
El agente de Azure Arc se puede incorporar a los servidores de AWS o GCP automáticamente con el conector multinube de AWS o GCP.
Planeamiento de la implementación de Azure Arc
Para planear la implementación de Azure Arc:
Consulte las recomendaciones para el planeamiento y los requisitos previos para la implementación de Azure Arc.
Abra los puertos de red para Azure Arc en el firewall.
Azure Arc instala el agente de Connected Machine para conectarse a las máquinas hospedadas fuera de Azure y administrarlas. Revisa la información siguiente:
- Componentes del agente y datos recopilados de las máquinas.
- Acceso de red e Internet para el agente.
- Opciones de conexión para el agente.
Agente de Log Analytics y agente de Azure Monitor
Nota:
Dado que el agente de Log Analytics está establecido para retirarse en agosto de 2024 y como parte de la estrategia actualizada de Defender for Cloud, todas las características y funcionalidades de Defender para servidores se proporcionarán a través de la Integración de Microsoft Defender para punto de conexión o el examen sin agente, sin dependencia en el agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA). Como resultado, el proceso de aprovisionamiento automático compartido para ambos agentes se ajustará en consecuencia. Para obtener más información sobre este cambio, consulte este anuncio.
Defender for Cloud usa tanto el agente de Log Analytics como el agente de Azure Monitor para recopilar información de los recursos de proceso. Luego, envía los datos a un área de trabajo de Log Analytics para obtener más análisis. Examine las diferencias y recomendaciones para ambos agentes.
En la tabla siguiente se describen los agentes que se usan en Defender para servidores:
| Característica | Agente de Log Analytics | Agente de Azure Monitor |
|---|---|---|
| Recomendaciones para las CSPM básicas que dependen del agente: recomendación de línea base del sistema operativo (máquinas virtuales de Azure) | 
|
Con el agente de Azure Monitor, se usa la extensión de configuración de invitado de Azure Policy. |
| CSPM básica: recomendaciones de actualizaciones del sistema (máquinas virtuales de Azure) |
|
No disponible todavía. |
| CSPM básica: recomendaciones de Protección contra puntos de conexión y antimalware (máquinas virtuales de Azure) |
|
|
| Detección de ataques en el nivel de sistema operativo y la capa de red, incluida la detección de ataques sin archivos El plan 1 se basa en la funcionalidad de Defender para punto de conexión para la detección de ataques. |
Plan 2 |
Plan 2 |
| Supervisión de la integridad de los archivos (solo en el plan 2) |
|
|
Extensión Qualys
La extensión Qualys está disponible en el plan 2 de Defender para servidores. La extensión se implementa si se desea usar Qualys para la evaluación de vulnerabilidades.
A continuación, se muestra más información:
La extensión Qualys envía metadatos para analizarlos a una de las dos regiones del centro de datos de Qualys, en función de la región de Azure.
- Si está trabajando dentro de una región europea de Azure, el procesamiento de datos se produce en el centro de datos europeo de Qualys.
- Para otras regiones, el procesamiento de datos se produce en el centro de datos de EE. UU.
Para usar Qualys en una máquina, es necesario instalar la extensión y la máquina debe poder comunicarse con el punto de conexión de red pertinente:
- Centro de datos de Europa:
https://qagpublic.qg2.apps.qualys.eu - Centro de datos de Estados Unidos:
https://qagpublic.qg3.apps.qualys.com
- Centro de datos de Europa:
Extensión Guest Configuration
La extensión realiza operaciones de auditoría y configuración en las máquinas virtuales.
- Si usa el agente de Azure Monitor, Defender for Cloud usa esta extensión para analizar la configuración de línea base de seguridad del sistema operativo en máquinas Windows y Linux.
- Aunque los servidores habilitados para Azure Arc y la extensión de configuración de invitado son gratuitos, es posible que se generen más costos si se usan directivas de configuración de invitado en servidores de Azure Arc que se encuentren fuera del ámbito de Defender for Cloud.
Consulte más información sobre la extensión de configuración de invitado de Azure Policy.
Extensiones de Defender para punto de conexión
Al habilitar Defender para servidores, Defender for Cloud implementa automáticamente una extensión de Defender para punto de conexión. La extensión es una interfaz de administración que ejecuta un script dentro del sistema operativo para implementar e integrar el sensor de Defender para punto de conexión en la máquina.
- Extensión de máquinas Windows:
MDE.Windows - Extensión de máquinas Linux:
MDE.Linux - Las máquinas deben cumplir los requisitos mínimos.
- Algunas versiones de Windows Server tienen requisitos específicos.
Se puede acceder a la mayoría de los servicios de Defender para punto de conexión a través de *.endpoint.security.microsoft.com o a través de las etiquetas de servicio de Defender para punto de conexión. Asegúrese de que está conectado al servicio Defender para punto de conexión y de que conoce los requisitos de las actualizaciones automáticas y otras características..
Comprobación de la compatibilidad del sistema operativo
Antes de implementar Defender para servidores, compruebe la compatibilidad del sistema operativo con los distintos agentes y extensiones:
- Compruebe que Defender para punto de conexión admite los sistemas operativos.
- Compruebe los requisitos del agente de Connect Machine para Azure Arc.
- Compruebe la compatibilidad del sistema operativo con el agente de Log Analytics y el agente de Azure Monitor.
Revisión del aprovisionamiento del agente
Al habilitar planes en Defender for Cloud, incluido Defender para servidores, puede optar por aprovisionar automáticamente algunos agentes relevantes para Defender para servidores:
- Agente de Log Analytics o agente de Azure Monitor para máquinas virtuales de Azure
- Agente de Log Analytics o agente de Azure Monitor para máquinas virtuales con Azure Arc
- Agente de Qualys.
- Agente de configuración de invitado.
Cuando se habilitan los planes 1o 2 de Defender para servidores, la extensión Defender para punto de conexión se aprovisiona automáticamente en todas las máquinas de la suscripción admitidas.
Consideraciones sobre el aprovisionamiento
En la tabla siguiente se describen las consideraciones de aprovisionamiento que se deben tener en cuenta:
| Aprovisionamiento | Detalles |
|---|---|
| Sensor de Defender para punto de conexión | Si las máquinas ejecutan Microsoft Antimalware, también conocido como System Center Endpoint Protection (SCEP), la extensión de Windows lo quita automáticamente de la máquina. Si lleva a cabo la implementación en una máquina que ya tiene el sensor heredado de Defender para punto de conexión de Microsoft Monitoring Agent (MMA), después de instalar correctamente la solución unificada de Defender for Cloud y Defender para punto de conexión, la extensión detiene y deshabilita dicho sensor. El cambio es transparente y se conserva el historial de protección de la máquina. |
| Máquinas AWS y GCP | Configure el aprovisionamiento automático cuando configure el conector de AWS o GCP. |
| Instalación manual | Si no desea que Defender for Cloud aprovisione el agente de Log Analytics ni el agente de Azure Monitor, puede instalar los agentes manualmente. El agente se puede conectar al área de trabajo predeterminada de Defender for Cloud o a un área de trabajo personalizada. El área de trabajo debe tener habilitada la solución SecurityCenterFree (para CSPM básica gratuita) o la solución Security (plan 2 de Defender para servidores). |
| Agente de Log Analytics que se ejecuta directamente | Si una máquina virtual Windows ejecuta el agente de Log Analytics, pero no como una extensión de máquina virtual, Defender for Cloud instala la extensión. El agente informa tanto al área de trabajo de Defender for Cloud como al área de trabajo del agente actual. En las máquinas virtuales Linux, no se admite el hospedaje múltiple. Si existe algún agente, el agente de Log Analytics no se aprovisiona automáticamente. |
| Agente de Operations Manager | El agente de Log Analytics puede funcionar en paralelo con el agente de Operations Manager. Los agentes comparten bibliotecas del entorno de ejecución comunes que se actualizan cuando se implementa el agente de Log Analytics. |
| Desinstalación de la extensión de Log Analytics | Si se quita la extensión de Log Analytics, Defender for Cloud no puede recopilar datos de seguridad ni recomendaciones, lo que provocará falta de alertas. En un plazo de 24 horas, Defender for Cloud determina que falta la extensión y la vuelve a instalar. |
Cuándo no participar en el aprovisionamiento automático
Es posible que desee no participar en el aprovisionamiento automático en las circunstancias que se describen en la tabla siguiente:
| Situación | Agente pertinente | Detalles |
|---|---|---|
| Tiene máquinas virtuales críticas que no deben tener agentes instalados. | Agente de Log Analytics, agente de Azure Monitor | El aprovisionamiento automático es para una suscripción completa. No puede dejar fuera máquinas específicas. |
| Ejecuta la versión 2012 del agente de System Center Operations Manager con Operations Manager 2012 | Agente de Log Analytics | Con esta configuración, no active el aprovisionamiento automático; es posible que se pierdan las funcionalidades de administración. |
| Quiere configurar un área de trabajo personalizada | Agente de Log Analytics, agente de Azure Monitor | Tiene dos opciones con un área de trabajo personalizada: - No usar el aprovisionamiento automático al configurar Defender for Cloud por primera vez y, después, configurar el aprovisionamiento en el área de trabajo personalizada. - Permitir que se ejecute el aprovisionamiento automático para instalar los agentes de Log Analytics en las máquinas. Establezca un área de trabajo personalizada y vuelva a configurar las máquinas virtuales actuales con la nueva configuración del área de trabajo. |
Pasos siguientes
Después de seguir estos pasos para el planeamiento, puede iniciar la implementación:
- Habilitar planes en Defender para servidores
- Conectar máquinas del entorno local a Azure.
- Conectar cuentas de AWS a Defender for Cloud.
- Conectar proyectos de GCP a Defender for Cloud.
- Consulte más información sobre cómo escalar su implementación de Defender para servidores.