Conexión de máquinas que no son de Azure

  • 11 minutos

Microsoft Defender for Cloud puede supervisar la posición de seguridad de los equipos que no son de Azure, pero, para ello, debe conectarlos primero a Azure.

Puede conectar equipos que no son de Azure de alguna de las maneras siguientes:

  • Mediante servidores habilitados para Azure Arc (recomendable)

  • Desde las páginas de Cloud en Azure Portal (Introducción e Inventario)

Incorporación de máquinas que no son de Azure con Azure Arc

Los servidores habilitados para Azure Arc son la manera preferida de agregar las máquinas que no son de Azure a Defender for Cloud. Una máquina con servidores habilitados para Azure Arc se convierte en un recurso de Azure y aparece en Defender for Cloud con recomendaciones, al igual que los demás recursos de Azure. Además, los servidores habilitados de Azure Arc proporcionan funcionalidades mejoradas, como la opción de habilitar directivas de configuración de invitados en la máquina, implementar el agente de Log Analytics como una extensión, simplificar la implementación con otros servicios de Azure y mucho más.

¿Qué son los servidores habilitados para Azure Arc?

Los servidores habilitados para Azure Arc permiten administrar las máquinas Windows y Linux hospedadas fuera de Azure, en la red corporativa o en otro proveedor de nube, tal como administra las máquinas virtuales nativas de Azure. Cuando una máquina híbrida se conecta a Azure, se convierte en una máquina conectada y se trata como un recurso de Azure. Cada máquina conectada tiene un identificador de recurso, se incluye en un grupo de recursos y se beneficia de las construcciones estándar de Azure como Azure Policy y la aplicación de etiquetas. Los proveedores de servicios que administran la infraestructura local de un cliente pueden administrar sus máquinas híbridas, tal como lo hacen actualmente con los recursos nativos de Azure en varios entornos de cliente, mediante Azure Lighthouse con Azure Arc.

Para ofrecer esta experiencia con las máquinas híbridas hospedadas fuera de Azure, el agente de Azure Connected Machine debe estar instalado en cada una de las máquinas que planea conectar con Azure. Este agente no ofrece ninguna otra funcionalidad y no reemplaza al gente de Azure Log Analytics. El agente de Log Analytics para Windows y Linux es necesario cuando desea supervisar de manera proactiva el sistema operativo y las cargas de trabajo que se ejecutan en la máquina. Luego, puede administrar las máquinas con runbooks de Automation, soluciones como Update Management, o bien usar otros servicios de Azure como Defender for Cloud.

Adición de máquinas que no son de Azure desde Azure Portal

Puede iniciar el proceso de agregar un servidor que no sea de Azure desde dos lugares diferentes en Defender for Cloud:

  1. En el menú de Defender for Cloud, abra la página Introducción.
  2. Seleccione la pestaña Introducción.
  3. Debajo de Agregar servidores que no son de Azure, seleccione Configurar.
  4. Desde el menú de Defender for Cloud, abra la página Inventario.
  5. Seleccione el botón + Agregar servidores que no son de Azure.

Aparecerá una lista de las áreas de trabajo de Log Analytics. La lista incluye, si procede, el área de trabajo predeterminada que Defender for Cloud crea automáticamente si el aprovisionamiento automático está habilitado. Seleccione esta área de trabajo u otra que desee usar.

Puede agregar equipos a un área de trabajo existente o crear un área de trabajo. Opcionalmente, para crear una nueva área de trabajo, seleccione Crear área de trabajo nueva.

En la lista de áreas de trabajo, seleccione Agregar servidores para el área de trabajo correspondiente. Se mostrará la página Administración de agentes.

Aquí, elija el procedimiento correspondiente que se indica a continuación en función del tipo de máquinas en las que se va a incorporar:

  • Incorporación de máquinas virtuales de Azure Stack

  • Incorporación de máquinas Linux

  • Incorporación de máquinas Windows

Incorporación de máquinas virtuales de Azure Stack

Para agregar máquinas virtuales de Azure Stack, necesitará la información de la página Administración de agentes y configurar la extensión de máquina virtual Azure Monitor, Update and Configuration Management en las máquinas virtuales que se ejecutan en Azure Stack.

  1. En la página Administración de agentes, copie los valores de Id. del área de trabajo y Clave principal en el Bloc de notas.

  2. Inicie sesión en el portal de Azure Stack y abra la página Máquinas virtuales.

  3. Seleccione la máquina virtual que desea proteger con Defender for Cloud.

  4. Seleccione Extensiones. Se muestra la lista de extensiones de máquina virtual instaladas en esta máquina virtual.

  5. Seleccione la pestaña Agregar. En el menú Nuevo recurso se muestra la lista de extensiones de máquina virtual disponibles.

  6. Seleccione la extensión Azure Monitor, Update and Configuration Management y seleccione Crear. Se abre la página de configuración Instalar extensión.

  7. En la página de configuración Instalar extensión, pegue el Id. del área de trabajo y la Clave del área de trabajo (clave principal) que copió en el Bloc de notas en el paso anterior.

  8. Una vez completada la configuración, seleccione Aceptar. El estado de la extensión se mostrará como Aprovisionamiento realizado correctamente. La máquina virtual puede tardar hasta una hora en aparecer en Defender for Cloud.

Incorporación de máquinas Linux

Para agregar máquinas Linux, necesita el comando WGET de la página Administración de agentes.

  1. Desde la página Administración de agentes, copie el comando WGET en el Bloc de notas. Guarde este archivo en una ubicación a la que tenga acceso su equipo Linux.

  2. En el equipo Linux, abra el archivo con el comando WGET. Seleccione todo el contenido, cópielo y péguelo en una consola del terminal.

  3. Cuando se complete la instalación, puede validar que omsagent esté instalado mediante la ejecución del comando [pgrep]. El comando devolverá el PID de omsagent. Los registros del agente se pueden encontrar en: /var/opt/microsoft/omsagent/workspace id/log/. La nueva máquina Linux puede tardar hasta 30 minutos en aparecer en Defender for Cloud.

Incorporación de máquinas Windows

Para agregar máquinas Windows, debe leer la información de la página Administración de agentes y descargar el archivo de agente adecuado (32 o 64 bits).

  1. Seleccione el vínculo Descargar Agente para Windows correspondiente a su tipo de procesador del equipo para descargar el archivo del programa de instalación.

  2. En la página Administración de agentes, copie los valores de Id. del área de trabajo y Clave principal en el Bloc de notas.

  3. Copie el archivo de instalación descargado en el equipo de destino y ejecútelo.

  4. Siga el Asistente para instalación (Siguiente, Acepto, Siguiente, Siguiente).

  5. En la página Azure Log Analytics, pegue el identificador del área de trabajo y la clave del área de trabajo (clave principal) que copió en el Bloc de notas.

  6. Si el equipo tiene que notificar a un área de trabajo de Log Analytics en Azure Government Cloud, seleccione Azure Gobierno de EE.UU. en la lista desplegable Azure Cloud.

  7. Si el equipo necesita comunicarse a través de un servidor proxy con el servicio Log Analytics, seleccione Opciones avanzadas y proporcione la dirección URL y el número de puerto del servidor proxy.

  8. Una establecida toda la configuración, seleccione Siguiente.

  9. En la página Listo para instalar, revise la configuración que se va a aplicar y seleccione Instalar.

  10. En la página Configuración completada correctamente, seleccione Finalizar.

Una vez completado el proceso, el Agente de administración de Microsoft aparece en el Panel de control. Puede revisar ahí la configuración y verificar que el agente esté conectado.