Connettere macchine virtuali non di Azure

  • 11 minuti

Microsoft Defender for Cloud può monitorare la postura di sicurezza dei computer non di Azure, ma è prima necessario connetterli ad Azure.

È possibile connettere i computer non di Azure in uno dei modi seguenti:

  • Uso di server con abilitazione di Azure Arc (scelta consigliata)

  • Dalle pagine di Defender for Cloud nel portale di Azure (Introduzione e Inventario)

Aggiungere computer non Azure con Azure Arc

I server con abilitazione di Azure Arc rappresentano la scelta consigliata per aggiungere computer non di Azure a Defender for Cloud. Un computer con i server con abilitazione di Azure Arc diventa una risorsa di Azure e viene visualizzato in Defender for Cloud con le stesse raccomandazioni di altre risorse di Azure. Inoltre, i server con abilitazione di Azure Arc offrono funzionalità avanzate, come l'opzione per abilitare i criteri di configurazione guest, distribuire l'agente di Log Analytics come estensione, semplificare la distribuzione con altri servizi di Azure e altro ancora.

Cosa sono i server abilitati per Azure Arc?

I server con abilitazione di Azure Arc consentono di gestire le macchine virtuali Windows e Linux ospitate all'esterno di Azure, nella rete aziendale o in altri provider di servizi cloud, in modo analogo a come si gestiscono le macchine virtuali native di Azure. Quando una macchina virtuale ibrida viene connessa ad Azure, diventa una macchina virtuale connessa e viene considerata come una risorsa in Azure. Ogni macchina virtuale connessa ha un ID risorsa, è inclusa in un gruppo di risorse e usufruisce dei vantaggi derivanti dai costrutti di Azure standard, ad esempio Criteri di Azure e applicazione di tag. I provider di servizi che gestiscono l'infrastruttura locale di un cliente possono gestire le proprie macchine virtuali ibride in più ambienti di clienti, proprio come avviene oggi con le risorse native di Azure, usando Azure Lighthouse con Azure Arc.

Per offrire questa esperienza con le macchine virtuali ibride ospitate all'esterno di Azure, è necessario installare l'agente Azure Connected Machine in ogni macchina virtuale che si prevede di connettere ad Azure. Questo agente non fornisce altre funzionalità e non sostituisce l'agente di Azure Log Analytics. L'agente di Log Analytics per Windows e Linux è obbligatorio quando si vogliono monitorare in modo proattivo il sistema operativo e i carichi di lavoro in esecuzione nella macchina virtuale. È quindi possibile gestire le macchine virtuali usando runbook di Automazione, soluzioni come Gestione aggiornamenti o altri servizi di Azure come Defender per il cloud.

Aggiungere computer non di Azure dal portale di Azure

È possibile avviare il processo di aggiunta di un server non Azure da due diverse posizioni in Defender for Cloud:

  1. Dal menu di Defender for Cloud aprire la pagina Introduzione.
  2. Selezionare la scheda Introduzione.
  3. In Aggiungi server non Azure selezionare Configura.
  4. Dal menu di Defender for Cloud aprire la pagina Inventario.
  5. Selezionare il pulsante + Aggiungi server non Azure.

Viene visualizzato un elenco delle aree di lavoro di Log Analytics. L'elenco include, se applicabile, l'area di lavoro predefinita creata da Defender for Cloud quando è stato abilitato il provisioning automatico. Selezionare l'area di lavoro che si desidera usare.

È possibile aggiungere computer a un'area di lavoro esistente o creare una nuova area di lavoro. Facoltativamente, per creare una nuova area di lavoro, selezionare Crea una nuova area di lavoro.

Nell'elenco di aree di lavoro selezionare Aggiungi server per l'area di lavoro pertinente. Viene visualizzata la pagina Gestione agenti.

Da qui scegliere la procedura appropriata tra quelle riportate di seguito, in base al tipo di computer di cui eseguire l'onboarding:

  • Eseguire l'onboarding di VM di Azure Stack

  • Eseguire l'onboarding di computer Linux

  • Eseguire l'onboarding di computer Windows

Eseguire l'onboarding di VM di Azure Stack

Per aggiungere VM di Azure Stack, è necessario fare riferimento alle informazioni riportate nella pagina Gestione agenti e configurare l'estensione Azure Monitor, Update and Configuration Management (Monitoraggio di Azure, Gestione aggiornamenti e configurazione) nelle macchine virtuali che eseguono Azure Stack.

  1. Nella pagina Gestione agenti copiare i valori di ID area di lavoro e Chiave primaria nel Blocco note.

  2. Accedere al portale di Azure Stack e aprire la pagina Macchine virtuali.

  3. Selezionare la macchina virtuale da proteggere con Defender for Cloud.

  4. Selezionare Estensioni. Viene visualizzato l'elenco delle estensioni macchina virtuale installate in questa macchina virtuale.

  5. Selezionare la scheda Aggiungi . Il menu Nuova risorsa mostra l'elenco delle estensioni di macchina virtuale disponibili.

  6. Selezionare l'estensione Monitoraggio di Azure, Gestione aggiornamenti e configurazione e selezionare Crea. Viene visualizzata la pagina di configurazione Installa estensione.

  7. Nella pagina di configurazione Installa estensione incollare i valori di ID area di lavoro e Chiave dell'area di lavoro (chiave primaria) copiati nel Blocco note nella procedura precedente.

  8. Dopo aver completato la configurazione, selezionare OK. Lo stato dell'estensione viene visualizzato come Provisioning completato. Può essere necessaria fino a un'ora prima che la macchina virtuale venga visualizzata in Defender for Cloud.

Eseguire l'onboarding di computer Linux

Per aggiungere computer Linux, è necessario il comando WGET della pagina Gestione agenti.

  1. Nella pagina Gestione agenti copiare il comando WGET nel Blocco note. Salvare questo file in un percorso che sia accessibile dal computer Linux.

  2. Nel computer Linux aprire il file con il comando WGET. Selezionare l'intero contenuto, quindi copiarlo e incollarlo in una console di terminale.

  3. Al termine dell'installazione, è possibile verificare che omsagent sia installato eseguendo il comando pgrep. Il comando restituirà il PID omsagent. I log per l'agente sono reperibili in: /var/opt/microsoft/omsagent/workspace id/log/. Possono essere necessari fino a 30 minuti prima che il computer Linux venga visualizzato in Defender for Cloud.

Eseguire l'onboarding di computer Windows

Per aggiungere computer Windows, è necessario leggere le informazioni riportate nella pagina Gestione agenti e scaricare il file dell'agente appropriato (32/64 bit).

  1. Selezionare il collegamento Scarica agente Windows applicabile al tipo di processore del computer per scaricare il file di installazione.

  2. Nella pagina Gestione agenti copiare i valori di ID area di lavoro e Chiave primaria nel Blocco note.

  3. Copiare nel computer di destinazione il file di configurazione scaricato ed eseguirlo.

  4. Seguire l'installazione guidata (Avanti, Accetto, Avanti, Avanti).

  5. Nella pagina Azure Log Analytics incollare i valori di ID area di lavoro e Chiave dell'area di lavoro (chiave primaria) copiati nel Blocco note.

  6. Se il computer deve segnalare un'area di lavoro Log Analytics in Azure per enti pubblici cloud, selezionare Azure US Government dall'elenco a discesa Cloud di Azure.

  7. Se il computer deve comunicare tramite un server proxy con il servizio Log Analytics, scegliere Avanzate e specificare l'URL e il numero di porta del server proxy.

  8. Dopo aver immesso tutte le impostazioni di configurazione, selezionare Avanti.

  9. Nella pagina Pronto per l'installazione esaminare le impostazioni da applicare e selezionare Installa.

  10. Nella pagina Configurazione completata fare clic su Fine.

Al termine, verrà visualizzato Microsoft Monitoring Agent nel Pannello di controllo. È possibile rivedere la configurazione e verificare che l'agente sia connesso.