Compartilhar via


Planejar agentes, extensões e o Azure Arc para Defender para servidores

Este artigo ajuda a planejar os agentes, extensões e recursos do Azure Arc para a implantação do Microsoft Defender para servidores.

O Defender para servidores é um dos planos pagos fornecidos pelo Microsoft Defender para Nuvem.

Antes de começar

Este artigo é o quinto artigo da guia de planejamento do Defender para servidores. Antes de começar, revise os artigos anteriores:

  1. Começar o planejamento da implantação.
  2. Entender onde os dados são armazenados e os requisitos do workspace do Log Analytics.
  3. Examinar as funções de acesso do Defender para servidores.
  4. Selecionar um plano do Defender para servidores.

Examinar os requisitos do Azure Arc

O Azure Arc ajuda a integrar o Amazon Web Services (AWS), o GCP (Google Cloud Platform) e computadores locais ao Azure. O Defender para Nuvem usa o Azure Arc para proteger computadores que não são do Azure.

Gerenciamento da postura de segurança na nuvem básico

Os recursos básicos gratuitos do CSPM (gerenciamento de postura de segurança de nuvem) para computadores AWS e GCP não exigem o Azure Arc. Para obter a funcionalidade completa, recomendamos que tenha o Azure Arc em execução em computadores AWS ou GCP.

A integração do Azure Arc com computadores locais é um requisito obrigatório.

Planos do Defender para Servidores

Para usar o Defender para servidores, todos os computadores locais AWS e GCP devem estar habilitados para o Azure Arc.

Integre o agente do Azure Arc aos servidores AWS ou GCP automaticamente com o conector multinuvem AWS ou GCP.

Planejar a implantação do Azure Arc

Para planejar a implantação do Azure Arc:

  1. Examine as recomendações de planejamento do Azure Arc e os pré-requisitos de implantação.

  2. Abra as portas de rede do Azure Arc no seu firewall.

  3. O Azure Arc instala o agente do Connected Machine para se conectar e gerenciar computadores que são hospedados fora do Azure. Reveja as seguintes informações:

Agente do Log Analytics e agente do Azure Monitor

Observação

Como o agente do Log Analytics deve ser desativado em agosto de 2024 e como parte da estratégia atualizada do Defender para a Nuvem, todos os recursos e capacidades do Defender para servidores serão fornecidos por meio da integração do Microsoft Defender para Ponto de Extremidade ou da verificação sem agente, sem dependência do agente do Log Analytics (MMA) ou do agente do Azure Monitor (AMA). Como resultado, o processo de provisionamento automático compartilhado para ambos os agentes será ajustado adequadamente. Para obter mais informações sobre essa alteração, consulte este comunicado.

O Defender para Nuvem usa o agente do Log Analytics e o agente do Azure Monitor para coletar informações de recursos de computação. Em seguida, ele envia os dados para um workspace do Log Analytics para obter mais análises. Examine as diferenças e recomendações para ambos os agentes.

A tabela a seguir descreve os agentes usados no Defender para servidores:

Recurso Agente do Log Analytics Agente do Azure Monitor
Recomendações básicas do GPSN (gratuito) que dependem do agente: recomendação de linha de base do sistema operacional (VMs do Azure)

Com o agente do Azure Monitor, a extensão de configuração de convidado do Azure Policy é usada.
GPSN básico: recomendações de atualizações do sistema (VMs do Azure) Ainda não está disponível.
GPSN básico: recomendações de proteção antimalware/ponto de extremidade (VMs do Azure)
Detecção de ataque no nível do sistema operacional e na camada de rede, incluindo detecção de ataque sem arquivos

O Plano 1 conta com os recursos do Defender para ponto de extremidade a fim de detectar ataques.


Plano 2


Plano 2
Monitoramento de integridade do arquivo (somente Plano 2)

Extensão Qualys

A extensão Qualys está disponível no Plano 2 do Defender para servidores. A extensão é implantada se você quiser usar o Qualys para avaliação de vulnerabilidade.

Veja mais informações:

  • A extensão do Qualys envia metadados para análise para uma das duas regiões do datacenter do Qualys, dependendo da região do Azure.

    • Se você estiver operando em uma região europeia do Azure, o processamento de dados ocorrerá no data center europeu do Qualys.
    • Para outras regiões, o processamento de dados ocorre no data center dos EUA.
  • Para usar o Qualys em um computador, a extensão deve ser instalada e o computador deve poder se comunicar com o ponto de extremidade de rede relevante:

    • Datacenter da Europa: https://qagpublic.qg2.apps.qualys.eu
    • Datacenter dos EUA: https://qagpublic.qg3.apps.qualys.com

Extensão de configuração de convidado

A extensão executa operações de auditoria e configuração dentro de VMs.

  • Caso esteja usando o Agente do Azure Monitor, o Defender para Nuvem usará essa extensão para analisar as configurações de linha de base de segurança do sistema operacional em computadores do Windows e do Linux.
  • Embora os servidores habilitados para o Azure Arc e a extensão de configuração de convidado sejam gratuitos, mais custos podem ser aplicados caso use as políticas de configuração de convidado em servidores do Azure Arc fora do escopo do Defender para Nuvem.

Saiba mais sobre a extensão de configuração de convidado do Azure Policy.

Extensões do Defender para Ponto de Extremidade

Ao habilitar o Defender para servidores, o Defender para Nuvem implanta automaticamente uma extensão do Defender para Ponto de Extremidade. A extensão é uma interface de gerenciamento que executa um script dentro do sistema operacional para implantar e integrar o sensor do Defender para Ponto de Extremidade no computador.

  • Extensão de computadores do Windows: MDE.Windows
  • Extensão de computadores do Linux: MDE.Linux
  • Os computadores devem atender aos requisitos mínimos.
  • Algumas versões do Windows Server têm requisitos específicos.

A maioria dos serviços do Defender para Ponto de extremidade pode ser acessada por meio de *.endpoint.security.microsoft.com ou das marcas de serviço do Defender para Ponto de extremidade. Certifique-se de estar conectado ao serviço do Defender para Ponto de extremidade e conheça os requisitos para atualizações automáticas e outros recursos..

Verifique o suporte do sistema operacional

Antes de implantar o Defender para servidores, verifique o suporte do sistema operacional para agentes e extensões:

Examinar o provisionamento de agente

Ao habilitar os planos no Defender para Nuvem, incluindo o Defender para servidores, opte por provisionar automaticamente alguns agentes importantes para o Defender para servidores:

  • Agente do Log Analytics e o agente do Azure Monitor para as VMs do Azure
  • Agente do Log Analytics e o agente do Azure Monitor para as VMs do Azure Arc
  • Agente do Qualys
  • Agente de configuração de convidado

Ao habilitar o Plano 1 ou Plano 2 do Defender para servidores, a extensão do Defender para Ponto de Extremidade é provisionada automaticamente em todos os computadores com suporte na assinatura.

Considerações sobre provisionamento

A tabela a seguir descreve as considerações de provisionamento a serem consideradas:

Provisionamento Detalhes
Sensor do Defender para Ponto de Extremidade Se os computadores estiverem executando o Microsoft Antimalware, também conhecido como SCEP (System Center Endpoint Protection), a extensão do Windows o removerá automaticamente do computador.

Caso implante em um computador que já tenha o sensor herdado do MMA (Agente de Monitoramento de Microsoft) do Defender para Ponto de Extremidade em execução, depois que a solução unificada do Defender para Nuvem e do Defender para Ponto de Extremidade for instalada com êxito, a extensão será interrompida e desabilitará o sensor herdado. A alteração é transparente e o histórico de proteção do computador é preservado.
Computadores AWS e GCP Configure o provisionamento automático ao configurar o conector da AWS ou do GCP.
Instalação manual Caso não queira que o Defender para Nuvem provisione o agente do Log Analytics e o agente do Azure Monitor, instale os agentes manualmente.

É possível conectar o agente ao espaço de trabalho padrão do Defender para Nuvem ou a um espaço de trabalho personalizado.

O espaço de trabalho deve ter a solução SecurityCenterFree (para o GPSN básico gratuito) ou Segurança habilitada (Plano 2 do Defender para servidores).
Agente do Log Analytics em execução diretamente Se uma VM do Windows tiver o agente do Log Analytics em execução, mas não como uma extensão de VM, o Defender para Nuvem instalará a extensão. O agente se reporta ao espaço de trabalho do Defender para Nuvem e ao espaço de trabalho do agente existente.

Em VMs do Linux, não há suporte para várias homings. Se existir um agente existente, o agente do Log Analytics não será provisionado automaticamente.
Agente do Operations Manager O agente do Log Analytics pode trabalhar lado a lado com o agente do Operations Manager. Os agentes compartilham bibliotecas de runtime comuns que são atualizadas quando o agente do Log Analytics for implantado.
Removendo a extensão do Log Analytics Caso remova a extensão do Log Analytics, o Defender para Nuvem não poderá coletar dados de segurança e as recomendações, resultando em alertas ausentes. Dentro de 24 horas, o Defender para Nuvem determina que a extensão está ausente e a reinstala.

Quando recusar o provisionamento automático

Talvez queira recusar o provisionamento automático nas circunstâncias descritas na tabela a seguir:

Situação Agente relevante Detalhes
Você tem as VMs críticas que não devem ter agentes instalados Agente do Log Analytics, agente do Azure Monitor O provisionamento automático serve a uma assinatura inteira. Não é possível optar por computadores específicos.
Você está executando o agente do System Center Operations Manager versão 2012 com o Operations Manager 2012 Agente do Log Analytics Com essa configuração, não ative o provisionamento automático, pois os recursos de gerenciamento poderão ser perdidos.
Você deseja configurar um workspace personalizado Agente do Log Analytics, agente do Azure Monitor Você tem duas opções com um workspace personalizado:

– Recusar o provisionamento automático ao configurar o Defender para Nuvem pela primeira vez. Em seguida, configure o provisionamento em seu workspace personalizado.

– Permitir que o provisionamento automático seja executado para instalar os agentes do Log Analytics em computadores. Defina um espaço de trabalho personalizado e reconfigure as VMs existentes com a nova configuração do espaço de trabalho.

Próximas etapas

Depois de trabalhar com estas etapas de planejamento, inicie a implantação: