Instalar a extensão de configuração de máquina do Azure
O Defender para Nuvem avalia a configuração do sistema operacional com relação às linhas de base de segurança de computação do Windows e do Linux no Microsoft Cloud Security Benchmark (MCSB).
As informações necessárias para a avaliação são coletadas pela extensão de configuração de máquina do Azure (anteriormente conhecida como configuração de convidado do Azure Policy).
Este artigo descreve como implantar a extensão.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Plano | Para você receber recomendações do sistema operacional com base nas linhas de base de segurança de computação do MCSB, o Plano 2 do Defender para Servidores precisa estar habilitado. |
| Suporte de máquina | Reveja as VMs do Azure com suporte e as VMs do Azure Arc executando Windows e Linux. |
| Requisitos da extensão | Reveja os requisitos de implantação da extensão para VMs do Azure. |
| Permissões | Para ver as recomendações e explorar os dados de linha de base do sistema operacional, você precisa da permissão de Leitura na assinatura relevante do Azure. |
Observação
A coleta com a extensão de configuração de máquina substituiu o método mais antigo da coleta de dados, que usava o agente do Log Analytics (também conhecido como Microsoft Monitoring Agent [MMA]). O uso do MMA terá suporte até novembro de 2024.
Instalar na AWS/GCP
Para os computadores da AWS/GCP, a configuração de máquina é instalada por padrão quando você seleciona o provisionamento do Arc no conector da AWS ou do GCP.
Instalar em computadores locais
Para os computadores locais, a configuração de máquina é habilitada por padrão quando você integra as VMs locais como VMs habilitadas para o Azure Arc.
Instalar em máquinas do Azure
Com o Plano 2 do Defender para Servidores habilitado, você pode instalar a extensão de configuração de máquina nos computadores usando uma recomendação do Defender para Nuvem.
Pesquise as recomendações apropriadas.
- Máquinas do Azure: pesquise a recomendação de que a extensão de Configuração de Convidado deve ser instalada nas máquinas.
- VMs do Azure: somente nas VMs do Azure, você precisa atribuir uma identidade gerenciada à máquina. Para fazê-lo, pesquise a recomendação de que a extensão de Configuração de Convidado das máquinas virtuais deve ser implementada com uma identidade gerenciada atribuída pelo sistema
Corrigir as recomendações conforme necessário.
Provisionar automaticamente a extensão de Configuração de Convidado
Para as VMs do Azure, você pode provisionar a instalação da extensão de Configuração de Convidado em VMs do Azure em toda a assinatura automaticamente.
No Defender para Nuvem, abra Configurações de ambiente>Sua assinatura>Configurações e monitoramento.
Em Configurações, selecione Configuração de convidado.
Alterne o agente de Configuração de convidado (versão prévia) para Ativado.
Selecione Continuar.
Com a extensão de configuração de máquina habilitada no computador, o computador pode ser avaliado com relação às linhas de base dos sistemas operacionais Windows e Linux.
Próxima etapa
Reveja as recomendações de configuração incorreta do sistema operacional.