Partilhar via


Planeje a implantação do Defender for Servers

O Microsoft Defender for Servers estende a proteção às suas máquinas Windows e Linux executadas no Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e no local. O Defender for Servers integra-se ao Microsoft Defender for Endpoint para fornecer EDR (deteção e resposta de pontos finais) e outros recursos de proteção contra ameaças.

Este guia ajuda você a projetar e planejar uma implantação eficaz do Defender for Servers. O Microsoft Defender for Cloud oferece dois planos pagos para o Defender for Servers.

Acerca deste guia

O público-alvo deste guia são arquitetos de soluções e infraestrutura em nuvem, arquitetos e analistas de segurança e qualquer pessoa envolvida na proteção de servidores e cargas de trabalho híbridos e em nuvem.

O guia responde a estas perguntas:

  • O que o Defender for Servers faz e como é implantado?
  • Onde meus dados são armazenados e quais espaços de trabalho do Log Analytics eu preciso?
  • Quem precisa acessar meus recursos do Defender for Servers?
  • Qual plano do Defender for Servers devo escolher e qual solução de avaliação de vulnerabilidade devo usar?
  • Quando preciso usar o Azure Arc e quais agentes e extensões são necessários?
  • Como dimensionar uma implantação?

Antes de começar

Antes de revisar a série de artigos no guia de planejamento do Defender for Servers:

Descrição geral da implementação

A tabela a seguir mostra uma visão geral do processo de implantação do Defender for Servers:

Fase Detalhes
Comece a proteger os recursos • Quando você abre o Defender for Cloud no portal, ele começa a proteger os recursos com avaliações e recomendações CSPM básicas gratuitas.

• O Defender for Cloud cria uma área de trabalho predefinida do Log Analytics com a solução SecurityCenterFree ativada.

• As recomendações começam a aparecer no portal.
Ativar o Defender for Servers • Quando você habilita um plano pago, o Defender for Cloud habilita a solução de segurança em seu espaço de trabalho padrão.

• Habilite o Defender for Servers Plano 1 (somente assinatura) ou Plano 2 (assinatura e espaço de trabalho).

• Depois de habilitar um plano, decida como deseja instalar agentes e extensões em VMs do Azure na assinatura ou grupo de trabalho.

•Por padrão, o provisionamento automático está habilitado para algumas extensões.
Proteja máquinas AWS/GCP • Para uma implantação do Defender for Servers, você configura um conector, desativa planos de que não precisa, define configurações de provisionamento automático, autentica na AWS/GCP e implanta as configurações.

• O provisionamento automático inclui os agentes usados pelo Defender for Cloud e o agente do Azure Connected Machine para integração ao Azure com o Azure Arc.

• A AWS usa um modelo do CloudFormation.

• O GCP usa um modelo de Cloud Shell.

• As recomendações começam a aparecer no portal.
Proteger servidores locais • Integrá-los como máquinas Azure Arc e implantar agentes com provisionamento de automação.
CSPM fundacional • Não há cobranças quando você usa CSPM fundamental sem planos habilitados.

• As máquinas AWS/GCP não precisam ser configuradas com o Azure Arc para CSPM fundamental. Máquinas locais fazem.

• Algumas recomendações fundamentais dependem apenas de agentes: Proteção antimalware / endpoint (agente do Log Analytics ou agente do Azure Monitor) | Recomendações de linhas de base do SO (agente do Log Analytics ou agente do Azure Monitor e extensão de Configuração de Convidado) |

Quando você habilita o Microsoft Defender for Servers em uma assinatura do Azure ou em uma conta da AWS conectada, todas as máquinas conectadas são protegidas pelo Defender for Servers. Você pode habilitar o Microsoft Defender for Servers no nível do espaço de trabalho do Log Analytics, mas apenas os servidores que relatam esse espaço de trabalho serão protegidos e cobrados e esses servidores não receberão alguns benefícios, como o Microsoft Defender for Endpoint, avaliação de vulnerabilidade e acesso a VM just-in-time.

Próximos passos

Depois de iniciar o processo de planejamento, revise o segundo artigo desta série de planejamento para entender como seus dados são armazenados e os requisitos do espaço de trabalho do Log Analytics.