你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
计划 Defender for Servers 部署
Microsoft Defender for Cloud 中的 Defender for Servers 计划提供可操作的建议,帮助改进和修正计算机安全状况,降低安全风险。 Defender for Servers 还有助于保护计算机免受实时安全威胁和攻击。
本指南帮助你设计和规划有效的 Defender for Servers 部署。
关于本指南
本指南的目标受众为云解决方案和基础结构架构师、安全架构师和分析师,以及参与云和混合服务器与工作负载保护工作的任何用户。
本指南解答了以下问题:
- Defender for Servers 有什么作用,它是如何部署的?
- 我的数据存储在哪里,以及我何时需要 Log Analytics 工作区?
- 如何控制对 Defender for Servers 资源的访问?
- 应选择哪项 Defender for Servers 计划,以及应在哪里部署计划?
- 部署中需要安装哪些代理和扩展?
- 如何缩放部署?
开始之前
开始规划部署前的准备工作:
- 详细了解 Defender for Cloud 功能,并查看定价详细信息。
- 了解 Defender for Servers 概述。
- 如果要针对 AWS 计算机或 GCP 项目进行部署,请查看多云规划指南。
- 载入 AWS/GCP 和本地计算机并用作 Azure Arc VM,可确保你能够使用 Defender for Servers 中的所有功能。 在开始规划之前,请详细了解 Azure Arc。
部署步骤
下表汇总了 Defender for Servers 的部署步骤。
步骤 | 详细信息 | 结果 |
---|---|---|
连接 AWS/GCP 计算机 | 若要使用 Defender for Servers 保护 AWS 和 GCP 计算机,请将 AWS 帐户和 GCP 项目连接到 Defender for Cloud。 在连接过程中,可以启用 Defender for Cloud 计划,包括 Defender for Servers。 若要充分利用 Defender for Servers 的功能,建议载入 AWS 和 GCP 计算机并用作 Azure Arc VM。 在连接过程中,可以安装 Azure Arc 代理。 |
AWS 和 GCP 计算机成功载入 Defender for Cloud。 |
连接本地计算机 | 若要保护本地计算机,建议载入本地计算机并用作 Azure Arc VM。 你可以直接将本地计算机载入 Defender for Cloud。 但是,直接载入会导致你无法访问 Defender for Servers 计划 2 的部分功能。 |
本地计算机成功载入 Defender for Cloud |
启用 Defender for Servers | 部署 Defender for Servers 计划。 | Defender for Cloud 开始保护部署范围内受支持的计算机。 |
利用免费的数据引入 | 若要利用特定数据类型每天 500 MB 的免费引入量,计算机必须运行 Azure Monitor 代理 (AMA),且连接到 Log Analytics 工作区。 了解详细信息。 针对计算机发送报告的目标 Log Analytics 工作区上受支持的数据类型授予这项权益。 |
为受支持的数据类型配置每日免费引入量。 |
准备 OS 评估 | 若要使用 Defender for Servers 计划 2 根据 Microsoft 云安全基准中的计算安全基线来评估操作系统配置设置,计算机必须运行 Azure Policy 计算机配置扩展。 详细了解如何设置扩展。 | Defender for Servers 计划 2 收集 OS 配置信息以供评估。 |
设置文件完整性监视 | 启用 Defender for Servers 计划 2 后,启用计划后设置文件完整性监视。 你需要一个 Log Analytics 工作区,才能进行文件完整性监视。 可以使用现有工作区,也可以在配置此功能时创建新的工作区。 |
Defender for Servers 监视关键文件更改。 |
后续步骤
开始规划过程后,请查看本规划教程系列的第二篇文章,了解如何控制对 Defender for Servers 的访问。