你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
修正 EDR 解决方案建议
Microsoft Defender for Cloud 包括终结点检测和响应 (EDR) 功能,以改善受支持计算机的安全状况。 Defender for Cloud:
- 以本机方式与 Defender for Endpoint 集成,作为用于计算机保护的 EDR 解决方案。 为受保护的计算机提供 EDR 功能。
- 扫描连接的计算机(Azure VM 和 AWS/GCP 计算机),检查它们是否已安装并运行 EDR 解决方案。 该解决方案可以集成到 Defender for Endpoint EDR,或受支持的非 Microsoft 解决方案。
Defender for Cloud 根据 EDR 解决方案发现提供建议,以确保在计算机上正确安装并运行 EDR 解决方案。 本文介绍如何修正这些建议。
注意
- Defender for Cloud 利用无代理扫描来评估 EDR 设置。
- 无代理扫描取代了 Log Analytics 代理(也称 Microsoft Monitoring Agent (MMA)),后者以前用于收集计算机数据。
- 使用 MMA 扫描的功能将于 2024 年 11 月弃用。
先决条件
| 要求 | 详细信息 |
|---|---|
| 计划 | Defender for Cloud 必须在 Azure 订阅中可用,并且必须启用以下计划之一: - Defender for Servers 计划 2 - Defender 云安全态势管理 (CSPM) |
| 无代理扫描 | 必须启用计算机的无代理扫描。 默认情况下,它在计划中处于启用状态,但如果需要手动启用,则按照这些说明操作。 |
调查 EDR 解决方案建议
导航到“Defender for Cloud”>“建议”。
搜索并选择以下建议之一:
EDR solution should be installed on Virtual MachinesEDR solution should be installed on EC2sEDR solution should be installed on Virtual Machines (GCP)
在建议详细信息中,选择“正常资源”选项卡。
计算机上部署的 EDR 解决方案显示在“发现的 EDR”列中。
修正 EDR 解决方案建议
选择相关建议。
选择相关操作以查看修正步骤。
启用 Defender for Endpoint 集成
当可以在计算机上安装 Defender for Endpoint,并且计算机上未检测到受支持的非Microsoft EDR 解决方案时,可以使用此建议的操作。
在计算机上启用 Defender for Endpoint,如下所示:
选择受影响的计算机。 还可以选择具有
Enable Microsoft Defender for Endpoint integration建议操作的多个计算机。选择“修复”。
在“启用 EDR 解决方案”中,选择“启用”。 启用此设置后,Defender for Endpoint 传感器会自动安装在订阅中的所有 Windows 和 Linux 服务器上。
该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。
打开计划
在下列情况下可使用建议的操作:
- 计算机上未检测到受支持的非Microsoft EDR 解决方案。
- 未为计算机启用所需的 Defender for Cloud 计划(Defender for Servers 计划 2 或 Defender CSPM)。
修复建议,如下所示:
选择受影响的计算机。 还可以选择具有
Upgrade Defender plan建议操作的多个计算机。选择“修复”。
在“启用 EDR 解决方案”中,选择下拉菜单中的计划。 每个计划都有成本。详细了解定价。
选择启用。
该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。
排查 Defender for Endpoint 加入问题
当在计算机上检测到 Defender for Endpoint 但未正确载入时,可以使用此建议的操作。
该过程完成后,可能需要最多 24 小时,计算机才能出现在“正常资源”选项卡中。