你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

计划 Defender for Servers 部署

Microsoft Defender for Cloud 中的 Defender for Servers 计划提供可操作的建议,帮助改进和修正计算机安全状况,降低安全风险。 Defender for Servers 还有助于保护计算机免受实时安全威胁和攻击。

本指南帮助你设计和规划有效的 Defender for Servers 部署。

关于本指南

本指南的目标受众为云解决方案和基础结构架构师、安全架构师和分析师,以及参与云和混合服务器与工作负载保护工作的任何用户。

本指南解答了以下问题:

  • Defender for Servers 有什么作用,它是如何部署的?
  • 我的数据存储在哪里,以及我何时需要 Log Analytics 工作区?
  • 如何控制对 Defender for Servers 资源的访问?
  • 应选择哪项 Defender for Servers 计划,以及应在哪里部署计划?
  • 部署中需要安装哪些代理和扩展?
  • 如何缩放部署?

开始之前

开始规划部署前的准备工作:

部署步骤

下表汇总了 Defender for Servers 的部署步骤。

步骤 详细信息 结果
连接 AWS/GCP 计算机 若要使用 Defender for Servers 保护 AWS 和 GCP 计算机,请将 AWS 帐户GCP 项目连接到 Defender for Cloud。

在连接过程中,可以启用 Defender for Cloud 计划,包括 Defender for Servers。

若要充分利用 Defender for Servers 的功能,建议载入 AWS 和 GCP 计算机并用作 Azure Arc VM。 在连接过程中,可以安装 Azure Arc 代理。
AWS 和 GCP 计算机成功载入 Defender for Cloud。
连接本地计算机 若要保护本地计算机,建议载入本地计算机并用作 Azure Arc VM

你可以直接将本地计算机载入 Defender for Cloud。 但是,直接载入会导致你无法访问 Defender for Servers 计划 2 的部分功能。
本地计算机成功载入 Defender for Cloud
启用 Defender for Servers 部署 Defender for Servers 计划 Defender for Cloud 开始保护部署范围内受支持的计算机。
利用免费的数据引入 若要利用特定数据类型每天 500 MB 的免费引入量,计算机必须运行 Azure Monitor 代理 (AMA),且连接到 Log Analytics 工作区。 了解详细信息

针对计算机发送报告的目标 Log Analytics 工作区上受支持的数据类型授予这项权益。
为受支持的数据类型配置每日免费引入量。
准备 OS 评估 若要使用 Defender for Servers 计划 2 根据 Microsoft 云安全基准中的计算安全基线来评估操作系统配置设置,计算机必须运行 Azure Policy 计算机配置扩展。 详细了解如何设置扩展。 Defender for Servers 计划 2 收集 OS 配置信息以供评估。
设置文件完整性监视 启用 Defender for Servers 计划 2 后,启用计划后设置文件完整性监视

你需要一个 Log Analytics 工作区,才能进行文件完整性监视。 可以使用现有工作区,也可以在配置此功能时创建新的工作区。
Defender for Servers 监视关键文件更改。

后续步骤

开始规划过程后,请查看本规划教程系列的第二篇文章,了解如何控制对 Defender for Servers 的访问。