你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Operator Nexus 订阅上设置 Defender for Cloud 安全环境
本指南提供了有关如何启用 Microsoft Defender for Cloud 并激活和配置其增强型安全性计划选项的说明,这些选项可用于保护 Operator Nexus 裸机计算服务器和工作负载。
开始之前
为了帮助你了解 Defender for Cloud 及其许多安全功能,我们在 Microsoft Defender for Cloud 文档站点上提供了各种可能有用的材料。
先决条件
若要成功完成本指南中的操作,请执行以下操作:
- 必须拥有 Azure Operator Nexus 订阅。
- 必须在本地环境中运行已部署且连接了 Azure Arc 的 Operator Nexus 实例。
- 必须在订阅中使用具有“所有者”、“参与者”或“读者”角色的 Azure 门户用户帐户。
启用 Defender for Cloud
在 Operator Nexus 订阅上启用 Microsoft Defender for Cloud 非常简单,它能让你立即访问其免费安全功能。 要打开 Defender for Cloud,请执行以下操作:
- 登录到 Azure 门户。
- 在顶部的搜索框中,输入“Defender for Cloud”。
- 在“服务”下,选择“Microsoft Defender for Cloud”。
Defender for Cloud 概述页打开后,即表示你已在订阅上成功激活 Defender for Cloud。 概述页是交互式仪表板用户体验,提供 Operator Nexus 安全状况的综合视图。 它显示安全警报、覆盖范围信息等。 使用此仪表板,可以评估工作负载的安全性并识别和降低风险。
激活 Defender for Cloud 后,可以选择启用 Defender for Cloud 增强的安全功能,以获得重要的服务器和工作负载保护:
- 适用于服务器的 Defender
- Defender for Endpoint - 通过 Defender for Servers 提供
- Defender for Containers
设置 Defender for Servers 计划以保护裸机服务器
若要利用 Microsoft Defender for Endpoint 提供的本地裸机 (BMM) 计算服务器的额外安全保护,可以在 Operator Nexus 订阅上启用和配置 Defender for Servers 计划。
先决条件
- 必须在订阅上启用 Defender for Cloud。
要启用 Defender for Servers 计划,请执行以下操作:
- 在 Defender for Cloud 下启用 Defender for Servers 计划功能。
- 选择一项 Defender for Servers 计划。
- 在“Defender 计划”页面上,单击“监视覆盖范围”列下的“服务器设置链接”。 “设置和监视”页面将打开。
- 确保“Log Analytics 代理/Azure Monitor 代理”设置为“关闭”。
- 确保“Endpoint Protection”设置为“关闭”。
- 单击“继续”保存任何已更改的设置。
对于启用 Defender for Endpoint,特定于 Operator Nexus 的要求
重要
在 Operator Nexus 中,Microsoft Defender for Endpoint 按群集启用,而不是同时跨所有群集启用,这是在 Defender for Servers 中启用“Endpoint Protection”设置时的默认行为。 若要请求在一个或多个本地工作负载群集中启用 Endpoint Protection,需要打开 Microsoft 支持工单,支持团队随后将执行启用操作。 在开具工单之前,必须在订阅中激活 Defender for Servers 计划。
Microsoft 支持启用 Defender for Endpoint 后,后者的配置就将由平台管理,以确保最佳的安全性和性能,并降低发生配置错误的风险。
设置 Defender for Containers 计划以保护 Azure Kubernetes 服务群集工作负载
可以通过在订阅上启用和配置 Defender for Containers 计划来保护运行 Operator 工作负载的本地 Kubernetes 群集。
先决条件
- 必须在订阅上启用 Defender for Cloud。
要设置 Defender for Containers 计划,请执行以下操作:
- 在 Defender for Cloud 下启用 Defender for Containers 计划功能。
- 在“Defender 计划”页上,单击“监视覆盖范围”列下的“容器设置链接”。 “设置和监视”页面将打开。
- 确保“DefenderDaemonSet”设置为“关闭”。
- 确保将“适用于 Kubernetes 的 Azure Policy”设置为“关闭”。
- 单击“继续”保存任何已更改的设置。
