配置 Microsoft Defender for Servers
Microsoft Defender for Cloud 中的 Defender for Servers 为在 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和本地环境中运行的 Windows 和 Linux 计算机提供威胁检测和高级防御。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。
Microsoft Defender for Servers 提供与 Microsoft Defender for Endpoint 的自动本机集成。 若要了解详细信息,请参阅通过 Defender for Cloud 的集成式 EDR 解决方案 Microsoft Defender for Endpoint 来保护终结点。 启用此集成后,将可以从 Microsoft 威胁和漏洞管理访问漏洞发现结果。
启用 Defender for Servers 计划
可以从“环境设置”页启用 Defender for Servers 计划,以保护 Azure 订阅、AWS 帐户或 GCP 项目中的所有计算机。
要启用 Defender for Servers 计划:
- 登录 Azure 门户。
- 搜索并选择“Microsoft Defender for Cloud”。
- 在 Defender for Cloud 菜单中,选择“环境设置”。
- 选择相关订阅。
- 在“Defender 计划”页上,将“服务器”开关切换为“打开”。
在启用该计划后,你可以配置该计划的功能以满足你的需求。 在订阅上启用 Defender for Servers 时,它不会将该覆盖范围扩展到附加的工作区。 你需要在 Log Analytics 工作区级别启用 Defender for Servers。
选择 Defender for Servers 计划
启用 Defender for Servers 计划时,系统会让你选择要启用的计划–计划 1 或计划 2。 有两个计划可供选择,它们可为资源提供不同级别的保护。
比较每个计划提供的可用功能。
若要选择 Defender for Servers 计划,请执行以下操作:
- 登录 Azure 门户。
- 搜索并选择“Microsoft Defender for Cloud”。
- 在 Defender for Cloud 菜单中,选择“环境设置”。
- 选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
- 选择“更改计划”。
- 在弹出窗口中,选择“计划 2”或“计划 1”。
- 选择“确认”。
- 选择“保存”。
在启用该计划后,你可以配置该计划的功能以满足你的需求。
在 Log Analytics 工作区级别启用该计划
在订阅上启用 Defender for Servers 时,Defender for Servers 提供的覆盖范围不会自动扩展到 Log Analytics 工作区。 你需要在每个工作区上启用 Defender for Servers。 工作区上的 Defender for Servers 仅支持计划 2。
在 Log Analytics 工作区上启用 Defender for Servers
- 登录 Azure 门户。
- 搜索并选择“Microsoft Defender for Cloud”。
- 在 Defender for Cloud 菜单中,选择“环境设置”。
- 选择相关工作区。
- 将服务器计划切换为“开”。
- 选择“保存”。
在资源级别禁用 Defender for Servers
若要保护所有现有资源和将来的资源,建议在整个 Azure 订阅上启用 Defender for Servers。
通过在资源级别启用 Defender for Servers 计划,可以在较低层次结构级别排除特定资源或管理安全配置。 可以使用 REST API 或大规模在资源级别启用计划。
支持的资源类型包括:
- Azure VM。
- 包含 Azure Arc 的本地资源。
- Azure 虚拟机规模集灵活模式。
通过 REST API 在资源级别启用 Defender for Servers
使用以下基础脚本文件根据你的特定需求对其进行自定义。
- 下载此文件并将其保存为 PowerShell 文件。
- 运行下载的文件。
- 选择是按标记还是按资源组设置定价。
- 按照屏幕上的其余说明操作。
在启用该计划后,你可以配置该计划的功能以满足你的需求。