將非 Azure 機器連線至適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 可以監視非 Azure 機器的安全性態勢,但您需要先將其連線至 Azure。
您可透過以下任何方式來連接非 Azure 電腦:
- 使用 Azure Arc 上線:
- 使用已啟用 Azure Arc 的伺服器 (建議)
- 使用 Azure 入口網站
- 直接使用適用於端點的 Microsoft Defender 上線
本文說明使用 Azure Arc 上線的方法。
如果您要從其他雲端提供者連接機器,請參閱連接 AWS 帳戶或連接 GCP 專案。 「適用於雲端的 Defender」中用於 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的多重雲端連接器,會以透明方式為您處理 Azure Arc 部署。
必要條件
若要完成本文中的程序,您需要:
Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以免費註冊一個。
已在您的 Azure 訂用帳戶上設定的適用於雲端的 Microsoft Defender。
內部部署機器的存取權。
使用 Azure Arc 連接內部部署機器
機器若具有已啟用 Azure Arc 的伺服器,即會成為 Azure 資源。 當您於其上安裝 Log Analytics 代理程式時,它就會連同建議出現在適用於雲端的 Defender 中,就像其他 Azure 資源一樣。
已啟用 Azure Arc 的伺服器提供增強功能,例如,在機器上啟用來賓設定原則,以及簡化其他 Azure 服務的部署等。 若要大致了解已啟用 Azure Arc 的伺服器有何優點,請參閱支援的雲端作業。
若要在單一機器上部署 Azure Arc,請依照快速入門:將混合式機器與已啟用 Azure Arc 的伺服器連線中的指示操作。
若要在多個機器上大規模部署 Azure Arc,請依照大規模將混合式機器連線至 Azure 中的指示操作。
可自動部署 Log Analytics 代理程式的「適用於雲端的 Defender」工具,可與 Azure Arc 的機器搭配運作。不過,這項功能目前為預覽狀態。 當您使用 Azure Arc 連線機器時,請使用相關的「適用於雲端的 Defender」建議來部署代理程式,並充分利用「適用於雲端的 Defender」提供的各種保護:
使用 Azure 入口網站連接內部部署機器
將適用於雲端的 Defender 連線至 Azure 訂用帳戶後,您即可從適用於雲端的 Defender 中的 [開始使用] 頁面開始連接內部部署機器。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Defender 功能表上,選取 [使用者入門]。
選取 [開始使用] 索引標籤。
尋找 [新增非 Azure 伺服器],然後選取 [設定]。
Log Analytics 工作區清單隨即出現。
(選擇性) 如果您還沒有用來儲存資料的 Log Analytics 工作區,請選取 [建立新的工作區],然後依照畫面上的指引操作。
在工作區清單中,針對相關工作區選取 [升級],以開啟適用於雲端的 Defender 付費方案 30 天的免費試用。
從工作區清單,針對相關工作區選取 [新增伺服器]。
在 [代理程式管理] 頁面上,根據您上線的機器類型選擇下列其中一個程序:
將您的 Windows 伺服器上線
在新增 Windows 伺服器時,您必須取得 [代理程式管理] 頁面上的資訊,並下載適當的代理程式檔案 (32 位元或 64 位元)。
若要將 Windows 伺服器上線:
選取 [Windows 伺服器]。
選取適用於電腦處理器類型的 [下載 Windows 代理程式] 連結以下載安裝檔。
從 [代理程式管理] 頁面中,將 [工作區識別碼] 和 [主要金鑰] 值複製到記事本中。
將下載的安裝檔案複製至目標電腦並執行。
依照安裝精靈指示操作 (選取 [下一步]>[我同意]>[下一步]>[下一步])。
在 [Azure Log Analytics] 頁面上,貼上先前複製到記事本中的 [工作區識別碼] 和 [主要金鑰] 值。
如果電腦應該向 Azure Government 雲端中的 Log Analytics 工作區回報,請從 [Azure 雲端] 下拉式清單中選取 [Azure US Government]。
如果電腦需要透過 Proxy 伺服器與 Log Analytics 服務進行通訊,請選取 [進階]。 然後,提供 Proxy 伺服器的 URL 和連接埠號碼。
在輸入所有的組態設定後,選取 [下一步]。
在 [安裝準備就緒] 頁面上檢閱要套用的設定,然後選取 [安裝]。
在 [成功完成組態] 頁面上,選取 [完成]。
程序完成時,[Microsoft 監視代理程式] 會出現在 [控制台] 中。 您可在此處檢閱組態,並確認代理程式是否已連線。
如需安裝及設定代理程式的詳細資訊,請參閱連接 Windows 機器。
將您的 Linux 伺服器上線
若要新增 Linux 機器,您需要 [代理程式管理] 頁面中的 wget
命令。
若要將 Linux 伺服器上線:
選取 [Linux 伺服器]。
將
wget
命令複製到記事本。 將此檔案儲存到可從您的 Linux 電腦存取的位置。在您的 Linux 電腦上,開啟包含
wget
命令的檔案。 複製所有內容,並將其貼到終端機主控台中。安裝完成時請執行
pgrep
命令,驗證 Operations Management Suite 代理程式已安裝。 此命令會傳回omsagent
持續性識別碼。您可以在
/var/opt/microsoft/omsagent/<workspace id>/log/
找到代理程式的記錄。 新的 Linux 機器最多可能需要 30 分鐘才會出現在適用於雲端的 Defender 中。
確認您的機器已連線
您的 Azure 和內部部署機器可在同一個位置檢視。
若要確認您的機器已連線:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Defender 功能表上,選取 [清查] 以顯示資產清查。
篩選頁面以檢視相關的資源類型。 這些圖示會區分類型:
非 Azure 機器
Azure VM
已啟用 Azure Arc 的伺服器
與 Microsoft Defender XDR 整合
啟用適用於雲端的 Defender 時,適用於雲端的 Defender 警示會自動整合到 Microsoft Defender 入口網站。 不需執行進一步的步驟。
適用於雲端的 Microsoft Defender 和 Microsoft Defender XDR 之間的整合,能將您的雲端環境導入 Microsoft Defender XDR 中。 現在,藉由將適用於雲端的 Defender 警示和雲端關聯性整合到 Microsoft Defender XDR,SOC 小組就能從單一介面中存取所有安全性資訊。
深入了解適用於雲端的 Defender 在 Microsoft Defender XDR 中的警示。
清除資源
本文沒有任何資源需要清理。