共用方式為


將非 Azure 機器連線至適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可以監視非 Azure 機器的安全性態勢,但您需要先將其連線至 Azure。

您可透過以下任何方式來連接非 Azure 電腦:

本文說明使用 Azure Arc 上線的方法。

如果您要從其他雲端提供者連接機器,請參閱連接 AWS 帳戶連接 GCP 專案。 「適用於雲端的 Defender」中用於 Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 的多重雲端連接器,會以透明方式為您處理 Azure Arc 部署。

必要條件

若要完成本文中的程序,您需要:

使用 Azure Arc 連接內部部署機器

機器若具有已啟用 Azure Arc 的伺服器,即會成為 Azure 資源。 當您於其上安裝 Log Analytics 代理程式時,它就會連同建議出現在適用於雲端的 Defender 中,就像其他 Azure 資源一樣。

已啟用 Azure Arc 的伺服器提供增強功能,例如,在機器上啟用來賓設定原則,以及簡化其他 Azure 服務的部署等。 若要大致了解已啟用 Azure Arc 的伺服器有何優點,請參閱支援的雲端作業

若要在單一機器上部署 Azure Arc,請依照快速入門:將混合式機器與已啟用 Azure Arc 的伺服器連線中的指示操作。

若要在多個機器上大規模部署 Azure Arc,請依照大規模將混合式機器連線至 Azure 中的指示操作。

可自動部署 Log Analytics 代理程式的「適用於雲端的 Defender」工具,可與 Azure Arc 的機器搭配運作。不過,這項功能目前為預覽狀態。 當您使用 Azure Arc 連線機器時,請使用相關的「適用於雲端的 Defender」建議來部署代理程式,並充分利用「適用於雲端的 Defender」提供的各種保護:

使用 Azure 入口網站連接內部部署機器

將適用於雲端的 Defender 連線至 Azure 訂用帳戶後,您即可從適用於雲端的 Defender 中的 [開始使用] 頁面開始連接內部部署機器。

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 在適用於雲端的 Defender 功能表上,選取 [使用者入門]

  4. 選取 [開始使用] 索引標籤。

  5. 尋找 [新增非 Azure 伺服器],然後選取 [設定]

    開始使用適用於雲端的 Defender 並新增內部部署伺服器的索引標籤螢幕擷取畫面。

    Log Analytics 工作區清單隨即出現。

  6. (選擇性) 如果您還沒有用來儲存資料的 Log Analytics 工作區,請選取 [建立新的工作區],然後依照畫面上的指引操作。

  7. 在工作區清單中,針對相關工作區選取 [升級],以開啟適用於雲端的 Defender 付費方案 30 天的免費試用。

  8. 從工作區清單,針對相關工作區選取 [新增伺服器]

  9. 在 [代理程式管理] 頁面上,根據您上線的機器類型選擇下列其中一個程序:

將您的 Windows 伺服器上線

在新增 Windows 伺服器時,您必須取得 [代理程式管理] 頁面上的資訊,並下載適當的代理程式檔案 (32 位元或 64 位元)。

若要將 Windows 伺服器上線:

  1. 選取 [Windows 伺服器]

    顯示 Windows 伺服器索引標籤的螢幕擷取畫面。

  2. 選取適用於電腦處理器類型的 [下載 Windows 代理程式] 連結以下載安裝檔。

  3. 從 [代理程式管理] 頁面中,將 [工作區識別碼] 和 [主要金鑰] 值複製到記事本中。

  4. 將下載的安裝檔案複製至目標電腦並執行。

  5. 依照安裝精靈指示操作 (選取 [下一步]>[我同意]>[下一步]>[下一步])。

  6. 在 [Azure Log Analytics] 頁面上,貼上先前複製到記事本中的 [工作區識別碼] 和 [主要金鑰] 值。

  7. 如果電腦應該向 Azure Government 雲端中的 Log Analytics 工作區回報,請從 [Azure 雲端] 下拉式清單中選取 [Azure US Government]

  8. 如果電腦需要透過 Proxy 伺服器與 Log Analytics 服務進行通訊,請選取 [進階]。 然後,提供 Proxy 伺服器的 URL 和連接埠號碼。

  9. 在輸入所有的組態設定後,選取 [下一步]

  10. 在 [安裝準備就緒] 頁面上檢閱要套用的設定,然後選取 [安裝]

  11. 在 [成功完成組態] 頁面上,選取 [完成]

程序完成時,[Microsoft 監視代理程式] 會出現在 [控制台] 中。 您可在此處檢閱組態,並確認代理程式是否已連線。

如需安裝及設定代理程式的詳細資訊,請參閱連接 Windows 機器

將您的 Linux 伺服器上線

若要新增 Linux 機器,您需要 [代理程式管理] 頁面中的 wget 命令。

若要將 Linux 伺服器上線:

  1. 選取 [Linux 伺服器]

    顯示 Linux 伺服器索引標籤的螢幕擷取畫面。

  2. wget 命令複製到記事本。 將此檔案儲存到可從您的 Linux 電腦存取的位置。

  3. 在您的 Linux 電腦上,開啟包含 wget 命令的檔案。 複製所有內容,並將其貼到終端機主控台中。

  4. 安裝完成時請執行 pgrep 命令,驗證 Operations Management Suite 代理程式已安裝。 此命令會傳回 omsagent 持續性識別碼。

    您可以在 /var/opt/microsoft/omsagent/<workspace id>/log/ 找到代理程式的記錄。 新的 Linux 機器最多可能需要 30 分鐘才會出現在適用於雲端的 Defender 中。

確認您的機器已連線

您的 Azure 和內部部署機器可在同一個位置檢視。

若要確認您的機器已連線:

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [適用於雲端的 Microsoft Defender]

  3. 在適用於雲端的 Defender 功能表上,選取 [清查] 以顯示資產清查

  4. 篩選頁面以檢視相關的資源類型。 這些圖示會區分類型:

    內部部署機器的適用於雲端的 Defender 圖示。 非 Azure 機器

    Azure 機器的適用於雲端的 Defender 圖示。 Azure VM

    已啟用 Azure Arc 伺服器的適用於雲端的 Defender 圖示。 已啟用 Azure Arc 的伺服器

與 Microsoft Defender XDR 整合

啟用適用於雲端的 Defender 時,適用於雲端的 Defender 警示會自動整合到 Microsoft Defender 入口網站。 不需執行進一步的步驟。

適用於雲端的 Microsoft Defender 和 Microsoft Defender XDR 之間的整合,能將您的雲端環境導入 Microsoft Defender XDR 中。 現在,藉由將適用於雲端的 Defender 警示和雲端關聯性整合到 Microsoft Defender XDR,SOC 小組就能從單一介面中存取所有安全性資訊。

深入了解適用於雲端的 Defender 在 Microsoft Defender XDR 中的警示

清除資源

本文沒有任何資源需要清理。

下一步