將混合式雲端與多雲端環境連線至適用於雲端的 Microsoft Defender

7 分鐘

將混合式雲端和多雲端環境連結到適用於雲端的 Microsoft Defender，對於維護跨各種 IT 環境統一安全性態勢至關重要。使用「適用於非 Azure 機器的啟用了 Azure Arc 的伺服器」、「原生雲端連接器」和「傳統連接器」，您可以將適用於雲端的 Microsoft Defender 功能延伸至非 Azure 資源。這項整合可讓您全面監視、偵測及回應安全性威脅。此處，我們提供該程序的資訊概觀，以及成功連線的詳細需求。

將非 Azure 機器連線至適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可以監視非 Azure 機器的安全性態勢，但您需要先將其連線至 Azure。

您可透過以下任何方式來連接非 Azure 電腦：

使用 Azure Arc 上線：
- 使用已啟用 Azure Arc 的伺服器 (建議)
- 使用 Azure 入口網站
直接使用適用於端點的 Microsoft Defender 上線

使用 Azure Arc 連接內部部署機器

機器若具有已啟用 Azure Arc 的伺服器，即會成為 Azure 資源。當您於其上安裝 Log Analytics 代理程式時，它就會連同建議出現在適用於雲端的 Defender 中，就像其他 Azure 資源一樣。

已啟用 Azure Arc 的伺服器提供增強功能，例如，在機器上啟用來賓設定原則，以及簡化其他 Azure 服務的部署等。若要大致了解已啟用 Azure Arc 的伺服器有何優點，請參閱支援的雲端作業。

若要在單一機器上部署 Azure Arc，請依照快速入門：將混合式機器與已啟用 Azure Arc 的伺服器連線中的指示操作。

若要在多個機器上大規模部署 Azure Arc，請依照大規模將混合式機器連線至 Azure 中的指示操作。

可自動部署 Log Analytics 代理程式的「適用於雲端的 Defender」工具，可與 Azure Arc 的機器搭配運作。不過，這項功能目前為預覽狀態。當您使用 Azure Arc 連線機器時，請使用相關的「適用於雲端的 Defender」建議來部署代理程式，並充分利用「適用於雲端的 Defender」提供的各種保護：

Linux 版 Azure Arc 機器上應安裝 Log Analytics 代理程式
Windows 版 Azure Arc 機器上應安裝 Log Analytics 代理程式

將 AWS 帳戶連線至適用於雲端的 Microsoft Defender

工作負載通常需要跨越多個雲端平台。因此雲端安全性服務也必須這麼做。適用於雲端的 Microsoft Defender 能協助保護 Amazon Web Services (AWS) 中的工作負載，但您必須在那些工作負載和適用於雲端的 Defender 之間設定連線。

如果您要連結先前使用傳統連接器連結的 AWS 帳戶，您必須先將之移除。使用由傳統和原生連接器連結的 AWS 帳戶，可能會產生重複的建議。

必要條件

若要完成本文中的程序，您需要：

Microsoft Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，您可以免費註冊一個。
已在您的 Azure 訂用帳戶上設定的適用於雲端的 Microsoft Defender (部分機器翻譯)。
AWS 帳戶的存取權。
相關 Azure 訂用帳戶上的參與者權限，以及 AWS 帳戶上的管理員權限。

適用於容器的 Defender

如果您選擇適用於容器的 Microsoft Defender 方案，您會需要：

至少一個具備 EKS Kubernetes API 伺服器存取權限的 Amazon EKS 叢集。
在叢集區域中建立新 Amazon Simple Queue Service (SQS) 佇列、Kinesis Data Firehose 傳遞資料流和 Amazon S3 貯體的資源容量。

適用於 SQL 的 Defender

如果您選擇適用於 SQL 的 Microsoft Defender 方案，您會需要：

您的訂用帳戶必須啟用適用於 SQL 的 Microsoft Defender。了解如何保護資料庫 (部分機器翻譯)。
作用中的 AWS 帳戶，其中 EC2 執行個體執行 SQL Server 或 SQL Server 的關聯式資料庫服務 (RDS) 自訂。
安裝在 EC2 執行個體或 RDS Custom for SQL Server 上的適用於伺服器的 Azure Arc。

建議您使用自動佈建程序，在所有現有的和未來的 EC2 執行個體上安裝 Azure Arc。若要啟用 Azure Arc 自動佈建，您需要相關 Azure 訂用帳戶的 [擁有者] 權限。

AWS 系統管理員 (SSM) 會使用 SSM 代理程式，來管理自動佈建。部分 Amazon Machine Images 已經預先安裝 SSM 代理程式。如果您的 EC2 執行個體中沒有 SSM 代理程式，則您必須使用下列來自 Amazon 的指示加以安裝：安裝適用於混合式和多重雲端環境的 SSM 代理程式 (Windows)。

確定您的 SSM 代理程式具有 AmazonSSMManagedInstanceCore 受控原則。其會啟用 AWS Systems Manager 服務的核心功能。

在與 Azure Arc 連線的機器上啟用這些其他延伸模組：

適用於端點的 Microsoft Defender
弱點評定解決方案 (威脅與弱點管理或 Qualys)
與 Azure Arc 連線的機器上的 Log Analytics 代理程式，或是 Azure 監視器代理程式

確定選取的 Log Analytics 工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前於「訂用帳戶」等級設定。同一訂用帳戶下的所有 AWS 帳戶和 Google Cloud Platform (GCP) 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

適用於伺服器的 Defender

如果您選擇適用於伺服器的 Microsoft Defender 方案，您需要：

您的訂閱必須啟用適用於雲端的 Microsoft Defender。在啟用增強的安全性功能一文中了解如何啟用方案。
具有 EC2 執行個體的有效 AWS 帳戶。
安裝於 EC2 執行個體上適用於伺服器的 Azure Arc。

AWS 系統管理員會使用 SSM 代理程式，來管理自動佈建。部分 Amazon Machine Images 已經預先安裝 SSM 代理程式。如果您的 EC2 執行個體中沒有 SSM 代理程式，請使用下列其中一個來自 Amazon 的指示來加以安裝：

安裝適用於混合式和多重雲端環境的 SSM 代理程式 (Windows)
安裝適用於混合式和多重雲端環境的 SSM 代理程式 (Linux)

確定您的 SSM 代理程式具有 AmazonSSMManagedInstanceCore 受控原則，其會啟用 AWS Systems Manager 服務的核心功能。

如果您想要在現有的和未來的 EC2 執行個體上手動安裝 Azure Arc，請利用 EC2 執行個體應連線至 Azure Arc 中的建議，識別未安裝 Azure Arc 的執行個體。

在與 Azure Arc 連線的機器上啟用這些其他延伸模組：

適用於端點的 Microsoft Defender
弱點評定解決方案 (威脅與弱點管理或 Qualys)
與 Azure Arc 連線的機器上的 Log Analytics 代理程式，或是 Azure 監視器代理程式

確定選取的 Log Analytics 工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前於「訂用帳戶」等級設定。同一訂用帳戶下的所有 AWS 帳戶和 GCP 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

適用於伺服器的 Defender 會將標籤指派給您的 AWS 資源，以管理自動佈建程序。您必須將這些標籤正確指派給您的資源，讓適用於雲端的 Defender 可以加以管理：AccountId、Cloud、InstanceId 與 MDFCSecurityConnector。

Defender CSPM

如果您選擇 Microsoft Defender 雲端安全性態勢管理方案，您需要:

Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender (部分機器翻譯)。
將您的非 Azure 機器 (部分機器翻譯)、AWS 帳戶 (部分機器翻譯) 連線。
若要存取 CSPM 方案提供的所有功能，該方案必須由訂用帳戶擁有者啟用。