Planeamiento de agentes, extensiones y Azure Arc para Defender para servidores

Este artículo le ayuda a planear los agentes, las extensiones y los recursos de Azure Arc para la implementación de Microsoft Defender para servidores.

Defender para servidores es uno de los planes de pago que ofrece Microsoft Defender for Cloud.

Antes de empezar

Este artículo es el quinto de la guía de planificación de Defender para servidores. Antes de empezar, revise los artículos anteriores:

  1. Planeamiento de la implementación de Defender para servidores.
  2. Revisión de la residencia de datos y el diseño del área trabajo.
  3. Revisión de los roles de acceso de Defender para servidores.
  4. Seleccione un plan para Defender para servidores.

Revisión de los requisitos de Azure Arc

Azure Arc le ayuda a incorporar Amazon Web Services (AWS), Google Cloud Platform (GCP) y máquinas locales a Azure. Defender for Cloud usa Azure Arc para proteger las máquinas que no son de Azure.

Administración de la posición de seguridad en la nube básica

Las características gratuitas de administración de la posición de seguridad en la nube (CSPM) para máquinas AWS y GCP no requieren Azure Arc. Para obtener una funcionalidad completa, se recomienda que Azure Arc se ejecute en máquinas AWS o GCP.

La incorporación de Azure Arc es necesaria para máquinas locales.

Plan de Azure Defender para servidores

Para usar Defender para servidores, todas las máquinas con AWS, GCP y locales deben estar habilitadas para Azure Arc.

El agente de Azure Arc se puede incorporar a los servidores de AWS o GCP automáticamente con el conector multinube de AWS o GCP.

Planeamiento de la implementación de Azure Arc

Para planear la implementación de Azure Arc:

  1. Consulte las recomendaciones para el planeamiento y los requisitos previos para la implementación de Azure Arc.

  2. Abra los puertos de red para Azure Arc en el firewall.

  3. Azure Arc instala el agente de Connected Machine para conectarse a las máquinas hospedadas fuera de Azure y administrarlas. Revisa la información siguiente:

Agente de Log Analytics y agente de Azure Monitor

Nota:

Dado que el agente de Log Analytics está establecido para retirarse en agosto de 2024 y como parte de la estrategia actualizada de Defender for Cloud, todas las características y funcionalidades de Defender para servidores se proporcionarán a través de la Integración de Microsoft Defender para punto de conexión o el examen sin agente, sin dependencia en el agente de Log Analytics (MMA) o el agente de Azure Monitor (AMA). Como resultado, el proceso de aprovisionamiento automático compartido para ambos agentes se ajustará en consecuencia. Para obtener más información sobre este cambio, consulte este anuncio.

Defender for Cloud usa tanto el agente de Log Analytics como el agente de Azure Monitor para recopilar información de los recursos de proceso. Luego, envía los datos a un área de trabajo de Log Analytics para obtener más análisis. Examine las diferencias y recomendaciones para ambos agentes.

En la tabla siguiente se describen los agentes que se usan en Defender para servidores:

Característica Agente de Log Analytics Agente de Azure Monitor
Recomendaciones para las CSPM básicas que dependen del agente: recomendación de línea base del sistema operativo (máquinas virtuales de Azure)

Con el agente de Azure Monitor, se usa la extensión de configuración de invitado de Azure Policy.
CSPM básica: recomendaciones de actualizaciones del sistema (máquinas virtuales de Azure) No disponible todavía.
CSPM básica: recomendaciones de Protección contra puntos de conexión y antimalware (máquinas virtuales de Azure)
Detección de ataques en el nivel de sistema operativo y la capa de red, incluida la detección de ataques sin archivos

El plan 1 se basa en la funcionalidad de Defender para punto de conexión para la detección de ataques.


Plan 2


Plan 2
Supervisión de la integridad de los archivos (solo en el plan 2)

Extensión Qualys

La extensión Qualys está disponible en el plan 2 de Defender para servidores. La extensión se implementa si se desea usar Qualys para la evaluación de vulnerabilidades.

A continuación, se muestra más información:

  • La extensión Qualys envía metadatos para analizarlos a una de las dos regiones del centro de datos de Qualys, en función de la región de Azure.

    • Si está trabajando dentro de una región europea de Azure, el procesamiento de datos se produce en el centro de datos europeo de Qualys.
    • Para otras regiones, el procesamiento de datos se produce en el centro de datos de EE. UU.
  • Para usar Qualys en una máquina, es necesario instalar la extensión y la máquina debe poder comunicarse con el punto de conexión de red pertinente:

    • Centro de datos de Europa: https://qagpublic.qg2.apps.qualys.eu
    • Centro de datos de Estados Unidos: https://qagpublic.qg3.apps.qualys.com

Extensión Guest Configuration

La extensión realiza operaciones de auditoría y configuración en las máquinas virtuales.

  • Si usa el agente de Azure Monitor, Defender for Cloud usa esta extensión para analizar la configuración de línea base de seguridad del sistema operativo en máquinas Windows y Linux.
  • Aunque los servidores habilitados para Azure Arc y la extensión de configuración de invitado son gratuitos, es posible que se generen más costos si se usan directivas de configuración de invitado en servidores de Azure Arc que se encuentren fuera del ámbito de Defender for Cloud.

Consulte más información sobre la extensión de configuración de invitado de Azure Policy.

Extensiones de Defender para punto de conexión

Al habilitar Defender para servidores, Defender for Cloud implementa automáticamente una extensión de Defender para punto de conexión. La extensión es una interfaz de administración que ejecuta un script dentro del sistema operativo para implementar e integrar el sensor de Defender para punto de conexión en la máquina.

Se puede acceder a la mayoría de los servicios de Defender para punto de conexión a través de *.endpoint.security.microsoft.com o a través de las etiquetas de servicio de Defender para punto de conexión. Asegúrese de que está conectado al servicio Defender para punto de conexión y de que conoce los requisitos de las actualizaciones automáticas y otras características..

Comprobación de la compatibilidad del sistema operativo

Antes de implementar Defender para servidores, compruebe la compatibilidad del sistema operativo con los distintos agentes y extensiones:

Revisión del aprovisionamiento del agente

Al habilitar planes en Defender for Cloud, incluido Defender para servidores, puede optar por aprovisionar automáticamente algunos agentes relevantes para Defender para servidores:

  • Agente de Log Analytics o agente de Azure Monitor para máquinas virtuales de Azure
  • Agente de Log Analytics o agente de Azure Monitor para máquinas virtuales con Azure Arc
  • Agente de Qualys.
  • Agente de configuración de invitado.

Cuando se habilitan los planes 1o 2 de Defender para servidores, la extensión Defender para punto de conexión se aprovisiona automáticamente en todas las máquinas de la suscripción admitidas.

Consideraciones sobre el aprovisionamiento

En la tabla siguiente se describen las consideraciones de aprovisionamiento que se deben tener en cuenta:

Aprovisionamiento Detalles
Sensor de Defender para punto de conexión Si las máquinas ejecutan Microsoft Antimalware, también conocido como System Center Endpoint Protection (SCEP), la extensión de Windows lo quita automáticamente de la máquina.

Si lleva a cabo la implementación en una máquina que ya tiene el sensor heredado de Defender para punto de conexión de Microsoft Monitoring Agent (MMA), después de instalar correctamente la solución unificada de Defender for Cloud y Defender para punto de conexión, la extensión detiene y deshabilita dicho sensor. El cambio es transparente y se conserva el historial de protección de la máquina.
Máquinas AWS y GCP Configure el aprovisionamiento automático cuando configure el conector de AWS o GCP.
Instalación manual Si no desea que Defender for Cloud aprovisione el agente de Log Analytics ni el agente de Azure Monitor, puede instalar los agentes manualmente.

El agente se puede conectar al área de trabajo predeterminada de Defender for Cloud o a un área de trabajo personalizada.

El área de trabajo debe tener habilitada la solución SecurityCenterFree (para CSPM básica gratuita) o la solución Security (plan 2 de Defender para servidores).
Agente de Log Analytics que se ejecuta directamente Si una máquina virtual Windows ejecuta el agente de Log Analytics, pero no como una extensión de máquina virtual, Defender for Cloud instala la extensión. El agente informa tanto al área de trabajo de Defender for Cloud como al área de trabajo del agente actual.

En las máquinas virtuales Linux, no se admite el hospedaje múltiple. Si existe algún agente, el agente de Log Analytics no se aprovisiona automáticamente.
Agente de Operations Manager El agente de Log Analytics puede funcionar en paralelo con el agente de Operations Manager. Los agentes comparten bibliotecas del entorno de ejecución comunes que se actualizan cuando se implementa el agente de Log Analytics.
Desinstalación de la extensión de Log Analytics Si se quita la extensión de Log Analytics, Defender for Cloud no puede recopilar datos de seguridad ni recomendaciones, lo que provocará falta de alertas. En un plazo de 24 horas, Defender for Cloud determina que falta la extensión y la vuelve a instalar.

Cuándo no participar en el aprovisionamiento automático

Es posible que desee no participar en el aprovisionamiento automático en las circunstancias que se describen en la tabla siguiente:

Situación Agente pertinente Detalles
Tiene máquinas virtuales críticas que no deben tener agentes instalados. Agente de Log Analytics, agente de Azure Monitor El aprovisionamiento automático es para una suscripción completa. No puede dejar fuera máquinas específicas.
Ejecuta la versión 2012 del agente de System Center Operations Manager con Operations Manager 2012 Agente de Log Analytics Con esta configuración, no active el aprovisionamiento automático; es posible que se pierdan las funcionalidades de administración.
Quiere configurar un área de trabajo personalizada Agente de Log Analytics, agente de Azure Monitor Tiene dos opciones con un área de trabajo personalizada:

- No usar el aprovisionamiento automático al configurar Defender for Cloud por primera vez y, después, configurar el aprovisionamiento en el área de trabajo personalizada.

- Permitir que se ejecute el aprovisionamiento automático para instalar los agentes de Log Analytics en las máquinas. Establezca un área de trabajo personalizada y vuelva a configurar las máquinas virtuales actuales con la nueva configuración del área de trabajo.

Pasos siguientes

Después de seguir estos pasos para el planeamiento, puede iniciar la implementación: