Planejar agentes, extensões e Azure Arc for Defender for Servers

Este artigo ajuda você a planejar seus agentes, extensões e recursos do Azure Arc para sua implantação do Microsoft Defender for Servers.

O Defender for Servers é um dos planos pagos fornecidos pelo Microsoft Defender for Cloud.

Antes de começar

Este artigo é o quinto artigo do guia de planejamento do Defender for Servers. Antes de começar, reveja os artigos anteriores:

  1. Comece a planejar sua implantação.
  2. Entenda onde seus dados são armazenados e os requisitos do espaço de trabalho do Log Analytics.
  3. Analise as funções de acesso do Defender for Servers.
  4. Selecione um plano para o Defender for Servers.

Rever os requisitos do Azure Arc

O Azure Arc ajuda você a integrar a Amazon Web Services (AWS), o Google Cloud Platform (GCP) e máquinas locais ao Azure. O Defender for Cloud usa o Azure Arc para proteger máquinas que não são do Azure.

Gestão fundamental da postura de segurança na nuvem

Os recursos básicos gratuitos de gerenciamento de postura de segurança na nuvem (CSPM) para máquinas AWS e GCP não exigem o Azure Arc. Para obter funcionalidade completa, recomendamos que você tenha o Azure Arc em execução em máquinas AWS ou GCP.

A integração do Azure Arc é necessária para máquinas locais.

Plano Defender para Servidores

Para usar o Defender for Servers, todas as máquinas AWS, GCP e locais devem ser habilitadas para Azure Arc.

Você pode integrar o agente do Azure Arc aos seus servidores AWS ou GCP automaticamente com o conector multicloud AWS ou GCP.

Planejar a implantação do Azure Arc

Para planejar a implantação do Azure Arc:

  1. Analise as recomendações de planejamento e os pré-requisitos de implantação do Azure Arc.

  2. Abra as portas de rede para o Azure Arc no seu firewall.

  3. O Azure Arc instala o agente Máquina Conectada para se conectar e gerenciar máquinas hospedadas fora do Azure. Reveja as seguintes informações:

Agente do Log Analytics e agente do Azure Monitor

Nota

Como o agente do Log Analytics está programado para se aposentar em agosto de 2024 e como parte da estratégia atualizada do Defender for Cloud, todos os recursos e capacidades do Defender for Servers serão fornecidos por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, sem dependência do agente do Log Analytics (MMA) ou do agente do Azure Monitor (AMA). Como resultado, o processo de provisionamento automático compartilhado para ambos os agentes será ajustado de acordo Para obter mais informações sobre essa alteração, consulte este anúncio.

O Defender for Cloud usa o agente do Log Analytics e o agente do Azure Monitor para coletar informações de recursos de computação. Em seguida, ele envia os dados para um espaço de trabalho do Log Analytics para mais análise. Analise as diferenças e recomendações para ambos os agentes.

A tabela a seguir descreve os agentes usados no Defender for Servers:

Caraterística Agente do Log Analytics Agente do Azure Monitor
Recomendações básicas do CSPM (gratuitas) que dependem do agente: recomendação de linha de base do SO (VMs do Azure)

Com o agente do Azure Monitor, a extensão de configuração de convidado da Política do Azure é usada.
CSPM fundamental: recomendações de atualizações do sistema (VMs do Azure) Ainda não disponível.
CSPM fundamental: recomendações de proteção antimalware/endpoint (VMs do Azure)
Deteção de ataques no nível do sistema operacional e na camada de rede, incluindo deteção de ataques sem arquivos

O Plano 1 depende dos recursos do Defender for Endpoint para deteção de ataques.


Plano 2


Plano 2
Monitoramento da integridade de arquivos (somente Plano 2)

Extensão Qualys

A extensão Qualys está disponível no Defender for Servers Plan 2. A extensão é implantada se você quiser usar o Qualys para avaliação de vulnerabilidade.

Aqui estão mais informações:

  • A extensão Qualys envia metadados para análise para uma das duas regiões do datacenter Qualys, dependendo da sua região do Azure.

    • Se você estiver operando em uma região europeia do Azure, o processamento de dados ocorrerá no data center europeu da Qualys.
    • Para outras regiões, o processamento de dados ocorre no data center dos EUA.
  • Para usar o Qualys em uma máquina, a extensão deve ser instalada e a máquina deve ser capaz de se comunicar com o ponto de extremidade de rede relevante:

    • Centro de dados da Europa: https://qagpublic.qg2.apps.qualys.eu
    • Datacenter dos EUA: https://qagpublic.qg3.apps.qualys.com

Extensão de configuração de convidado

A extensão executa operações de auditoria e configuração dentro de VMs.

  • Se você estiver usando o Azure Monitor Agent, o Defender for Cloud usará essa extensão para analisar as configurações de linha de base de segurança do sistema operacional em máquinas Windows e Linux.
  • Embora os servidores habilitados para Azure Arc e a extensão de configuração de convidado sejam gratuitos, mais custos podem ser aplicados se você usar políticas de configuração de convidado em servidores Azure Arc fora do escopo do Defender for Cloud.

Saiba mais sobre a extensão de configuração de convidado do Azure Policy.

Defender para extensões de ponto de extremidade

Quando você habilita o Defender for Servers, o Defender for Cloud implanta automaticamente uma extensão do Defender for Endpoint. A extensão é uma interface de gerenciamento que executa um script dentro do sistema operacional para implantar e integrar o sensor Defender for Endpoint na máquina.

  • Extensão de máquinas Windows: MDE.Windows
  • Extensão de máquinas Linux: MDE.Linux
  • As máquinas devem cumprir os requisitos mínimos.
  • Algumas versões do Windows Server têm requisitos específicos.

A maioria dos serviços do Defender for Endpoint pode ser acessada por meio *.endpoint.security.microsoft.com ou por meio das tags de serviço do Defender for Endpoint. Certifique-se de que está ligado ao serviço Defender for Endpoint e conheça os requisitos para atualizações automáticas e outras funcionalidades.

Verificar o suporte ao sistema operacional

Antes de implantar o Defender for Servers, verifique o suporte do sistema operacional para agentes e extensões:

Provisionamento do agente de revisão

Ao habilitar planos no Defender for Cloud, incluindo o Defender for Servers, você pode optar por provisionar automaticamente alguns agentes relevantes para o Defender for Servers:

  • Agente do Log Analytics e agente do Azure Monitor para VMs do Azure
  • Agente do Log Analytics e agente do Azure Monitor para VMs do Azure Arc
  • Agente Qualys
  • Agente de configuração convidado

Quando você habilita o Defender for Servers Plan 1 ou Plan 2, a extensão do Defender for Endpoint é provisionada automaticamente em todas as máquinas suportadas na assinatura.

Considerações sobre provisionamento

A tabela a seguir descreve as considerações de provisionamento a serem observadas:

Aprovisionamento Detalhes
Sensor Defender for Endpoint Se as máquinas estiverem executando o Microsoft Antimalware, também conhecido como System Center Endpoint Protection (SCEP), a extensão do Windows o removerá automaticamente da máquina.

Se você implantar em uma máquina que já tenha o sensor Defender for Endpoint herdado do Microsoft Monitoring agent (MMA) em execução, depois que a solução unificada do Defender for Cloud e do Defender for Endpoint for instalada com êxito, a extensão será interrompida e desativará o sensor herdado. A alteração é transparente e o histórico de proteção da máquina é preservado.
Máquinas AWS e GCP Configure o provisionamento automático ao configurar o conector AWS ou GCP.
Instalação manual Se não quiser que o Defender for Cloud provisione o agente do Log Analytics e o agente do Azure Monitor, instale os agentes manualmente.

Você pode conectar o agente ao espaço de trabalho padrão do Defender for Cloud ou a um espaço de trabalho personalizado.

O espaço de trabalho deve ter a solução SecurityCenterFree (para CSPM básico gratuito) ou Security habilitada (Defender for Servers Plan 2).
Agente do Log Analytics em execução direta Se uma VM do Windows tiver o agente do Log Analytics em execução, mas não como uma extensão de VM, o Defender for Cloud instalará a extensão. O agente se reporta ao espaço de trabalho do Defender for Cloud e ao espaço de trabalho do agente existente.

Em VMs Linux, não há suporte para multi-homing. Se existir um agente existente, o agente do Log Analytics não será provisionado automaticamente.
Agente do Operations Manager O agente do Log Analytics pode trabalhar lado a lado com o agente do Operations Manager. Os agentes compartilham bibliotecas de tempo de execução comuns que são atualizadas quando o agente do Log Analytics é implantado.
Removendo a extensão do Log Analytics Se você remover a extensão do Log Analytics, o Defender for Cloud não poderá coletar dados de segurança e recomendações, resultando em alertas ausentes. Dentro de 24 horas, o Defender for Cloud determina que a extensão está faltando e a reinstala.

Quando desativar o provisionamento automático

Talvez você queira desativar o provisionamento automático nas circunstâncias descritas na tabela a seguir:

Situação Agente relevante Detalhes
Você tem VMs críticas que não devem ter agentes instalados Agente do Log Analytics, agente do Azure Monitor O provisionamento automático é para uma assinatura inteira. Não pode optar por não utilizar máquinas específicas.
Você está executando o agente do System Center Operations Manager versão 2012 com o Operations Manager 2012 Agente do Log Analytics Com essa configuração, não ative o provisionamento automático; os recursos de gerenciamento podem ser perdidos.
Você deseja configurar um espaço de trabalho personalizado Agente do Log Analytics, agente do Azure Monitor Você tem duas opções com um espaço de trabalho personalizado:

- Desative o provisionamento automático quando configurar o Defender for Cloud pela primeira vez. Em seguida, configure o provisionamento em seu espaço de trabalho personalizado.

- Deixe o provisionamento automático ser executado para instalar os agentes do Log Analytics nas máquinas. Defina um espaço de trabalho personalizado e reconfigure as VMs existentes com a nova configuração de espaço de trabalho.

Próximos passos

Depois de executar estas etapas de planejamento, você pode iniciar a implantação: