Planera agenter, tillägg och Azure Arc för Defender för servrar
Den här artikeln hjälper dig att planera dina agenter, tillägg och Azure Arc-resurser för distributionen av Microsoft Defender för servrar.
Defender for Servers är en av de betalplaner som tillhandahålls av Microsoft Defender för molnet.
Innan du börjar
Den här artikeln är den femte artikeln i planeringsguiden för Defender för servrar. Granska de tidigare artiklarna innan du börjar:
- Börja planera distributionen.
- Förstå var dina data lagras och krav för Log Analytics-arbetsytor.
- Granska Åtkomstroller för Defender för servrar.
- Välj en plan för Defender för servrar.
Granska Kraven för Azure Arc
Azure Arc hjälper dig att registrera Amazon Web Services (AWS), Google Cloud Platform (GCP) och lokala datorer till Azure. Defender för molnet använder Azure Arc för att skydda datorer som inte är Azure-datorer.
Grundläggande hantering av molnsäkerhetsstatus
De kostnadsfria funktionerna för molnsäkerhetsstatushantering (CSPM) för AWS- och GCP-datorer kräver inte Azure Arc. För fullständig funktionalitet rekommenderar vi att du har Azure Arc igång på AWS- eller GCP-datorer.
Azure Arc-registrering krävs för lokala datorer.
Defender för servrar-plan
Om du vill använda Defender för servrar ska alla AWS-, GCP- och lokala datorer vara Azure Arc-aktiverade.
Du kan registrera Azure Arc-agenten till dina AWS- eller GCP-servrar automatiskt med AWS- eller GCP-anslutningsprogrammet för flera moln.
Planera för Azure Arc-distribution
Så här planerar du för Azure Arc-distribution:
Granska förhandskraven för Azure Arc-planering och distribution.
Öppna nätverksportarna för Azure Arc i brandväggen.
Azure Arc installerar connected machine-agenten för att ansluta till och hantera datorer som finns utanför Azure. Granska följande information:
- Agentkomponenterna och data som samlas in från datorer.
- Nätverks- och Internetåtkomst för agenten.
- Anslutningsalternativ för agenten.
Log Analytics-agenten och Azure Monitor-agenten
Kommentar
Eftersom Log Analytics-agenten är inställd på att dras tillbaka i augusti 2024 och som en del av den uppdaterade strategin för Defender för molnet tillhandahålls alla Funktioner och funktioner i Defender för servrar antingen via Microsoft Defender za krajnju tačku integrering eller agentlös genomsökning, utan beroende av antingen Log Analytics-agenten (MMA) eller Azure Monitor-agenten (AMA). Därför justeras processen för delad automatisk konfiguration för båda agenterna i enlighet med detta. Mer information om den här ändringen finns i det här meddelandet.
Defender for Cloud använder Log Analytics-agenten och Azure Monitor-agenten för att samla in information från beräkningsresurser. Sedan skickar den data till en Log Analytics-arbetsyta för mer analys. Granska skillnaderna och rekommendationerna för båda agenterna.
I följande tabell beskrivs de agenter som används i Defender för servrar:
| Funktion | Log Analytics handläggare | Azure Monitor-agent |
|---|---|---|
| Grundläggande CSPM-rekommendationer (kostnadsfritt) som är beroende av agenten: rekommendationer för OS-baslinje (virtuella Azure-datorer) | 
|
Med Azure Monitor-agenten används gästkonfigurationstillägget för Azure Policy. |
| Grundläggande CSPM: Rekommendationer för systemuppdateringar (virtuella Azure-datorer) |
|
Inte tillgänglig än. |
| Grundläggande CSPM: Rekommendationer för skydd mot skadlig kod/slutpunktsskydd (virtuella Azure-datorer) |
|
|
| Attackidentifiering på operativsystemnivå och nätverksnivå, inklusive fillös attackidentifiering Plan 1 förlitar sig på Defender for Endpoint-funktioner för attackidentifiering. |
Abonnemang 2 |
Abonnemang 2 |
| Övervakning av filintegritet (endast plan 2) |
|
|
Qualys-tillägg
Qualys-tillägget är tillgängligt i Defender för servrar plan 2. Tillägget distribueras om du vill använda Qualys för sårbarhetsbedömning.
Här är mer information:
Qualys-tillägget skickar metadata för analys till en av två Qualys-datacenterregioner, beroende på din Azure-region.
- Om du arbetar i en europeisk Azure-region sker databehandling i det europeiska qualys-datacentret.
- För andra regioner sker databehandling i det amerikanska datacentret.
Om du vill använda Qualys på en dator måste tillägget vara installerat och datorn måste kunna kommunicera med den relevanta nätverksslutpunkten:
- Europa datacenter:
https://qagpublic.qg2.apps.qualys.eu - Datacenter i USA:
https://qagpublic.qg3.apps.qualys.com
- Europa datacenter:
Tillägg för gästkonfiguration
Tillägget utför gransknings- och konfigurationsåtgärder på virtuella datorer.
- Om du använder Azure Monitor-agenten använder Defender för molnet det här tillägget för att analysera inställningarna för operativsystemets säkerhetsbaslinje på Windows- och Linux-datorer.
- Även om Azure Arc-aktiverade servrar och gästkonfigurationstillägget är kostnadsfria kan mer kostnader tillkomma om du använder gästkonfigurationsprinciper på Azure Arc-servrar utanför omfånget för Defender för molnet.
Läs mer om gästkonfigurationstillägget för Azure Policy.
Defender för Endpoint-tillägg
När du aktiverar Defender för servrar distribuerar Defender for Cloud automatiskt ett Defender för Endpoint-tillägg. Tillägget är ett hanteringsgränssnitt som kör ett skript i operativsystemet för att distribuera och integrera Defender för Endpoint-sensorn på datorn.
- Windows-datortillägg:
MDE.Windows - Linux-datortillägg:
MDE.Linux - Datorer måste uppfylla minimikraven.
- Vissa Windows Server-versioner har specifika krav.
De flesta Defender för Endpoint-tjänster kan nås via *.endpoint.security.microsoft.com eller via tjänsttaggar för Defender för Endpoint. Kontrollera att du är ansluten till Defender för Endpoint-tjänsten och känner till kraven för automatiska uppdateringar och andra funktioner..
Verifiera stöd för operativsystem
Innan du distribuerar Defender för servrar kontrollerar du operativsystemets stöd för agenter och tillägg:
- Kontrollera att dina operativsystem stöds av Defender för Endpoint.
- Kontrollera kraven för Azure Arc Connect Machine-agenten.
- Kontrollera operativsystemets stöd för Log Analytics-agenten och Azure Monitor-agenten.
Granska agentetablering
När du aktiverar planer i Defender för molnet, inklusive Defender för servrar, kan du välja att automatiskt etablera vissa agenter som är relevanta för Defender för servrar:
- Log Analytics-agent och Azure Monitor-agent för virtuella Azure-datorer
- Log Analytics-agenten och Azure Monitor-agenten för virtuella Azure Arc-datorer
- Qualys-agent
- Gästkonfigurationsagent
När du aktiverar Defender for Servers Plan 1 eller Plan 2 etableras Defender för Endpoint-tillägget automatiskt på alla datorer som stöds i prenumerationen.
Etableringsöverväganden
I följande tabell beskrivs etableringsöverväganden som du bör känna till:
| Etablerar | Details |
|---|---|
| Defender för Endpoint-sensor | Om datorer kör Microsoft Antimalware, även kallat System Center Endpoint Protection (SCEP), tar Windows-tillägget automatiskt bort det från datorn. Om du distribuerar på en dator som redan har den äldre Microsoft Monitoring-agenten (MMA) Defender för Endpoint-sensorn igång, stoppas tillägget och den äldre sensorn inaktiveras när den enhetliga lösningen Defender for Cloud och Defender för Endpoint har installerats. Ändringen är transparent och datorns skyddshistorik bevaras. |
| AWS- och GCP-datorer | Konfigurera automatisk etablering när du konfigurerar AWS- eller GCP-anslutningsappen. |
| Manuell installation | Om du inte vill att Defender för molnet ska etablera Log Analytics-agenten och Azure Monitor-agenten kan du installera agenter manuellt. Du kan ansluta agenten till standardarbetsytan Defender för molnet eller till en anpassad arbetsyta. Arbetsytan måste ha SecurityCenterFree (kostnadsfri grundläggande CSPM) eller säkerhetslösning aktiverad (Defender för servrar, plan 2). |
| Log Analytics-agenten körs direkt | Om en virtuell Windows-dator har Log Analytics-agenten igång men inte som ett VM-tillägg installerar Defender for Cloud tillägget. Agenten rapporterar till Arbetsytan Defender för molnet och till den befintliga agentarbetsytan. På virtuella Linux-datorer stöds inte multi-homing. Om det finns en befintlig agent etableras inte Log Analytics-agenten automatiskt. |
| Operations Manager-agent | Log Analytics-agenten kan arbeta sida vid sida med Operations Manager-agenten. Agenterna delar vanliga körningsbibliotek som uppdateras när Log Analytics-agenten distribueras. |
| Ta bort Log Analytics-tillägget | Om du tar bort Log Analytics-tillägget kan Defender för molnet inte samla in säkerhetsdata och rekommendationer, vilket resulterar i saknade aviseringar. Inom 24 timmar fastställer Defender för molnet att tillägget saknas och installerar om det. |
När du ska avregistrera dig från automatisk etablering
Du kanske vill avregistrera dig från automatisk etablering under de omständigheter som beskrivs i följande tabell:
| Situation | Relevant agent | Details |
|---|---|---|
| Du har kritiska virtuella datorer som inte ska ha agenter installerade | Log Analytics-agent, Azure Monitor-agent | Automatisk etablering gäller för en hel prenumeration. Du kan inte välja bort specifika datorer. |
| Du kör System Center Operations Manager-agentversion 2012 med Operations Manager 2012 | Log Analytics handläggare | Med den här konfigurationen aktiverar du inte automatisk etablering. hanteringsfunktioner kan gå förlorade. |
| Du vill konfigurera en anpassad arbetsyta | Log Analytics-agent, Azure Monitor-agent | Du har två alternativ med en anpassad arbetsyta: – Avanmäl dig från automatisk etablering när du först konfigurerar Defender för molnet. Konfigurera sedan etablering på din anpassade arbetsyta. – Låt automatisk etablering köras för att installera Log Analytics-agenterna på datorer. Ange en anpassad arbetsyta och konfigurera sedan om befintliga virtuella datorer med den nya arbetsyteinställningen. |
Nästa steg
När du har arbetat med de här planeringsstegen kan du starta distributionen:
- Aktivera planer i Defender för servrar
- Ansluta lokala datorer till Azure.
- Ansluta AWS-konton till Defender for Cloud.
- Ansluta GCP-projekt till Defender för molnet.
- Lär dig mer om att skala din Defender for Server-distribution.