规划 Defender for Servers 的数据驻留和工作区

本文帮助你了解数据在 Microsoft Defender for Servers 中的存储方式,以及如何在 Defender for Servers 中使用 Log Analytics 工作区。

Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。

准备阶段

本文是 Defender for Servers 规划指南系列中的第二篇文章。 首先规划部署

了解数据驻留

数据驻留是指组织数据的物理位置或地理位置。

在部署 Defender for Servers 之前,请务必了解组织的数据驻留:

存储位置

了解 Defender for Cloud 将数据存储在何处,以及你可以如何处理数据:

数据 位置
安全警报和建议 - 存储在 Defender for Cloud 后端,可通过 Azure 门户、Azure Resource Graph 和 REST API 访问。

- 可以使用连续导出将数据导出到 Log Analytics 工作区。
计算机信息 - 存储在 Log Analytics 工作区中。

- 可以使用默认的 Defender for Cloud 工作区或自定义工作区。 根据工作区位置存储数据。

工作区注意事项

在 Defender for Cloud 中,可以将服务器数据存储在 Defender for Cloud 部署的默认 Log Analytics 工作区中,或存储在自定义工作区中。

详细信息如下:

  • 默认情况下,当你首次启用 Defender for Cloud 时,会在启用了 Defender for Cloud 的每个订阅的订阅区域中创建一个新资源组和默认工作区。
  • 如果你使用免费的基础云安全态势管理 (CSPM),Defender for Cloud 将设置默认工作区并为其启用“SecurityCenterFree”解决方案。
  • 打开某个 Defender for Cloud 计划(包括 Defender for Servers)时,将为默认工作区启用该计划,并启用“安全”解决方案。
  • 如果你在多个位置拥有虚拟机,Defender for Cloud 会相应地创建多个工作区,以确保数据合规性。
  • 默认工作区名称采用 [subscription-id]-[geo] 格式。

默认工作区

在以下位置创建 Defender for Cloud 默认工作区:

服务器位置 工作区位置
中国 在匹配的位置创建工作区。

自定义工作区

可以将服务器信息存储在默认工作区中,或者可以使用自定义工作区。 自定义工作区必须满足以下要求:

  • 必须在自定义工作区中启用 Defender for Servers 计划。
  • 自定义工作区必须与启用了 Defender for Cloud 的 Azure 订阅相关联。
  • 必须至少对该工作区拥有读取权限。
  • 如果在工作区中安装了“安全与审核”解决方案,Defender for Cloud 将使用现有解决方案

后续步骤