将非 Azure 计算机连接到 Microsoft Defender for Cloud

Microsoft Defender for Cloud 可以监视非 Azure 计算机的安全态势,但首先你需要将其连接到 Azure。

可以通过以下任何一种方式连接非 Azure 计算机:

  • 使用 Azure Arc 加入:
    • 通过使用已启用 Azure Arc 的服务器(推荐)
    • 使用 Azure 门户

本文介绍了 Azure Arc 加入的方法。

先决条件

要完成本文中的过程,需要:

使用 Azure Arc 连接本地计算机

具有已启用 Azure Arc 的服务器的计算机将成为 Azure 资源。 在其上安装 Log Analytics 代理后,它会显示在 Defender for Cloud 中,其中包含类似于其他 Azure 资源的建议。

已启用 Azure Arc 的服务器还提供增强功能,例如在计算机上启用来宾配置策略以及使用其他 Azure 服务简化部署。 有关已启用 Azure Arc 的服务器的优势概述,请参阅支持的云操作

要在计算机上部署 Azure Arc,请按照快速入门:使用已启用 Azure Arc 的服务器连接混合计算机中的说明进行操作。

要在多台计算机上大规模部署 Azure Arc,请按照将混合计算机大规模连接到 Azure中的说明进行操作。

使用 Azure 门户连接本地计算机

将 Defender for Cloud 连接到 Azure 订阅后,可以从 Defender for Cloud 的“入门”页开始连接本地计算机。

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 在 Defender for Cloud 菜单中,选择“开始使用”。

  4. 选择“入门”选项卡。

  5. 查找“添加非 Azure 服务器”,并选择“配置”。

    开始使用 Defender for Cloud 并添加本地服务器的选项卡的屏幕截图。

    此时会显示 Log Analytics 工作区列表。

  6. (可选)如果没有用于存储数据的 Log Analytics 工作区,请选择“新建工作区”,然后按照屏幕指南进行操作。

  7. 从工作区列表中,为相关工作区选择“升级”,以免费 30 天启用 Defender for Cloud 付费计划。

  8. 在工作区列表中,为相关工作区选择“添加服务器”。

  9. 在“代理管理”页面,根据要加入的计算机类型,选择以下过程之一:

加入 Windows 服务器

添加 Windows 服务器时,需要获取“代理管理”页上的信息,并下载合适的代理文件(32 位或 64 位)。

若要加入 Windows 服务器,请执行以下操作:

  1. 选择“Windows 服务器”。

    显示 Windows 服务器选项卡的屏幕截图。

  2. 选择适用于计算机处理器类型的“下载 Windows 代理”链接,以下载安装程序文件。

  3. 从“代理管理”页面,将“工作区 ID”和“主密钥”值复制到记事本中。

  4. 将设置文件复制并下载到目标计算机并运行。

  5. 按照安装向导操作(选择“下一步>”“我同意>”“下一步>”“下一步”)。

  6. 在“Azure Log Analytics”页面,粘贴复制到记事本的“工作区 ID” 和“主密钥”值。

  7. 如果计算机应向由世纪互联运营的 Microsoft Azure 云中的 Log Analytics 工作区报告,请从“Azure 云”下拉列表中选择“由世纪互联运营的 Microsoft Azure”。

  8. 如果计算机需要通过代理服务器来与 Log Analytics 服务通信,请选择“高级”。 然后,提供代理服务器的 URL 和端口号。

  9. 完成输入所有配置设置后,选择“下一步”。

  10. 在“准备安装”页面,查看要应用的设置,并选择“安装”。

  11. 在“配置已成功完成”页上,选择“完成”。

完成该过程后,Microsoft Monitoring Agent会显示在“控制面板”中。 可以在该处检查配置,并验证代理是否已连接。

有关安装和配置代理的详细信息,请参阅连接 Windows 计算机

加入 Linux 计算机

要添加 Linux 计算机,需要“代理管理”页中的wget命令。

若要加入 Linux 服务器,请执行以下操作:

  1. 选择“Linux 服务器”。

    显示 Linux 服务器选项卡的屏幕截图。

  2. wget 命令复制到记事本。 将此文件保存到可从你的 Linux 计算机访问的位置。

  3. 在 Linux 计算机上,打开包含wget命令的文件。 复制整个内容并将其粘贴到终端控制台中。

  4. 安装完成后,运行pgrep命令以验证是否已安装 Operations Management Suite 代理。 该命令会返回omsagent永久性 ID。

    可以在/var/opt/microsoft/omsagent/<workspace id>/log/上找到代理的日志。 新的 Linux 计算机最多可能需要 30 分钟才能显示在 Defender for Cloud 中。

验证计算机是否已连接

可在一个位置查看 Azure 和本地计算机。

要验证计算机是否已连接:

  1. 登录 Azure 门户

  2. 搜索并选择“Microsoft Defender for Cloud”。

  3. 在 Defender for Cloud 菜单上,选择“清单”以显示资产清单

  4. 筛选页面以查看相关资源类型。 这些图标区分类型:

    本地计算机的 Defender for Cloud 图标。非 Azure 计算机

    Azure 计算机的 Defender for Cloud 图标。Azure VM

    已启用 Azure Arc 服务器的 Defender for Cloud 图标。已启用 Azure Arc 的服务器

与 Microsoft Defender XDR 集成

启用 Defender for Cloud 时,Defender for Cloud 的警报会自动集成到 Microsoft Defender 门户中。 无需执行进一步的步骤。

Microsoft Defender for Cloud 与 Microsoft Defender XDR 之间的集成可将云环境引入到 Microsoft Defender XDR 中。 通过将 Defender for Cloud 的警报和云关联集成到 Microsoft Defender XDR 中,SOC 团队现在可以从单个界面访问所有安全信息。

详细了解 Defender for Cloud 在 Microsoft Defender XDR 中的警报

清理资源

对于本文,无需清理任何资源。