Microsoft Defender for Cloud 中的 Defender for Servers 计划提供可操作的建议,帮助改进和修正计算机安全状况,降低安全风险。 Defender for Servers 还有助于保护计算机免受实时安全威胁和攻击。
本指南帮助你设计和规划有效的 Defender for Servers 部署。
本指南的目标受众为云解决方案和基础结构架构师、安全架构师和分析师,以及参与云和混合服务器与工作负载保护工作的任何用户。
本指南解答了以下问题:
- Defender for Servers 有什么作用,它是如何部署的?
- 我的数据存储在哪里,以及我何时需要 Log Analytics 工作区?
- 如何控制对 Defender for Servers 资源的访问?
- 应选择哪项 Defender for Servers 计划,以及应在哪里部署计划?
- 部署中需要安装哪些代理和扩展?
- 如何缩放部署?
开始规划部署前的准备工作:
- 详细了解 Defender for Cloud 功能,并查看定价详细信息。
下表汇总了 Defender for Servers 的部署步骤。
| 步骤 | 详细信息 | 结果 |
|---|---|---|
| 连接本地计算机 | 若要保护本地计算机,建议载入本地计算机并用作 Azure Arc VM。 但是,直接载入会导致你无法访问 Defender for Servers 计划的部分功能。 |
本地计算机成功载入 Defender for Cloud |
| 启用 Defender for Servers | 部署 Defender for Servers 计划。 | Defender for Cloud 开始保护部署范围内受支持的计算机。 |
| 利用免费的数据导入 | 若要利用特定数据类型每天 500 MB 的免费引入量,计算机必须运行 Azure Monitor 代理 (AMA),且连接到 Log Analytics 工作区。 该权益针对计算机所汇报的 Log Analytics 工作区上支持的数据类型提供。 |
为支持的数据类型配置免费的每日引入。 |
| 准备操作系统评估 | 若要使用 Defender for Servers 计划根据 Microsoft 云安全基准中的计算安全基线来评估操作系统配置设置,计算机必须运行 Azure Policy 计算机配置扩展。 | Defender for Servers 计划收集 OS 配置信息以供评估。 |
| 设置文件完整性监视 | 启用 Defender for Servers 计划后,启用计划后设置文件完整性监视。 你需要一个 Log Analytics 工作区,才能进行文件完整性监视。 可以使用现有工作区,也可以在配置此功能时创建新的工作区。 |
Defender for Servers 监视关键文件更改。 |
开始规划过程后,请查看本规划教程系列的第二篇文章,了解如何控制对 Defender for Servers 的访问。