本文帮助你缩放 Microsoft Defender for Servers 部署。
Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。
本文是 Defender for Servers 规划指南系列中的第四篇文章。 在开始之前,请查看前面的文章:
当你启用 Defender for Cloud 订阅时,会执行以下过程:
- 在订阅中自动注册 microsoft.security 资源提供程序。
- 同时,将负责创建安全建议和计算安全分数的云安全基准计划分配到订阅。
- 在订阅上启用 Defender for Cloud 后,打开 Defender for Servers 计划 1 或 Defender for Servers 计划 2,然后启用自动预配。
在接下来的部分中,查看缩放部署时执行的具体步骤的注意事项:
- 缩放云安全基准部署
- 缩放 Defender for Servers 计划
- 缩放自动预配
在已缩放的部署中,你可能希望自动分配云安全基准(以前称为 Azure 安全基准)。
管理组中的每个现有和将来订阅都会继承这种分配。 若要将部署设置为自动应用基准,请将策略计划分配到管理组(根),而不是分配到每个订阅。
可以在 GitHub 中获取 Azure 安全基准策略定义。
详细了解如何使用内置策略定义来注册资源提供程序。
可以使用策略定义大规模启用 Defender for Servers:
要获取内置的“配置要启用的 Azure Defender for Servers”策略定义,请在部署的 Azure 门户中转到“Azure Policy”>“策略定义”。
或者,可以使用自定义策略启用 Defender for Servers 并同时选择计划。
在每个订阅上只能启用一个 Defender for Servers 计划。 不能对同一订阅同时启用 Defender for Servers 计划 1 和计划 2。
如果你要在环境中同时使用这两个计划,请将订阅划分为两个管理组。 在每个管理组中分配一个策略,以便在每个基础订阅中启用相应的计划。
可以通过将内置策略定义分配给 Azure 管理组以涵盖基础订阅,来设置自动预配。 下表汇总了定义:
| Agent | 策略 |
|---|---|
| Log Analytics 代理(默认工作区) | 允许安全中心在订阅中自动预配包含默认工作区的 Log Analytics 代理 |
| Log Analytics 代理(自定义工作区) | 允许安全中心在订阅中自动预配包含自定义工作区的 Log Analytics 代理 |
| 来宾配置扩展 | 概述与先决条件 |
若要查看策略定义,请在 Azure 门户中转到“策略”>“定义”。
开始为方案执行部署: