Pianificare agenti, estensioni e Azure Arc per Defender per server
Questo articolo illustra come pianificare gli agenti, le estensioni e le risorse di Azure Arc per la distribuzione di Microsoft Defender per server.
Defender per server è uno dei piani a pagamento forniti da Microsoft Defender per il cloud.
Operazioni preliminari
Questo articolo è il quinto articolo della guida alla pianificazione di Defender per server. Prima di iniziare, esaminare gli articoli precedenti:
- Avviare la pianificazione della distribuzione.
- Comprendere dove vengono archiviati i dati e i requisiti dell'area di lavoro Log Analytics.
- Esaminare i ruoli di accesso a Defender per server.
- Selezionare un piano per Defender per server.
Esaminare i requisiti di Azure Arc
Azure Arc consente di eseguire l'onboarding di computer Amazon Web Services (AWS), Google Cloud Platform (GCP) e locali in Azure. Defender per il cloud usa Azure Arc per proteggere i computer non Azure.
Gestione della postura di sicurezza del cloud di base
Le funzionalità di gestione della postura di sicurezza cloud (CSPM) gratuite per i computer AWS e GCP non richiedono Azure Arc. Per la funzionalità completa, è consigliabile disporre di Azure Arc in esecuzione in computer AWS o GCP.
L'onboarding di Azure Arc è necessario per i computer locali.
Piano di Defender per i server
Per usare Defender per server, tutti i computer AWS, GCP e locali dovrebbero essere abilitati per Azure Arc.
È possibile eseguire automaticamente l'onboarding dell'agente Azure Arc nei server AWS o GCP con il connettore multi-cloud AWS o GCP.
Pianificare la distribuzione di Azure Arc
Per pianificare la distribuzione di Azure Arc:
Esaminare le raccomandazioni per la pianificazione e i prerequisiti per la distribuzione di Azure Arc.
Aprire le porte di rete per Azure Arc nel firewall.
Azure Arc installa l'agente Connected Machine per connettersi e gestire i computer ospitati all'esterno di Azure. Esaminare le informazioni seguenti:
- Componenti e dati dell'agente raccolti dai computer.
- Accesso alla rete e a Internet per l'agente.
- Opzioni di connessione per l'agente.
Agente di Log Analytics e Agente di Monitoraggio di Azure
Nota
Poiché l'agente di Log Analytics è impostato per il ritiro nell'agosto 2024 e come parte della strategia aggiornata di Defender per il cloud, tutte le funzionalità e le capacità di Defender per server verranno fornite tramite l'integrazione di Microsoft Defender per endpoint o l'analisi senza agente, senza dipendenze dall'agente di Log Analytics (MMA) o dall'agente di Monitoraggio di Azure (AMA). Di conseguenza, il processo di provisioning automatico condiviso per entrambi gli agenti verrà modificato di conseguenza. Per ulteriori informazioni su questa modifica, vedere questo annuncio.
Defender per il cloud usa l'agente di Log Analytics e l'agente di Monitoraggio di Azure per raccogliere informazioni dalle risorse di calcolo. Invia quindi i dati a un'area di lavoro Log Analytics per altre analisi. Esaminare le differenze e le raccomandazioni per entrambi gli agenti.
La tabella seguente descrive gli agenti usati in Defender per server:
| Funzionalità | Agente di Log Analytics | Agente di Monitoraggio di Azure |
|---|---|---|
| Raccomandazioni CSPM fondamentali (gratuite) che dipendono dall'agente: raccomandazione della baseline del sistema operativo (VM di Azure) | 
|
Con l'agente di Monitoraggio di Azure viene usata l'estensione di configurazione guest di Criteri di Azure. |
| CSPM di base: raccomandazioni per gli aggiornamenti di sistema (VM di Azure) |
|
Non ancora disponibile. |
| CSPM di base: raccomandazioni per antimalware/endpoint protection (VM di Azure) |
|
|
| Rilevamento degli attacchi a livello di sistema operativo e di rete, incluso il rilevamento degli attacchi senza file Il piano 1 si basa sulle funzionalità di Defender per endpoint per il rilevamento degli attacchi. |
Piano 2 |
Piano 2 |
| Monitoraggio dell'integrità dei file (solo piano 2) |
|
|
Estensione Qualys
L'estensione Qualys è disponibile in Defender per server Piano 2. L'estensione viene distribuita se si desidera usare Qualys per la valutazione della vulnerabilità.
Ecco altre informazioni:
L'estensione Qualys invia metadati per l'analisi a una delle due aree del data center Qualys, a seconda dell'area di Azure.
- Se si opera all'interno di un'area di Azure europea, l'elaborazione dei dati avviene nel data center europeo Qualys.
- Per altre aree, l'elaborazione dei dati avviene nel data center degli Stati Uniti.
Per usare Qualys in un computer, l'estensione deve essere installata e il computer deve essere in grado di comunicare con l'endpoint di rete pertinente:
- Data center Europa:
https://qagpublic.qg2.apps.qualys.eu - Data center USA:
https://qagpublic.qg3.apps.qualys.com
- Data center Europa:
Estensione di configurazione guest
L'estensione esegue operazioni di controllo e configurazione all'interno delle VM.
- Se si usa l'agente di Monitoraggio di Azure, Defender per il cloud usa questa estensione per analizzare le impostazioni della baseline di sicurezza del sistema operativo nei computer Windows e Linux.
- Anche se i server abilitati per Azure Arc e l'estensione di configurazione guest sono gratuiti, possono essere applicati altri costi se si usano criteri di configurazione guest nei server Azure Arc all'esterno dell'ambito di Defender per il cloud.
Altre informazioni sull'estensione di configurazione guest di Criteri di Azure.
Estensioni di Defender per endpoint
Quando si abilita Defender per server, Defender per il cloud distribuisce automaticamente un'estensione Defender per endpoint. L'estensione è un'interfaccia di gestione che esegue uno script all'interno del sistema operativo per distribuire e integrare il sensore Defender per endpoint nel computer.
- Estensione computer Windows:
MDE.Windows - Estensione computer Linux:
MDE.Linux - I computer devono soddisfare requisiti minimi.
- Alcune versioni di Windows Server hanno requisiti specifici.
La maggior parte dei servizi di Defender per endpoint può essere raggiunta tramite *.endpoint.security.microsoft.com o tramite i tag del servizio Defender per endpoint. Assicurarsi di essere connessi al servizio Defender per endpoint e di conoscere i requisiti per gli aggiornamenti automatici e altre funzionalità.
Verificare il supporto dei sistemi operativi
Prima di distribuire Defender per server, verificare il supporto del sistema operativo per gli agenti e le estensioni:
- Verificare che i sistemi operativi siano supportati da Defender per endpoint.
- Controllare i requisiti per l'agente di Azure Arc Connect Machine.
- Controllare il supporto del sistema operativo per l'agente di Log Analytics e l'agente di Monitoraggio di Azure.
Esaminare il provisioning dell'agente
Quando si abilitano i piani in Defender per il cloud, incluso Defender per server, è possibile scegliere di effettuare automaticamente il provisioning di alcuni agenti rilevanti per Defender per server:
- Agente di Log Analytics e Agente di Monitoraggio di Azure per VM di Azure
- Agente di Log Analytics e agente di Monitoraggio di Azure per le VM di Azure Arc
- Agente Qualys
- Agente di Configurazione guest
Quando si abilita Defender per server piano 1 o Piano 2, viene eseguito automaticamente il provisioning dell'estensione Defender per endpoint in tutti i computer supportati nella sottoscrizione.
Considerazioni sul provisioning
Nella tabella seguente vengono descritte le considerazioni sul provisioning da tenere presenti:
| Provisioning | Dettagli |
|---|---|
| Sensore Defender per endpoint | Se i computer eseguono Microsoft Antimalware, noti anche come System Center Endpoint Protection (SCEP), l'estensione Windows lo rimuove automaticamente dal computer. Se si esegue la distribuzione in un computer in cui è già in esecuzione il sensore MMA (Microsoft Monitoring Agent) Defender per endpoint legacy, dopo che la soluzione unificata Defender per il cloud e Defender per endpoint è stata installata correttamente, l'estensione si arresta e disabilita il sensore legacy. La modifica è trasparente e la cronologia di protezione del computer viene mantenuta. |
| Computer AWS e GCP | Configurare il provisioning automatico quando si configura il connettore AWS o GCP. |
| Installazione manuale | Se non si desidera che Defender per il cloud eseguono il provisioning dell'agente di Log Analytics e dell'agente di Monitoraggio di Azure, è possibile installare manualmente gli agenti. È possibile connettere l'agente all'area di lavoro predefinita di Defender per il cloud o a un'area di lavoro personalizzata. L'area di lavoro deve avere la soluzione SecurityCenterFree (per CSPM gratuito) o Sicurezza abilitata (Piano Defender per server 2). |
| Agente di Log Analytics in esecuzione direttamente | Se una VM Windows ha l'agente di Log Analytics in esecuzione ma non come estensione di VM, Defender per il cloud installa l'estensione. L'agente segnala all'area di lavoro di Defender per il cloud e all'area di lavoro dell'agente esistente. Nelle VM Linux il multi-homing non è supportato. Se esiste un agente esistente, il provisioning dell'agente di Log Analytics non viene eseguito automaticamente. |
| Agente di Operations Manager | L'agente di Log Analytics può funzionare affiancato all'agente di Operations Manager. Gli agenti condividono librerie di Common Runtime aggiornate quando viene distribuito l'agente di Log Analytics. |
| Rimozione dell'estensione Log Analytics | Se si rimuove l'estensione Log Analytics, Defender per il cloud non può raccogliere dati e raccomandazioni sulla sicurezza, causando avvisi mancanti. Entro 24 ore, Defender per il cloud determina che l'estensione è mancante e la reinstalla. |
Quando rifiutare esplicitamente il provisioning automatico
È possibile rifiutare esplicitamente il provisioning automatico nelle circostanze descritte nella tabella seguente:
| Situazione | Agente pertinente | Dettagli |
|---|---|---|
| Sono presenti VM critiche in cui non devono essere installati agenti | Agente di Log Analytics, Agente di Monitoraggio di Azure | Il provisioning automatico è per un'intera sottoscrizione. Non è possibile rifiutare esplicitamente i computer specifici. |
| Si esegue l'agente di System Center Operations Manager versione 2012 con Operations Manager 2012 | Agente di Log Analytics | Con questa configurazione, non attivare il provisioning automatico; le funzionalità di gestione potrebbero andarsi perse. |
| Si desidera configurare un'area di lavoro personalizzata | Agente di Log Analytics, Agente di Monitoraggio di Azure | Sono disponibili due opzioni con un'area di lavoro personalizzata: - Rifiutare esplicitamente il provisioning automatico quando si configura Defender per il cloud per la prima volta. Configurare quindi il provisioning nell'area di lavoro personalizzata. - Consentire l'esecuzione del provisioning automatico per installare gli agenti di Log Analytics nei computer. Impostare un'area di lavoro personalizzata e quindi riconfigurare le VM esistenti con la nuova impostazione dell'area di lavoro. |
Passaggi successivi
Dopo aver eseguito questi passaggi di pianificazione, è possibile avviare la distribuzione:
- Abilitare i piani in Defender per server
- Connettere computer locali ad Azure.
- Connettere gli account AWS a Defender per il cloud.
- Connettere progetti GCP a Defender per il cloud.
- Informazioni sul ridimensionamento della distribuzione di Defender per Server.