你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署 Defender for Servers
Microsoft Defender for Cloud 中的 Defender for Servers 计划为 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和本地环境中运行的 Windows 和 Linux 虚拟机 (VM) 提供保护。 Defender for Servers 提供可改进计算机安全状况的建议,并保护计算机免受安全威胁。
可借助本文部署 Defender for Servers 计划。
注意
启用计划后,将开始 30 天的试用期。 无法停止、暂停或延长此试用期。 若要充分利用完整的 30 天试用版,请规划评估目标。
先决条件
| 要求 | 详细信息 |
|---|---|
| 规划部署 | 查看 Defender for Servers 规划指南。 检查部署和使用计划所需的权限,选择计划和部署范围,了解数据的收集和存储方式。 |
| 比较计划功能 | 了解和比较 Defender for Servers 计划功能。 |
| 查看定价 | 在 Defender for Cloud 定价页上查看 Defender for Servers 定价。 |
| 获取 Azure 订阅 | 需要 Microsoft Azure 订阅。 如果需要,可免费注册一个。 |
| 打开 Defender for Cloud | 确保 Defender for Cloud 在订阅中可用。 |
| 载入 AWS/GCP 计算机 | 要保护 AWS 和 GCP 计算机,请将 AWS 帐户和 GCP 项目连接到 Defender for Cloud。 默认情况下,连接过程会将计算机作为已启用 Azure Arc 的 VM 载入。 |
| 载入本地计算机 | 将本地计算机作为 Azure Arc VM 载入,以利用 Defender for Servers 中的完整功能。 如果通过直接安装 Defender for Endpoint 代理而非载入 Azure Arc 来载入本地计算机,则仅计划 1 的功能可用。 在 Defender for Servers 计划 2 中,除了计划 1 的功能外,只有高级 Defender 漏洞管理功能可用。 |
| 查看支持要求 | 查看 Defender for Servers 要求和支持信息。 |
| 利用 500 MB 数据免费引入 | 启用 Defender for Servers 计划 2 后,可以针对特定数据类型免费引入 500 MB 数据。 了解要求并设置免费数据引入 |
| Defender 集成 | Defender for Cloud 中默认集成了 Defender for Endpoint 和 Defender for Vulnerability Management。 启用 Defender for Servers 即表示你同意 Defender for Servers 计划访问与漏洞、安装的软件和终结点警报相关的 Defender for Endpoint 数据。 |
| 在资源级别启用 | 尽管建议为订阅启用 Defender for Servers,但如果需要,可以为 Azure VM、已启用 Azure Arc 的服务器和 Azure 虚拟机规模集在资源级别启用 Defender for Servers。 可以在资源级别启用计划 1。 可以在资源级别禁用计划 1 和计划 2。 |
在 Azure、AWS 或 GCP 上启用
可以为 Azure 订阅、AWS 帐户或 GCP 项目启用 Defender for Servers 计划。
登录到 Azure 门户
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
在“Defender 计划”页上,将“服务器”开关切换为“打开”。
这会默认打开 Defender for Servers 计划 2。 如需切换计划,请选择“更改计划”。
在弹出窗口中,选择“计划 2”或“计划 1”。
选择“确认”。
选择“保存”。
在启用该计划后,你可以配置该计划的功能以满足你的需求。
在订阅上禁用
- 在 Defender for Cloud 中,选择“环境设置”。
- 将计划开关切换为“关闭”。
注意
如果在 Log Analytics 工作区上启用了 Defender for Servers 计划 2,需要将其显式禁用。 为此,请导航到工作区的计划页,并将开关切换为“关闭”。
在资源级别启用 Defender for Servers
虽然建议为整个 Azure 订阅启用计划,但也有可能需要混合计划、排除特定资源或仅在特定计算机上启用 Defender for Servers。 为此,可在资源级别启用或禁用 Defender for Servers。 在开始之前,请查看部署范围选项。
在单个计算机上配置
在特定计算机上启用和禁用计划。
使用 REST API 在计算机上启用计划 1
要为计算机启用计划 1,请使用相应终结点在更新定价中创建 PUT 请求。
在 PUT 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01添加此请求正文。
{ "properties": { "pricingTier": "Standard", "subPlan": "P1" } }
使用 REST API 在计算机上禁用计划
要在计算机级别禁用 Defender for Servers,请使用相应终结点创建 PUT 请求。
在 PUT 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01添加此请求正文。
{ "properties": { "pricingTier": "Free", } }
使用 REST API 删除资源级配置
要使用 REST API 删除计算机级配置,请使用相应终结点创建 DELETE 请求。
在 DELETE 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
大规模配置多台计算机
使用脚本启用计划 1
- 下载此文件并将其保存为 PowerShell 文件。
- 运行下载的文件。
- 根据需要自定义。 按标记或资源组选择资源。
- 按照屏幕上的其余说明操作。
使用 Azure Policy 启用计划 1(在资源组上)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在策略仪表板中,从左侧菜单中选择“定义”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有资源(资源级别)启用(和“P1”子计划配合使用)”。 此策略在分配范围中的所有资源(Azure VM、VMSS 和已启用 Azure Arc 的服务器)上启用 Defender for Servers 计划 1。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。 在“基本信息”选项卡中,为“范围”选择相关的资源组。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑完所有详细信息后,选择“查看 + 创建”。 然后选择“创建”。
使用 Azure Policy 启用计划 1(在资源标记上)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在策略仪表板中,从左侧菜单中选择“定义”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有带所选标记的资源启用(和“P1”子计划配合使用)”。 此策略在分配范围中的所有资源(Azure VM、VMSS 和已启用 Azure Arc 的服务器)上启用 Defender for Servers 计划 1。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。
- 在“参数”选项卡上,清除“仅显示需要输入或评价的参数”
- 在“包含标记名称”中,输入自定义标记名称。 在“包含标记值”数组中输入标记的值。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑完所有详细信息后,选择“查看 + 创建”。 然后选择“创建”。
使用脚本禁用计划
- 下载此文件并将其保存为 PowerShell 文件。
- 运行下载的文件。
- 根据需要自定义。 按标记或资源组选择资源。
- 按照屏幕上的其余说明操作。
使用 Azure Policy 禁用计划(适用于资源组)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在策略仪表板中,从左侧菜单中选择“定义”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有资源(资源级别)禁用”。 此策略在分配范围中的所有资源(Azure VM、VMSS 和已启用 Azure Arc 的服务器)上禁用 Defender for Servers。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。 在“基本信息”选项卡中,为“范围”选择相关的资源组。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑完所有详细信息后,选择“查看 + 创建”。 然后选择“创建”。
使用 Azure Policy 禁用计划(适用于资源标记)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在策略仪表板中,从左侧菜单中选择“定义”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对带所选标记的资源(资源级别)禁用”。 此策略根据定义的标记在分配范围中的所有资源(Azure VM、VMSS 和已启用 Azure Arc 的服务器)上禁用 Defender for Servers。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。
- 在“参数”选项卡上,清除“仅显示需要输入或评价的参数”
- 在“包含标记名称”中,输入自定义标记名称。 在“包含标记值”数组中输入标记的值。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑完所有详细信息后,选择“查看 + 创建”。 然后选择“创建”。
使用脚本删除每个资源的配置(资源组或标记)
- 下载此文件并将其保存为 PowerShell 文件。
- 运行下载的文件。
- 根据需要自定义。 按标记或资源组选择资源。
- 按照屏幕上的其余说明操作。
后续步骤
- 如果启用了 Defender for Servers 计划 2,可利用免费数据引入权益。
- 启用 Defender for Servers 计划 2 后,启用文件完整性监视
- 根据需要修改计划设置。