Ochrona serwerów za pomocą usługi Defender for Servers

Plan usługi Defender for Servers w usłudze Microsoft Defender for Cloud chroni maszyny wirtualne z systemem Windows i Linux, które działają na platformie Azure, w usługach Amazon Web Service (AWS), Google Cloud Platform (GCP) i w środowiskach lokalnych. Usługa Defender for Servers udostępnia zalecenia dotyczące poprawy stanu zabezpieczeń maszyn i ochrony maszyn przed zagrożeniami bezpieczeństwa.

Ten artykuł ułatwia wdrożenie planu usługi Defender for Servers.

Prerequisites

Włączanie na platformie Azure, AWS lub GCP

Możesz włączyć plan usługi Defender for Servers dla subskrypcji platformy Azure, konta platformy AWS lub projektu GCP.

1. Zaloguj się do witryny Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. W menu Defender for Cloud wybierz pozycję Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję platformy Azure, konto platformy AWS lub projekt GCP.

5. Na stronie Plany usługi Defender przełącz przełącznik Serwery na włączone.

   

6. Domyślnie powoduje to włączenie usługi Defender dla serwerów (plan 2). Jeśli chcesz przełączyć plan, wybierz pozycję Zmień plany.

   

7. W oknie podręcznym wybierz pozycję Plan 2 lub Plan 1.

   

8. Wybierz Potwierdź.

9. Wybierz Zapisz.

Po włączeniu planu można skonfigurować funkcje planu zgodnie z potrzebami.

Wyłączanie usługi Defender dla serwerów w subskrypcji

1. W usłudze Microsoft Defender for Cloud wybierz pozycję Ustawienia środowiska.
2. Przełącz plan na Wyłączone.

Włączanie usługi Defender dla serwerów na poziomie zasobu

Mimo że zalecamy włączenie planu dla całej subskrypcji platformy Azure, może być konieczne połączenie planów, wykluczenie określonych zasobów lub włączenie usługi Defender dla serwerów tylko na określonych maszynach. W tym celu można włączyć lub wyłączyć usługę Defender for Servers na poziomie zasobu. Przed rozpoczęciem przejrzyj opcje zakresu wdrożenia.

Konfigurowanie na poszczególnych maszynach

Włącz lub wyłącz plan na określonych maszynach.

Włączanie planu 1 na maszynie przy użyciu interfejsu API REST

1. Aby włączyć plan 1 dla maszyny, w obszarze Cennik aktualizacji utwórz żądanie PUT z punktem końcowym.

2. W żądaniu PUT zastąp wartości subscriptionId, resourceGroupName i machineName w adresie URL punktu końcowego własnymi ustawieniami.

       PUT
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

3. Dodaj tę treść żądania.

   {
    "properties": {
   "pricingTier": "Standard",
   "subPlan": "P1"
     }
   }
   

Wyłącz plan na maszynie przy użyciu interfejsu API REST

1. Aby wyłączyć usługę Defender for Servers na poziomie maszyny, utwórz żądanie PUT z adresem URL punktu końcowego.

2. W żądaniu PUT zastąp wartości subscriptionId, resourceGroupName i machineName w adresie URL punktu końcowego własnymi ustawieniami.

       PUT
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

3. Dodaj tę treść żądania.

   {
    "properties": {
   "pricingTier": "Free",
     }
   }
   

Usuwanie konfiguracji na poziomie zasobu przy użyciu interfejsu API REST

1. Aby usunąć konfigurację na poziomie maszyny przy użyciu interfejsu API REST, utwórz żądanie DELETE z adresem URL punktu końcowego.

2. W żądaniu DELETE zastąp wartości subscriptionId, resourceGroupName i machineName w adresie URL punktu końcowego własnymi ustawieniami.

       DELETE
       https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
   

Włączanie planu 1 przy użyciu skryptu

Włączanie planu 1 za pomocą skryptu

1. Pobierz i zapisz ten plik jako plik programu PowerShell.
2. Uruchom pobrany skrypt.
3. Dostosuj zgodnie z potrzebami. Wybierz zasoby według tagu.
4. Postępuj zgodnie z pozostałymi instrukcjami wyświetlanymi na ekranie.

Włącz plan 1 przy użyciu usługi Azure Policy (na podstawie tagu zasobu)

1. Zaloguj się do witryny Azure Portal i przejdź do pulpitu nawigacyjnego Zasady .
2. Na pulpicie nawigacyjnym Zasady wybierz pozycję Definicje z menu po lewej stronie.
3. W kategorii Security Center — szczegółowe ceny wyszukaj, a następnie wybierz pozycję Skonfiguruj usługę Azure Defender dla serwerów, która ma być włączona (z podplanem "P1" dla wszystkich zasobów z wybranym tagiem. Ta zasada umożliwia Defender for Servers Plan 1 we wszystkich zasobach (maszynach wirtualnych platformy Azure, zestawach skalowania maszyn wirtualnych i serwerach z obsługą usługi Azure Arc) w ramach zakresu przypisania.
4. Wybierz zasady i przejrzyj je.
5. Wybierz pozycję Przypisz i edytuj szczegóły przypisania zgodnie z potrzebami.
6. Na karcie Parametry wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub recenzujących.
7. W obszarze Nazwa tagu dołączania wprowadź niestandardową nazwę tagu. Wprowadź wartość tagu w tablicy Wartości wstawiania tagów.
8. Na karcie Korygowanie wybierz pozycję Utwórz zadanie korygowania.
9. Edytuj wszystkie szczegóły, wybierz Przejrzyj i utwórz, a następnie Utwórz.

Wyłączanie planu przy użyciu skryptu

1. Pobierz i zapisz ten skrypt jako plik programu PowerShell.
2. Uruchom pobrany skrypt.
3. Dostosuj zgodnie z potrzebami. Wybierz zasoby według tagu.
4. Postępuj zgodnie z pozostałymi instrukcjami wyświetlanymi na ekranie.

Wyłącz plan za pomocą usługi Azure Policy (dla tagu zasobu)

1. Zaloguj się do witryny Azure Portal i przejdź do pulpitu nawigacyjnego Zasady .
2. Na pulpicie nawigacyjnym Zasady wybierz pozycję Definicje z menu po lewej stronie.
3. W kategorii Security Center — szczegółowe ceny wyszukaj, a następnie wybierz pozycję Skonfiguruj usługę Azure Defender dla serwerów, aby wyłączyć zasoby (poziom zasobów) przy użyciu wybranego tagu. Te zasady wyłączają usługę Defender for Servers we wszystkich zasobach (maszynach wirtualnych platformy Azure, zestawach skalowania maszyn wirtualnych i serwerach z obsługą usługi Azure Arc) w zakresie przypisania na podstawie zdefiniowanego tagu.
4. Wybierz zasady i przejrzyj je.
5. Wybierz pozycję Przypisz i edytuj szczegóły przypisania zgodnie z potrzebami.
6. Na karcie Parametry wyczyść pole Pokaż tylko parametry, które wymagają danych wejściowych lub recenzujących.
7. W obszarze Nazwa tagu dołączania wprowadź niestandardową nazwę tagu. Wprowadź wartość tagu w tablicy Wartości wstawiania tagów.
8. Na karcie Korygowanie wybierz pozycję Utwórz zadanie korygowania.
9. Edytuj wszystkie szczegóły, wybierz Przejrzyj i utwórz, a następnie Utwórz.

Usuwanie konfiguracji poszczególnych zasobów przy użyciu skryptu (tagu)

1. Pobierz i zapisz ten skrypt jako plik programu PowerShell.
2. Uruchom pobrany skrypt.
3. Dostosuj zgodnie z potrzebami. Wybierz zasoby według tagu.
4. Postępuj zgodnie z pozostałymi instrukcjami wyświetlanymi na ekranie.

Wyświetlanie bieżącego pokrycia

Usługa Defender for Cloud zapewnia dostęp do skoroszytów za pośrednictwem skoroszytów platformyAzure. Skoroszyty to dostosowywalne raporty, które zapewniają analizę stanu bezpieczeństwa.

Skoroszyt pokrycia pomaga zrozumieć bieżące pokrycie, pokazując, które plany są włączone w subskrypcjach i zasobach.

Dalsze kroki

• Jeśli włączono usługę Defender for Servers (plan 2), skorzystaj z korzyści bezpłatnego pozyskiwania danych.

• Po włączeniu usługi Defender for Servers (plan 2 ) włącz monitorowanie integralności plików

• Zmodyfikuj ustawienia planu zgodnie z potrzebami.