配置自动预配

17 分钟

Microsoft Defender for Cloud 从 Azure 虚拟机（VM）、虚拟机规模集、IaaS 容器和非 Azure（包括本地）计算机收集数据，以监视安全漏洞和威胁。

必须收集数据才能深入了解缺少的更新、配置不当的 OS 安全设置、终结点保护状态，以及运行状况和威胁防护结果。只有计算资源（VM、虚拟机规模集、IaaS 容器和非 Azure 计算机）才需要数据收集。即使未预配代理，也可以从 Defender for Cloud 中受益。但是，安全性有限，不支持上面列出的功能。

使用以下工具收集数据：

Azure Monitor 代理（AMA） - 建议的新式代理从计算机收集与安全相关的配置和事件日志，并将数据复制到工作区进行分析。
Microsoft Defender for Endpoint - 提供高级威胁防护功能和终结点检测和响应。
Log Analytics 代理 - 此代理已正式停用（2024 年 8 月），不再受支持。迁移到用于新部署的 Azure Monitor 代理。
安全扩展插件（例如用于 Kubernetes 的 Azure Policy 加载项），还可以向安全中心提供有关专用资源类型的数据。

注释

自动预配现已在 “设置和监视” 页上完成。

为何使用自动预配？

可以手动安装此页上介绍的任何代理和扩展。但是，自动预配通过在现有和新计算机上安装所有必需的代理和扩展来降低管理开销，以确保为所有受支持的资源提供更快的安全覆盖。

自动预配的工作原理是什么？

Defender for Clouds 的自动预配设置针对每种受支持的扩展类型都有一个切换。启用扩展的自动预配时，应分配相应的 如果不存在则部署 策略，以确保该扩展在所有现有和未来的同类资源上进行预配。

为 Defender for Endpoint 传感器启用自动预配

启用 Defender for Servers 计划时，系统会默认启用 Defender for Endpoint 集成。如果关闭订阅中的 Defender for Endpoint 集成，日后需要时可以根据以下说明手动重新开启。

在 Defender for Cloud 中，选择“环境设置”，然后选择包含要部署 Defender for Endpoint 集成的目标计算机的订阅。
在“设置和监视”“终结点保护”中，将“状态”列设置切换为“开启”>。
选择“继续”和“保存”以保存设置。
Defender for Endpoint 传感器部署到所选订阅中的所有 Windows 和 Linux 计算机。

载入过程最多可能需要 1 小时。 Defender for Cloud 会检测任何以前的 Defender for Endpoint 安装，并对其进行重新配置以与 Defender for Cloud 集成。

注释

对于从通用 OS 映像创建的 Azure VM，Microsoft Defender for Endpoint （MDE）不会通过此设置自动预配;但是，可以使用 Azure CLI、REST API 或 Azure Policy 手动启用 MDE 代理和扩展。

使用 Microsoft Defender for Endpoint 直接载入

对于非 Azure 服务器（本地和多云环境），可以使用直接载入通过 Defender for Endpoint 代理将计算机连接到 Microsoft Defender for Cloud。此方法提供无缝集成，无需 Azure Arc 或额外的软件部署。

直接载入的工作原理

直接载入通过以下方式创建统一的保护体验：

在指定 Azure 订阅下，自动在 Defender for Cloud 中显示已加入 Defender for Endpoint 的非 Azure 服务器。
通过 Azure 订阅提供许可、计费、警报和安全见解
将漏洞数据和软件清单与 Defender for Cloud 集成

重要

直接加入不提供服务器管理功能，如 Azure Policy、扩展或来宾配置。必须使用其他工具（例如 Defender for Endpoint 安全设置管理、Configuration Manager、组策略或 PowerShell）来管理安全设置。

启用直接加入

若要启用直接接入，请执行以下步骤：

在 Defender for Cloud 中，转到 环境设置>直接载入。
将“直接加入”开关切换到“开”。
选择要用于直接通过 Defender for Endpoint 加入的服务器的订阅。
选择“保存”。

首次启用直接载入后，最长可能需要 24 小时才能在指定的订阅中看到非 Azure 服务器。

在服务器上部署 Defender for Endpoint

启用直接载入后，使用标准 Defender for Endpoint 载入过程在本地 Windows 和 Linux 服务器上部署 Defender for Endpoint 代理。无论是否使用直接载入，部署方法都是相同的。

局限性

计划支持：直接入门提供访问所有 Defender for Servers 计划 1 的功能。对于计划 2 功能，某些功能仍需要在非 Azure 计算机上使用 Azure Arc。
多云支持：可以直接载入 AWS 和 GCP VM，但如果计划同时使用多云连接器，仍建议使用 Azure Arc。
代理版本：确保 Defender for Endpoint 代理满足最低版本要求，以避免同时载入方法的限制。

Microsoft Sentinel 用户的信息

Microsoft Sentinel 的用户：请注意，可以从 Microsoft Defender for Cloud 或 Microsoft Sentinel 配置单个工作区上下文中的安全事件收集，但不能同时配置这两者。如果计划将 Microsoft Sentinel 添加到已从 Microsoft Defender for Cloud 获取警报的工作区，并且该工作区设置为收集安全事件，有两个选项：

将安全事件集合保留原样在 Defender for Cloud 中。可以在 Microsoft Sentinel 和 Defender for Cloud 中查询和分析这些事件。但是，您无法在 Microsoft Sentinel 中监视连接器的连接状态或更改其配置。如果监视或自定义连接器对于你很重要，请考虑第二个选项。
在 Defender for Cloud 中禁用安全事件收集（通过在 Log Analytics 代理的配置中将 Windows 安全事件设置为“无”）。然后在 Microsoft Sentinel 中添加安全事件连接器。与第一个选项一样，可以在Microsoft Sentinel 和 Defender for Cloud 中查询和分析事件，并且能够监视连接器的连接状态或更改其配置（仅在 Microsoft Sentinel 中）。

“通用”和“最小”选项存储哪些事件类型？

这些集合旨在解决典型场景。在实现它之前，请确保评估哪一项符合你的需求。

为了确定常见和最小选项的事件，我们与客户和行业标准合作，了解每个事件及其使用情况的未筛选频率。在此过程中，我们使用了以下准则：

最小 - 确保此集只涵盖可能指示成功违反的事件以及数量很少的重要事件。例如，此集包含用户成功和失败的登录（事件 ID 4624、4625），但它不包含注销，这对于审核非常重要，但对检测没有意义，并且具有相对较高的容量。此集的大部分数据量是登录事件和进程创建事件（事件 ID 4688）。
通用 - 提供此集中的完整用户审核跟踪。例如，此集包含用户登录和用户退出（事件 ID 4634）。我们加入审核操作，如安全组更改、关键域控制器 Kerberos 操作以及行业组织建议的其他事件。

事件数量少的情况已包含在“公共集”中，选择这一集合的主要动机是为了减少事件数量，而不是筛选特定事件。

反馈

此页面是否有帮助？