Microsoft Defender for Cloud 的適用於伺服器方案可保護在 Azure、Amazon Web Service(AWS)、Google Cloud Platform(GCP)及內部環境中執行的 Windows 和 Linux 虛擬機器(VM)。 適用於伺服器的 Defender 提供改善電腦安全性狀態的建議,並保護機器免於安全性威脅。
本文可協助您部署適用於伺服器的Defender方案。
Note
啟用方案之後,就會開始 30 天的試用期。 您無法停止、暫停或延長此試用期間。 若要充分利用完整的 30 天試用版,請規劃您的評估目標。
Prerequisites
| Requirement | Details |
|---|---|
| 規劃您的部署 | 檢閱適用於伺服器的 Defender 規劃指南。 檢查部署和使用方案所需的許可權、選擇方案和部署範圍,或查看適用於伺服器之 Defender 方案之間的差異,以及了解數據收集和儲存方式。 |
| 比較方案功能 | 了解及比較適用於伺服器的 Defender 方案功能。 |
| 檢閱定價 | 在適用於雲端的 Defender 定價頁面上檢閱適用於伺服器的 Defender 定價。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本。 |
| 取得 Azure 訂用帳戶 | 您需要 Microsoft Azure 訂用帳戶。 如有需要,請註冊免費帳戶。 |
| 開啟適用於雲端的 Defender | 請確定適用於雲端的 Defender 可在訂用帳戶中使用。 |
| 將 AWS/GCP 機器上線 | 若要保護 AWS 和 GCP 機器,請將 AWS 帳戶和 GCP 專案連線到適用於雲端的 Defender。 根據預設,連線程序會將機器上線為已啟用 Azure Arc 的 VM。 |
| 將內部部署機器上線 |
將內部部署機器上線為 Azure Arc VM,以取得適用於伺服器的 Defender 中的完整功能。 如果您直接安裝適用於端點的 Defender 代理程式而非將 Azure Arc 上線,以讓內部部署機器上線,則只有方案 1 功能可供使用。 在適用於伺服器的 Defender 方案 2 中,除了方案 1 功能之外,您只能取得進階 Defender 弱點管理功能。 |
| 檢閱支援需求 | 檢查適用於伺服器的 Defender 需求和支援資訊。 |
| 利用 500 MB 免費資料擷取 | 啟用適用於伺服器的 Defender 方案 2 時,可用的免費 500 MB 數據擷取優點適用於特定資料類型。 了解需求並設定免費資料擷取 |
| Defender 整合 | 適用於端點的 Defender 和適用於威脅與漏洞管理的 Defender 預設會在適用於雲端的 Defender 中整合。 當您啟用適用於伺服器的 Defender 時,即同意適用於伺服器的 Defender 方案,以存取與弱點、已安裝的軟體和端點警示相關的適用於端點的 Defender 資料。 |
| 在資源層級啟用 | 雖然我們建議為訂用帳戶啟用適用於伺服器的 Defender,但您可以視需要針對 Azure VM、已啟用 Azure Arc 的伺服器,以及 Azure 虛擬機器擴展集在資源層級啟用適用於伺服器的 Defender。 您可以在資源層級啟用方案 1。 您可以在資源層級停用方案 1 和方案 2。 |
在 Azure、AWS 或 GCP 上啟用
您可以針對 Azure 訂用帳戶、AWS 帳戶或 GCP 專案啟用適用於伺服器的 Defender 方案。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 Azure 訂用帳戶、AWS 帳戶或 GCP 專案。
在 [Defender 方案] 頁面上,將 [伺服器] 切換為 [開啟]。
根據預設,這會開啟適用於伺服器的 Defender 方案 2。 如果您想要切換方案,請選取 [變更方案]。
![顯示您在 [環境設定] 頁面上選取變更方案的螢幕擷取畫面。](media/tutorial-enable-servers-plan/servers-change-plan.png)
在彈出視窗中,選取 [方案 2] 或 [方案 1]。
選取確認。
選取 [儲存]。
![顯示您在 [環境設定] 頁面上選取變更方案的螢幕擷取畫面。](media/tutorial-enable-servers-plan/servers-change-plan.png#lightbox)
啟用方案之後,您可以 設定方案的功能 以符合您的需求。
停用訂用帳戶上適用於伺服器的 Defender
- 在 Microsoft Defender for Cloud 中,選取 環境設定。
- 將方案開關切換為 [關閉]。
Note
如果您在 Log Analytics 工作區上啟用適用於伺服器的 Defender 方案 2,則必須明確加以停用。 若要這樣做,請瀏覽至工作區的方案頁面,並將開關切換為 [關閉]。
在資源層級上啟用適用於伺服器的 Defender
雖然我們建議針對整個 Azure 訂用帳戶啟用方案,但您可能需要混合方案、排除特定資源,或只在特定機器上啟用適用於伺服器的 Defender。 若要這麼做,您可以在資源層級上啟用或停用適用於伺服器的 Defender。 開始之前,請先檢閱部署範圍選項。
在個別電腦上設定
在特定電腦上啟用或停用方案。
使用 REST API 在機器上啟用方案 1
在 PUT 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01新增此要求本文。
{ "properties": { "pricingTier": "Standard", "subPlan": "P1" } }
使用 REST API 停用電腦上的方案
若要在機器層級停用適用於伺服器的 Defender,請使用端點 URL 建立 PUT 要求。
在 PUT 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01新增此要求本文。
{ "properties": { "pricingTier": "Free", } }
使用 REST API 移除資源層級設定
若要使用 REST API 移除機器層級設定,請使用端點 URL 建立 DELETE 要求。
在 DELETE 要求中,將端點 URL 中的 subscriptionId、resourceGroupName 和 machineName 取代為您自己的設定。
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
使用文稿啟用方案 1
使用指令碼啟用方案 1
- 下載此檔案,並儲存為 PowerShell 檔案。
- 執行下載的腳本。
- 視需要自訂。 依標籤選取資源。
- 請遵循畫面上的其餘指示。
使用 Azure 原則啟用方案 1 (在資源標籤上)
- 登入 Azure 入口網站,並瀏覽至 [原則] 儀表板。
- 在 [原則] 儀表板中,從左側功能表選取 [定義]。
- 在 [資訊安全中心 – 細微定價] 類別中,搜尋然後選取為具有所選標籤之所有資源 (資源層級) 設定啟用適用於伺服器的 Defender (「P1」子方案)。 此原則可在指派範圍下的所有資源上啟用適用於伺服器的 Defender 方案 1 (Azure VM、虛擬機器擴展集和已啟用 Azure Arc 的伺服器)。
- 選取原則並檢閱。
- 選取 [指派],然後根據您的需求編輯指派詳細資料。
- 在 [參數] 索引標籤中,清除 [只顯示需要輸入或檢閱的參數]。
- 在 [包含標籤名稱] 中,輸入自訂標籤名稱。 在 包含標籤值 陣列中輸入標記的值。
- 在 [補救] 索引標籤中,選取 [建立補救工作]。
- 編輯所有詳細數據,選取 [ 檢閱 + 建立],然後選取 [ 建立]。
Note
Defender for Servers 不要求特定的標籤名稱或值來進行啟用或排除。 使用你組織選擇的任何標籤,並設定你的 Azure 政策或腳本來配合。
使用腳本停用計劃
- 下載並儲存此腳本 作為PowerShell檔案。
- 執行下載的腳本。
- 視需要自訂。 依標籤選取資源。
- 請遵循畫面上的其餘指示。
使用 Azure 原則停用方案 (適用於資源標籤)
- 登入 Azure 入口網站,並瀏覽至 [原則] 儀表板。
- 在 [原則] 儀表板中,從左側功能表選取 [定義]。
- 在 [資訊安全中心 – 細微定價] 類別中,搜尋然後選取設定要停用具有所選標籤之資源 (資源層級) 之適用於伺服器的 Azure Defender。 此原則可根據您所定義的標籤,在指派範圍下的所有資源上停用適用於伺服器的 Defender (Azure VM、虛擬機器擴展集和已啟用 Azure Arc 的伺服器)。
- 選取原則並檢閱。
- 選取 [指派],然後根據您的需求編輯指派詳細資料。
- 在 [參數] 索引標籤中,清除 [只顯示需要輸入或檢閱的參數]。
- 在 [包含標籤名稱] 中,輸入自訂標籤名稱。 在 包含標籤值 陣列中輸入標記的值。
- 在 [補救] 索引標籤中,選取 [建立補救工作]。
- 編輯所有詳細數據,選取 [ 檢閱 + 建立],然後選取 [ 建立]。
使用指令碼 (標籤) 移除每個資源的組態
- 下載並儲存此腳本 作為PowerShell檔案。
- 執行下載的腳本。
- 視需要自訂。 依標籤選取資源。
- 請遵循畫面上的其餘指示。
查看您當前的承保範圍
適用於雲端的 Defender 會透過Azure 活頁簿提供對活頁簿的存取權。 活頁簿是可自訂的報告,可讓您深入瞭解您的安全性狀況。
涵蓋範圍活頁簿會顯示訂用帳戶和資源已啟用哪些方案,以協助您瞭解目前的涵蓋範圍。
後續步驟
如果您已啟用適用於伺服器的 Defender 方案 2,請利用免費資料擷取權益。
啟用適用於伺服器的 Defender 方案 2 之後,請啟用檔案完整性監視
視需要修改方案設定。