將混合式雲端與多雲端環境連線至適用於雲端的 Microsoft Defender

  • 7 分鐘

將混合式雲端和多雲端環境連結到適用於雲端的 Microsoft Defender,對於維護跨各種 IT 環境統一安全性態勢至關重要。 使用「適用於非 Azure 機器的啟用了 Azure Arc 的伺服器」、「原生雲端連接器」和「傳統連接器」,您可以將適用於雲端的 Microsoft Defender 功能延伸至非 Azure 資源。 這項整合可讓您全面監視、偵測及回應安全性威脅。 此處,我們提供該程序的資訊概觀,以及成功連線的詳細需求。

將您的非 Azure 機器連線至適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可以監視非 Azure 機器的安全性態勢,但首先您需要將它們連線到 Azure。

您可透過以下任何方式來連接非 Azure 電腦:

  • 使用 Azure Arc 上線:

    • 透過使用已啟用 Azure Arc 的伺服器 (建議)
    • 使用 Azure 入口網站

  • 直接使用適用於端點的 Microsoft Defender 上線

使用 Azure Arc 連接內部部署機器

已啟用 Azure Arc 伺服器的機器會成為 Azure 資源。 當您在上面安裝 Log Analytics 代理程式時,其會出現在適用於雲端的 Defender 中並包含建議,就像其他 Azure 資源一樣。

已啟用 Azure Arc 的伺服器提供增強功能,例如在機器上啟用來賓設定原則,以及簡化與其他 Azure 服務的部署。 如需已啟用 Azure Arc 的伺服器的優點概觀,請參閱支援的雲端作業。

若要在一部機器上部署 Azure Arc,請遵循「快速入門:將混合式機器與已啟用 Azure Arc 的伺服器連線」中的指示。

若要大規模在多部機器上部署 Azure Arc,請遵循大規模將混合式機器連線至 Azure 中的指示。

適用於雲端的 Defender 工具可自動部署 Log Analytics 代理程式,可搭配執行 Azure Arc 的機器運作。不過,這項功能目前處於預覽狀態。 當您使用 Azure Arc 連線機器時,請使用相關適用於雲端的 Defender 建議來部署代理程式,並受益於適用於雲端的 Defender 提供的完整保護範圍:

  • Linux Azure Arc 機器上應安裝 Log Analytics 代理程式
  • Windows Azure Arc 機器上應安裝 Log Analytics 代理程式

將您的 AWS 帳戶連線至適用於雲端的 Microsoft Defender

工作負載通常會跨越多個雲端平台。 雲端安全性服務必須執行相同的動作。 適用於雲端的 Microsoft Defender 有助於保護 Amazon Web Services (AWS) 中的工作負載,但您必須設定它們與適用於雲端的 Defender 之間的連線。

如果您要連結先前使用傳統連接器連結的 AWS 帳戶,您必須先將之移除。 使用由傳統和原生連接器連結的 AWS 帳戶,可能會產生重複的建議。

必要條件

若要完成本文中的程序,您需要:

  • Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,則可以註冊免費訂用帳戶。
  • 在您的 Azure 訂用帳戶上設定「適用於雲端的 Microsoft Defender」。
  • 存取 AWS 帳戶。
  • 相關 Azure 訂用帳戶的參與者權限,以及 AWS 帳戶的系統管理員權限。

適用於容器的 Defender

如果您選擇適用於容器的 Microsoft Defender 方案,您需要:

  • 至少有一個 Amazon EKS 叢集具有存取 EKS Kubernetes API 伺服器的權限。
  • 在叢集區域中建立新 Amazon Simple Queue Service (SQS) 佇列、Kinesis Data Firehose 傳遞資料流和 Amazon S3 貯體的資源容量。

適用於 SQL 的 Defender

如果您選擇適用於 SQL 的 Microsoft Defender 方案,您需要:

  • 您的訂用帳戶上已啟用適用於 SQL 的 Microsoft Defender。 了解如何保護您的資料庫。
  • 作用中的 AWS 帳戶,其中 EC2 執行個體執行 SQL Server 或 SQL Server 的關聯式資料庫服務 (RDS) 自訂。
  • 安裝在 EC2 執行個體上的適用於伺服器的 Azure Arc,或適用於 SQL Server 的 RDS 自訂伺服器。

建議您使用自動佈建程序,在所有現有的和未來的 EC2 執行個體上安裝 Azure Arc。 若要啟用 Azure Arc 自動佈建,您需要相關 Azure 訂用帳戶的 [擁有者] 權限。

AWS 系統管理員 (SSM) 會使用 SSM 代理程式,來管理自動佈建。 有些 Amazon Machine Images 已預先安裝 SSM 代理程式。 如果您的 EC2 執行個體沒有 SSM 代理程式,請使用 Amazon 的下列指示進行安裝:安裝混合式和多雲端環境的 SSM 代理程式 (Windows)。

確定您的 SSM 代理程式具有受控原則 AmazonSSMManagedInstanceCore。 它可啟用 AWS Systems Manager 服務的核心功能。

在 Azure Arc 連線的機器上啟用這些其他延伸模組:

  • Microsoft Defender for Endpoint
  • 弱點評定解決方案 (威脅與弱點管理或 Qualys)
  • Azure Arc 連線機器上的 Log Analytics 代理程式或 Azure 監視器代理程式

確定選取的 Log Analytics 工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前已設定在訂用帳戶層級。 相同訂用帳戶下的所有 AWS 帳戶和 Google Cloud Platform (GCP) 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

適用於伺服器的 Defender

如果您選擇適用於伺服器的 Microsoft Defender 方案,您需要:

  • 在您的訂用帳戶上啟用適用於伺服器的 Microsoft Defender。 了解如何在啟用增強的安全性功能中啟用方案。
  • 具有 EC2 執行個體的作用中 AWS 帳戶。
  • 安裝在 EC2 執行個體上的適用於伺服器的 Azure Arc。

建議您使用自動佈建程序,在所有現有的和未來的 EC2 執行個體上安裝 Azure Arc。 若要啟用 Azure Arc 自動佈建,您需要相關 Azure 訂用帳戶的 [擁有者] 權限。

AWS 系統管理員會使用 SSM 代理程式,來管理自動佈建。 有些 Amazon Machine Images 已預先安裝 SSM 代理程式。 如果您的 EC2 執行個體沒有 SSM 代理程式,請使用 Amazon 的下列任一指示進行安裝:

  • 安裝混合式和多雲端環境的 SSM 代理程式 (Windows)
  • 安裝混合式和多雲端環境的 SSM 代理程式 (Linux)

確定您的 SSM 代理程式具有受控原則 AmazonSSMManagedInstanceCore,其可啟用 AWS 系統管理員服務的核心功能。

如果您想要在現有和未來的 EC2 執行個體上手動安裝 Azure Arc,請使用 EC2 執行個體連線到 Azure Arc 建議,以識別未安裝 Azure Arc 的執行個體。

在 Azure Arc 連線的機器上啟用這些其他延伸模組:

  • Microsoft Defender for Endpoint
  • 弱點評定解決方案 (威脅與弱點管理或 Qualys)
  • Azure Arc 連線機器上的 Log Analytics 代理程式或 Azure 監視器代理程式

確定選取的 Log Analytics 工作區已安裝安全性解決方案。 Log Analytics 代理程式和 Azure 監視器代理程式目前已設定在訂用帳戶層級。 相同訂用帳戶下的所有 AWS 帳戶和 GCP 專案都會繼承 Log Analytics 代理程式和 Azure 監視器代理程式的訂用帳戶設定。

適用於伺服器的 Defender 會將標籤指派給您的 AWS 資源,以管理自動佈建程序。 您必須將這些標籤正確地指派給資源,讓適用於雲端的 Defender 可以管理這些標籤:AccountIdCloudInstanceIdMDFCSecurityConnector

Defender CSPM

如果您選擇 Microsoft Defender 雲端安全性態勢管理方案,您需要:

  • Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,可以註冊免費訂用帳戶。
  • 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
  • 連線您的非 Azure 機器、AWS 帳戶。
  • 若要取得 CSPM 方案中所有可用功能的存取權,訂用帳戶擁有者必須啟用方案。