适用于:Azure Local 2311.2 及更高版本
本文介绍如何使用 Microsoft Defender for Cloud 保护 Azure 本地免受各种网络威胁和漏洞的影响。
Defender for Cloud 有助于改善 Azure 本地的安全状况,并可以防范现有和不断演变的威胁。
有关 Microsoft Defender for Cloud 的详细信息,请参阅 Microsoft Defender for Cloud 文档。
重要
此功能目前处于预览状态。 有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 适用于 Microsoft azure 预览版的补充使用条款 。
先决条件
在开始之前,请确保满足以下先决条件:
- 您可以访问已部署、注册并连接到 Azure 的 Azure 本地版本。
- 你在 Azure 订阅中至少拥有“所有者”或“参与者”角色,以启用基础云安全态势管理 (CSPM)。
为 Azure 本地环境启用 Defender for Cloud
按照以下步骤为 Azure 本地版启用 Defender for Cloud。
- 步骤 1:启用基础 CSPM。
- 步骤 2:为单独的计算机启用 Defender for Servers,并为通过 Azure Arc 启用的 Azure 本地虚拟机(VM)启用 Defender for Servers。
步骤 1:启用基础 CSPM
此步骤将启用基本的 Defender for Cloud 计划,无需额外付费。 通过此计划,可以监视和确定保护 Azure 本地以及其他 Azure 和 Arc 资源所要执行的步骤。 有关说明,请参阅 在 Azure 订阅上启用 Defender for Cloud。
步骤 2:为单个计算机和 Azure 本地 VM 启用 Defender for Servers
此步骤可增强安全功能,包括单个计算机和 Azure 本地 VM 的安全警报。
为此,请按照 启用 Defender for Servers 计划 部分中的所有说明进行操作,其中包括:
- 选择计划
- 针对以下项配置监视覆盖范围:
- Log Analytics 代理
- 漏洞评估
- 端点保护
应用Microsoft云安全基准计划
启用 Microsoft Defender for Cloud Foundational CSPM 计划后,必须应用Microsoft云安全基准(MCSB)计划。 仅当应用 MCSB 时,才能通过Azure 门户查看安全设置。 使用以下方法之一应用 MCSB 计划:
- 按如下所述通过门户应用 MCSB。
- 将 Azure 策略中的 Azure 计算安全基线手动应用到所有群集服务器。 请参阅 Windows 安全基线。
按照以下步骤在订阅级别应用 MCSB 计划:
登录到 Azure 门户,搜索并选择 Microsoft Defender for Cloud。
在左窗格中,向下滚动到 “管理 ”部分,然后选择“ 环境设置”。
在 “环境设置 ”页上,从下拉列表中选择正在使用的订阅。
选择“安全策略”边栏选项卡。
对于 Microsoft云安全基准,请将 “状态 ”按钮切换为 “开”。
请至少等待一个小时,以便 Azure 策略举措来评估所包含的资源。
查看安全建议
识别潜在的安全漏洞时会创建安全建议。 这些建议将指导你完成配置所需控件的过程。
为 Azure 本地启用 Defender for Cloud 后,请按照以下步骤查看 Azure 本地的安全建议:
在Azure 门户中,转到 Azure 本地资源页并选择实例。
在左窗格中,向下滚动到 “安全”(预览) 部分,然后选择 “Microsoft Defender for Cloud”。
在 “Microsoft Defender for Cloud ”页上,在 “建议”下,可以查看所选 Azure 本地实例及其工作负载的当前安全建议。 默认情况下,建议按资源类型分组。
(可选)若要查看多个 Azure 本地实例的安全建议,请选择 Defender for Cloud 链接中的“查看 ”。 这会在 Microsoft Defender for Cloud 门户中打开 “建议 ”页。 本页提供所有 Azure 资源(包括 Azure 本地)的安全建议。
注意
Azure 本地独占建议仅适用于 Azure Local 2311 或更高版本。 Azure Stack HCI 版本 22H2 显示 Windows Server 上也提供的建议。
若要详细了解特定于 Azure 本地的安全建议,请参阅“计算安全建议”一文中的“Azure 计算建议”部分。
安全建议排除项
对于与 Azure 本地实例关联的存储帐户和 Azure Key Vault,可以忽略以下适用于云的 Windows Defender 建议。 但是,不要忽略针对可能拥有的其他存储帐户和 Azure Key Vault 的这些建议。
| 受影响的资源 | 建议 | 排除原因 |
|---|---|---|
| 存储帐户 | 存储帐户应具有基础结构加密。 | Azure 本地实例不支持存储帐户加密,因为它不允许传入加密密钥。 |
| 存储帐户 | 存储帐户应阻止共享密钥访问。 | Azure 本地支持通过共享密钥以独占方式访问存储帐户。 |
| 存储帐户 | 存储帐户应使用专用链接连接。 | Azure 本地当前不支持专用链接连接。 |
| Azure Key Vault | Azure Key Vault 应使用专用链接。 | Azure 本地当前不支持专用链接连接。 |
| 计算机 - Azure Arc | 应在 Azure 本地计算机上启用 Windows Defender 攻击防护。 | Windows Defender 攻击防护不适用于没有 GUI(例如 Azure 本地 OS)的服务器核心 SKU。 |
| 计算机 - Azure Arc | 应将 Azure 本地计算机配置为定期检查缺少的系统更新。 | 不应单独更新 Azure 本地计算机。 使用 Azure 更新管理器中的“Azure 本地”部分在 Azure 本地资源视图中更新多个系统或“更新”页,只要 Azure 本地实例有更新可用。 更新单个计算机可能会导致混合模式状态,这不受支持。 |
| 计算机 - Azure Arc | 应使用 Azure 更新管理器在 Azure 本地计算机上安装系统更新。 | 不应单独更新 Azure 本地计算机。 利用 Azure 更新管理器中的“Azure 本地”部分更新多个系统或 Azure 本地资源视图中的“更新”页,只要 Azure 本地实例有更新可用。 更新单个计算机可能会导致混合模式状态,这不受支持。 |
| 计算机 - Azure Arc | Azure 本地计算机应具有漏洞评估解决方案。 | Microsoft Defender 漏洞管理目前不支持 Azure 本地。 |
监视 Azure 区域计算机和 Azure 区域虚拟机
转到 Microsoft Defender for Cloud 门户,监视单个 Azure 本地计算机和 Azure 本地 VM 的警报。
按照以下步骤访问 Microsoft Defender for Cloud 门户的页面,以监视单个服务器和 Azure 本地 VM:
登录到 Azure 门户,搜索并选择 Microsoft Defender for Cloud。
Microsoft Defender for Cloud 门户的 “概述 ”页显示了环境的总体安全状况。 在左侧导航窗格中,导航到各种门户页面,例如安全建议,以查看针对 Azure 本地上运行的各个服务器和 VM 的安全建议,或安全警报,以监视它们的警报。
