你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 中的 Defender for Servers 计划保护在 Azure、Amazon Web Service (AWS)、Google Cloud Platform (GCP)和本地环境中运行的 Windows 和 Linux 虚拟机(VM)。 Defender for Servers 提供了改进计算机安全状况并防止计算机免受安全威胁的建议。
本文可帮助你部署 Defender for Servers 计划。
注意
启用计划后,将开始为期 30 天的试用期。 不能停止、暂停或延长此试用期。 若要充分利用完整的 30 天试用版,请规划评估目标。
先决条件
| 要求 | 详细信息 |
|---|---|
| 规划部署 | 查看 Defender for Servers 规划指南。 检查部署和使用计划所需的权限,选择计划和部署范围,了解数据的收集和存储方式。 |
| 比较计划功能 | 了解和比较 Defender for Servers 计划功能。 |
| 查看定价 | 在 Defender for Cloud 定价页上查看 Defender for Servers 定价。 还可以 使用 Defender for Cloud 成本计算器估算成本。 |
| 获取 Azure 订阅 | 需要 Microsoft Azure 订阅。 如果需要,可免费注册一个。 |
| 打开 Defender for Cloud | 确保 Defender for Cloud 在订阅中可用。 |
| 载入 AWS/GCP 计算机 | 要保护 AWS 和 GCP 计算机,请将 AWS 帐户和 GCP 项目连接到 Defender for Cloud。 默认情况下,连接过程会将计算机作为已启用 Azure Arc 的 VM 载入。 |
| 载入本地计算机 | 将本地计算机作为 Azure Arc VM 载入,以利用 Defender for Servers 中的完整功能。 如果通过直接安装 Defender for Endpoint 代理而非载入 Azure Arc 来载入本地计算机,则仅计划 1 的功能可用。 在 Defender for Servers 计划 2 中,除了计划 1 的功能外,只有高级 Defender 漏洞管理功能可用。 |
| 查看支持要求 | 查看 Defender for Servers 要求和支持信息。 |
| 利用 500 MB 数据免费引入 | 启用 Defender for Servers 计划 2 后,您可以享受免费 500-MB 数据引入的优惠,该优惠适用于特定数据类型。 了解要求并设置免费数据引入 |
| Defender 集成 | Defender for Cloud 中默认集成了 Defender for Endpoint 和 Defender for Vulnerability Management。 启用 Defender for Servers 即表示你同意 Defender for Servers 计划访问与漏洞、安装的软件和终结点警报相关的 Defender for Endpoint 数据。 |
| 在资源级别启用 | 尽管建议为订阅启用 Defender for Servers,但如果需要,可以为 Azure VM、已启用 Azure Arc 的服务器和 Azure 虚拟机规模集在资源级别启用 Defender for Servers。 可以在资源级别启用计划 1。 可以在资源级别禁用计划 1 和计划 2。 |
在 Azure、AWS 或 GCP 上启用
可以为 Azure 订阅、AWS 帐户或 GCP 项目启用 Defender for Servers 计划。
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关的 Azure 订阅、AWS 帐户或 GCP 项目。
在“Defender 计划”页上,将“服务器”开关切换为“打开”。
默认情况下,这会打开 Defender for Servers 计划 2。 如需切换计划,请选择“更改计划”。
在弹出窗口中,选择“计划 2”或“计划 1”。
选择“确认”。
选择“保存”。
启用计划后,可以 配置计划的功能 以满足你的需求。
在订阅上禁用 Defender for Servers
- 在 Microsoft Defender for Cloud 中,选择 “环境设置”。
- 将计划开关切换为“关闭”。
注意
如果在 Log Analytics 工作区上启用了 Defender for Servers 计划 2,需要将其显式禁用。 为此,请导航到工作区的计划页,并将开关切换为“关闭”。
在资源级别启用 Defender for Servers
尽管我们建议为整个 Azure 订阅启用计划,但可能需要混合计划、排除特定资源或仅在特定计算机上启用 Defender for Servers。 为此,可在资源级别启用或禁用 Defender for Servers。 在开始之前,请查看部署范围选项。
在单个计算机上配置
在特定计算机上启用或禁用该计划。
使用 REST API 在计算机上启用计划 1
若要为计算机启用计划 1,请在 更新定价中为终结点创建 PUT 请求。
在 PUT 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01添加此请求正文。
{ "properties": { "pricingTier": "Standard", "subPlan": "P1" } }
使用 REST API 在计算机上禁用某项计划
若要在计算机级别禁用 Defender for Servers,请使用终结点 URL 创建 PUT 请求。
在 PUT 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01添加此请求正文。
{ "properties": { "pricingTier": "Free", } }
使用 REST API 删除资源级配置
若要使用 REST API 删除计算机级配置,请使用终结点 URL 创建 DELETE 请求。
在 DELETE 请求中,将终结点 URL 中的 subscriptionId、resourceGroupName 和 machineName 替换为自己的设置。
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{machineName}/providers/Microsoft.Security/pricings/virtualMachines?api-version=2024-01-01
使用脚本启用计划 1
使用脚本启用计划 1
- 下载此文件并将其保存为 PowerShell 文件。
- 运行下载的脚本。
- 根据需要自定义。 按标记或资源组选择资源。
- 请按照屏幕上的后续说明进行操作。
使用 Azure Policy 在资源组级别启用计划 1
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在 “策略 ”仪表板中,从左侧菜单中选择 “定义 ”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有资源(资源级别)启用(和“P1”子计划配合使用)”。 此策略在分配范围下在所有资源(Azure VM、Azure 虚拟机规模集和已启用 Azure Arc 的服务器)上启用 Defender for Servers 计划 1。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。 在“ 基本信息 ”选项卡的 “作用域”下,选择相关的资源组。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑所有详细信息,选择“ 查看 + 创建”,然后选择“ 创建”。
使用 Azure Policy 启用计划 1(在资源标记上)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在 “策略 ”仪表板中,从左侧菜单中选择 “定义 ”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有带所选标记的资源启用(和“P1”子计划配合使用)”。 此策略在分配范围下在所有资源(Azure VM、虚拟机规模集和已启用 Azure Arc 的服务器)上启用 Defender for Servers 计划 1。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。
- 在“ 参数 ”选项卡中,清除 “仅显示需要输入或审阅的参数”。
- 在“包含标记名称”中,输入自定义标记名称。 在 包含标记值 数组中输入标记的值。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑所有详细信息,选择“ 查看 + 创建”,然后选择“ 创建”。
使用脚本禁用计划
- 下载此脚本并将其保存 为 PowerShell 文件。
- 运行下载的脚本。
- 根据需要自定义。 按标记或资源组选择资源。
- 按照屏幕上的其余说明进行操作。
使用 Azure Policy 禁用计划(适用于资源组)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在 “策略 ”仪表板中,从左侧菜单中选择 “定义 ”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对所有资源(资源级别)禁用”。 此策略将在分配范围内禁用所有资源(包括 Azure 虚拟机、虚拟机器规模集和已启用 Azure Arc 的服务器)上的服务器防护功能。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。 在“ 基本信息 ”选项卡的 “作用域”下,选择相关的资源组。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑所有详细信息,选择“ 查看 + 创建”,然后选择“ 创建”。
使用 Azure Policy 禁用计划(适用于资源标记)
- 登录到 Azure 门户并导航到“策略”仪表板。
- 在 “策略 ”仪表板中,从左侧菜单中选择 “定义 ”。
- 在“安全中心 - 精细定价”类别中,搜索并选择“将 Azure Defender for Servers 配置为对带所选标记的资源(资源级别)禁用”。 此策略根据您定义的标记,在分配范围内禁用所有资源上的 Defender for Servers(包括 Azure 虚拟机、虚拟机规模集和启用 Azure Arc 的服务器)。
- 选择策略并查看它。
- 选择“分配”并根据需要编辑分配详细信息。
- 在“ 参数 ”选项卡中,清除 “仅显示需要输入或审阅的参数”。
- 在“包含标记名称”中,输入自定义标记名称。 在 包含标记值 数组中输入标记的值。
- 在“修正”选项卡上,选择“创建修正任务”。
- 编辑所有详细信息,选择“ 查看 + 创建”,然后选择“ 创建”。
使用脚本删除针对每个资源的配置(资源组或标签)
- 下载此脚本并将其保存 为 PowerShell 文件。
- 运行下载的脚本。
- 根据需要自定义。 按标记或资源组选择资源。
- 按照屏幕上的其余说明操作。
后续步骤
- 如果启用了 Defender for Servers 计划 2,可利用免费数据引入权益。
- 启用 Defender for Servers 计划 2 后,启用文件完整性监视
- 根据需要修改计划设置。