Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье описывается, как использовать Microsoft Defender для облака для защиты Azure Local от различных киберугрыз и уязвимостей.
Defender для облака помогает повысить уровень безопасности локальной среды Azure и может защититься от существующих и изменяющихся угроз.
Дополнительные сведения о Microsoft Defender для облака см. в документации по Microsoft Defender для Облака.
Внимание
Эта функция сейчас доступна в режиме предварительной версии. Ознакомьтесь с дополнительными условиями использования предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся на стадии бета-тестирования, предварительного просмотра или иным образом еще не выпущены в общий доступ.
Предварительные требования
Прежде чем начать, убедитесь, что выполнены следующие предварительные требования:
- У вас есть доступ к локальной среде Azure, развернутой, зарегистрированной и подключенной к Azure.
- Чтобы включить Фундаментальное управление положением безопасности облака (CSPM), у вас должны быть роли как минимум владельца или участника в подписке Azure.
Включение Defender for Cloud для локальной конфигурации Azure
Выполните следующие действия, чтобы включить Defender для облака для локальной среды Azure.
- Шаг 1: Включите базовый CSPM.
- Шаг 2. Включите Defender для серверов для отдельных компьютеров и локальных виртуальных машин Azure, подключенных через Azure Arc.
Шаг 1: Включите базовый CSPM
Этот шаг включает базовый план Defender для облака без дополнительных затрат. Этот план позволяет отслеживать и определять действия, которые можно предпринять для защиты локальной среды Azure, а также других ресурсов Azure и Arc. Инструкции см. в разделе "Включить Defender для облака" в подписке Azure.
Шаг 2. Включение Defender для серверов для отдельных компьютеров и локальных виртуальных машин Azure
Этот шаг позволяет повысить уровень безопасности, включая оповещения системы безопасности для отдельных компьютеров и локальных виртуальных машин Azure.
Для этого выполните все инструкции в разделе "Включить план Defender для серверов ", который включает в себя:
- Выбор плана
- Настройка охвата мониторинга для:
- Агент Log Analytics
- Оценка уязвимостей
- Защита конечных точек
Применение инициативы Microsoft Cloud Security Benchmark
После включения плана Microsoft Defender для облака CSPM Foundational необходимо применить инициативу Microsoft Cloud Security Benchmark (MCSB). Параметры безопасности можно просмотреть с помощью портал Azure только при применении MCSB. Используйте один из следующих методов, чтобы применить инициативу MCSB:
- Примените MCSB через портал.
- Вручную примените базовые показатели безопасности вычислений Azure в политике Azure ко всем серверам кластера. См. базовые показатели безопасности Windows.
Выполните следующие действия, чтобы применить инициативу MCSB на уровне подписки:
Войдите на портал Azure и найдите и выберите Microsoft Defender для Облака.
На левой панели прокрутите вниз до раздела "Управление" и выберите параметры среды.
На странице параметров среды выберите подписку, используемую в раскрывающемся списке.
Выберите политики безопасности.
Для microsoft cloud security benchmark переключите кнопку "Состояние " на "Вкл.".
Подождите по крайней мере один час, пока инициатива политики Azure будет оценивать включенные ресурсы.
Просмотр рекомендаций по безопасности
Рекомендации по безопасности создаются при выявлении потенциальных уязвимостей безопасности. Эти рекомендации помогут вам выполнить настройку необходимого элемента управления.
После включения Defender для облака для Azure Local выполните следующие действия, чтобы просмотреть рекомендации по безопасности для Azure Local:
В портале Azure перейдите на локальную страницу ресурсов Azure и выберите свой экземпляр.
На левой панели прокрутите вниз до раздела "Безопасность ( предварительная версия) и выберите Microsoft Defender для Облака.
На странице Microsoft Defender для облака в разделе "Рекомендации" можно просмотреть текущие рекомендации по безопасности для выбранного локального экземпляра Azure и ее рабочих нагрузок. По умолчанию рекомендации группируются по типу ресурса.
(Необязательно) Чтобы просмотреть рекомендации по безопасности для нескольких локальных экземпляров Azure, выберите ссылку Просмотр в Defender для облака. Откроется страница рекомендаций на портале Microsoft Defender для облака. На этой странице представлены рекомендации по безопасности во всех ресурсах Azure, включая локальный ресурс Azure.
Примечание.
Рекомендации по локальному использованию Azure доступны только в Azure Local 2311 или более поздней версии. Azure Stack HCI версии 22H2 содержит рекомендации, которые также доступны в Windows Server.
Дополнительные сведения о рекомендациях по безопасности, относящихся к Локальной среде Azure, см. в разделе рекомендаций по вычислению Azure в статье рекомендаций по безопасности вычислений .
Исключения рекомендаций по безопасности
Вы можете игнорировать следующие рекомендации Защитника Windows для облака для учетных записей хранения и Azure Key Vault, связанных с локальными экземплярами Azure. Тем не менее, не игнорируйте эти рекомендации для других учетных записей хранения и Azure Key Vault, которые у вас могут быть.
| Затронутый ресурс | Рекомендация | Причина исключения |
|---|---|---|
| учетная запись хранения | Учетные записи хранения должны иметь шифрование инфраструктуры. | Шифрование учетной записи хранения не поддерживается для локальных экземпляров Azure, так как оно не позволяет передавать ключ шифрования. |
| учетная запись хранения | Учетные записи хранения должны препятствовать доступу к общему ключу. | Локальная служба Azure поддерживает доступ к учетным записям хранения исключительно через общие ключи. |
| учетная запись хранения | Учетная запись хранения должна использовать приватное подключение. | В настоящее время локальная служба Azure не поддерживает подключения приватного канала. |
| Azure Key Vault | Azure Key Vaults должны использовать приватную ссылку. | В настоящее время локальная служба Azure не поддерживает подключения приватного канала. |
| Компьютер — Azure Arc | Для локальных машин Azure следует включить "Защитник Windows Exploit Guard". | Функция защиты от эксплойтов Защитника Windows не применима к серверным версиям без графического интерфейса, например, к локальной ОС Azure. |
| Компьютер — Azure Arc | Локальные компьютеры Azure должны быть настроены для периодической проверки отсутствия обновлений системы. | Локальные компьютеры Azure не должны обновляться отдельно. Используйте раздел "Локальный" в Диспетчере обновлений Azure для обновления нескольких систем или страницы "Обновления" в представлении локальных ресурсов Azure всякий раз, когда обновление доступно для локального экземпляра Azure. Обновление отдельных компьютеров может привести к состоянию смешанного режима, которое не поддерживается. |
| Компьютер — Azure Arc | Обновления системы должны быть установлены на локальных компьютерах Azure с помощью Azure Update Manager. | Локальные компьютеры Azure не должны обновляться отдельно. Используйте локальный раздел Azure в Диспетчере обновлений Azure, чтобы обновить несколько систем или страницу "Обновления" в представлении локальных ресурсов Azure всякий раз, когда обновление доступно для локального экземпляра Azure. Обновление отдельных компьютеров может привести к состоянию смешанного режима, которое не поддерживается. |
| Компьютер — Azure Arc | Локальные компьютеры Azure должны иметь решение для оценки уязвимостей. | Служба "Управление уязвимостями Microsoft Defender" в настоящее время не поддерживает локальную службу Azure. |
Мониторинг локальных компьютеров Azure и локальных виртуальных машин Azure
Перейдите на портал Microsoft Defender для облака, чтобы отслеживать оповещения для отдельных локальных компьютеров Azure и локальных виртуальных машин Azure.
Выполните следующие действия, чтобы получить доступ к страницам портала Microsoft Defender для облака, чтобы отслеживать отдельные серверы и локальные виртуальные машины Azure:
Войдите на портал Azure и найдите и выберите Microsoft Defender для Облака.
На странице "Обзор " на портале Microsoft Defender для облака показан общий уровень безопасности вашей среды. В области навигации слева перейдите на различные страницы портала, такие как рекомендации по обеспечению безопасности для отдельных серверов и виртуальных машин, работающих в локальной среде Azure, или оповещения системы безопасности для мониторинга оповещений для них.
