在操作员 Nexus 订阅上设置 Defender for Cloud 安全环境

本指南介绍了如何启用 Microsoft Defender for Cloud 并激活和配置一些增强的安全计划选项，这些选项可用于保护操作员 Nexus 裸机计算服务器和工作负载。

开始之前

为了帮助你了解 Defender for Cloud 及其许多安全功能，Microsoft Defender for Cloud 文档网站上提供了各种各样的材料，你可能会发现这些材料很有用。

先决条件

若要成功完成本指南中的操作，请执行以下操作：

• 必须拥有 Azure 操作员 Nexus 订阅。
• 必须在本地环境中运行已部署的 Azure Arc 连接的操作员 Nexus 实例。
• 必须在订阅中使用具有“所有者”、“参与者”或“读者”角色的Azure 门户用户帐户。

启用 Defender for Cloud

在操作员 Nexus 订阅上启用 Microsoft Defender for Cloud 非常简单，可立即访问其免费包含的安全功能。 若要启用 Defender for Cloud，请执行：

1. 登录到 Azure 门户。
2. 在顶部的搜索框中，输入“Defender for Cloud”。
3. 在“服务”下选择“Microsoft Defender for Cloud”。

打开 Defender for Cloud 概述页 后，已在订阅上成功激活 Defender for Cloud。 概述页是一种交互式仪表板用户体验，提供操作员 Nexus 安全状况的综合视图。 它显示安全警报、覆盖范围信息等。 使用此仪表板，可以评估工作负荷的安全性并识别和降低风险。

激活 Defender for Cloud 后，可以选择启用 Defender for Cloud 增强的安全功能，以提供重要的服务器和工作负载保护：

• 适用于服务器的 Defender
• Defender for Endpoint - 通过 Defender for Servers 提供
• Defender for Containers

设置 Defender for Servers 计划以保护裸机服务器

若要利用 Microsoft Defender for Endpoint 提供的本地裸机（BMM）计算服务器的额外安全保护，可以在操作员 Nexus 订阅上启用和配置 Defender for Servers 计划 。

先决条件

• 必须在订阅上启用 Defender for Cloud。

设置 Defender for Servers 计划：

1. 在 Defender for Cloud 下启用 Defender for Servers 计划功能 。
2. 选择一个 Defender for Servers 计划。
3. 在 Defender 计划页上，单击“监视覆盖范围”列下的“服务器”设置链接。 设置和监视页面将打开。
   • 确保 Log Analytics 代理/Azure Monitor 代理 设置为 Off。
   • 确保 Endpoint Protection 设置为 Off。
   • 单击“继续”保存任何已更改的设置。

启用 Defender for Endpoint 的特定于 Nexus 的操作员要求

Microsoft 支持部门启用 Defender for Endpoint 后，其配置由平台管理，以确保最佳安全性和性能，并降低配置错误的风险。

设置 Defender for Containers 计划以保护Azure Kubernetes 服务群集工作负荷

可以通过在订阅上启用和配置 Defender for Containers 计划来保护运行操作员工作负荷的本地 Kubernetes 群集。

先决条件

• 必须在订阅上启用 Defender for Cloud。

若要设置 Defender for Containers 计划，请执行以下操作：

1. 在 Defender for Cloud 下启用 Defender for Containers 计划功能 。
2. 在 Defender 计划页上，单击“监视覆盖范围”列下的“容器”设置链接。 设置和监视页面将打开。
   • 确保 DefenderDaemonSet 设置为 Off。
   • 确保 将适用于 Kubernetes 的 Azure Policy 设置为 Off。
   • 单击“继续”保存任何已更改的设置。