规划 Defender for Servers 的数据驻留和工作区
本文帮助你了解数据在 Microsoft Defender for Servers 中的存储方式,以及如何在 Defender for Servers 中使用 Log Analytics 工作区。
Defender for Servers 是 Microsoft Defender for Cloud 提供的付费计划之一。
准备阶段
本文是 Defender for Servers 规划指南系列中的第二篇文章。 首先规划部署。
了解数据驻留
数据驻留是指组织数据的物理位置或地理位置。
在部署 Defender for Servers 之前,请务必了解组织的数据驻留:
- 查看 Azure 数据驻留一般注意事项。
- 查看下一部分中的表格,了解 Defender for Cloud 将数据存储在何处。
存储位置
了解 Defender for Cloud 将数据存储在何处,以及你可以如何处理数据:
数据 | 位置 |
---|---|
安全警报和建议 | - 存储在 Defender for Cloud 后端,可通过 Azure 门户、Azure Resource Graph 和 REST API 访问。 - 可以使用连续导出将数据导出到 Log Analytics 工作区。 |
计算机信息 | - 存储在 Log Analytics 工作区中。 - 可以使用默认的 Defender for Cloud 工作区或自定义工作区。 根据工作区位置存储数据。 |
工作区注意事项
在 Defender for Cloud 中,可以将服务器数据存储在 Defender for Cloud 部署的默认 Log Analytics 工作区中,或存储在自定义工作区中。
详细信息如下:
- 默认情况下,当你首次启用 Defender for Cloud 时,会在启用了 Defender for Cloud 的每个订阅的订阅区域中创建一个新资源组和默认工作区。
- 如果你使用免费的基础云安全态势管理 (CSPM),Defender for Cloud 将设置默认工作区并为其启用“SecurityCenterFree”解决方案。
- 打开某个 Defender for Cloud 计划(包括 Defender for Servers)时,将为默认工作区启用该计划,并启用“安全”解决方案。
- 如果你在多个位置拥有虚拟机,Defender for Cloud 会相应地创建多个工作区,以确保数据合规性。
- 默认工作区名称采用
[subscription-id]-[geo]
格式。
默认工作区
在以下位置创建 Defender for Cloud 默认工作区:
服务器位置 | 工作区位置 |
---|---|
中国 | 在匹配的位置创建工作区。 |
自定义工作区
可以将服务器信息存储在默认工作区中,或者可以使用自定义工作区。 自定义工作区必须满足以下要求:
- 必须在自定义工作区中启用 Defender for Servers 计划。
- 自定义工作区必须与启用了 Defender for Cloud 的 Azure 订阅相关联。
- 必须至少对该工作区拥有读取权限。
- 如果在工作区中安装了“安全与审核”解决方案,Defender for Cloud 将使用现有解决方案。
后续步骤
- 完成这些规划步骤后,请查看 Defender for Server 访问角色。
- 查看有关 Defender for Servers 中工作区的常见问题。