Jak Defender for Cloud shromažďuje data?
Defender for Cloud shromažďuje data z virtuálních počítačů Azure, škálovacích sad virtuálních počítačů, kontejnerů IaaS a počítačů mimo Azure (včetně místních) za účelem monitorování ohrožení zabezpečení a hrozeb. Některé plány Defenderu vyžadují, aby komponenty monitorování shromáždily data z vašich úloh.
Shromažďování dat je potřeba k zajištění přehledu o chybějících aktualizacích, chybně nakonfigurovaných nastavení zabezpečení operačního systému, stavu ochrany koncových bodů a ochrany před hrozbami. Shromažďování dat je potřeba jenom pro výpočetní prostředky, jako jsou virtuální počítače, škálovací sady virtuálních počítačů, kontejnery IaaS a počítače mimo Azure.
Microsoft Defender for Cloud můžete využít i v případě, že zřídíte agenty. Budete ale mít omezené zabezpečení a uvedené funkce se nepodporují.
Data se shromažďují pomocí:
- Agent Azure Monitoru (AMA)
- Microsoft Defender for Endpoint (MDE)
- Agent Log Analytics
- Komponenty zabezpečení, jako je Azure Policy pro Kubernetes
Proč k nasazení monitorovacích komponent použít Defender for Cloud?
Přehled o zabezpečení úloh závisí na datech, která shromáždí komponenty monitorování. Komponenty zajišťují pokrytí zabezpečení pro všechny podporované prostředky.
Pokud chcete ušetřit proces ruční instalace rozšíření, Defender for Cloud snižuje režii správy instalací všech požadovaných rozšíření na existující a nové počítače. Defender for Cloud přiřadí příslušné zásady nasazení, pokud neexistují zásady pro úlohy v předplatném. Tento typ zásady zajišťuje, že se rozšíření zřídí pro všechny existující a budoucí prostředky tohoto typu.
Tip
Další informace o efektech Azure Policy, včetně nasazení, pokud neexistuje, najdete v tématu Vysvětlení efektů Azure Policy.
Jaké plány používají komponenty monitorování?
Tyto plány ke shromažďování dat používají monitorovací komponenty:
- Defender for Servers
- Agent Azure Arc (pro multicloudové a místní servery)
- Microsoft Defender for Endpoint
- Posouzení ohrožení zabezpečení
- Agent Azure Monitoru nebo agent Log Analytics
- Defender pro servery SQL na počítačích
- Agent Azure Arc (pro multicloudové a místní servery)
- Agent Azure Monitoru nebo agent Log Analytics
- Automatické zjišťování a registrace SQL Serveru
- Defender for Containers
- Agent Azure Arc (pro multicloudové a místní servery)
- Senzor defenderu, Azure Policy pro Kubernetes, data protokolu auditu Kubernetes
Dostupnost rozšíření
Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Agent Azure Monitoru (AMA)
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Obecně dostupné (GA) |
| Relevantní plán defenderu: | Defender pro SQL Servery na počítačích |
| Požadované role a oprávnění (úroveň předplatného): | Vlastník |
| Podporované cíle: |  Virtuální počítače Azure Počítače s podporou Služby Azure Arc |
| Na základě zásad: | Ano |
| Mraky: | Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Přečtěte si další informace o používání agenta Azure Monitoru s defenderem pro cloud.
Agent Log Analytics
| Aspekt | Virtuální počítače Azure | Počítače s podporou Služby Azure Arc |
|---|---|---|
| Stav vydání: | Obecně dostupné (GA) | Obecně dostupné (GA) |
| Relevantní plán defenderu: | Základní správa stavu zabezpečení cloudu (CSPM) pro doporučení k zabezpečení na základě agentů Microsoft Defender pro servery Microsoft Defender pro SQL |
Základní správa stavu zabezpečení cloudu (CSPM) pro doporučení k zabezpečení na základě agentů Microsoft Defender pro servery Microsoft Defender pro SQL |
| Požadované role a oprávnění (úroveň předplatného): | Vlastník | Vlastník |
| Podporované cíle: | Virtuální počítače Azure |
Počítače s podporou Služby Azure Arc |
| Na základě zásad: | Ne |
Ano |
| Mraky: | Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Podporované operační systémy pro agenta Log Analytics
Defender pro cloud závisí na agentu Log Analytics. Ujistěte se, že vaše počítače používají jeden z podporovaných operačních systémů pro tohoto agenta, jak je popsáno na následujících stránkách:
- Agent Log Analytics pro operační systémy Podporované windows
- Agent Log Analytics pro linuxové podporované operační systémy
Ujistěte se také, že je váš agent Log Analytics správně nakonfigurovaný tak, aby odesílal data do Defenderu pro cloud.
Nasazení agenta Log Analytics v případech před existující instalace agenta
Následující případy použití vysvětlují, jak funguje nasazení agenta Log Analytics v případech, kdy už je agent nebo rozšíření nainstalované.
Agent Log Analytics se instaluje na počítač, ale ne jako rozšíření (přímý agent) – Pokud je agent Log Analytics nainstalovaný přímo na virtuálním počítači (ne jako rozšíření Azure), Defender pro Cloud nainstaluje rozšíření agenta Log Analytics a může agenta Log Analytics upgradovat na nejnovější verzi. Nainstalovaný agent bude dál hlásit své již nakonfigurované pracovní prostory a do pracovního prostoru nakonfigurovaného v programu Defender for Cloud. (Na počítačích s Windows se podporuje vícenásobné navádění.)
Pokud je služba Log Analytics nakonfigurovaná s uživatelským pracovním prostorem a ne s výchozím pracovním prostorem Defenderu pro cloud, budete muset do něj nainstalovat řešení Security nebo SecurityCenterFree pro Defender for Cloud, abyste mohli začít zpracovávat události z virtuálních počítačů a počítačů, které se do daného pracovního prostoru hlásí.
U počítačů s Linuxem se zatím nepodporuje vícenásobné navádání agenta. Pokud se zjistí existující instalace agenta, agent Log Analytics se nenasadí.
U existujících počítačů na předplatných nasazených v programu Defender for Cloud před 17. březnem 2019 se při zjištění existujícího agenta nenainstaluje rozšíření agenta Log Analytics a počítač nebude ovlivněn. V případě těchto počítačů se podívejte na doporučení Vyřešit problémy se stavem agenta monitorování na počítačích a vyřešte problémy s instalací agenta na těchto počítačích.
Agent System Center Operations Manageru se nainstaluje na počítač – Defender for Cloud nainstaluje rozšíření agenta Log Analytics vedle existujícího Operations Manageru. Stávající agent Operations Manageru bude dál hlásit server Operations Manageru normálně. Agent Operations Manageru a agent Log Analytics sdílejí společné knihovny za běhu, které se během tohoto procesu aktualizují na nejnovější verzi.
K dispozici je existující rozšíření virtuálního počítače:
- Když je agent monitorování nainstalovaný jako rozšíření, konfigurace rozšíření umožňuje vytváření sestav pouze do jednoho pracovního prostoru. Defender for Cloud nepřepíše stávající připojení k uživatelským pracovním prostorům. Defender for Cloud bude ukládat data zabezpečení z virtuálního počítače v již připojeném pracovním prostoru, pokud je na něm nainstalované řešení Security nebo SecurityCenterFree. Defender for Cloud může v tomto procesu upgradovat verzi rozšíření na nejnovější verzi.
- Pokud chcete zjistit, do kterého pracovního prostoru existující rozšíření odesílá data, spusťte nástroj TestCloudConnection.exe a ověřte připojení ke službě Microsoft Defender for Cloud, jak je popsáno v části Ověření připojení agenta Log Analytics. Případně můžete otevřít pracovní prostory služby Log Analytics, vybrat pracovní prostor, vybrat virtuální počítač a podívat se na připojení agenta Log Analytics.
- Pokud máte prostředí, ve kterém je agent Log Analytics nainstalovaný na klientských pracovních stanicích a generování sestav do existujícího pracovního prostoru služby Log Analytics, zkontrolujte seznam operačních systémů podporovaných microsoft defenderem pro cloud a ujistěte se, že je váš operační systém podporovaný.
Přečtěte si další informace o práci s agentem Log Analytics.
Microsoft Defender for Endpoint
| Aspekt | Linux | Windows |
|---|---|---|
| Stav vydání: | Obecně dostupné (GA) | Obecně dostupné (GA) |
| Relevantní plán defenderu: | Microsoft Defender pro servery | Microsoft Defender pro servery |
| Požadované role a oprávnění (úroveň předplatného): | - Povolení nebo zakázání integrace: Správce zabezpečení nebo vlastník – Zobrazení výstrah Defenderu pro koncový bod v programu Defender for Cloud: Čtenář zabezpečení, Čtenář, Přispěvatel skupiny prostředků, Vlastník skupiny prostředků, Správce zabezpečení, Vlastník předplatného nebo Přispěvatel předplatného |
- Povolení nebo zakázání integrace: Správce zabezpečení nebo vlastník – Zobrazení výstrah Defenderu pro koncový bod v programu Defender for Cloud: Čtenář zabezpečení, Čtenář, Přispěvatel skupiny prostředků, Vlastník skupiny prostředků, Správce zabezpečení, Vlastník předplatného nebo Přispěvatel předplatného |
| Podporované cíle: | Počítače s podporou Služby Azure Arc Virtuální počítače Azure |
Počítače s podporou Služby Azure Arc Virtuální počítače Azure se systémem Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise s více relacemi Virtuální počítače Azure s Windows 10 |
| Na základě zásad: | Ne |
Ne |
| Mraky: | Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Přečtěte si další informace o programu Microsoft Defender for Endpoint.
Posouzení ohrožení zabezpečení
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Obecně dostupné (GA) |
| Relevantní plán defenderu: | Microsoft Defender pro servery |
| Požadované role a oprávnění (úroveň předplatného): | Vlastník |
| Podporované cíle: | Virtuální počítače Azure Počítače s podporou Služby Azure Arc |
| Na základě zásad: | Ano |
| Mraky: | Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Konfigurace hosta
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Preview |
| Relevantní plán defenderu: | Nevyžaduje se žádný plán. |
| Požadované role a oprávnění (úroveň předplatného): | Vlastník |
| Podporované cíle: | Virtuální počítače Azure |
| Mraky: | Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Přečtěte si další informace o rozšíření Konfigurace hosta Azure.
Rozšíření Defender for Containers
V této tabulce jsou uvedeny podrobnosti o dostupnosti komponent požadovaných ochranou, které nabízí Microsoft Defender for Containers.
Ve výchozím nastavení jsou požadovaná rozšíření povolená, když povolíte Defender for Containers z webu Azure Portal.
| Aspekt | Clustery Azure Kubernetes Service | Clustery Kubernetes s podporou Azure Arc |
|---|---|---|
| Stav vydání: | • Senzor defenderu: GA • Azure Policy pro Kubernetes: Obecná dostupnost (GA) |
• Senzor Defenderu: Náhled • Azure Policy pro Kubernetes: Preview |
| Relevantní plán defenderu: | Microsoft Defender for Containers | Microsoft Defender for Containers |
| Požadované role a oprávnění (úroveň předplatného): | Vlastník nebo správce uživatelských přístupů | Vlastník nebo správce uživatelských přístupů |
| Podporované cíle: | Senzor AKS Defender podporuje jenom clustery AKS, které mají povolený RBAC. | Viz distribuce Kubernetes podporované pro Kubernetes s podporou arc |
| Na základě zásad: | Ano |
Ano |
| Mraky: | Senzor defenderu: Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet Azure Policy pro Kubernetes: Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Senzor defenderu: Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet Azure Policy pro Kubernetes: Komerční cloudy Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Přečtěte si další informace o rolích používaných ke zřízení rozšíření Defender for Containers.
Řešení problému
- Pokud chcete zjistit požadavky agenta monitorování na síť, podívejte se na Odstraňování potíží se síťovými požadavky na agenta monitorování.
- Pokud chcete identifikovat problémy s ručním onboardingem, přečtěte si téma Řešení potíží s onboardingem operations Management Suite.
Další kroky
Tato stránka vysvětluje, co jsou součásti monitorování a jak je povolit.
Přečtěte si další informace:
- Nastavení e-mailových oznámení pro výstrahy zabezpečení
- Ochrana úloh pomocí plánů Defenderu