Umsetzen von Empfehlungen zur Gastkonfiguration
Hinweis
Da der Log Analytics-Agent (auch als MMA bezeichnet) im November 2024 außer Betrieb genommen wird, werden alle derzeit davon abhängigen Funktionen von Defender for Servers, einschließlich der auf dieser Seite beschriebenen Funktionen, vor dem Datum der Außerbetriebnahme entweder über die Microsoft Defender for Endpoint-Integration oder über die agentlose Überprüfung verfügbar sein. Weitere Informationen zur Roadmap für die einzelnen Features, die derzeit auf dem Log Analytics-Agent basieren, finden Sie in dieser Ankündigung.
Defender for Cloud bewertet Fehlkonfigurationen in Bezug auf Baselines für virtuelle Computer (VMs), die mit Ihrem Abonnement verbunden sind. Dabei werden Ihre VMs anhand vordefinierter Sicherheitsbaselines bewertet, und es werden eventuelle Abweichungen oder Fehlkonfigurationen ermittelt, die potenzielle Risiken darstellen könnten. Indem Sie dafür sorgen, dass Ihre VMs den Best Practices in Bezug auf Sicherheit und den Organisationsrichtlinien entsprechen, können Sie eine robuste und sichere Computingumgebung aufrechterhalten.
Computerinformationen werden über die Azure Policy-Gastkonfiguration gesammelt, und die Bewertung basiert auf Microsoft-Benchmarks, die verschiedene Compliance-Benchmarks und -Vorschriften abdecken, beispielsweise CIS, STIG und mehr. Die Azure Policy-Gastkonfiguration aktiviert die folgenden Richtlinien für Ihr Abonnement:
Hinweis
Wenn Sie diese Richtlinien entfernen, können Sie nicht auf die Vorteile der Azure Policy-Gastkonfigurationserweiterung zugreifen.
Voraussetzungen
Aktivieren Sie Defender for Servers Plan 2 in Ihrem Abonnement.
Lesen Sie die Defender for Cloud-Preisseite, um Informationen zu den Preisinformationen zu Plan 2 von Defender for Servers zu erhalten.
Wichtig
Beachten Sie, dass zusätzliche, von der Azure Policy-Gastkonfiguration bereitgestellte Funktionen außerhalb des Defender for Cloud-Portals nicht in Defender for Cloud enthalten sind und den Preisrichtlinien für Azure Policy-Gastkonfigurationen unterliegen. Beispielsweise Wartungsrichtlinien und benutzerdefinierten Richtlinien. Weitere Informationen finden Sie auf der Seite Azure Policy-Gastkonfiguration – Preise.
Überprüfen Sie die Unterstützungsmatrix für die Azure Policy-Gastkonfiguration.
Installieren Sie die Azure Policy-Gastkonfiguration auf Ihren Computern:
Azure-Computer: Suchen Sie im Defender for Cloud-Portal auf der Seite „Empfehlungen“ nach Gastkonfigurationserweiterung muss auf Computern installiert sein und Empfehlung korrigieren, und wählen Sie diese Optionen aus.
Nur Azure-VMs: Sie müssen verwaltete Identitäten im Defender for Cloud-Portal zuweisen. Navigieren Sie zur Seite mit den Empfehlungen. Suchen Sie nach VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden, und wählen Sie dies aus. Setzen Sie die Empfehlung um.
(Optional) Nur Azure VMs: Aktivieren Sie die Azure Policy-Gastkonfiguration für Ihr gesamtes Abonnement.
Aktivieren Sie die Azure Policy-Gastkonfigurationserweiterung auf Ihren Azure-Computern in Ihrem gesamten Abonnement:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Navigieren Sie zu Umgebungseinstellungen>Ihr Abonnement>Einstellungen und Überwachung.
Schalten Sie den Gastkonfigurations-Agent (Preview) auf Ein um.
Wählen Sie Weiter.
GKP und AWS: Die Azure Policy-Gastkonfiguration wird automatisch installiert, wenn Sie mit Ihrem GKP-Projekt oder Ihren AWS-Konten mit aktivierter automatischer Azure Arc-Bereitstellung eine Verbindung mit Defender for Cloud herstellen.
Lokale Computer: Die Azure Policy-Gastkonfiguration ist standardmäßig aktiviert, wenn Sie lokale Computer als Azure Arc-fähige Computer oder VMs integrieren.
Überprüfen und Umsetzen von Empfehlungen zur Gastkonfiguration
Wenn die Azure Policy-Gastkonfiguration in Ihr Abonnement integriert ist, beginnt Defender for Cloud mit der Bewertung Ihrer VMs anhand der Sicherheitsbaselines. Je nach Umgebung können bei Feststellung von Fehlkonfigurationen die folgenden Empfehlungen auf der Seite mit Empfehlungen angezeigt werden:
- Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Windows-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)
- Sicherheitsrisiken in der Sicherheitskonfiguration auf Ihren Linux-Computern sollten beseitigt werden (unterstützt von der Gastkonfiguration)
So überprüfen und korrigieren Sie dies:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Defender for Cloud> Empfehlungen**.
Suchen Sie nach einer der Empfehlungen, und wählen Sie sie aus.
Überprüfen Sie die Empfehlung.
Hinweis
Während des Prozesses zur Ablösung des Log Analytics-Agents, auch als Microsoft Monitoring Agent (MMA) bezeichnet, kann es sein, dass sie doppelte Empfehlungen für denselben Computer erhalten. Dies liegt daran, dass der MMA und die Azure Policy-Gastkonfiguration beide denselben Computer bewerten. Um dies zu vermeiden, können Sie den MMA auf dem Computer deaktivieren.
Abfragen von Empfehlungen mit API
Defender for Cloud verwendet Azure Resource Graph für API- und Portalabfragen, um Empfehlungsinformationen zu erhalten. Sie können diese Ressourcen verwenden, um eigene Abfragen zum Abrufen von Informationen zu erstellen.
Informationen zum Überprüfen von Empfehlungen in Azure Resource Graph erhalten Sie hier.
Hier zwei Beispielabfragen, die Sie verwenden können:
Abfragen aller fehlerhaften Regeln für eine bestimmte Ressource
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'Alle fehlerhaften Regeln und die fehlerhaften Computer der Regeln
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Wenn Sie erfahren möchten, wie Sie ausführlichere Abfragen erstellen, finden Sie Informationen unter Azure Resource Graph-Abfragesprache.
Hinweis
Während des Prozesses zur Ablösung des Log Analytics-Agents, auch als Microsoft Monitoring Agent (MMA) bezeichnet, kann es sein, dass sie doppelte Empfehlungen für denselben Computer erhalten. Dies liegt daran, dass der MMA und die Azure Policy-Gastkonfiguration beide denselben Computer bewerten. Um dies zu vermeiden, können Sie den MMA auf dem Computer deaktivieren.