Konfigurieren der automatischen Bereitstellung

  • 17 Minuten

Microsoft Defender für Cloud sammelt Daten von Ihren virtuellen Azure-Computern (Virtual Machines, VMs) sowie von VM-Skalierungsgruppen, IaaS-Containern und Azure-fremden Computern (einschließlich lokaler Computer), um sie auf Sicherheitsrisiken und Bedrohungen zu überwachen.

Die Datensammlung ist erforderlich, um einen Einblick in fehlende Updates, falsch konfigurierte Sicherheitseinstellungen des Betriebssystems, den Status des Endpunktschutzes sowie Integritäts- und Bedrohungsschutz bereitzustellen. Die Datensammlung ist nur für Computeressourcen (virtuelle Computer, VM-Skalierungsgruppen, IaaS-Container und Azure-fremde Computer) erforderlich. Sie können von Defender für Cloud profitieren, auch wenn Sie keine Agenten bereitstellen. Die Sicherheit ist jedoch eingeschränkt, und die oben genannten Funktionen werden nicht unterstützt.

Daten werden wie folgt gesammelt:

  • Mit dem Log Analytics-Agent, der verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer liest und die Daten zur Analyse in Ihren Arbeitsbereich kopiert. Beispiele für Daten dieser Art: Betriebssystemtyp und -version, Betriebssystemprotokolle (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen und angemeldeter Benutzer.

  • Mit Sicherheitserweiterungen wie dem Azure Policy-Add-On für Kubernetes, die auch Daten zu speziellen Ressourcentypen für Security Center bereitstellen können.

Screenshot of Auto provisioning settings.

Gründe für die Verwendung der automatischen Bereitstellung

Alle Agents und Erweiterungen, die auf dieser Seite beschrieben werden, können manuell installiert werden. Die automatische Bereitstellung verringert jedoch den Verwaltungsaufwand, indem alle erforderlichen Agents und Erweiterungen auf vorhandenen – und neuen – Computern installiert werden, um eine schnellere Sicherheitsabdeckung für alle unterstützten Ressourcen sicherzustellen.

Funktionsweise der automatischen Bereitstellung

In den Einstellungen für die automatische Bereitstellung von Defender für Cloud sind Umschalter für die einzelnen unterstützten Erweiterungstypen vorhanden. Wenn Sie die automatische Bereitstellung einer Erweiterung aktivieren, müssen Sie die passende DeployIfNotExists-Richtlinie zuweisen, um sicherzustellen, dass die Erweiterung auf allen bestehenden und zukünftigen Ressourcen dieses Typs bereitgestellt wird.

Aktivieren der automatischen Bereitstellung des Log Analytics-Agents

Wenn die automatische Bereitstellung für den Log Analytics-Agent aktiviert ist, stellt Defender für Cloud den Agent auf allen unterstützten und neu erstellten Azure-VMs bereit.

So aktivieren Sie die automatische Bereitstellung des Log Analytics-Agents:

  1. Wählen Sie im Menü von Defender für Cloud die Option Umgebungseinstellungen aus.

  2. Wählen Sie das relevante Abonnement aus.

  3. Legen Sie auf der Seite Automatische Bereitstellung den Status der automatischen Bereitstellung für den Log Analytics-Agent auf Ein fest.

  4. Definieren Sie im Bereich mit den Konfigurationsoptionen den zu verwendenden Arbeitsbereich.

Verbinden Sie virtuelle Azure-Computer mit den von Defender für Cloud erstellten Standardarbeitsbereichen. Defender für Cloud erstellt eine neue Ressourcengruppe und einen Standardarbeitsbereich am gleichen geografischen Standort und verbindet den Agent mit diesem Arbeitsbereich. Wenn ein Abonnement VMs an mehreren geografischen Standorten enthält, erstellt Defender für Cloud mehrere Arbeitsbereiche, um die Einhaltung der Datenschutzanforderungen sicherzustellen.

Für den Arbeitsbereich und die Ressourcengruppe gilt folgende Namenskonvention:

  • Arbeitsbereich: DefaultWorkspace-[Abonnement-ID]-[Region]
  • Ressourcengruppe: DefaultResourceGroup-[Region]

Defender für Cloud-Lösungen werden für den Arbeitsbereich automatisch gemäß dem für das Abonnement festgelegten Tarif aktiviert.

Azure-VMs mit einem anderen Arbeitsbereich verbinden: Wählen Sie in der Dropdownliste den Arbeitsbereich aus, in dem die gesammelten Daten gespeichert werden sollen. Die Dropdownliste enthält sämtliche Arbeitsbereiche für alle Ihrer Abonnements. Sie können diese Option verwenden, um Daten von VMs zu sammeln, die in anderen Abonnements ausgeführt werden, und sie im ausgewählten Arbeitsbereich zu speichern.

Wenn Sie bereits über einen vorhandenen Log Analytics-Arbeitsbereich verfügen, können Sie diesen verwenden (erfordert Lese- und Schreibberechtigungen für den Arbeitsbereich). Diese Option ist hilfreich, wenn Sie einen zentralen Arbeitsbereich in Ihrer Organisation verwenden und diesen für die Sammlung von Sicherheitsdaten verwenden möchten. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

Ist für den ausgewählten Arbeitsbereich bereits eine kostenlose Sicherheits- oder Defender für Cloud-Lösung aktiviert, werden die Preise automatisch festgelegt. Installieren Sie andernfalls eine Defender für Cloud-Lösung für den Arbeitsbereich.

Aktivieren der automatischen Bereitstellung von Erweiterungen

So aktivieren Sie die automatische Bereitstellung einer anderen Erweiterung als den Log Analytics-Agent:

  1. Wählen Sie im Azure-Portal im Menü von Defender für Cloud die Option Umgebungseinstellungen aus.

  2. Wählen Sie das relevante Abonnement aus.

  3. Wählen Sie Automatische Bereitstellung aus.

  4. Wenn Sie die automatische Bereitstellung für den Microsoft Dependency-Agent aktivieren, vergewissern Sie sich, dass der Log Analytics-Agent ebenfalls für die automatische Bereitstellung konfiguriert ist.

  5. Schalten Sie den Status für die jeweilige Erweiterung auf Ein um.

  6. Wählen Sie Speichern aus. Die Azure-Richtlinie wird zugewiesen, und ein Wartungstask wird erstellt.

Optionen für sicherheitsrelevante Windows-Ereignisse für den Log Analytics-Agent

Das Auswählen einer Datensammlungsebene in Defender für Cloud wirkt sich nur auf die Speicherung von Sicherheitsereignissen in Ihrem Log Analytics-Arbeitsbereich aus. Der Log Analytics-Agent erfasst und analysiert weiterhin die Sicherheitsereignisse, die für den Bedrohungsschutz von Defender für Cloud erforderlich sind – unabhängig von der Ebene der Sicherheitsereignisse, die in Ihrem Arbeitsbereich gespeichert werden sollen. Wenn Sie sicherheitsrelevante Ereignisse speichern, können Sie diese Ereignisse in Ihrem Arbeitsbereich untersuchen, durchsuchen und überprüfen.

Defender für Cloud ist zum Speichern Windows-Sicherheitsereignisdaten erforderlich. Für das Speichern von Daten in Log Analytics fallen möglicherweise weitere Gebühren für die Datenspeicherung an.

Informationen für Microsoft Sentinel-Benutzer

Benutzer von Microsoft Sentinel: Beachten Sie, dass die Sammlung sicherheitsrelevanter Ereignisse im Kontext eines einzelnen Arbeitsbereichs von Microsoft Defender für Cloud oder Microsoft Sentinel konfiguriert werden kann, aber nicht für beide. Wenn Sie Microsoft Sentinel zu einem Arbeitsbereich hinzufügen möchten, der bereits Benachrichtigungen von Microsoft Defender für Cloud erhält und für das Erfassen sicherheitsrelevanter Ereignisse konfiguriert ist, haben Sie zwei Möglichkeiten:

  • Lassen Sie die Sammlung von Sicherheitsereignissen in Defender für Cloud unverändert. Sie können diese Ereignisse in Microsoft Sentinel und in Defender für Cloud abfragen und analysieren. Allerdings können Sie in Microsoft Sentinel weder den Verbindungsstatus des Connectors überwachen noch dessen Konfiguration ändern. Wenn Ihnen die Überwachung oder Anpassung des Connectors wichtig ist, sollten Sie die zweite Option in Betracht ziehen.

  • Deaktivieren Sie die Sammlung von Sicherheitsereignissen in Defender für Cloud. (Legen Sie hierzu die Windows-Sicherheitsereignisse in der Konfiguration Ihres Log Analytics-Agents auf „Keine“ fest.) Fügen Sie dann den Connector für sicherheitsrelevante Ereignisse in Microsoft Sentinel hinzu. Wie bei der ersten Möglichkeit können Sie Ereignisse sowohl in Microsoft Sentinel als auch in Defender für Cloud abfragen und analysieren. Nun können Sie allerdings in Microsoft Sentinel – und nur dort – den Verbindungsstatus des Connectors überwachen und dessen Konfiguration ändern.

Welche Ereignistypen werden für die Einstellungen „Allgemein“ und „Minimal“ gespeichert?

Diese Gruppen wurden für typische Szenarien konzipiert. Überlegen Sie sich vor der Implementierung, welche Ihre Anforderungen erfüllt.

Bei der Bestimmung der Ereignisse für die Optionen Allgemein und Minimal haben wir mit Kunden zusammengearbeitet und uns über Branchenstandards informiert, um mehr über die ungefilterte Häufigkeit der einzelnen Ereignisse und deren Verwendung zu erfahren. Dabei haben wir uns an den folgenden Richtlinien orientiert:

  • Minimal: Diese Gruppe deckt nur Ereignisse, die auf eine erfolgreiche Sicherheitsverletzung hindeuten, sowie wichtige Ereignisse ab, die nur selten auftreten. Diese Gruppe deckt beispielsweise erfolgreiche und nicht erfolgreiche Benutzeranmeldungen (Ereignis-IDs 4624 und 4625), aber keine Abmeldungen ab. Diese sind zwar für die Überwachung wichtig, nicht aber für die Erkennung, und treten zudem relativ häufig auf. Der Großteil des Datenvolumens dieser Gruppe ist auf Anmeldeereignisse und auf das Prozesserstellungsereignis (Ereignis-ID 4688) zurückzuführen.

  • Allgemein: Diese Gruppe bietet einen vollständigen Benutzerüberwachungspfad. So enthält die Gruppe beispielsweise sowohl Benutzeranmeldungen als auch Benutzerabmeldungen (Ereignis-ID 4634). Wir schließen Überwachungsaktionen wie Sicherheitsgruppenänderungen, wichtige Domänencontroller-Kerberos-Vorgänge und andere Ereignisse ein, die von Branchenorganisationen empfohlen werden.

Seltene Ereignisse wurden in die Gruppe „Allgemein“ aufgenommen, da der Hauptgrund für ihre Verwendung gegenüber „Alle Ereignisse“ in der Verringerung des Aufkommens besteht und nicht darin, bestimmte Ereignisse herauszufiltern.