Hoe verzamelt Defender voor Cloud gegevens?
Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's), Virtuele-machineschaalsets, IaaS-containers en niet-Azure-machines (inclusief on-premises) om te controleren op beveiligingsproblemen en bedreigingen. Sommige Defender-abonnementen vereisen bewakingsonderdelen om gegevens van uw workloads te verzamelen.
Het verzamelen van gegevens is vereist om inzicht te krijgen in ontbrekende updates, onjuist geconfigureerde beveiligingsinstellingen voor het besturingssysteem, eindpuntbeveiligingsstatus, beveiliging van de status en beveiliging tegen bedreigingen. Gegevensverzameling is alleen nodig voor rekenresources, zoals VM's, virtuele-machineschaalsets, IaaS-containers en niet-Azure-computers.
U kunt profiteren van Microsoft Defender voor Cloud, zelfs als u geen agents inricht. U hebt echter beperkte beveiliging en de vermelde mogelijkheden worden niet ondersteund.
Gegevens worden verzameld met:
- Azure Monitor-agent (AMA)
- Microsoft Defender for Endpoint (MDE)
- Log Analytics-agent
- Beveiligingsonderdelen, zoals Azure Policy voor Kubernetes
Waarom Defender voor Cloud gebruiken om bewakingsonderdelen te implementeren?
Zichtbaarheid van de beveiliging van uw workloads is afhankelijk van de gegevens die de bewakingsonderdelen verzamelen. De onderdelen zorgen voor beveiligingsdekking voor alle ondersteunde resources.
Als u het proces voor het handmatig installeren van de extensies wilt opslaan, vermindert Defender voor Cloud de beheeroverhead door alle vereiste extensies op bestaande en nieuwe machines te installeren. Defender voor Cloud wijst het juiste toe Implementeren als er geen beleid bestaat voor de workloads in het abonnement. Dit beleidstype zorgt ervoor dat de extensie wordt ingericht voor alle bestaande en toekomstige resources van dat type.
Tip
Meer informatie over Azure Policy-effecten, waaronder Implementeren indien niet aanwezig, vindt u in Inzicht in Azure Policy-effecten.
Welke plannen maken gebruik van bewakingsonderdelen?
In deze plannen worden bewakingsonderdelen gebruikt om gegevens te verzamelen:
- Defender voor Servers
- Azure Arc-agent (voor multicloud- en on-premises servers)
- Microsoft Defender voor Eindpunten
- Evaluatie van beveiligingsproblemen
- Azure Monitor-agent of Log Analytics-agent
- Defender voor SQL-servers op computers
- Azure Arc-agent (voor multicloud- en on-premises servers)
- Azure Monitor-agent of Log Analytics-agent
- Automatische detectie en registratie van SQL Server
- Defender for Containers
- Azure Arc-agent (voor multicloud- en on-premises servers)
- Defender-sensor, Azure Policy voor Kubernetes, Kubernetes-auditlogboekgegevens
Beschikbaarheid van extensies
De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Azure Monitor-agent (AMA)
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Algemeen beschikbaar |
| Relevant Defender-plan: | Defender voor SQL-servers op machines |
| Vereiste rollen en machtigingen (abonnementsniveau): | Eigenaar |
| Ondersteunde bestemmingen: |  Virtuele Azure-machines Machines met Azure Arc |
| Op beleid gebaseerd: | Ja |
| Clouds: | Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Meer informatie over het gebruik van de Azure Monitor-agent met Defender voor Cloud.
Log Analytics-agent
| Aspect | Azure-VM's | Machines met Azure Arc |
|---|---|---|
| Releasestatus: | Algemeen beschikbaar | Algemeen beschikbaar |
| Relevant Defender-plan: | Foundational Cloud Security Posture Management (CSPM) voor beveiligingsaanbeveling op basis van agents Microsoft Defender voor Servers Microsoft Defender voor SQL |
Foundational Cloud Security Posture Management (CSPM) voor beveiligingsaanbeveling op basis van agents Microsoft Defender voor Servers Microsoft Defender voor SQL |
| Vereiste rollen en machtigingen (abonnementsniveau): | Eigenaar | Eigenaar |
| Ondersteunde bestemmingen: | Virtuele Azure-machines |
Machines met Azure Arc |
| Op beleid gebaseerd: | Nee |
Ja |
| Clouds: | Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Ondersteunde besturingssystemen voor de Log Analytics-agent
Defender voor Cloud is afhankelijk van de Log Analytics-agent. Zorg ervoor dat op de computers een van de ondersteunde besturingssystemen voor deze agent wordt uitgevoerd, zoals wordt beschreven op de volgende pagina's:
- Log Analytics-agent voor door Windows ondersteunde besturingssystemen
- Log Analytics-agent voor door Linux ondersteunde besturingssystemen
Zorg er ook voor dat uw Log Analytics-agent correct is geconfigureerd voor het verzenden van gegevens naar Defender voor Cloud.
De Log Analytics-agent implementeren in gevallen van een bestaande agentinstallatie
In de volgende gebruiksvoorbeelden wordt uitgelegd hoe de implementatie van de Log Analytics-agent werkt in gevallen waarin er al een agent of extensie is geïnstalleerd.
De Log Analytics-agent wordt op de computer geïnstalleerd, maar niet als een extensie (Directe agent): als de Log Analytics-agent rechtstreeks op de VM is geïnstalleerd (niet als een Azure-extensie), installeert Defender voor Cloud de Log Analytics-agentextensie en kan de Log Analytics-agent worden bijgewerkt naar de nieuwste versie. De geïnstalleerde agent blijft rapporteren aan de reeds geconfigureerde werkruimten en aan de werkruimte die is geconfigureerd in Defender voor Cloud. (Multihoming wordt ondersteund op Windows-computers.)
Als de Log Analytics is geconfigureerd met een gebruikerswerkruimte en niet Defender voor Cloud standaardwerkruimte, moet u de oplossing 'Beveiliging' of 'SecurityCenterFree' erop installeren om te beginnen met Defender voor Cloud het verwerken van gebeurtenissen van VM's en computers die aan die werkruimte rapporteren.
Voor Linux-machines wordt Agent multihoming nog niet ondersteund. Als er een bestaande agentinstallatie wordt gedetecteerd, wordt de Log Analytics-agent niet geïmplementeerd.
Wanneer er vóór 17 maart 2019 een bestaande agent wordt gedetecteerd, wordt de Log Analytics-agentextensie niet geïnstalleerd voor bestaande machines in abonnementen Defender voor Cloud die vóór 17 maart 2019 zijn geïmplementeerd en wordt de computer niet beïnvloed. Zie voor deze machines de aanbeveling 'Resolve monitoring agent health issues on your machines' (Agentstatusproblemen op uw machines oplossen) om de agentinstallatieproblemen op deze machines op te lossen.
System Center Operations Manager-agent is geïnstalleerd op de computer. Defender voor Cloud de Log Analytics-agentextensie naast de bestaande Operations Manager installeert. De bestaande Operations Manager-agent blijft normaal aan de Operations Manager-server rapporteren. De Operations Manager-agent en Log Analytics-agent hebben gemeenschappelijke runtime-bibliotheken, die tijdens dit proces worden bijgewerkt naar de nieuwste versie.
Er is een reeds bestaande VM-extensie aanwezig:
- Wanneer de bewakingsagent is geïnstalleerd als een extensie, staat de extensieconfiguratie slechts rapportage aan één werkruimte toe. Defender voor Cloud overschrijft bestaande verbindingen met gebruikerswerkruimten niet. Defender voor Cloud slaat beveiligingsgegevens van de VIRTUELE machine op in de werkruimte die al is verbonden, als de oplossing 'Security' of 'SecurityCenterFree' erop is geïnstalleerd. Defender voor Cloud kan de extensieversie upgraden naar de nieuwste versie in dit proces.
- Als u wilt zien naar welke werkruimte de bestaande extensie gegevens verzendt, voert u het hulpprogramma TestCloudConnection.exe uit om de connectiviteit met Microsoft Defender voor Cloud te valideren, zoals wordt beschreven in Connectiviteit van Log Analytics-agent verifiëren. U kunt ook Log Analytics-werkruimten openen, een werkruimte selecteren, de VM selecteren en kijken naar de verbinding met de Log Analytics-agent.
- Als u een omgeving hebt waarin de Log Analytics-agent is geïnstalleerd op clientwerkstations en rapporteert aan een bestaande Log Analytics-werkruimte, bekijkt u de lijst met besturingssystemen die worden ondersteund door Microsoft Defender voor Cloud om ervoor te zorgen dat uw besturingssysteem wordt ondersteund.
Meer informatie over het werken met de Log Analytics-agent.
Microsoft Defender voor Eindpunten
| Aspect | Linux | Windows |
|---|---|---|
| Releasestatus: | Algemeen beschikbaar | Algemeen beschikbaar |
| Relevant Defender-plan: | Microsoft Defender voor Servers | Microsoft Defender voor Servers |
| Vereiste rollen en machtigingen (abonnementsniveau): | - De integratie in-/uitschakelen: Beveiligingsbeheerder of -eigenaar - Defender voor Eindpunt-waarschuwingen weergeven in Defender voor Cloud: Beveiligingslezer, Lezer, Resourcegroepbijdrager, Eigenaar van resourcegroep, Beveiligingsbeheerder, Abonnementseigenaar of Inzender voor abonnementen |
- De integratie in-/uitschakelen: Beveiligingsbeheerder of -eigenaar - Defender voor Eindpunt-waarschuwingen weergeven in Defender voor Cloud: Beveiligingslezer, Lezer, Resourcegroepbijdrager, Eigenaar van resourcegroep, Beveiligingsbeheerder, Abonnementseigenaar of Inzender voor abonnementen |
| Ondersteunde bestemmingen: | Machines met Azure Arc Virtuele Azure-machines |
Machines met Azure Arc Virtuele Azure-machines met Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise-multisessie Virtuele Azure-machines met Windows 10 |
| Op beleid gebaseerd: | Nee |
Nee |
| Clouds: | Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Meer informatie over Microsoft Defender voor Eindpunt.
Evaluatie van beveiligingsproblemen
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Algemeen beschikbaar |
| Relevant Defender-plan: | Microsoft Defender voor Servers |
| Vereiste rollen en machtigingen (abonnementsniveau): | Eigenaar |
| Ondersteunde bestemmingen: | Virtuele Azure-machines Machines met Azure Arc |
| Op beleid gebaseerd: | Ja |
| Clouds: | Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Gastconfiguratie
| Aspect | DETAILS |
|---|---|
| Releasestatus: | Preview uitvoeren |
| Relevant Defender-plan: | Geen plan vereist |
| Vereiste rollen en machtigingen (abonnementsniveau): | Eigenaar |
| Ondersteunde bestemmingen: | Virtuele Azure-machines |
| Clouds: | Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Meer informatie over de gastconfiguratie-extensie van Azure.
Defender for Containers-extensies
In deze tabel ziet u de beschikbaarheidsdetails voor de onderdelen die zijn vereist voor de beveiligingen die worden aangeboden door Microsoft Defender for Containers.
Standaard worden de vereiste extensies ingeschakeld wanneer u Defender for Containers inschakelt vanuit Azure Portal.
| Aspect | Azure Kubernetes Service-clusters | Kubernetes-clusters met Azure Arc |
|---|---|---|
| Releasestatus: | • Defender sensor: GA • Azure Policy voor Kubernetes: Algemeen beschikbaar (GA) |
• Defender-sensor: Preview • Azure Policy voor Kubernetes: Preview |
| Relevant Defender-plan: | Microsoft Defender voor containers | Microsoft Defender voor containers |
| Vereiste rollen en machtigingen (abonnementsniveau): | Eigenaar of beheerder van gebruikerstoegang | Eigenaar of beheerder van gebruikerstoegang |
| Ondersteunde bestemmingen: | De AKS Defender-sensor ondersteunt alleen AKS-clusters waarvoor RBAC is ingeschakeld. | Zie Kubernetes-distributies die worden ondersteund voor Kubernetes met Arc |
| Op beleid gebaseerd: | Ja |
Ja |
| Clouds: | Defender-sensor: Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet Azure Policy voor Kubernetes: Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Defender-sensor: Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet Azure Policy voor Kubernetes: Commerciële clouds Azure Government, Microsoft Azure beheerd door 21Vianet |
Meer informatie over de rollen die worden gebruikt voor het inrichten van Defender for Containers-extensies.
Probleemoplossing
- Zie Problemen oplossen met de netwerkvereisten voor de Monitoring Agent om de netwerkvereisten voor de bewakingsagent te identificeren.
- Zie Onboarding-problemen van Operations Management Suite oplossen voor het identificeren van problemen met handmatige onboarding.
Volgende stappen
Op deze pagina wordt uitgelegd wat bewakingsonderdelen zijn en hoe u deze inschakelt.
Meer informatie over:
- E-mailmeldingen instellen voor beveiligingswaarschuwingen
- Workloads beveiligen met de Defender-abonnementen