Edytuj

Udostępnij za pośrednictwem

Monitorowanie zabezpieczeń hybrydowych przy użyciu Microsoft Defender dla Chmury i usługi Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Ta architektura referencyjna ilustruje sposób używania Microsoft Defender dla Chmury i usługi Microsoft Sentinel do monitorowania konfiguracji zabezpieczeń i telemetrii obciążeń lokalnych, platformy Azure i usługi Azure Stack.

Architektura

Diagram przedstawiający agenta monitorowania w środowisku lokalnym, a także na platformie Azure transferowanie danych do Microsoft Defender dla Chmury i usługi Microsoft Sentinel.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

  • Microsoft Defender dla Chmury. Jest to zaawansowana, ujednolicona platforma do zarządzania zabezpieczeniami oferowana przez firmę Microsoft wszystkim subskrybentom platformy Azure. Defender dla Chmury jest segmentowany jako platforma zarządzania stanem zabezpieczeń w chmurze (CSPM) i platforma ochrony obciążeń w chmurze (CWPP). Program CWPP jest definiowany przez rozwiązania ochrony zabezpieczeń skoncentrowane na obciążeniach, które są zwykle oparte na agentach. Microsoft Defender dla Chmury zapewnia ochronę przed zagrożeniami dla obciążeń platformy Azure, zarówno lokalnych, jak i w innych chmurach, w tym maszyn wirtualnych z systemem Windows i Linux, kontenerów, baz danych i Internetu rzeczy (IoT). Po aktywowaniu agent usługi Log Analytics jest wdrażany automatycznie w usłudze Azure Virtual Machines. W przypadku lokalnych serwerów i maszyn wirtualnych z systemem Windows i Linux można ręcznie wdrożyć agenta, użyć narzędzia wdrażania organizacji, takiego jak Program Microsoft Endpoint Protection Manager, lub skorzystać ze skryptowych metod wdrażania. Defender dla Chmury rozpoczyna ocenę stanu zabezpieczeń wszystkich maszyn wirtualnych, sieci, aplikacji i danych.
  • Microsoft Sentinel. To natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na zabezpieczenia (SOAR), które korzysta z zaawansowanej sztucznej inteligencji i analizy zabezpieczeń w celu ułatwienia wykrywania, wyszukiwania, zapobiegania i reagowania na zagrożenia w całym przedsiębiorstwie.
  • Azure Stack. To portfolio produktów, które rozszerzają usługi i możliwości platformy Azure do wybranego środowiska, w tym centrum danych, lokalizacje brzegowe i biura zdalne. Implementacje usługi Azure Stack zwykle wykorzystują stojaki od czterech do szesnastu serwerów, które są tworzone przez zaufanych partnerów sprzętowych i dostarczane do centrum danych.
  • Azure Monitor. Zbiera dane telemetryczne monitorowania z różnych źródeł lokalnych i źródeł platformy Azure. Narzędzia do zarządzania, takie jak te w usługach Microsoft Defender dla Chmury i Azure Automation, również wypychają dane dziennika do usługi Azure Monitor.
  • Obszar roboczy usługi Log Analytics. Usługa Azure Monitor przechowuje dane dziennika w obszarze roboczym usługi Log Analytics, który jest kontenerem zawierającym dane i informacje o konfiguracji.
  • Agent usługi Log Analytics. Agent usługi Log Analytics zbiera dane monitorowania z systemu operacyjnego gościa i obciążeń maszyn wirtualnych na platformie Azure, od innych dostawców chmury i ze środowiska lokalnego. Agent usługi Log Analytics obsługuje konfigurację serwera proxy i zazwyczaj w tym scenariuszu brama pakietu Microsoft Operations Management Suite (OMS) działa jako serwer proxy.
  • Sieć lokalna. Jest to zapora skonfigurowana do obsługi ruchu wychodzącego HTTPS ze zdefiniowanych systemów.
  • Lokalne systemy Windows i Linux. Systemy z zainstalowanym agentem usługi Log Analytics.
  • Maszyny wirtualne platformy Azure z systemami Windows i Linux. Systemy, na których jest zainstalowany agent monitorowania Microsoft Defender dla Chmury.

Składniki

Szczegóły scenariusza

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Najlepsze rozwiązania dotyczące integrowania lokalnych zabezpieczeń i monitorowania telemetrii z obciążeniami opartymi na platformie Azure
  • Integrowanie Microsoft Defender dla Chmury z usługą Azure Stack
  • Integrowanie Microsoft Defender dla Chmury z usługą Microsoft Sentinel

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

uaktualnianie Microsoft Defender dla Chmury

Ta architektura referencyjna używa Microsoft Defender dla Chmury do monitorowania systemów lokalnych, maszyn wirtualnych platformy Azure, zasobów usługi Azure Monitor, a nawet maszyn wirtualnych hostowanych przez innych dostawców chmury. Szczegółowe informacje o cenach Microsoft Defender dla Chmury można znaleźć tutaj.

Dostosowany obszar roboczy usługi Log Analytics

Usługa Microsoft Sentinel wymaga dostępu do obszaru roboczego usługi Log Analytics. W tym scenariuszu nie można użyć domyślnego obszaru roboczego usługi Log Analytics Defender dla Chmury z usługą Microsoft Sentinel. Zamiast tego utworzysz dostosowany obszar roboczy. Przechowywanie danych dla dostosowanego obszaru roboczego jest oparte na warstwie cenowej obszaru roboczego i można znaleźć modele cen dla dzienników monitorowania tutaj.

Uwaga

Usługa Microsoft Sentinel może działać w obszarach roboczych w dowolnym regionie ogólnej dostępności usługi Log Analytics, z wyjątkiem regionów Chiny i Niemcy (Suwerenne). Dane generowane przez usługę Microsoft Sentinel, takie jak incydenty, zakładki i reguły alertów, które mogą zawierać dane klientów pochodzące z tych obszarów roboczych, są zapisywane w Europie (w przypadku obszarów roboczych opartych na Europie), w Australii (w przypadku obszarów roboczych opartych na Australii) lub w regionie Wschodnie stany USA (w przypadku obszarów roboczych znajdujących się w dowolnym innym regionie).

Kwestie wymagające rozważenia

Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nadużyciami cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Omówienie filaru zabezpieczeń.

Zasady zabezpieczeń definiują zestaw kontrolek zalecanych dla zasobów w ramach określonej subskrypcji. W Microsoft Defender dla Chmury definiujesz zasady dla subskrypcji platformy Azure zgodnie z wymaganiami dotyczącymi zabezpieczeń firmy oraz typem aplikacji lub poufności danych dla każdej subskrypcji.

Zasady zabezpieczeń włączone w Microsoft Defender dla Chmury napędzają zalecenia dotyczące zabezpieczeń i monitorowanie. Aby dowiedzieć się więcej na temat zasad zabezpieczeń, zobacz Wzmacnianie zasad zabezpieczeń przy użyciu Microsoft Defender dla Chmury. Zasady zabezpieczeń można przypisywać w Microsoft Defender dla Chmury tylko na poziomach zarządzania lub grupy subskrypcji.

Uwaga

Część jedną z szczegółów architektury referencyjnej dotyczących sposobu włączania Microsoft Defender dla Chmury monitorowania zasobów platformy Azure, systemów lokalnych i systemów usługi Azure Stack.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Jak opisano wcześniej, koszty wykraczające poza subskrypcję platformy Azure mogą obejmować:

  1. Microsoft Defender dla Chmury kosztów. Aby uzyskać więcej informacji, zapoznaj się z cennikiem Defender dla Chmury.
  2. Obszar roboczy usługi Azure Monitor oferuje stopień szczegółowości rozliczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie użyciem i kosztami za pomocą dzienników usługi Azure Monitor.
  3. Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zapoznaj się z cennikiem usługi Microsoft Sentinel.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Omówienie filaru doskonałości operacyjnej.

role Microsoft Defender dla Chmury

Defender dla Chmury ocenia konfigurację zasobów w celu identyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach oraz wyświetla informacje związane z zasobem po przypisaniu roli właściciela, współautora lub czytelnika subskrypcji lub grupy zasobów, do której należy zasób.

Oprócz tych ról istnieją dwie konkretne role Defender dla Chmury:

  • Czytelnik zabezpieczeń. Użytkownik należący do tej roli ma prawa tylko do odczytu do Defender dla Chmury. Użytkownik może obserwować zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.

  • Administrator zabezpieczeń. Użytkownik należący do tej roli ma takie same uprawnienia jak czytelnik zabezpieczeń, a także może aktualizować zasady zabezpieczeń oraz odrzucać alerty i zalecenia. Zazwyczaj są to użytkownicy, którzy zarządzają obciążeniem.

  • Role zabezpieczeń, Czytelnik zabezpieczeń i Administrator zabezpieczeń mają dostęp tylko w Defender dla Chmury. Role zabezpieczeń nie mają dostępu do innych obszarów usług platformy Azure, takich jak magazyn, sieć Web, urządzenia przenośne lub IoT.

Subskrypcja usługi Microsoft Sentinel

  • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.
  • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.
  • Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zapoznaj się z cennikiem usługi Microsoft Sentinel.

Efektywność wydajności

Wydajność to możliwość skalowania obciążenia w wydajny sposób, aby sprostać wymaganiom użytkowników. Aby uzyskać więcej informacji, zobacz Omówienie filaru wydajności.

Agent usługi Log Analytics dla systemów Windows i Linux ma bardzo minimalny wpływ na wydajność maszyn wirtualnych lub systemów fizycznych.

Microsoft Defender dla Chmury proces operacyjny nie zakłóca normalnych procedur operacyjnych. Zamiast tego pasywnie monitoruje wdrożenia i udostępnia zalecenia na podstawie włączonych zasad zabezpieczeń.

Wdrażanie tego scenariusza

Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal

  1. Zaloguj się w witrynie Azure Portal jako użytkownik z uprawnieniami administratora zabezpieczeń.
  2. W witrynie Azure Portal wybierz pozycję Wszystkie usługi. Na liście zasobów wpisz Log Analytics. Po rozpoczęciu wprowadzania listy filtruje je na podstawie danych wejściowych. Wybierz pozycję Obszary robocze usługi Log Analytics.
  3. Wybierz pozycję Dodaj na stronie Log Analytics.
  4. Podaj nazwę nowego obszaru roboczego usługi Log Analytics, na przykład Defender dla Chmury-SentinelWorkspace. Ta nazwa musi być globalnie unikatowa we wszystkich subskrypcjach usługi Azure Monitor.
  5. Wybierz subskrypcję, wybierając z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.
  6. W obszarze Grupa zasobów wybierz użycie istniejącej grupy zasobów lub utworzenie nowej.
  7. W polu Lokalizacja wybierz dostępną geolokalizację.
  8. Wybierz przycisk OK , aby ukończyć konfigurację. Nowy obszar roboczy utworzony dla architektury

Włączanie Defender dla Chmury

Mimo że nadal logujesz się do witryny Azure Portal jako użytkownik z uprawnieniami administratora zabezpieczeń, wybierz Defender dla Chmury w panelu. Defender dla Chmury — zostanie otwarte omówienie:

Zostanie otwarty blok pulpitu nawigacyjnego Przegląd Defender dla Chmury

Defender dla Chmury automatycznie włącza warstwę Bezpłatna dla wszystkich subskrypcji platformy Azure, które nie zostały wcześniej dołączone przez Ciebie lub innego użytkownika subskrypcji.

Uaktualnianie Microsoft Defender dla Chmury

  1. W menu głównym Defender dla Chmury wybierz pozycję Wprowadzenie.
  2. Wybierz przycisk Uaktualnij teraz . Defender dla Chmury zawiera listę subskrypcji i obszarów roboczych, które kwalifikują się do użycia.
  3. Możesz wybrać kwalifikujące się obszary robocze i subskrypcje i rozpocząć korzystanie z wersji próbnej. Wybierz wcześniej utworzony obszar roboczy ASC-SentinelWorkspace. Z menu rozwijanego.
  4. W menu głównym Defender dla Chmury wybierz pozycję Rozpocznij wersję próbną.
  5. Powinno zostać wyświetlone okno dialogowe Instalowanie agentów .
  6. Wybierz przycisk Zainstaluj agentów. Zostanie wyświetlony blok Defender dla Chmury — Pokrycie i należy obserwować wybraną subskrypcję. Blok Pokrycie zabezpieczeń pokazujący, że subskrypcje powinny być otwarte

Teraz włączono automatyczną aprowizację i Defender dla Chmury zainstalujesz agenta usługi Log Analytics dla systemu Windows (HealthService.exe) i agenta omsagent dla systemu Linux na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. Te zasady można wyłączyć i ręcznie zarządzać nimi, chociaż zdecydowanie zalecamy automatyczną aprowizację.

Aby dowiedzieć się więcej na temat określonych funkcji Defender dla Chmury dostępnych w systemach Windows i Linux, zobacz Pokrycie funkcji dla maszyn.

Włączanie Microsoft Defender dla Chmury monitorowania lokalnych komputerów z systemem Windows

  1. W witrynie Azure Portal w bloku Defender dla Chmury — Przegląd wybierz kartę Wprowadzenie.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics i powinna zawierać Defender dla Chmury-SentinelWorkspace.
  3. Wybierz ten obszar roboczy. Zostanie otwarty blok Agent bezpośredni z linkiem umożliwiającym pobranie agenta systemu Windows i kluczy identyfikacji obszaru roboczego (ID) do użycia podczas konfigurowania agenta.
  4. Wybierz link Pobierz agenta systemu Windows odpowiadający typowi procesora komputera, aby pobrać plik instalacji.
  5. Po prawej stronie pozycji Identyfikator obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.
  6. Po prawej stronie pozycji Klucz podstawowy wybierz pozycję Kopiuj, a następnie wklej klucz do Notatnika.

Instalowanie agenta systemu Windows

Aby zainstalować agenta na komputerach docelowych, wykonaj następujące kroki.

  1. Skopiuj plik na komputer docelowy, a następnie uruchom Instalatora.
  2. Na stronie Zapraszamy kliknij przycisk Dalej.
  3. Na stronie Postanowienia licencyjne przeczytaj treść licencji i kliknij opcję Zgadzam się.
  4. Na stronie Folder docelowy zmień lub zachowaj domyślny folder instalacyjny, a następnie kliknij przycisk Dalej.
  5. Na stronie Opcje instalacji agenta wybierz połączenie agenta z usługą Azure Log Analytics, a następnie wybierz pozycję Dalej.
  6. Na stronie Azure Log Analytics wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnika w ramach poprzedniej procedury.
  7. Jeśli komputer powinien wysyłać raporty do obszaru roboczego usługi Log Analytics w chmurze Azure dla instytucji rządowych, wybierz Wersja platformy Azure dla administracji USA z listy rozwijanej Azure Cloud. Jeśli komputer musi komunikować się za pośrednictwem serwera proxy z usługą Log Analytics, wybierz pozycję Zaawansowane, a następnie podaj adres URL i numer portu serwera proxy.
  8. Po podaniu niezbędnych ustawień konfiguracji wybierz przycisk Dalej. Strona konfiguracji agenta usługi Log Analytics na potrzeby łączenia agenta z obszarem roboczym usługi Azure Log Analytics
  9. Na stronie Gotowe do zainstalowania przejrzyj wybrane opcje, a następnie wybierz pozycję Zainstaluj.
  10. Na stronie Konfiguracja zakończona pomyślnie wybierz pozycję Zakończ.

Po zakończeniu agent usługi Log Analytics jest wyświetlany w systemie Windows Panel sterowania i możesz przejrzeć konfigurację i sprawdzić, czy agent jest połączony.

Aby uzyskać więcej informacji na temat instalowania i konfigurowania agenta, zobacz Instalowanie agenta usługi Log Analytics na komputerach z systemem Windows.

Usługa Agent usługi Log Analytics zbiera dane dotyczące zdarzeń i wydajności, wykonuje zadania i inne przepływy pracy zdefiniowane w pakiecie administracyjnym. Defender dla Chmury rozszerza platformy ochrony obciążeń w chmurze przez integrację z usługą Usługa Microsoft Defender dla serwerów. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).

Aby uzyskać więcej informacji na temat usługi Microsoft Defender dla serwerów, zobacz Dołączanie serwerów do usługi Microsoft Defender for Servers.

Włączanie Microsoft Defender dla Chmury monitorowania lokalnych komputerów z systemem Linux

  1. Wróć do karty Wprowadzenie zgodnie z wcześniejszym opisem.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics. Lista powinna zawierać utworzoną Defender dla Chmury-SentinelWorkspace.
  3. W bloku Agent bezpośredni w obszarze POBIERZ I DOŁĄCZ AGENTA DLA SYSTEMU LINUX wybierz pozycję kopiuj, aby skopiować polecenie wget.
  4. Otwórz Notatnik, a następnie wklej to polecenie. Zapisz ten plik w lokalizacji, do której można uzyskać dostęp z komputera z systemem Linux.

Uwaga

W systemach operacyjnych Unix i Linux wget to narzędzie do pobierania plików nieinterakcyjnych z internetu. Obsługuje protokoły HTTPS, FTPs i serwery proxy.

Agent systemu Linux używa struktury Demon inspekcji systemu Linux. Defender dla Chmury integruje funkcje z tej platformy w ramach agenta usługi Log Analytics, co umożliwia zbieranie, wzbogacanie i agregowanie rekordów inspekcji w zdarzenia przy użyciu agenta usługi Log Analytics dla systemu Linux. Defender dla Chmury stale dodaje nowe analizy, które używają sygnałów systemu Linux do wykrywania złośliwych zachowań na maszynach z systemem Linux w chmurze i na lokalnych maszynach z systemem Linux.

Aby uzyskać listę alertów systemu Linux, zapoznaj się z tabelą Odwołania alertów.

Instalowanie agenta systemu Linux

Aby zainstalować agenta na docelowych komputerach z systemem Linux, wykonaj następujące kroki:

  1. Na komputerze z systemem Linux otwórz wcześniej zapisany plik. Wybierz i skopiuj całą zawartość, otwórz konsolę terminalu, a następnie wklej polecenie.
  2. Po zakończeniu instalacji można sprawdzić, czy agent omsagent jest zainstalowany, uruchamiając polecenie pgrep . Polecenie zwróci identyfikator procesu omsagent (PID). Dzienniki agenta można znaleźć pod adresem: /var/opt/microsoft/omsagent/"workspace id"/log/.

Wyświetlenie nowego komputera z systemem Linux w Defender dla Chmury może potrwać do 30 minut.

Włączanie Microsoft Defender dla Chmury monitorowania maszyn wirtualnych usługi Azure Stack

Po dołączeniu subskrypcji platformy Azure możesz włączyć Defender dla Chmury, aby chronić maszyny wirtualne uruchomione w usłudze Azure Stack, dodając rozszerzenie azure Monitor, Update and Configuration Management VM z witryny Azure Stack Marketplace. Czynność:

  1. Wróć do karty Wprowadzenie zgodnie z wcześniejszym opisem.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics, która powinna zawierać utworzoną Defender dla Chmury-SentinelWorkspace.
  3. W bloku Agent bezpośredni istnieje link umożliwiający pobranie agenta i kluczy dla identyfikatora obszaru roboczego do użycia podczas konfiguracji agenta. Nie musisz ręcznie pobierać agenta. Zostanie ona zainstalowana jako rozszerzenie maszyny wirtualnej w poniższych krokach.
  4. Po prawej stronie pozycji Identyfikator obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.
  5. Po prawej stronie pozycji Klucz podstawowy wybierz pozycję Kopiuj, a następnie wklej klucz do Notatnika.

Włączanie monitorowania Defender dla Chmury maszyn wirtualnych usługi Azure Stack

Microsoft Defender dla Chmury używa Rozszerzenie maszyny wirtualnej do zarządzania aktualizacjami i konfiguracją w usłudze Azure Monitor połączone z usługą Azure Stack. Aby włączyć rozszerzenie Azure Monitor, Update and Configuration Management , wykonaj następujące kroki:

  1. Na nowej karcie przeglądarki zaloguj się do portalu usługi Azure Stack .
  2. Zapoznaj się ze stroną Maszyny wirtualne, a następnie wybierz maszynę wirtualną, którą chcesz chronić za pomocą Defender dla Chmury.
  3. Wybierz pozycję Rozszerzenia. Zostanie wyświetlona lista rozszerzeń maszyn wirtualnych zainstalowanych na tej maszynie wirtualnej.
  4. Wybierz kartę Dodaj . Zostanie otwarty blok menu Nowy zasób i zostanie wyświetlona lista dostępnych rozszerzeń maszyn wirtualnych.
  5. Wybierz rozszerzenie Azure Monitor, Update and Configuration Management, a następnie wybierz pozycję Utwórz. Zostanie otwarty blok Instalowanie konfiguracji rozszerzenia .
  6. W bloku Instalowanie konfiguracji rozszerzenia wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnika w poprzedniej procedurze.
  7. Po zakończeniu podawania niezbędnych ustawień konfiguracji wybierz przycisk OK.
  8. Po zakończeniu instalacji rozszerzenia jego stan będzie wyświetlany jako Aprowizacja powiodła się. Wyświetlenie maszyny wirtualnej w portalu Defender dla Chmury może potrwać do jednej godziny.

Aby uzyskać więcej informacji na temat instalowania i konfigurowania agenta dla systemu Windows, zobacz Instalowanie agenta przy użyciu kreatora instalacji.

Aby rozwiązać problemy z agentem systemu Linux, zobacz Jak rozwiązywać problemy z agentem usługi Log Analytics dla systemu Linux.

Teraz możesz monitorować maszyny wirtualne platformy Azure oraz komputery spoza platformy Azure w jednym miejscu. Usługa Azure Compute zawiera omówienie wszystkich maszyn wirtualnych i komputerów wraz z zaleceniami. Każda kolumna reprezentuje jeden zestaw zaleceń, a kolor reprezentuje maszyny wirtualne lub komputery oraz bieżący stan zabezpieczeń dla tego zalecenia. Defender dla Chmury również zapewnia wszelkie wykrycia dla tych komputerów w alertach zabezpieczeń. Defender dla Chmury lista systemów monitorowanych w bloku Obliczenia

Istnieją dwa typy ikon przedstawianych w bloku Obliczanie:

Purpurowa ikona komputera reprezentująca monitorowany komputer spoza platformy Azure Komputer spoza platformy Azure

Niebieska ikona terminalu reprezentująca monitorowany komputer platformy Azure Komputer platformy Azure

Uwaga

Druga część architektury referencyjnej łączy alerty z Microsoft Defender dla Chmury i przesyła je strumieniowo do usługi Microsoft Sentinel.

Rola usługi Microsoft Sentinel polega na pozyskiwaniu danych z różnych źródeł danych i wykonywaniu korelacji danych w tych źródłach danych. Usługa Microsoft Sentinel korzysta z uczenia maszynowego i sztucznej inteligencji w celu inteligentniejszego wyszukiwania zagrożeń, wykrywania alertów i reagowania na zagrożenia.

Aby dołączyć usługę Microsoft Sentinel, musisz ją włączyć, a następnie połączyć źródła danych. Usługa Microsoft Sentinel zawiera szereg łączników dla rozwiązań firmy Microsoft, które są dostępne w pudełku i zapewniają integrację w czasie rzeczywistym, w tym Microsoft Defender dla Chmury, rozwiązania Microsoft Threat Protection, źródła platformy Microsoft 365 (w tym office 365), microsoft Entra ID, Microsoft Defender dla serwerów, Microsoft Defender dla Chmury Aplikacje i inne. Ponadto istnieją wbudowane łączniki dla szerszego ekosystemu zabezpieczeń obejmującego rozwiązania firm innych niż Microsoft. Do łączenia źródeł danych z usługą Microsoft Sentinel można również użyć formatu common Event Format, dziennika systemowego lub interfejsu API usługi Representational State Transfer.

Wymagania dotyczące integracji usługi Microsoft Sentinel z usługą Microsoft Defender dla Chmury

  1. Subskrypcja platformy Microsoft Azure
  2. Obszar roboczy usługi Log Analytics, który nie jest domyślnym obszarem roboczym utworzonym podczas włączania Microsoft Defender dla Chmury.
  3. Microsoft Defender dla Chmury.

Wszystkie trzy wymagania powinny być spełnione, jeśli przepracowaliśmy poprzednią sekcję.

Globalne wymagania wstępne

  • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.
  • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.
  • Może być konieczne dodatkowe uprawnienia do łączenia określonych źródeł danych. Nie potrzebujesz dodatkowych uprawnień do nawiązywania połączenia z Defender dla Chmury.
  • Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zapoznaj się z cennikiem usługi Microsoft Sentinel.

Włączanie usługi Microsoft Sentinel

  1. Zaloguj się do witryny Azure Portal przy użyciu użytkownika, który ma prawa współautora dla Defender dla Chmury-Sentinelworkspace.
  2. Wyszukaj i wybierz pozycję Microsoft Sentinel. W witrynie Azure Portal wyszukaj termin
  3. Wybierz Dodaj.
  4. W bloku Microsoft Sentinel wybierz pozycję Defender dla Chmury-Sentinelworkspace.
  5. W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych z menu nawigacji .
  6. W galerii łączników danych wybierz pozycję Microsoft Defender dla Chmury i wybierz przycisk Otwórz łącznik. W usłudze Microsoft Sentinel wyświetlana jest otwarta strona Moduły zbierające
  7. W obszarze Konfiguracja wybierz pozycję Połącz obok tych subskrypcji, dla których alerty mają być przesyłane strumieniowo do usługi Microsoft Sentinel. Przycisk Połącz będzie dostępny tylko wtedy, gdy masz wymagane uprawnienia i subskrypcję Defender dla Chmury.
  8. Teraz stan połączenia powinien być obserwowany jako Łączenie. Po nawiązaniu połączenia przełączy się na Połączono.
  9. Po potwierdzeniu łączności możesz zamknąć Defender dla Chmury ustawienia łącznika danych i odświeżyć stronę, aby obserwować alerty w usłudze Microsoft Sentinel. Rozpoczęcie synchronizacji z usługą Microsoft Sentinel może zająć trochę czasu. Po nawiązaniu połączenia zobaczysz podsumowanie danych na wykresie Odebrane dane i stan łączności typów danych.
  10. Możesz wybrać, czy alerty z Microsoft Defender dla Chmury mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję Włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów. Następnie możesz edytować tę regułę w obszarze Analiza na karcie Aktywne reguły .
  11. Aby użyć odpowiedniego schematu w usłudze Log Analytics dla alertów Microsoft Defender dla Chmury, wyszukaj pozycję SecurityAlert.

Jedną z zalet korzystania z usługi Microsoft Sentinel jako rozwiązania SIEM jest zapewnienie korelacji danych w wielu źródłach, co pozwala na kompleksową widoczność zdarzeń związanych z zabezpieczeniami organizacji.

Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zapoznaj się z następującymi artykułami:

  • Szybki start: rozpoczynanie pracy z usługą Microsoft Sentinel
  • Samouczek: wykrywanie zagrożeń poza urządzeniem

Następne kroki

Azure Monitor

Microsoft Defender for Cloud Alert

Microsoft Sentinel

Azure Stack