Jak Defender dla Chmury zbierać dane?
Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych, kontenerów IaaS i maszyn spoza platformy Azure (w tym lokalnych) w celu monitorowania luk w zabezpieczeniach i zagrożeń. Niektóre plany usługi Defender wymagają składników monitorowania w celu zbierania danych z obciążeń.
Zbieranie danych jest wymagane, aby zapewnić wgląd w brakujące aktualizacje, nieprawidłowo skonfigurowane ustawienia zabezpieczeń systemu operacyjnego, stan ochrony punktu końcowego oraz kondycję i ochronę przed zagrożeniami. Zbieranie danych jest wymagane tylko w przypadku zasobów obliczeniowych, takich jak maszyny wirtualne, zestawy skalowania maszyn wirtualnych, kontenery IaaS i komputery spoza platformy Azure.
Możesz skorzystać z Microsoft Defender dla Chmury, nawet jeśli nie aprowizujesz agentów. Jednak będziesz mieć ograniczone zabezpieczenia, a wymienione na liście możliwości nie są obsługiwane.
Dane są zbierane przy użyciu:
- Agent usługi Azure Monitor (AMA)
- Microsoft Defender for Endpoint (MDE)
- Agent usługi Log Analytics
- Składniki zabezpieczeń, takie jak usługa Azure Policy dla platformy Kubernetes
Dlaczego warto używać Defender dla Chmury do wdrażania składników monitorowania?
Wgląd w zabezpieczenia obciążeń zależy od danych zbieranych przez składniki monitorowania. Składniki zapewniają pokrycie zabezpieczeń dla wszystkich obsługiwanych zasobów.
Aby zaoszczędzić proces ręcznego instalowania rozszerzeń, Defender dla Chmury zmniejsza obciążenie związane z zarządzaniem przez zainstalowanie wszystkich wymaganych rozszerzeń na istniejących i nowych maszynach. Defender dla Chmury przypisuje odpowiednie Wdróż, jeśli nie istnieją zasady w obciążeniach w subskrypcji. Ten typ zasad zapewnia aprowizację rozszerzenia we wszystkich istniejących i przyszłych zasobach tego typu.
Napiwek
Dowiedz się więcej o efektach usługi Azure Policy, w tym w temacie Wdrażanie, jeśli nie istnieje, zobacz Omówienie efektów usługi Azure Policy.
Jakie plany używają składników monitorowania?
Te plany używają składników monitorowania do zbierania danych:
- Defender for Servers
- Agent usługi Azure Arc (w przypadku serwerów wielochmurowych i lokalnych)
- Usługa Microsoft Defender dla punktu końcowego
- Ocena luk w zabezpieczeniach
- Agent usługi Azure Monitor lub agent usługi Log Analytics
- Usługa Defender dla serwerów SQL na maszynach
- Agent usługi Azure Arc (w przypadku serwerów wielochmurowych i lokalnych)
- Agent usługi Azure Monitor lub agent usługi Log Analytics
- Automatyczne odnajdywanie i rejestrowanie serwera SQL
- Defender for Containers
- Agent usługi Azure Arc (w przypadku serwerów wielochmurowych i lokalnych)
- Czujnik usługi Defender, usługa Azure Policy dla platformy Kubernetes, dane dziennika inspekcji kubernetes
Dostępność rozszerzeń
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Agent usługi Azure Monitor (AMA)
Aspekt | Szczegóły |
---|---|
Stan wydania: | Wersja ogólnie dostępna |
Odpowiedni plan usługi Defender: | Usługa Defender for SQL Servers na maszynach |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel |
Obsługiwane miejsca docelowe: | Maszyny wirtualne platformy Azure Maszyny z obsługą usługi Azure Arc |
Oparte na zasadach: | Tak |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Dowiedz się więcej o korzystaniu z agenta usługi Azure Monitor z Defender dla Chmury.
Agent Log Analytics
Aspekt | Maszyny wirtualne platformy Azure | Maszyny z obsługą usługi Azure Arc |
---|---|---|
Stan wydania: | Wersja ogólnie dostępna | Wersja ogólnie dostępna |
Odpowiedni plan usługi Defender: | Podstawowe zarządzanie stanem zabezpieczeń w chmurze (CSPM) dla zaleceń dotyczących zabezpieczeń opartych na agentach Usługa Microsoft Defender dla serwerów Usługa Microsoft Defender dla usługi SQL |
Podstawowe zarządzanie stanem zabezpieczeń w chmurze (CSPM) dla zaleceń dotyczących zabezpieczeń opartych na agentach Usługa Microsoft Defender dla serwerów Usługa Microsoft Defender dla usługi SQL |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel | Właściciel |
Obsługiwane miejsca docelowe: | Maszyny wirtualne platformy Azure | Maszyny z obsługą usługi Azure Arc |
Oparte na zasadach: | Nie | Tak |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Obsługiwane systemy operacyjne agenta usługi Log Analytics
Defender dla Chmury zależy od Agent usługi Log Analytics. Upewnij się, że na maszynach działa jeden z obsługiwanych systemów operacyjnych dla tego agenta zgodnie z opisem na następujących stronach:
- Agent usługi Log Analytics dla obsługiwanych systemów operacyjnych Windows
- Agent usługi Log Analytics dla obsługiwanych systemów operacyjnych Linux
Upewnij się również, że agent usługi Log Analytics jest prawidłowo skonfigurowany do wysyłania danych do Defender dla Chmury.
Wdrażanie agenta usługi Log Analytics w przypadkach wcześniejszej instalacji agenta
W poniższych przypadkach użycia wyjaśniono, jak działa wdrożenie agenta usługi Log Analytics w przypadkach, gdy jest już zainstalowany agent lub rozszerzenie.
Agent usługi Log Analytics jest zainstalowany na maszynie, ale nie jako rozszerzenie (agent bezpośredni) — jeśli agent usługi Log Analytics jest zainstalowany bezpośrednio na maszynie wirtualnej (a nie jako rozszerzenie platformy Azure), Defender dla Chmury zainstaluje rozszerzenie agenta usługi Log Analytics i może uaktualnić agenta usługi Log Analytics do najnowszej wersji. Zainstalowany agent będzie nadal raportować do już skonfigurowanych obszarów roboczych i do obszaru roboczego skonfigurowanego w Defender dla Chmury. (Obsługa wielu homingów jest obsługiwana na maszynach z systemem Windows).
Jeśli usługa Log Analytics jest skonfigurowana z obszarem roboczym użytkownika, a nie domyślnym obszarem roboczym Defender dla Chmury, musisz zainstalować na nim rozwiązanie "Zabezpieczenia" lub "SecurityCenterFree", aby Defender dla Chmury rozpocząć przetwarzanie zdarzeń z maszyn wirtualnych i komputerów raportujących do tego obszaru roboczego.
W przypadku maszyn z systemem Linux funkcja multi-homing agenta nie jest jeszcze obsługiwana. Jeśli zostanie wykryta istniejąca instalacja agenta, agent usługi Log Analytics nie zostanie wdrożony.
W przypadku istniejących maszyn w subskrypcjach dołączonych do Defender dla Chmury przed 17 marca 2019 r. po wykryciu istniejącego agenta rozszerzenie agenta usługi Log Analytics nie zostanie zainstalowane, a maszyna nie będzie miała wpływu. W przypadku tych maszyn zapoznaj się z zaleceniem "Rozwiązywanie problemów z kondycją agenta monitorowania na maszynach", aby rozwiązać problemy z instalacją agenta na tych maszynach.
Na maszynie jest zainstalowany agent programu System Center Operations Manager — Defender dla Chmury zainstaluje rozszerzenie agenta usługi Log Analytics obok istniejącego programu Operations Manager. Istniejący agent programu Operations Manager będzie nadal raportować do serwera programu Operations Manager normalnie. Agent programu Operations Manager i agent usługi Log Analytics współużytkują wspólne biblioteki czasu wykonywania, które zostaną zaktualizowane do najnowszej wersji w trakcie tego procesu.
Istniejące rozszerzenie maszyny wirtualnej jest obecne:
- Po zainstalowaniu agenta monitorowania jako rozszerzenia konfiguracja rozszerzenia umożliwia raportowanie tylko w jednym obszarze roboczym. Defender dla Chmury nie zastępuje istniejących połączeń z obszarami roboczymi użytkowników. Defender dla Chmury będą przechowywać dane zabezpieczeń z maszyny wirtualnej w obszarze roboczym już połączonym, jeśli na nim zainstalowano rozwiązanie "SecurityCenterFree" lub "SecurityCenterFree". Defender dla Chmury może uaktualnić wersję rozszerzenia do najnowszej wersji w tym procesie.
- Aby sprawdzić, do którego obszaru roboczego istniejące rozszerzenie wysyła dane, uruchom narzędzie TestCloudConnection.exe, aby zweryfikować łączność z Microsoft Defender dla Chmury, zgodnie z opisem w artykule Weryfikowanie łączności agenta usługi Log Analytics. Alternatywnie możesz otworzyć obszary robocze usługi Log Analytics, wybrać obszar roboczy, wybrać maszynę wirtualną i przyjrzeć się połączeniu agenta usługi Log Analytics.
- Jeśli masz środowisko, w którym agent usługi Log Analytics jest zainstalowany na stacjach roboczych klienta i raportuje do istniejącego obszaru roboczego usługi Log Analytics, zapoznaj się z listą systemów operacyjnych obsługiwanych przez Microsoft Defender dla Chmury, aby upewnić się, że system operacyjny jest obsługiwany.
Dowiedz się więcej o pracy z agentem usługi Log Analytics.
Usługa Microsoft Defender dla punktu końcowego
Aspekt | Linux | Windows |
---|---|---|
Stan wydania: | Wersja ogólnie dostępna | Wersja ogólnie dostępna |
Odpowiedni plan usługi Defender: | Usługa Microsoft Defender dla serwerów | Usługa Microsoft Defender dla serwerów |
Wymagane role i uprawnienia (poziom subskrypcji): | - Aby włączyć/wyłączyć integrację: Administrator zabezpieczeń lub Właściciel — Aby wyświetlić alerty usługi Defender dla punktu końcowego w Defender dla Chmury: Czytelnik zabezpieczeń, Czytelnik, Współautor grupy zasobów, Właściciel grupy zasobów, Administrator zabezpieczeń, Właściciel subskrypcji lub Współautor subskrypcji |
- Aby włączyć/wyłączyć integrację: Administrator zabezpieczeń lub Właściciel — Aby wyświetlić alerty usługi Defender dla punktu końcowego w Defender dla Chmury: Czytelnik zabezpieczeń, Czytelnik, Współautor grupy zasobów, Właściciel grupy zasobów, Administrator zabezpieczeń, Właściciel subskrypcji lub Współautor subskrypcji |
Obsługiwane miejsca docelowe: | Maszyny z obsługą usługi Azure Arc Maszyny wirtualne platformy Azure |
Maszyny z obsługą usługi Azure Arc Maszyny wirtualne platformy Azure z systemem Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise — wiele sesji Maszyny wirtualne platformy Azure z systemem Windows 10 |
Oparte na zasadach: | Nie | Nie |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Dowiedz się więcej o Ochrona punktu końcowego w usłudze Microsoft Defender.
Ocena luk w zabezpieczeniach
Aspekt | Szczegóły |
---|---|
Stan wydania: | Wersja ogólnie dostępna |
Odpowiedni plan usługi Defender: | Usługa Microsoft Defender dla serwerów |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel |
Obsługiwane miejsca docelowe: | Maszyny wirtualne platformy Azure Maszyny z obsługą usługi Azure Arc |
Oparte na zasadach: | Tak |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Konfiguracja konta gościa
Aspekt | Szczegóły |
---|---|
Stan wydania: | Podgląd |
Odpowiedni plan usługi Defender: | Brak wymaganego planu |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel |
Obsługiwane miejsca docelowe: | Maszyny wirtualne platformy Azure |
Chmury: | Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Dowiedz się więcej o rozszerzeniu konfiguracji gościa platformy Azure.
Rozszerzenia usługi Defender for Containers
W tej tabeli przedstawiono szczegóły dostępności składników wymaganych przez zabezpieczenia oferowane przez usługę Microsoft Defender for Containers.
Domyślnie wymagane rozszerzenia są włączone po włączeniu usługi Defender for Containers w witrynie Azure Portal.
Aspekt | Klastry usługi Azure Kubernetes Service | Klastry platformy Kubernetes z obsługą usługi Azure Arc |
---|---|---|
Stan wydania: | • Czujnik usługi Defender: ogólna dostępność • Usługa Azure Policy dla platformy Kubernetes: ogólnie dostępna (ogólna dostępność) |
• Czujnik usługi Defender: wersja zapoznawcza • Usługa Azure Policy dla platformy Kubernetes: wersja zapoznawcza |
Odpowiedni plan usługi Defender: | Usługa Microsoft Defender dla kontenerów | Usługa Microsoft Defender dla kontenerów |
Wymagane role i uprawnienia (poziom subskrypcji): | Właściciel lub administrator dostępu użytkowników | Właściciel lub administrator dostępu użytkowników |
Obsługiwane miejsca docelowe: | Czujnik usługi AKS Defender obsługuje tylko klastry usługi AKS z włączoną kontrolą dostępu opartą na rolach. | Zobacz Dystrybucje platformy Kubernetes obsługiwane dla platformy Kubernetes z obsługą usługi Arc |
Oparte na zasadach: | Tak | Tak |
Chmury: | Czujnik usługi Defender: Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet Usługa Azure Policy dla platformy Kubernetes: Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Czujnik usługi Defender: Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet Usługa Azure Policy dla platformy Kubernetes: Chmury komercyjne Platforma Azure Government, platforma Microsoft Azure obsługiwana przez firmę 21Vianet |
Dowiedz się więcej o rolach używanych do aprowizacji rozszerzeń usługi Defender for Containers.
Rozwiązywanie problemów
- Aby zidentyfikować wymagania sieciowe dotyczące agenta monitorowania, zobacz Rozwiązywanie problemów z wymaganiami sieciowymi dotyczącymi agenta monitorowania.
- Aby zidentyfikować problemy z ręcznym dołączaniem, zobacz How to troubleshoot Operations Management Suite onboarding issues (Jak rozwiązywać problemy z dołączaniem do pakietu Operations Management Suite).
Następne kroki
Na tej stronie wyjaśniono, jakie są składniki monitorowania i jak je włączyć.
Dowiedz się więcej na następujące tematy:
- Konfigurowanie powiadomień e-mail dotyczących alertów zabezpieczeń
- Ochrona obciążeń za pomocą planów usługi Defender