Automatyzowanie dołączania Microsoft Defender dla Chmury przy użyciu programu PowerShell
Obciążenia platformy Azure można zabezpieczyć programowo przy użyciu modułu Microsoft Defender dla Chmury PowerShell. Korzystanie z programu PowerShell umożliwia automatyzowanie zadań i unikanie błędu ludzkiego związanego z zadaniami ręcznymi. Jest to szczególnie przydatne w przypadku wdrożeń na dużą skalę, które obejmują dziesiątki subskrypcji z setkami i tysiącami zasobów, z których wszystkie muszą być zabezpieczone od początku.
Dołączanie Microsoft Defender dla Chmury przy użyciu programu PowerShell umożliwia programowe automatyzowanie dołączania i zarządzania zasobami platformy Azure oraz dodawanie niezbędnych mechanizmów kontroli zabezpieczeń.
Ten artykuł zawiera przykładowy skrypt programu PowerShell, który można modyfikować i używać w środowisku do wdrażania Defender dla Chmury w ramach subskrypcji.
W tym przykładzie włączymy Defender dla Chmury w subskrypcji o identyfikatorze: <Subscription ID>
i zastosujemy zalecane ustawienia zapewniające wysoki poziom ochrony, włączając ulepszone funkcje zabezpieczeń Microsoft Defender dla Chmury, które zapewniają zaawansowaną ochronę przed zagrożeniami i możliwości wykrywania:
Włącz zwiększone zabezpieczenia w Microsoft Defender dla Chmury.
Ustaw obszar roboczy usługi Log Analytics, do którego agent usługi Log Analytics wyśle zebrane dane na maszynach wirtualnych skojarzonych z subskrypcją — w tym przykładzie istniejący obszar roboczy zdefiniowany przez użytkownika (myWorkspace).
Aktywuj automatyczną aprowizację agenta Defender dla Chmury, która wdraża agenta usługi Log Analytics.
Ustaw ciSO organizacji jako kontakt zabezpieczeń dla alertów Defender dla Chmury i zdarzeń godnych uwagi.
Przypisz domyślne zasady zabezpieczeń Defender dla Chmury.
Wymagania wstępne
Te kroki należy wykonać przed uruchomieniem poleceń cmdlet Defender dla Chmury:
Uruchom program PowerShell jako administrator.
Uruchom następujące polecenia w programie PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Install-Module -Name Az.Security -Force
Dołączanie Defender dla Chmury przy użyciu programu PowerShell
Zarejestruj swoje subskrypcje u dostawcy zasobów Defender dla Chmury:
Set-AzContext -Subscription "<Subscription ID>"
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Opcjonalnie: ustaw poziom pokrycia (ulepszone funkcje zabezpieczeń Microsoft Defender dla Chmury włączone/wyłączone) subskrypcji. Jeśli niezdefiniowane, te funkcje są wyłączone:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
Skonfiguruj obszar roboczy usługi Log Analytics, do którego agenci będą raportować. Musisz mieć już utworzony obszar roboczy usługi Log Analytics, do którego będą raportować maszyny wirtualne subskrypcji. Możesz zdefiniować wiele subskrypcji do raportowania do tego samego obszaru roboczego. Jeśli nie zostanie zdefiniowana, zostanie użyty domyślny obszar roboczy.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
Automatyczna aprowizacja instalacji agenta usługi Log Analytics na maszynach wirtualnych platformy Azure:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
Uwaga
Zalecamy włączenie automatycznej aprowizacji, aby upewnić się, że maszyny wirtualne platformy Azure są automatycznie chronione przez Microsoft Defender dla Chmury.
W ramach zaktualizowanej strategii Defender dla Chmury agent usługi Azure Monitor (AMA) nie będzie już wymagany dla oferty usługi Defender for Servers. Jednak nadal będzie on wymagany dla usługi Defender dla programu SQL Server na maszynach. W związku z tym wdrożenie agenta usługi Azure Monitor (AMA) przy użyciu portalu Defender dla Chmury jest dostępne dla serwerów SQL na maszynach z nowymi zasadami wdrażania. Dowiedz się więcej o tym, jak przeprowadzić migrację do procesu automatycznego aprowizowania agenta monitorowania platformy Azure (AMA) przeznaczonego dla programu SQL Server.Opcjonalnie: Zdecydowanie zaleca się zdefiniowanie szczegółów kontaktu zabezpieczeń dla dołączonych subskrypcji, które będą używane jako adresaci alertów i powiadomień generowanych przez Defender dla Chmury:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
Przypisz domyślną inicjatywę zasad Defender dla Chmury:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
Pomyślnie dołączono Microsoft Defender dla Chmury przy użyciu programu PowerShell.
Teraz możesz użyć tych poleceń cmdlet programu PowerShell ze skryptami automatyzacji, aby programowo iterować między subskrypcjami i zasobami. Pozwala to zaoszczędzić czas i zmniejszyć prawdopodobieństwo błędu ludzkiego. Ten przykładowy skrypt można użyć jako odwołania.
Zobacz też
Aby dowiedzieć się więcej na temat sposobu używania programu PowerShell do automatyzowania dołączania do Defender dla Chmury, zobacz następujący artykuł:
Aby dowiedzieć się więcej na temat Defender dla Chmury, zobacz następujące artykuły:
- Ustawianie zasad zabezpieczeń w Microsoft Defender dla Chmury. Dowiedz się, jak skonfigurować zasady zabezpieczeń dla subskrypcji i grup zasobów platformy Azure.
- Zarządzanie alertami zabezpieczeń i reagowanie na nie w Microsoft Defender dla Chmury. Informacje na temat sposobu zarządzania alertami zabezpieczeń i reagowania na nie.