Dela via


Hur samlar Defender för molnet in data?

Defender for Cloud samlar in data från dina virtuella Azure-datorer (VM), VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure (inklusive lokala) för att övervaka säkerhetsrisker och hot. Vissa Defender-planer kräver övervakningskomponenter för att samla in data från dina arbetsbelastningar.

Datainsamling krävs för att ge insyn i saknade uppdateringar, felkonfigurerade os-säkerhetsinställningar, slutpunktsskyddsstatus samt hälso- och hotskydd. Datainsamling behövs bara för beräkningsresurser som virtuella datorer, VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure-datorer.

Du kan dra nytta av Microsoft Defender för molnet även om du inte etablerar agenter. Du har dock begränsad säkerhet och de funktioner som anges stöds inte.

Data samlas in med hjälp av:

Varför ska du använda Defender för molnet för att distribuera övervakningskomponenter?

Insyn i säkerheten för dina arbetsbelastningar beror på de data som övervakningskomponenterna samlar in. Komponenterna säkerställer säkerhetstäckning för alla resurser som stöds.

För att spara processen med att installera tilläggen manuellt minskar Defender för molnet hanteringskostnaderna genom att installera alla nödvändiga tillägg på befintliga och nya datorer. Defender for Cloud tilldelar lämplig distributionsprincip om den inte finns till arbetsbelastningarna i prenumerationen. Den här principtypen säkerställer att tillägget etableras på alla befintliga och framtida resurser av den typen.

Dricks

Läs mer om Azure Policy-effekter, inklusive Distribuera om det inte finns, i Förstå Azure Policy-effekter.

Vilka planer använder övervakningskomponenter?

Dessa planer använder övervakningskomponenter för att samla in data:

Tillgänglighet för tillägg

Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Azure Monitor-agent (AMA)

Aspekt Details
Versionstillstånd: Allmänt tillgängliga (GA)
Relevant Defender-plan: Defender för SQL-servrar på datorer
Nödvändiga roller och behörigheter (prenumerationsnivå): Ägare
Mål som stöds: Virtuella Azure-datorer
Azure Arc-aktiverade datorer
Principbaserad: Ja
Moln: Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Läs mer om hur du använder Azure Monitor-agenten med Defender för molnet.

Log Analytics handläggare

Aspekt Virtuella Azure-datorer Azure Arc-aktiverade datorer
Versionstillstånd: Allmänt tillgängliga (GA) Allmänt tillgängliga (GA)
Relevant Defender-plan: Grundläggande CSPM (Cloud Security Posture Management) för agentbaserade säkerhetsrekommendationer
Microsoft Defender för servrar
Microsoft Defender for SQL
Grundläggande CSPM (Cloud Security Posture Management) för agentbaserade säkerhetsrekommendationer
Microsoft Defender för servrar
Microsoft Defender for SQL
Nödvändiga roller och behörigheter (prenumerationsnivå): Ägare Ägare
Mål som stöds: Virtuella Azure-datorer Azure Arc-aktiverade datorer
Principbaserad: Nej Ja
Moln: Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Operativsystem som stöds för Log Analytics-agenten

Defender för molnet är beroende av Log Analytics-agenten. Se till att dina datorer kör något av de operativsystem som stöds för den här agenten enligt beskrivningen på följande sidor:

Se också till att Log Analytics-agenten är korrekt konfigurerad för att skicka data till Defender för molnet.

Distribuera Log Analytics-agenten i händelse av en befintlig agentinstallation

Följande användningsfall förklarar hur distributionen av Log Analytics-agenten fungerar i fall där det redan finns en agent eller ett tillägg installerat.

  • Log Analytics-agenten är installerad på datorn, men inte som ett tillägg (direktagent) – Om Log Analytics-agenten installeras direkt på den virtuella datorn (inte som ett Azure-tillägg) installerar Defender for Cloud Log Analytics-agenttillägget och kan uppgradera Log Analytics-agenten till den senaste versionen. Den installerade agenten fortsätter att rapportera till sina redan konfigurerade arbetsytor och till arbetsytan som konfigurerats i Defender för molnet. (Multi-homing stöds på Windows-datorer.)

    Om Log Analytics har konfigurerats med en användararbetsyta och inte defender för molnets standardarbetsyta måste du installera lösningen "Säkerhet" eller "SecurityCenterFree" på den för att Defender för molnet ska börja bearbeta händelser från virtuella datorer och datorer som rapporterar till den arbetsytan.

    För Linux-datorer stöds inte Agent multi-homing ännu. Om en befintlig agentinstallation identifieras distribueras inte Log Analytics-agenten.

    För befintliga datorer i prenumerationer som registrerats i Defender för molnet före den 17 mars 2019, när en befintlig agent identifieras, installeras inte Log Analytics-agenttillägget och datorn påverkas inte. För dessa datorer kan du läsa rekommendationen "Lösa problem med övervakningsagentens hälsotillstånd på dina datorer" för att lösa agentinstallationsproblemen på dessa datorer.

  • System Center Operations Manager-agenten är installerad på datorn – Defender för molnet installerar Log Analytics-agenttillägget sida vid sida till den befintliga Operations Manager. Den befintliga Operations Manager-agenten fortsätter att rapportera till Operations Manager-servern normalt. Operations Manager-agenten och Log Analytics-agenten delar vanliga körningsbibliotek, som uppdateras till den senaste versionen under den här processen.

  • Det finns ett befintligt VM-tillägg:

    • När övervakningsagenten installeras som ett tillägg tillåter tilläggskonfigurationen rapportering till endast en enda arbetsyta. Defender för molnet åsidosätter inte befintliga anslutningar till användararbetsytor. Defender for Cloud lagrar säkerhetsdata från den virtuella datorn på den arbetsyta som redan är ansluten, om lösningen "Security" eller "SecurityCenterFree" installerades på den. Defender for Cloud kan uppgradera tilläggsversionen till den senaste versionen i den här processen.
    • Om du vill se till vilken arbetsyta det befintliga tillägget skickar data till kör du verktyget TestCloudConnection.exe för att verifiera anslutningen till Microsoft Defender för molnet enligt beskrivningen i Verifiera Log Analytics-agentanslutning. Du kan också öppna Log Analytics-arbetsytor, välja en arbetsyta, välja den virtuella datorn och titta på Log Analytics-agentanslutningen.
    • Om du har en miljö där Log Analytics-agenten är installerad på klientarbetsstationer och rapporterar till en befintlig Log Analytics-arbetsyta läser du listan över operativsystem som stöds av Microsoft Defender för molnet för att kontrollera att operativsystemet stöds.

Läs mer om att arbeta med Log Analytics-agenten.

Microsoft Defender för slutpunkter

Aspekt Linux Windows
Versionstillstånd: Allmänt tillgängliga (GA) Allmänt tillgängliga (GA)
Relevant Defender-plan: Microsoft Defender för servrar Microsoft Defender för servrar
Nödvändiga roller och behörigheter (prenumerationsnivå): – Aktivera/inaktivera integreringen: Säkerhetsadministratör eller ägare
– Så här visar du Defender för Endpoint-aviseringar i Defender för molnet: säkerhetsläsare, läsare, resursgruppsdeltagare, resursgruppsägare, säkerhetsadministratör, prenumerationsägare eller prenumerationsdeltagare
– Aktivera/inaktivera integreringen: Säkerhetsadministratör eller ägare
– Så här visar du Defender för Endpoint-aviseringar i Defender för molnet: säkerhetsläsare, läsare, resursgruppsdeltagare, resursgruppsägare, säkerhetsadministratör, prenumerationsägare eller prenumerationsdeltagare
Mål som stöds: Azure Arc-aktiverade datorer
Virtuella Azure-datorer
Azure Arc-aktiverade datorer
Virtuella Azure-datorer som kör Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise multi-session
Virtuella Azure-datorer som kör Windows 10
Principbaserad: Nej Nej
Moln: Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Läs mer om Microsoft Defender za krajnju tačku.

Sårbarhetsbedömning

Aspekt Details
Versionstillstånd: Allmänt tillgängliga (GA)
Relevant Defender-plan: Microsoft Defender för servrar
Nödvändiga roller och behörigheter (prenumerationsnivå): Ägare
Mål som stöds: Virtuella Azure-datorer
Azure Arc-aktiverade datorer
Principbaserad: Ja
Moln: Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Gästkonfiguration

Aspekt Details
Versionstillstånd: Förhandsversion
Relevant Defender-plan: Ingen plan krävs
Nödvändiga roller och behörigheter (prenumerationsnivå): Ägare
Mål som stöds: Virtuella Azure-datorer
Moln: Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Läs mer om Azures tillägg för gästkonfiguration.

Defender for Containers-tillägg

Den här tabellen visar tillgänglighetsinformationen för de komponenter som krävs av de skydd som erbjuds av Microsoft Defender för containrar.

Som standard aktiveras de tillägg som krävs när du aktiverar Defender för containrar från Azure-portalen.

Aspekt Azure Kubernetes Service-kluster Azure Arc-aktiverade Kubernetes-kluster
Versionstillstånd: • Defender-sensor: GA
• Azure Policy for Kubernetes: Allmänt tillgänglig (GA)
• Defender-sensor: Förhandsversion
• Azure Policy for Kubernetes: Förhandsversion
Relevant Defender-plan: Microsoft Defender för containrar Microsoft Defender för containrar
Nödvändiga roller och behörigheter (prenumerationsnivå): Ägare eller administratör för användaråtkomst Ägare eller administratör för användaråtkomst
Mål som stöds: AKS Defender-sensorn stöder endast AKS-kluster som har RBAC aktiverat. Se Kubernetes-distributioner som stöds för Arc-aktiverade Kubernetes
Principbaserad: Ja Ja
Moln: Defender-sensor:
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet
Azure Policy för Kubernetes:
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet
Defender-sensor:
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet
Azure Policy för Kubernetes:
Kommersiella moln
Azure Government, Microsoft Azure drivs av 21Vianet

Läs mer om de roller som används för att etablera Defender for Containers-tillägg.

Felsökning

Nästa steg

På den här sidan beskrivs vilka övervakningskomponenter som är och hur du aktiverar dem.

Läs mer om: