配置自动预配

  • 17 分钟

Microsoft Defender for Cloud 从 Azure 虚拟机 (VM)、虚拟机规模集、IaaS 容器和非 Azure(包括本地)计算机收集数据,以监视安全漏洞和威胁。

必须收集数据才能深入了解缺少的更新、配置不当的 OS 安全设置、终结点保护状态,以及运行状况和威胁防护结果。 只需对计算资源(VM、虚拟机规模集、IaaS 容器和非 Azure 计算机)启用数据收集。 即使未预配代理,也能从 Defender for Cloud 受益。 但是,安全性会受到限制,并且不支持上面列出的功能。

使用以下工具收集数据:

  • Log Analytics 代理,该代理从计算机中读取各种与安全相关的配置和事件日志,然后将数据复制到工作区进行分析。 此类数据的示例包括:操作系统类型和版本、操作系统日志(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址和已登录的用户。

  • 安全扩展插件,如用于 Kubernetes 的 Azure Policy 的加载项,它还可以向安全中心提供有关专用资源类型的数据。

Screenshot of Auto provisioning settings.

为什么要使用自动预配?

此页所述的任何代理和扩展都可以手动安装。 但是,自动预配通过在现有和新计算机上安装所有必需的代理和扩展来确保所有受支持的资源能够更快地获得安全保障,从而减少管理开销。

自动预配的工作原理

Defender for Cloud 的自动预配设置针对每种类型的受支持扩展提供切换。 启用扩展的自动预配时,可以分配适当的“如果不存在则部署”策略,以确保在该类型的所有现有和未来资源上预配扩展。

启用 Log Analytics 代理的自动预配

为 Log Analytics 代理启用自动预配后,Defender for Cloud 可在所有受支持的 Azure VM 以及创建的所有新 Azure VM 上部署代理。

若要启用 Log Analytics 代理的自动预配:

  1. 在 Defender for Cloud 的菜单中,选择“环境设置”。

  2. 选择相关订阅。

  3. 在“自动预配”页中,将 Log Analytics 代理的自动预配状态设置为“打开” 。

  4. 在配置选项窗格中,定义要使用的工作区。

将 Azure VM 连接到 Defender for Cloud 创建的默认工作区 - Defender for Cloud 在同一地理位置创建新的资源组和默认工作区,并将代理连接到该工作区。 如果订阅包含多个地理位置中的 VM,Defender for Cloud 会创建多个工作区,以确保符合数据隐私要求。

工作区和资源组的命名约定是:

  • 工作区:DefaultWorkspace-[subscription-ID]-[geo]
  • 资源组:DefaultResourceGroup-[geo]

Defender for Cloud 会根据为订阅设置的定价层在工作区自动启用 Defender for Cloud 解决方案。

将 Azure VM 连接到不同的工作区 - 从下拉列表中,选择用于存储收集的数据的工作区。 下拉列表包含所有订阅中的所有工作区。 你可以使用此选项从在不同订阅中运行的虚拟机收集数据,并将其全部存储在所选工作区中。

如果已有一个 Log Analytics 工作区,可以使用该工作区(需要工作区上的读取和写入权限)。 如果在组织中使用集中式工作区,并想要使用该工作区来收集安全数据,则此选项非常有用。 从在 Azure Monitor 中管理对日志数据和工作区的访问中了解详细信息。

如果所选的工作区中已启用 Security 或 Defender for Cloud Free 解决方案,则会自动设置定价层。 如果没有,请在工作区中安装 Defender for Cloud 解决方案。

启用扩展的自动预配

若要启用除 Log Analytics 代理之外的扩展的自动预配,请执行以下操作:

  1. 在 Azure 门户 Defender for Clouds 的菜单中,选择“环境设置”。

  2. 选择相关订阅。

  3. 选择“自动预配”。

  4. 如果要为 Microsoft Dependency 代理启用自动预配,请确保 Log Analytics 代理也设置为自动部署。

  5. 将相关扩展的状态切换为“打开”。

  6. 选择“保存”。 分配 Azure Policy 并创建修正任务。

Log Analytics 代理的 Windows 安全事件选项

在 Defender for Cloud 中选择数据收集层只会影响 Log Analytics 工作区中安全事件的存储。 无论选择在工作区中存储的安全事件级别如何,Log Analytics 代理仍将收集和分析 Defender for Clouds 威胁防护所需的安全事件。 选择存储安全事件可以在工作区中调查、搜索和审核这些事件。

需要 Defender for Cloud 来存储 Windows 安全事件数据。 在 Log Analytics 中存储数据可能会产生额外的数据存储费用。

Microsoft Sentinel 用户的信息

Microsoft Sentinel 的用户:请注意,可以从 Microsoft Defender for Cloud 或 Microsoft Sentinel 配置单个工作区上下文中的安全事件收集,但不能同时从两者进行配置。 如果你计划将 Microsoft Sentinel 添加到已从 Microsoft Defender for Cloud 获得警报并设置为收集安全事件的工作区,你有两种选择:

  • 将 Defender for Cloud 中的安全事件集合保持原样。 你将能够在 Microsoft Sentinel 和 Defender for Cloud 中查询和分析这些事件。 但是,你将不能监视连接器的连接状态或在 Microsoft Sentinel 中更改其配置。 如果监视或自定义连接器对你很重要,请考虑第二个选项。

  • 在 Defender for Cloud 中禁用安全事件集合(在 Log Analytics 代理配置中将 Windows 安全事件设置为“无”)。 然后在 Microsoft Sentinel 中添加安全事件连接器。 与第一个选项一样,你将能够在 Microsoft Sentinel 和 Defender for Cloud 中查询和分析这些事件,但是,你现在能够监视连接器的连接状态或在 Microsoft Sentinel(且仅在 Microsoft Sentinel)中更改其配置。

哪些类型的事件存储为“通用”和“最小”?

这些集合专门用于典型应用场景。 请务必先评估哪个事件集适合你的需求,再进行实现。

为了确定“通用”和“最小”选项的事件,我们与客户进行协作,参照行业标准,了解了每个事件及其使用情况的未筛选频率 。 我们在此过程中使用了以下准则:

  • 最小 - 确保此集只涵盖可能指示成功违反的事件以及数量很少的重要事件。 例如,此集包含用户成功和失败的登录(事件 ID 4624 和 4625),但不包含对审核很重要但对检测毫无意义且数量相对较多的注销。 此集的大多数数据量是登录事件和进程创建事件(事件 ID 4688)。

  • 通用 - 提供此集中的完整用户审核跟踪。 例如,此集包含用户登录和用户注销事件(事件 ID 4634)。 我们加入审核操作,如安全组更改、关键域控制器 Kerberos 操作以及行业组织建议的其他事件。

数量非常少的事件包含在通用集中,因为在所有事件中选择该集的主要动机是为了减少数量,而不是筛选出特定事件。