適用於雲端的 Defender 如何收集資料?
適用於雲端的 Defender 會從您的 Azure 虛擬機器 (VM)、虛擬機器擴展集、IaaS 容器和非 Azure (包括內部部署機器) 機器收集資料,以監視是否有安全性弱點和威脅。 某些 Defender 方案需要監視元件,才能從您的工作負載收集資料。
為提供遺漏更新、設定錯誤的 OS 安全性設定、端點保護狀態以及健康情況與威脅防護的可見度,需要資料收集。 只有計算資源 (例如 VM、虛擬機器擴展集、IaaS 容器和非 Azure 電腦) 才需要資料收集。
即使您未佈建代理程式,仍可獲益於適用於雲端的 Microsoft Defender。 不過,您將有有限的安全性,且不支援列出的功能。
會使用下列方式收集資料:
- Azure 監視器代理程式 (AMA)
- 適用於端點的 Microsoft Defender (MDE)
- Log Analytics 代理程式
- 安全性元件,例如適用於 Kubernetes 的 Azure 原則
為何使用適用於雲端的 Defender 來部署監視元件?
工作負載安全性的可見度取決於監視元件收集的資料。 元件可確保所有支援資源的安全性涵蓋範圍。
為了節省手動安裝延伸模組的程序,適用於雲端的 Defender 透過在現有和新的電腦上安裝所有必要的延伸模組,以減少管理額外負荷。 適用於雲端的 Defender 會將適當的 Deploy if not exists 原則指派給訂用帳戶中的工作負載。 此原則類型可確保會在該類型的所有現有和未來資源上佈建延伸模組。
提示
在了解 Azure 原則效果中深入了解 Azure 原則效果,包括 Deploy if not exists。
哪些計劃會使用監視元件?
這些計劃會使用監視元件來收集資料:
- 適用於伺服器的 Defender
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- 適用於端點的 Microsoft Defender
- 弱點評估
- Azure 監視器代理程式或 Log Analytics 代理程式
- 電腦上的適用於 SQL 的 Defender 伺服器
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- Azure 監視器代理程式或 Log Analytics 代理程式
- 自動 SQL Server 探索與註冊
- 適用於容器的 Defender
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- Defender 感應器、適用於 Kubernetes 的 Azure 原則、Kubernetes 稽核記錄資料
延伸模組的可用性
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
Azure 監視器代理程式 (AMA)
層面 | 詳細資料 |
---|---|
版本狀態: | 正式推出 (GA) |
相關的 Defender 方案: | 機器上適用於 SQL 伺服器的 Defender |
必要角色和權限 (訂用帳戶層級): | 負責人 |
支援的目的地: | Azure 虛擬機器 已啟用 Azure Arc 的機器 |
原則式: | 是 |
雲端: | 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure |
深入瞭解搭配適用於雲端的 Defender 使用 Azure 監視器代理程式。
Log Analytics 代理程式
層面 | Azure 虛擬機器 | 已啟用 Azure Arc 的機器 |
---|---|---|
版本狀態: | 正式推出 (GA) | 正式推出 (GA) |
相關的 Defender 方案: | 代理程式型安全性建議的基礎雲端安全性態勢管理 (CSPM) 適用於伺服器的 Microsoft Defender 適用於 SQL 的 Microsoft Defender |
代理程式型安全性建議的基礎雲端安全性態勢管理 (CSPM) 適用於伺服器的 Microsoft Defender 適用於 SQL 的 Microsoft Defender |
必要角色和權限 (訂用帳戶層級): | 擁有者 | 負責人 |
支援的目的地: | Azure 虛擬機器 | 已啟用 Azure Arc 的機器 |
原則式: | 否 | 是 |
雲端: | 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure |
商業雲端 Azure Government、21Vianet 營運的 Microsoft Azure |
Log Analytics 代理程式支援的作業系統
適用於雲端的 Defender 取決於 Log Analytics 代理程式。 確保您的電腦正在執行此代理程式的其中一個支援作業系統,如下列頁面所述:
此外,請確定您的 Log Analytics 代理程式已正確設定,以將資料傳送至適用於雲端的 Defender。
在預先存在的代理程式安裝的情況下部署 Log Analytics 代理程式
下列使用案例說明當有已安裝的代理程式或延伸模組時,Log Analytics 代理程式的部署如何運作。
Log Analytics 代理程式已安裝在電腦上,但不是做為延伸模組 (直接代理程式) - 如果 Log Analytics 代理程式直接安裝在 VM 上 (不是做為 Azure 延伸模組),適用於雲端的 Defender 會安裝 Log Analytics 代理程式延伸模組,而且可能會將 Log Analytics 代理程式升級至最新版本。 已安裝的代理程式會繼續向其已設定的工作區報告,並向在適用於雲端的 Defender 中設定的工作區報告。 (Windows 電腦上支援多路連接。)
如果 Log Analytics 已設定使用者工作區,而不是適用於雲端的 Defender 預設工作區,您必須在其上安裝 "Security" 或 "SecurityCenterFree" 解決方案,適用於雲端的 Defender 才能開始處理來自向該工作區回報的 VM 和電腦的事件。
針對 Linux 電腦,尚不支援代理程式多路連接。 如果偵測到現有的代理程式安裝,將不會部署 Log Analytics 代理程式。
針對在 2019 年 3 月 17 日之前上線至適用於雲端的 Defender 的現有電腦,偵測到現有的代理程式時,將不會安裝 Log Analytics 代理程式延伸模組,且電腦不會受到影響。 針對這些電腦,請參閱「解決電腦上的監視代理程式健全狀況問題」建議,以解決這些電腦上的代理程式安裝問題。
System Center Operations Manager 代理程式已安裝在電腦上 - 適用於雲端的 Defender 會將 Log Analytics 代理程式延伸模組並存安裝到現有的 Operations Manager。 現有的 Operations Manager 代理程式會繼續正常向 Operations Manager 伺服器報告。 Operations Manager 代理程式和 Log Analytics 代理程式會共用通用的執行階段程式庫,其會在此程序期間更新為最新版本。
預先存在的 VM 延伸模組已存在:
- 將監視代理程式安裝為延伸模組時,延伸模組設定只會允許向單一工作區報告。 適用於雲端的 Defender 不會覆寫現有的連線至使用者工作區。 適用於雲端的 Defender 會將 VM 中的安全性資料儲存在已連線的工作區中,前提是其上已安裝 "security" 或 "SecurityCenterFree" 解決方案。 適用於雲端的 Defender 可在此流程中,將延伸模組版本升級至最新版本。
- 若要查看現有延伸模組將資料傳送到哪個工作區,請執行 TestCloudConnection.exe 工具來驗證與「適用於雲端的 Microsoft Defender」的連線,如驗證 Log Analytics 代理程式連線中所述。 或者,您可以開啟 Log Analytics 工作區,選取工作區,選取 VM,然後查看 Log Analytics 代理程式連線。
- 如果您環境中的用戶端工作站上已安裝 Log Analytics 代理程式,並會向現有的 Log Analytics 工作區報告,請檢閱適用於雲端的 Microsoft Defender 支援的作業系統清單,確保您的作業系統受支援。
適用於端點的 Microsoft Defender
層面 | Linux | Windows |
---|---|---|
版本狀態: | 正式推出 (GA) | 正式推出 (GA) |
相關的 Defender 方案: | 適用於伺服器的 Microsoft Defender | 適用於伺服器的 Microsoft Defender |
必要角色和權限 (訂用帳戶層級): | - 若要啟用/停用整合:安全性系統管理員或擁有者 - 若要在適用於雲端的 Defender中檢視適用於端點的 Defender 警示:安全性讀取者、讀取者、資源群組參與者、資源群組擁有者、安全性管理員、訂用帳戶擁有者或訂用帳戶參與者 |
- 若要啟用/停用整合:安全性系統管理員或擁有者 - 若要在適用於雲端的 Defender中檢視適用於端點的 Defender 警示:安全性讀取者、讀取者、資源群組參與者、資源群組擁有者、安全性管理員、訂用帳戶擁有者或訂用帳戶參與者 |
支援的目的地: | 已啟用 Azure Arc 的機器 Azure 虛擬機器 |
已啟用 Azure Arc 的機器 執行 Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1 的 Azure VM、Azure 虛擬桌面、Windows 10 企業版多重工作階段 執行 Windows 10 的 Azure VM |
原則式: | 否 | 否 |
雲端: | 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure |
商業雲端 Azure Government、21Vianet 營運的 Microsoft Azure |
深入了解適用於端點的 Microsoft Defender。
弱點評估
層面 | 詳細資料 |
---|---|
版本狀態: | 正式推出 (GA) |
相關的 Defender 方案: | 適用於伺服器的 Microsoft Defender |
必要角色和權限 (訂用帳戶層級): | 負責人 |
支援的目的地: | Azure 虛擬機器 已啟用 Azure Arc 的機器 |
原則式: | 是 |
雲端: | 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure |
來賓設定
層面 | 詳細資料 |
---|---|
版本狀態: | 預覽 |
相關的 Defender 方案: | 不需要方案 |
必要角色和權限 (訂用帳戶層級): | 負責人 |
支援的目的地: | Azure 虛擬機器 |
雲端: | 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure |
深入了解 Azure 的客體設定延伸模組。
適用於容器的 Defender 延伸模組
下表顯示適用於容器的 Microsoft Defender 提供保護所需元件的可用性詳細資料。
根據預設,當您從 Azure 入口網站啟用適用於容器的 Defender 時,會啟用所需的延伸模組。
層面 | Azure Kubernetes Service 叢集 | 已啟用 Azure Arc 的 Kubernetes 叢集 |
---|---|---|
版本狀態: | • Defender 感應器:GA • 適用於 Kubernetes 的 Azure 原則:正式發行 (GA) |
• Defender 感應器:預覽 • 適用於 Kubernetes 的 Azure 原則:預覽 |
相關的 Defender 方案: | 適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender |
必要角色和權限 (訂用帳戶層級): | 擁有者或使用者存取管理員 | 擁有者或使用者存取管理員 |
支援的目的地: | AKS Defender 感應器僅支援已啟用 RBAC 的 AKS 叢集。 | 請參閱已啟用 Arc 的 Kubernetes 支援的 Kubernetes 發行版本 |
原則式: | 是 | 是 |
雲端: | Defender 感應器: 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure 適用於 Kubernetes 的 Azure 原則: 商業雲端 Azure Government、由 21Vianet 營運的 Microsoft Azure |
Defender 感應器: 商業雲 Azure Government、21Vianet 營運的 Microsoft Azure 適用於 Kubernetes 的 Azure 原則: 商業雲端 Azure Government、21Vianet 營運的 Microsoft Azure |
深入了解用來佈建適用於容器的 Defender 延伸模組的角色。
疑難排解
- 若要識別監視代理程式網路需求,請參閱針對監視代理程式網路需求進行疑難排解。
- 若要識別手動上架問題,請參閱如何針對 Operations Management Suite 上架問題進行疑難排解。
下一步
此頁面說明什麼是監視元件,以及如何啟用這些元件。
深入了解:
- 為安全性警示設定電子郵件通知
- 使用 Defender 方案保護工作負載