Konfigurace automatického zřizování pro agenty a rozšíření od programu Microsoft Defender pro Cloud
Poznámka
Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.
Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.
Microsoft Defender pro Cloud shromažďuje data z vašich prostředků pomocí příslušného agenta nebo rozšíření pro daný prostředek a typu kolekce dat, kterou jste povolili. Pomocí níže uvedených postupů zajistěte, aby vaše prostředky měly potřebné agenty a rozšíření používané v programu Defender pro Cloud.
Požadavky
Abyste mohli začít s Defenderem pro Cloud, musíte mít předplatné Microsoft Azure. Pokud předplatné nemáte, můžete si zaregistrovat bezplatný účet.
Dostupnost
| Aspekt | Podrobnosti |
|---|---|
| Stav vydaných verzí: | Funkce: Automatické zřizování je všeobecně dostupné (GA). Agenti a rozšíření: Agent Log Analytics pro virtuální počítače Azure je v cloudu, protože je ve verzi Preview, doplněk zásad pro KUBERNETES je GA, agent konfigurace hosta je ve verzi Preview. |
| Stanov | Free |
| Podporovaná umístění: | 
Počítače Azure
Počítače ARC Azure
Uzly Kubernetes
Virtual Machine Scale Sets |
| Cloud | Funkce:
Komerční cloudy
Azure Government, Azure Čína 21Vianet Agenti a rozšíření: Log Analytics Agent pro virtuální počítače Azure je k dispozici na všech cloudech, doplněk zásad pro Kubernetes je k dispozici ve všech cloudech. Agent konfigurace hosta je k dispozici pouze v komerčních cloudech. |
Jak program Defender pro Cloud shromažďuje data?
Defender pro Cloud shromažďuje data z vašich virtuálních počítačů Azure, virtuálních počítačů, kontejnerů IaaS a jiných než Azure (včetně místních) počítačů, které monitorují chyby zabezpečení a hrozby.
Shromažďování dat je nutné, aby poskytovala přehled o chybějících aktualizacích, nesprávně nakonfigurovaných nastavení zabezpečení operačního systému, stavu aplikace Endpoint Protection a ochraně před hrozbami. Shromažďování dat je potřeba jenom pro výpočetní prostředky, jako jsou virtuální počítače, služby Virtual Machine Scale Sets, kontejnery IaaS a počítače mimo Azure.
Microsoft Defender pro Cloud můžete využívat i v případě, že nezřizujete agenty. Máte však omezené zabezpečení a výše uvedené možnosti nejsou podporovány.
Data se shromažďují pomocí:
- Agent Log Analytics, který čte různé konfigurace a protokoly událostí související se zabezpečením z počítače a kopíruje data do vašeho pracovního prostoru pro účely analýzy. příklady takových dat: typ a verze operačního systému, protokoly operačního systému (protokoly událostí Windows), spuštěné procesy, název počítače, IP adresy a přihlášený uživatel.
- Rozšíření zabezpečení, jako je Azure Policy doplněk pro Kubernetes, která mohou také poskytovat data pro program Defender pro Cloud týkající se specializovaných typů prostředků.
Tip
Jelikož se program Defender pro Cloud zvětšil, vypěstují se i typy prostředků, které se dají monitorovat. Počet rozšíření se také zvětšil. Automatické zřizování se rozšířilo na podporu dalších typů prostředků, a to díky využití možností Azure Policy.
Proč používat Automatické zřizování?
Všechna agenty a rozšíření popsaná na této stránce lze nainstalovat ručně (viz ruční instalace agenta Log Analytics). Automatické zřizování ale snižuje režijní náklady tím, že na stávající a nové počítače nainstaluje všechny požadované agenty a rozšíření, aby se zajistilo rychlejší pokrytí zabezpečení pro všechny podporované prostředky.
Doporučujeme povolit Automatické zřizování, ale ve výchozím nastavení je zakázané.
Jak Automatické zřizování funguje?
Program Defender pro nastavení automatického zřizování cloudu má přepínač pro každý typ podporovaného rozšíření. Pokud povolíte automatické zřizování rozšíření, přiřadíte příslušné nasazení, pokud zásady neexistují . Tento typ zásad zajišťuje, aby bylo rozšíření zřízené pro všechny stávající a budoucí prostředky tohoto typu.
Tip
Přečtěte si další informace o Azure Policy efektů včetně nasazení, pokud neexistují v seznámení s Azure Policymi efekty.
Povolit automatické zřizování agenta a rozšíření Log Analytics
Pokud je pro agenta Log Analytics zapnuté Automatické zřizování, nasadí Defender pro Cloud agenta na všechny podporované virtuální počítače Azure a nově vytvořená. Seznam podporovaných platforem najdete v tématu podporované platformy v programu Microsoft Defender pro Cloud.
Povolení automatického zřizování agenta Log Analytics:
Z nabídky Defender pro cloudovou nabídku otevřete nastavení prostředí.
Vyberte příslušné předplatné.
Na stránce Automatické zřizování nastavte stav automatického zřizování pro agenta Log Analytics na zapnuto.
V podokně možnosti konfigurace Definujte pracovní prostor, který se má použít.
Připojení virtuálních počítačů Azure do výchozích pracovních prostorů vytvořených v programu Defender pro cloud-Defender pro cloud vytvoří novou skupinu prostředků a výchozí pracovní prostor ve stejném geografickém umístění a připojí agenta k tomuto pracovnímu prostoru. Pokud předplatné obsahuje virtuální počítače z několika geografických umístění, Defender pro Cloud vytváří několik pracovních prostorů, které zajistí dodržování požadavků na ochranu dat.
Konvence pojmenování pro pracovní prostor a skupinu prostředků:
- Pracovní prostor: DefaultWorkspace-[ID_předplatného]-[zeměpisné umístění]
- Skupina prostředků: DefaultResourceGroup-[geografické]
Defender pro cloudové řešení se v pracovním prostoru automaticky povolí na základě cenové úrovně nastavené pro předplatné.
Tip
Otázky týkající se výchozích pracovních prostorů najdete v těchto tématech:
Připojení virtuálních počítačů Azure do jiného pracovního prostoru – v rozevíracím seznamu vyberte pracovní prostor pro ukládání shromážděných dat. Rozevírací seznam obsahuje všechny pracovní prostory ve všech vašich předplatných. Tuto možnost můžete použít ke shromažďování dat z virtuálních počítačů spuštěných v různých předplatných a jejich uložení ve vybraném pracovním prostoru.
Pokud již máte pracovní prostor Log Analytics, můžete chtít použít stejný pracovní prostor (vyžaduje oprávnění ke čtení a zápisu v pracovním prostoru). Tato možnost je užitečná, pokud používáte centralizovaný pracovní prostor ve vaší organizaci a chcete ho použít pro shromažďování dat zabezpečení. Další informace najdete v podrobnějších informacích o správě přístupu k datům a pracovním prostorům v Azure monitor.
Pokud váš vybraný pracovní prostor už má povolené řešení Security nebo SecurityCenterFree, ceny se nastaví automaticky. V takovém případě nainstalujte Defender pro cloudové řešení v pracovním prostoru:
- Z nabídky Defender pro cloudovou nabídku otevřete nastavení prostředí.
- Vyberte pracovní prostor, do kterého budete připojovat agenty.
- Vyberte Rozšířené zabezpečení nebo Povolit všechny plány programu Microsoft Defender.
v Windows konfiguraci událostí zabezpečení vyberte množství nezpracovaných dat události, která se mají uložit:
- Žádné – zakažte úložiště událostí zabezpečení. Toto je výchozí nastavení.
- Minimální – malá sada událostí pro případ, kdy chcete minimalizovat objem události.
- Společné – sada událostí, které vyhovují většině zákazníků a poskytují úplný záznam pro audit.
- Všechny události – pro zákazníky, kteří chtějí mít jistotu, že budou uloženy všechny události.
Tip
Pokud chcete nastavit tyto možnosti na úrovni pracovního prostoru, přečtěte si téma nastavení možnosti události zabezpečení na úrovni pracovního prostoru.
další informace o těchto možnostech najdete v tématu Windows možností události zabezpečení pro agenta Log Analytics.
V podokně Konfigurace vyberte použít .
Povolení automatického zřizování jiného rozšíření než agenta Log Analytics:
Pokud povolujete Automatické zřizování pro agenta závislostí společnosti Microsoft, zajistěte, aby byl agent Log Analytics nastaven na automatické nasazení.
Pro příslušné rozšíření přepněte stav na zapnuto .
Vyberte Uložit. Je přiřazena definice Azure Policy a je vytvořen úkol nápravy.
Linka Zásady Doplněk služby Policy pro Kubernetes Nasazení Azure Policy doplňku do clusterů služby Azure Kubernetes Microsoft Dependency agent (preview) (Windows virtuální počítače) nasazení agenta závislostí pro Windows virtuálních počítačů Microsoft Dependency Agent (Preview) (virtuální počítače se systémem Linux) Nasazení agenta závislostí pro virtuální počítače se systémem Linux Agent konfigurace hosta (Preview) Nasazení požadavků pro povolení zásad konfigurace hostů na virtuálních počítačích
Vyberte Uložit. Pokud je potřeba zřídit pracovní prostor, může instalace agenta trvat až 25 minut.
Zobrazí se dotaz, jestli chcete překonfigurovat monitorované virtuální počítače, které byly dřív připojené k výchozímu pracovnímu prostoru:
- Ne – nové nastavení pracovního prostoru se použije jenom u nově zjištěných virtuálních počítačů, které nemají nainstalovaného agenta Log Analytics.
- Ano – nové nastavení pracovního prostoru se použije na všechny virtuální počítače a každý virtuální počítač, který je aktuálně připojený k programu Defender pro vytvořený Cloud, se znovu připojí k novému cílovému pracovnímu prostoru.
Poznámka
Pokud vyberete Ano, neodstraňujte pracovní prostory vytvořené v programu Defender pro Cloud, dokud se všechny virtuální počítače znovu nepřipojí k novému cílovému pracovnímu prostoru. Tato operace se nezdařila, pokud je pracovní prostor odstraněn příliš brzy.
Windows možností události zabezpečení pro agenta Log Analytics
Výběr úrovně shromažďování dat v programu Microsoft Defender pro cloud má vliv jenom na úložiště událostí zabezpečení v pracovním prostoru Log Analytics. Agent Log Analytics bude stále shromažďovat a analyzovat události zabezpečení vyžadované pro program Defender pro ochranu proti hrozbám cloudu, a to bez ohledu na úroveň událostí zabezpečení, které se rozhodnete ukládat do svého pracovního prostoru. Když se rozhodnete ukládat události zabezpečení, umožníte tím šetření, vyhledávání a auditování těchto událostí ve vašem pracovním prostoru.
Požadavky
pro ukládání Windows dat událostí zabezpečení se vyžadují rozšířené zabezpečení programu Defender pro Cloud. Přečtěte si další informace o rozšířených plánech ochrany.
Ukládání dat v Log Analytics může pro úložiště dat nabývat další poplatky. Další informace najdete na stránce s cenami.
Informace pro uživatele Microsoft Sentinel
Uživatelé Microsoft Sentinel: Všimněte si, že kolekce událostí zabezpečení v rámci jednoho pracovního prostoru se dá nakonfigurovat buď pomocí programu Microsoft Defender pro Cloud, nebo Microsoft Sentinel, ale ne obou. Pokud plánujete přidat k pracovnímu prostoru, který už má výstrahy od programu Microsoft Defender pro Cloud, možnost Microsoft Sentinel a je nastavená na shromažďovat události zabezpečení, máte dvě možnosti:
- Ponechte shromažďování událostí zabezpečení v programu Microsoft Defender pro cloud tak, jak je. V programu Microsoft Sentinel i v programu Defender pro Cloud budete moci zadávat dotazy a analyzovat tyto události. Nebudete ale moct monitorovat stav připojení konektoru nebo změnit jeho konfiguraci v rámci Microsoft Sentinel. Pokud je to pro vás důležité, zvažte druhou možnost.
- zakáže shromažďování událostí zabezpečení v programu Microsoft Defender pro Cloud (nastavením Windows událostí zabezpečení na žádná v konfiguraci Log Analytics agenta). Pak přidejte konektor události zabezpečení do pole Microsoft Sentinel. Stejně jako u první volby budete moct zadávat dotazy a analyzovat události v konfiguraci Microsoft Sentinel i Defenderu pro Cloud, ale teď budete moct monitorovat stav připojení konektoru nebo změnit jeho konfiguraci v rámci a jenom v případě, že je to v rámci Microsoft.
Jaké typy událostí jsou uložené pro "běžné" a "minimální"?
Tyto sady byly navržené tak, aby vycházely z typických scénářů. Nezapomeňte vyhodnotit, který z nich vyhovuje vašim potřebám, než ho implementujete.
Pokud chcete zjistit události pro společné a minimální možnosti, pracovali jsme se zákazníky a oborovými standardy, abyste se dozvěděli o nefiltrované frekvenci jednotlivých událostí a jejich využití. V tomto procesu jsme použili následující pokyny:
- Minimální – Ujistěte se, že tato sada pokrývá jenom události, které můžou indikovat úspěšné porušení zabezpečení a důležité události, které mají velmi malý svazek. Tato sada například obsahuje úspěšné a neúspěšné přihlášení uživatele (ID události 4624, 4625), ale neobsahuje odhlášení, které je důležité pro auditování, ale ne smysluplné pro detekci a má poměrně vysoký objem. Většina dat v této sadě je události přihlášení a událost vytvoření procesu (ID události 4688).
- Common – v této sadě uveďte úplný záznam pro audit uživatelů. Například tato sada obsahuje přihlašovací údaje uživatele i odhlášení uživatele (ID události 4634). Zahrnujeme i akce auditování, jako jsou změny skupiny zabezpečení, klíčové operace protokolu Kerberos řadiče domény a další události, které jsou doporučeny pro oborové organizace.
Do společné sady byly zahrnuty události s velmi nízkým objemem, jako je hlavní motivace a jejich výběr přes všechny události, je snížit objem a Nefiltrovat konkrétní události.
Zde je úplný rozpis ID událostí zabezpečení a zámků aplikací pro každou sadu:
| Datová vrstva | Shromážděné indikátory událostí |
|---|---|
| Minimální | 1102, 4624, 4625, 4657, 4663, 4688,, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755, |
| 4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222 | |
| Společné | 1, čl. 300, 324, 340, 403, 404, 410, 411, 412, 413, 431, 500, 501, 1100, 1102, [1108, 4608, 4610, 4611, 4614, 4622, |
| 4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697, | |
| 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737, | |
| 4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771, | |
| 4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893, 4898, 4902, | |
| 4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272, | |
| 6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 30004 |
Poznámka
- Pokud používáte objekt GPO (Zásady skupiny Object), doporučuje se povolit událost vytvoření procesu zásady auditu 4688 a pole CommandLine v události 4688. Další informace o události vytvoření procesu 4688 najdete v tématu Nejčastější dotazyke cloudu v programu Defender. Další informace o těchto zásadách auditu najdete v tématu zásady auditu Recommendations.
- Pokud chcete povolit shromažďování dat pro Adaptivní řízení aplikací, Defender pro Cloud v režimu auditování nakonfiguruje místní zásadu AppLockeru, aby povolovala všechny aplikace. Tato akce způsobí, že AppLocker vygeneruje události, které se pak shromažďují a využívají v programu Defender pro Cloud. Je důležité si uvědomit, že tato zásada nebude nakonfigurovaná na žádném počítači, na kterém je už nakonfigurovaná zásada AppLockeru.
- chcete-li shromáždit Windows filtrování ID události platformy 5156, je nutné povolit připojení platformy pro filtrování auditu (Auditpol/set/subcategory: "připojení platformy"/Success: enable)
Nastavení možnosti události zabezpečení na úrovni pracovního prostoru
Můžete definovat úroveň dat událostí zabezpečení, která se mají ukládat na úrovni pracovního prostoru.
Z okna Defender pro cloudovou nabídku v Azure Portal vyberte nastavení prostředí.
Vyberte příslušný pracovní prostor. jediné události shromažďování dat pro pracovní prostor jsou Windows události zabezpečení popsané na této stránce.
Vyberte množství nezpracovaných dat události, která chcete uložit, a vyberte Uložit.
Ruční zřizování agentů
Ruční instalace agenta Log Analytics:
Zakažte Automatické zřizování.
Volitelně můžete vytvořit pracovní prostor.
Povolte Microsoft Defender pro Cloud v pracovním prostoru, na kterém instalujete agenta Log Analytics:
Z nabídky Defender pro cloudovou nabídku otevřete nastavení prostředí.
Nastavte pracovní prostor, do kterého instalujete agenta. Ujistěte se, že je pracovní prostor ve stejném předplatném, které používáte v programu Defender pro Cloud a že máte oprávnění ke čtení a zápisu pro daný pracovní prostor.
Vyberte Microsoft Defender pro Cloud v a uložte.
Poznámka
Pokud má pracovní prostor již povolené řešení Security nebo SecurityCenterFree , ceny se nastaví automaticky.
Pokud chcete nasadit agenty na nové virtuální počítače pomocí šablony Správce prostředků, nainstalujte agenta Log Analytics:
Pokud chcete nasadit agenty na svém stávajícím virtuálním počítači, postupujte podle pokynů v tématu shromáždění dat o službě Azure Virtual Machines (část shromažďování dat o událostech a výkonu je volitelná).
Pokud chcete použít PowerShell k nasazení agentů, postupujte podle pokynů v dokumentaci k virtuálním počítačům:
Tip
Další informace o registraci najdete v tématu Automatizace připojování programu Microsoft Defender pro cloud pomocí PowerShellu.
Automatické zřizování v případech již existující instalace agenta
Následující případy použití určují, jak Automatické zřizování funguje v případech, kdy už je agent nebo rozšíření nainstalované.
Agent Log Analytics je na počítači nainstalovaný, ale ne jako rozšíření (přímý Agent) – Pokud je agent Log Analytics nainstalovaný přímo na virtuálním počítači (ne jako rozšíření Azure), bude Defender pro Cloud instalovat rozšíření agenta Log Analytics a může upgradovat agenta Log Analytics na nejnovější verzi. nainstalovaný agent bude pokračovat Windows v hlášení již nakonfigurovaných pracovních prostorů a kromě toho bude do pracovního prostoru nakonfigurovaného v programu Defender pro Cloud (podpora více
Pokud má nakonfigurovaný pracovní prostor pracovní prostor uživatele (ne Defender pro výchozí pracovní prostor cloudu), budete muset pro něj nainstalovat řešení "Security" nebo "SecurityCenterFree", aby mohl aplikace Defender pro Cloud začít zpracovávat události z virtuálních počítačů a počítačů, které do daného pracovního prostoru hlásí.
Pro počítače se systémem Linux zatím není podporována podpora více domovských stránek agenta, takže pokud je zjištěna existující instalace agenta, Automatické zřizování nebude provedeno a konfigurace počítače nebude změněna.
Pro existující počítače v předplatných, která jsou připojená k programu Defender pro Cloud před 17. března 2019, se rozšíření agenta Log Analytics nenainstaluje a počítač nebude ovlivněn. Pro tyto počítače si Projděte doporučení "vyřešit problémy se stavem agenta monitorování na vašich počítačích" a vyřešte problémy s instalací agenta na těchto počítačích.
agent System Center Operations Manager je nainstalován v počítači -Defender pro Cloud, nainstaluje rozšíření agenta Log Analytics vedle sebe na stávající Operations Manager. Stávající agent Operations Manager bude pokračovat v hlášení na Server Operations Manager normálně. Agent Operations Manager a Agent Log Analytics sdílejí běžné běhové knihovny, které budou během tohoto procesu aktualizovány na nejnovější verzi. Pokud je nainstalovaná verze agenta Operations Manager 2012 , nepovolujte Automatické zřizování.
K dispozici již existující rozšíření virtuálního počítače:
- Pokud je agent monitorování nainstalován jako rozšíření, konfigurace rozšíření umožňuje vytváření sestav pouze do jednoho pracovního prostoru. Defender pro Cloud nepřepisuje existující připojení k pracovním prostorům uživatelů. Defender pro Cloud bude ukládat data zabezpečení z virtuálního počítače v pracovním prostoru, který je už připojený, a to za předpokladu, že je na něm nainstalované řešení Security nebo SecurityCenterFree. Defender pro Cloud může upgradovat verzi rozšíření na nejnovější verzi v tomto procesu.
- Chcete-li zjistit, který pracovní prostor existující rozšíření odesílá data, spusťte test a Ověřte připojení pomocí programu Microsoft Defender pro Cloud. Případně můžete otevřít Log Analytics pracovní prostory, vybrat pracovní prostor, vybrat virtuální počítač a podívat se na připojení agenta Log Analytics.
- Máte-li prostředí, ve kterém je nainstalován agent Log Analytics v klientských pracovních stanicích a vytváření sestav do existujícího pracovního prostoru Log Analytics, přečtěte si seznam operačních systémů podporovaných programem Microsoft Defender pro Cloud a ověřte, zda je váš operační systém podporován. Další informace najdete v tématu existující zákazníci Log Analytics.
Zakázat Automatické zřizování
Když zakážete Automatické zřizování, agenti se na nových virtuálních počítačích nezřídí.
Vypnutí automatického zřizování agenta:
V nabídce Defender pro cloudovou nabídku na portálu vyberte nastavení prostředí.
Vyberte příslušné předplatné.
Vyberte Automatické zřizování.
Pro příslušného agenta přepněte stav na vypnuto .
Vyberte Uložit. Pokud je Automatické zřizování zakázané, nezobrazuje se výchozí oddíl konfigurace pracovního prostoru:
Poznámka
Při vypnutí automatického zřizování se agent Log Analytics neodebere z virtuálních počítačů Azure, ve kterých se agent zřídil. Informace o odebrání rozšíření OMS najdete v tématu návody odebrání rozšíření OMS, která jsou nainstalovaná v programu Defender pro Cloud.
Řešení potíží
- Informace o tom, jak identifikovat problémy s instalací automatického zřizování, najdete v tématu monitorování stavů agenta.
- Informace o tom, jak identifikovat požadavky na síť agenta monitorování, najdete v tématu řešení potíží s požadavky na síť agenta
- Pokud chcete identifikovat problémy ručního připojování, přečtěte si téma řešení potíží s připojováním Operations Management Suite.
Další kroky
Tato stránka vysvětluje, jak povolit Automatické zřizování pro agenta Log Analytics a další Defender pro rozšíření cloudu. Popisuje také, jak definovat Log Analytics pracovní prostor, do kterého se mají ukládat shromážděná data. Pro povolení shromažďování dat jsou vyžadovány obě operace. Pokud se data ukládají v Log Analytics, ať už používáte nový nebo existující pracovní prostor, můžou se za úložiště dat účtovat další poplatky. Podrobnosti o cenách v místní měně nebo oblasti najdete na stránce s cenami.