Leitfaden zur Problembehandlung für Microsoft Defender für Cloud

  • Artikel

Dieser Leitfaden richtet sich an IT-Experten, Informationssicherheitsanalysten und Cloudadministratoren, deren Organisationen Probleme im Zusammenhang mit Microsoft Defender for Cloud beheben müssen.

Tipp

Wenn Sie mit einem Problem konfrontiert sind oder Ratschläge von unserem Supportteam benötigen, ist der Abschnitt Diagnose und Lösung von Problemen des Azure-Portals ein guter Ort, um nach Lösungen zu suchen.

Screenshot der Seite zum Diagnostizieren und Beheben von Problemen in Defender for Cloud im Azure-Portal.

Verwenden des Überwachungsprotokolls zum Untersuchen von Problemen

Der erste Ort zum Suchen nach Problembehandlungsinformationen ist das Überwachungsprotokoll für die fehlgeschlagene Komponente. Im Überwachungsprotokoll sehen Sie Details wie:

  • Welche Vorgänge ausgeführt wurden.
  • Der Benutzer oder das System, von dem der Vorgang initiiert wurde.
  • Wann der Vorgang ausgeführt wurde.
  • Der Status des Vorgangs.

Das Überwachungsprotokoll enthält alle Schreibvorgänge (PUT, POST, DELETE), die für Ihre Ressourcen ausgeführt werden, jedoch keine Lesevorgänge (GET).

Problembehandlung für Connectors

Defender for Cloud verwendet Connectors zum Sammeln von Überwachungsdaten von Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekten. Wenn Probleme mit den Connectors auftreten oder keine Daten aus AWS oder GCP angezeigt werden, lesen Sie die folgenden Tipps zur Problembehandlung.

Tipps für häufige Connector-Probleme

  • Stellen Sie sicher, dass das dem Connector zugeordnete Abonnement im Abonnementfilter in dem Abschnitt Verzeichnisse und Abonnements des Azure-Portals ausgewählt ist.
  • Dem Sicherheitsconnector sollte Standards zugewiesen werden. Navigieren Sie im linken Menü von Defender for Cloud zu Umgebungseinstellungen, wählen Sie den Connector aus, und wählen Sie dann Einstellungen aus, um dies zu überprüfen. Wenn keine Standards zugewiesen sind, wählen Sie die drei Punkte aus, um zu überprüfen, ob Sie über Berechtigungen zum Zuweisen von Standards verfügen.
  • Die Connectorressource sollte in Azure Resource Graph vorhanden sein. Verwenden Sie die folgende Resource Graph-Abfrage, um resources | where ['type'] =~ "microsoft.security/securityconnectors" zu überprüfen.
  • Vergewissern Sie sich, dass das Senden von Kubernetes-Überwachungsprotokollen für den AWS- oder GCP-Connector aktiviert ist, sodass Sie Bedrohungserkennungswarnungen für die Steuerungsebene erhalten können.
  • Stellen Sie sicher, dass der Microsoft Defender-Sensor und die Azure Policy für Azure Arc-fähigen Erweiterungen erfolgreich auf Ihren Clustern mit Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) installiert wurden. Sie können den Agent mit den folgenden Defender for Cloud-Empfehlungen überprüfen und installieren:
    • EKS-Cluster sollten die Microsoft Defender-Erweiterung für Azure Arc installiert haben.
    • GKE-Cluster sollten die Microsoft Defender-Erweiterung für Azure Arc installiert haben.
    • Azure Arc-fähigen Kubernetes-Cluster sollten die Azure Policy-Erweiterung installiert haben
    • Für GKE-Cluster sollte die Azure Policy-Erweiterung installiert sein
  • Wenn beim Löschen des AWS- oder GCP-Connectors Probleme auftreten, überprüfen Sie, ob Sie über eine Sperre verfügen. Ein Fehler im Azure-Aktivitätsprotokoll weist möglicherweise auf das Vorhandensein einer Sperre hin.
  • Überprüfen Sie, ob Workloads im AWS-Konto oder GCP-Projekt vorhanden sind.

Tipps für AWS-Connectorprobleme

  • Vergewissern Sie sich, dass die CloudFormation-Vorlagenbereitstellung erfolgreich abgeschlossen wurde.
  • Warten Sie mindestens bis 12 Stunden nach der Erstellung des AWS-Stammkontos.
  • Stellen Sie sicher, dass EKS-Cluster erfolgreich mit Azure Arc-fähigen Kubernetes verbunden sind.
  • Wenn AWS-Daten in Defender for Cloud nicht angezeigt werden, stellen Sie sicher, dass die erforderlichen AWS-Ressourcen zum Senden von Daten an Defender for Cloud im AWS-Konto vorhanden sind.

Kosteneinfluss von API-Aufrufen an AWS

Wenn Sie Ihr AWS-Einzel- oder Verwaltungskonto integrieren, startet der Ermittlungsdienst in Defender for Cloud eine sofortige Überprüfung Ihrer Umgebung. Der Ermittlungsdienst führt API-Aufrufe an verschiedene Dienstendpunkte aus, um alle Ressourcen abzurufen, die Azure schützt.

Nach dieser ersten Überprüfung überprüft der Dienst Ihre Umgebung in regelmäßigen Abständen, die Sie während des Onboardings konfiguriert haben. In AWS generiert jeder API-Aufruf des Kontos ein Lookup-Event, das in der CloudTrail-Ressource aufgezeichnet wird. Die CloudTrail-Ressource verursacht Kosten. Details zu den Preisen finden Sie auf der AWS CloudTrail-Preisseite auf der Amazon AWS-Website.

Wenn Sie Ihren CloudTrail mit GuardDuty verbunden haben, sind Sie auch für die damit verbundenen Kosten verantwortlich. Diese Kosten finden Sie in der GuardDuty-Dokumentation auf der Amazon AWS-Website.

Abrufen der Anzahl der nativen API-Aufrufe

Es gibt zwei Möglichkeiten zum Abrufen der Anzahl von Aufrufen, die Defender for Cloud getätigt hat:

  • Verwenden Sie eine vorhandene Athena-Tabelle, oder erstellen Sie eine neue. Weitere Informationen finden Sie unter Abfragen von AWS CloudTrail-Protokollen auf der Amazon AWS-Website.
  • Verwenden Sie einen vorhandenen Ereignisdatenspeicher, oder erstellen Sie einen neuen. Weitere Informationen finden Sie unter Arbeiten mit AWS CloudTrail Lake auf der Amazon AWS-Website.

Beide Methoden basieren auf der Abfrage von AWS CloudTrail-Protokollen.

Um die Anzahl der Aufrufe zu erhalten, wechseln Sie zur Athena-Tabelle oder zum Ereignisdatenspeicher und verwenden Sie eine der folgenden vordefinierten Abfragen gemäß Ihren Anforderungen. Ersetzen Sie <TABLE-NAME> durch die ID der Athena-Tabelle oder des Ereignisdatenspeichers.

  • Führt die Anzahl der allgemeinen API-Aufrufe von Defender for Cloud auf:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • Führt die Anzahl der allgemeinen API-Aufrufe von Defender for Cloud auf, die nach Tag aggregiert wurden:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • Führt der Anzahl der allgemeinen API-Aufrufe von Defender for Cloud aggregiert nach Ereignisname auf:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Führt die Anzahl der allgemeinen API-Aufrufe von Defender for Cloud nach Region auf:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Tipps für GCP-Connectorprobleme

  • Vergewissern Sie sich, dass das GCP-Cloud Shell-Skript erfolgreich abgeschlossen wurde.
  • Stellen Sie sicher, dass GKE-Cluster erfolgreich mit Azure Arc-fähigen Kubernetes verbunden sind.
  • Vergewissern Sie sich, dass Azure Arc-Endpunkte in der Positivliste der Firewall enthalten sind. Der GCP-Connector führt API-Aufrufe an diese Endpunkte aus, um die erforderlichen Onboardingdateien abzurufen.
  • Wenn das Onboarding von GCP-Projekten fehlschlägt, stellen Sie sicher, dass Sie über die compute.regions.list-Berechtigung und die Microsoft Entra-Berechtigung zum Erstellen des Dienstprinzipals für den Onboardingprozess verfügen. Vergewissern Sie sich, dass die GCP-Ressourcen WorkloadIdentityPoolId, WorkloadIdentityProviderId und ServiceAccountEmail im GCP-Projekt erstellt wurden.

Defender-API-Aufrufe an GCP

Wenn Sie Ihr einzelnes GCP-Projekt oder Ihre Organisation integrieren, startet der Ermittlungsdienst in Defender for Cloud eine sofortige Überprüfung Ihrer Umgebung. Der Ermittlungsdienst führt API-Aufrufe an verschiedene Dienstendpunkte aus, um alle Ressourcen abzurufen, die Azure schützt.

Nach dieser ersten Überprüfung überprüft der Dienst Ihre Umgebung in regelmäßigen Abständen, die Sie während des Onboardings konfiguriert haben.

So rufen Sie die Anzahl der systemeigenen API-Aufrufe ab, die Defender for Cloud ausgeführt hat:

  1. Wechseln Sie zu Protokollierung>Protokoll-Explorer.

  2. Filtern Sie die gewünschten Datumsangaben (z. B. 1d).

  3. Um API-Aufrufe anzuzeigen, die Defender for Cloud ausgeführt hat, führen Sie diese Abfrage aus:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Verweisen Sie auf das Histogramm, um die Anzahl der Aufrufe im Laufe der Zeit anzuzeigen.

Problembehandlung für den Log Analytics-Agent

Defender für Cloud nutzt den Log Analytics-Agent zum Sammeln und Speichern von Daten. Die Informationen in diesem Artikel stellen Defender für Cloud-Funktionen nach dem Umstieg auf den Log Analytics-Agent vor.

Die Warnungstypen sind:

  • Verhaltensanalyse von VMs (Virtual Machine Behavioral Analysis, VMBA)
  • Netzwerkanalyse
  • Azure SQL-Datenbank und Azure Synapse Analytics-Analyse
  • Kontextinformationen

Je nach Warnungstyp können Sie die erforderlichen Informationen sammeln, um eine Warnung mithilfe der folgenden Ressourcen zu untersuchen:

  • Sicherheitsprotokolle in der Ereignisanzeige des virtuellen Computers (VM) in Windows
  • Der Überwachungsdaemon (auditd) in Linux
  • Die Azure-Aktivitätsprotokolle und die aktivierten Diagnoseprotokolle für die angegriffene Ressource

Sie können Feedback zur Beschreibung und Relevanz der Warnung geben. Wechseln Sie zur Warnung, wählen Sie die Schaltfläche War dies hilfreich aus, wählen Sie den Grund aus und geben Sie dann einen Kommentar ein, um das Feedback zu erläutern. Dieser Feedbackkanal wird kontinuierlich überwacht, um unsere Warnungen zu verbessern.

Überprüfen der Prozesse und Versionen des Log Analytics-Agents

Defender for Cloud verwendet ebenso wie Azure Monitor den Log Analytics-Agent, um sicherheitsrelevante Daten von Ihren virtuellen Azure-Computern zu sammeln. Nachdem Sie die Datensammlung aktiviert und den Agent ordnungsgemäß auf dem Zielcomputer installiert haben, sollte der HealthService.exe-Prozess ausgeführt werden.

Öffnen Sie die Dienstverwaltungskonsole (services.msc), um sich zu vergewissern, dass der Log Analytics-Agent als Dienst ausgeführt wird.

Screenshot: Log Analytics-Agent-Dienst im Task-Manager.

Um zu sehen, welche Version des Agents Sie verwenden, öffnen Sie den Task-Manager. Suchen Sie auf der Registerkarte Prozesse den Log Analytics-Agent-Dienst, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann Eigenschaften aus. Suchen Sie auf der Registerkarte Details nach der Dateiversion.

Screenshot mit Details des Log Analytics-Agent-Diensts.

Überprüfen von Installationsszenarien für den Log Analytics-Agent

Es gibt zwei Installationsszenarien, die unterschiedliche Ergebnisse erzielen können, wenn Sie den Log Analytics-Agent auf Ihrem Computer installieren. Folgende Szenarien werden unterstützt:

  • Der Agent wird automatisch von Defender for Cloud installiert: Sie können Sie die Warnungen in Defender for Cloud und in der Protokollsuche anzeigen. Sie erhalten E-Mail-Benachrichtigungen an die E-Mail-Adresse, die Sie in der Sicherheitsrichtlinie für das Abonnement konfiguriert haben, zu dem die Ressource gehört.

  • Der Agent wird manuell auf einem virtuellen Computer in Azure installiert: Wenn Sie in diesem Szenario Agents verwenden, die vor Februar 2017 manuell heruntergeladen und installiert wurden, können Sie die Warnungen nur dann im Defender for Cloud-Portal anzeigen, wenn Sie nach dem Abonnement filtern, zu dem der Arbeitsbereich gehört. Wenn Sie das Abonnement herausfiltern, zu dem die Resource gehört, werden keine Warnungen angezeigt. Sie erhalten E-Mail-Benachrichtigungen an die E-Mail-Adresse, die Sie in der Sicherheitsrichtlinie für das Abonnement konfiguriert haben, zu dem der Arbeitsbereich gehört.

    Um das Filterproblem zu vermeiden, müssen Sie unbedingt die neueste Version des Agents herunterladen.

Überwachen von Netzwerkkonnektivitätsproblemen für den Agent

Damit Agents eine Verbindung mit Defender für Cloud herstellen und sich registrieren können, müssen sie Zugriff auf die DNS-Adressen und Netzwerkports für Azure-Netzwerkressourcen haben. Gehen Sie wie folgt vor, um diesen Zugriff zu aktivieren:

  • Stellen Sie bei Verwendung von Proxyservern sicher, dass die entsprechenden Proxyserverressourcen in den Agent-Einstellungen ordnungsgemäß konfiguriert sind.
  • Konfigurieren Sie Ihre Netzwerkfirewalls, um den Zugriff auf Log Analytics zu ermöglichen.

Die Azure-Netzwerkressourcen sind:

Agent-Ressource Port Umgehung der HTTPS-Überprüfung
*.ods.opinsights.azure.com 443 Ja
*.oms.opinsights.azure.com 443 Ja
*.blob.core.windows.net 443 Ja
*.azure-automation.net 443 Ja

Lesen Sie bei Problemen mit dem Onboarding des Log Analytics-Agents den Artikel zur Problembehandlung von Operations Management Suite-Onboardingproblemen.

Problembehandlung beim nicht ordnungsgemäß funktionierenden Antischadsoftwareschutz

Der Gast-Agent ist der übergeordnete Prozess aller Vorgänge der Microsoft Antimalware-Erweiterung. Wenn beim Prozess für den Gast-Agent ein Fehler auftritt, schlägt der Microsoft Antimalware-Schutz, der als untergeordneter Prozess des Gast-Agents ausgeführt wird, möglicherweise auch fehl.

Hier sind einige Tipps zur Problembehandlung:

  • Vergewissern Sie sich, dass der Ersteller des virtuellen Computers den Gast-Agent installiert hat, wenn die Ziel-VM aus einem benutzerdefinierten Image erstellt wurde.
  • Die Installation der Windows-Version der Antischadsoftwareerweiterung bei einer Linux-VM als Ziel schlägt fehl. Der Linux-Gast-Agent verfügt über spezielle Betriebssystem- und Paketanforderungen.
  • Wenn die VM mit einer alten Version des Gast-Agents erstellt wurde, hat der alte Agent möglicherweise nicht die Möglichkeit, automatisch auf die neuere Version zu aktualisieren. Verwenden Sie immer die neueste Version des Gast-Agents, wenn Sie eigene Images erstellen.
  • Für einige Verwaltungssoftwareanwendungen von Drittanbietern wird der Gast-Agent ggf. deaktiviert oder der Zugriff auf bestimmte Dateispeicherorte blockiert. Vergewissern Sie sich, dass der Antischadsoftware-Agent in der Ausschlussliste enthalten ist, wenn auf der VM Verwaltungssoftware von Drittanbietern installiert ist.
  • Vergewissern Sie sich, dass Firewalleinstellungen und Netzwerksicherheitsgruppe keinen Netzwerkdatenverkehr zum und vom Gast-Agent blockieren.
  • Stellen Sie sicher, dass keine Zugriffssteuerungslisten den Datenträgerzugriff verhindern.
  • Der Gast-Agent benötigt ausreichend Speicherplatz, um ordnungsgemäß zu funktionieren.

Standardmäßig ist die Microsoft Antimalware-Benutzeroberfläche deaktiviert. Sie können jedoch die Microsoft Antimalware-Benutzeroberfläche auf Azure Resource Manager-VMs aktivieren.

Beheben von Problemen beim Laden des Dashboards

Vergewissern Sie sich, dass der Benutzer, der zuerst Defender for Cloud im Abonnement aktiviert hat, und der Benutzer, der die Datensammlung aktivieren möchte, über die Rolle Besitzer oder Mitwirkender im Abonnement verfügt, wenn beim Laden des Dashboards für den Workloadschutz Probleme auftreten. Wenn dies der Fall ist, können Benutzer mit der Rolle Leser im Abonnement das Dashboard, Warnungen, Empfehlungen und Richtlinien anzeigen.

Behandeln von Connectorproblemen für die Azure DevOps-Organisation

Wenn Sie Ihre Azure DevOps-Organisation nicht integrieren können, probieren Sie die folgenden Tipps zur Problembehandlung aus:

  • Stellen Sie sicher, dass Sie eine keine Vorschauversion des Azure-Portals verwenden. Der Autorisierungsschritt funktioniert nicht im Azure-Vorschauportal.

  • Es ist wichtig zu wissen, bei welchem Konto Sie angemeldet sind, wenn Sie den Zugriff autorisieren, da dies das Konto ist, welches das System für das Onboarding verwendet. Ihr Konto kann derselben E-Mail-Adresse, aber auch verschiedenen Mandanten zugeordnet werden. Stellen Sie sicher, dass Sie die richtige Konto-/Mandantenkombination auswählen. Wenn Sie die Kombination ändern müssen:

    1. Verwenden Sie auf Ihrer Azure DevOps-Profilseite das Dropdownmenü, um ein anderes Konto auszuwählen.

      Screenshot der Azure DevOps-Profilseite, die zum Auswählen eines Kontos verwendet wird.

    2. Nachdem Sie die richtige Konto-/Mandantenkombination ausgewählt haben, navigieren Sie in Defender for Cloud zu Umgebungseinstellungen und bearbeiten Sie Ihren Azure DevOps-Connector. Autorisieren Sie den Connector erneut, um ihn mit der richtigen Konto-/Mandantenkombination zu aktualisieren. Dann sollte die richtige Liste der Organisationen im Dropdownmenü angezeigt werden.

  • Stellen Sie sicher, dass Sie über die Rolle des Project Collection-Administrators in der Azure DevOps-Organisation verfügen, die Sie integrieren möchten.

  • Vergewissern Sie sich, dass die Option Zugriff auf Anwendungen von Drittanbietern über OAuth für die Azure DevOps-Organisation auf Ein festgelegt ist. Weitere Informationen zur Aktivierung des OAuth-Zugriffs.

Microsoft-Support kontaktieren

Weitere Informationen zur Problembehandlung für Defender für Cloud finden Sie auch auf der Seite mit Fragen und Antworten zu Defender für Cloud.

Wenn Sie weitere Unterstützung benötigen, können Sie eine neue Supportanfrage im Azure-Portal öffnen. Wählen Sie auf der Seite Hilfe und Support die Option Supportanfrage erstellen aus.

Screenshot der Auswahl zum Erstellen einer Supportanfrage im Azure-Portal.

Weitere Informationen