Bearbeiten

Hybride Sicherheitsüberwachung mit Microsoft Defender für Cloud und Microsoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender für Cloud
Microsoft Sentinel
Azure Stack

Diese Referenzarchitektur veranschaulicht, wie Microsoft Defender für Cloud und Microsoft Sentinel verwendet werden können, um die Sicherheitskonfiguration und Telemetrie lokaler Workloads, Azure und Azure Stack-Workloads zu überwachen.

Aufbau

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Workflow

  • Microsoft Defender für Cloud. Dabei handelt es sich um eine erweiterte, einheitliche Plattform für das Sicherheitsmanagement, die Microsoft allen Azure-Abonnenten anbietet. Defender für Cloud unterteilt sich in Cloud Security Posture Management (CSPM) und eine Cloud Workload Protection Platform (CWPP). CWPP wird durch workloadzentrierte Sicherheitsschutzlösungen definiert, die in der Regel auf Agents basieren. Defender für Cloud bietet Bedrohungsschutz für Azure-Workloads, sowohl lokal als auch in anderen Clouds, einschließlich virtueller Windows- und Linux-Computer (VMs), Container, Datenbanken und Internet der Dinge (IoT). Wenn dieser Dienst aktiviert ist, wird der Log Analytics-Agent automatisch in Azure Virtual Machines bereitgestellt. Für lokale Windows- und Linux-Server und VMs können Sie den Agent manuell bereitstellen. Verwenden Sie das Bereitstellungstool Ihrer Organisation, z. B. Microsoft Endpoint Protection-Manager oder skriptgesteuerte Bereitstellungsmethoden. Defender für Cloud beginnt damit, den Sicherheitsstatus aller VMs, Netzwerke, Anwendungen und Daten zu bewerten.
  • Microsoft Sentinel. Es handelt sich um eine cloudnative SIEM- (Security Information and Event Management) und SOAR-Lösung (Security Orchestration Automated Response), die erweiterte KI- und Sicherheitsanalysen verwendet, um Sie dabei zu unterstützen, Bedrohungen in Ihrem gesamten Unternehmen zu erkennen, zu bekämpfen, zu verhindern und darauf zu reagieren.
  • Azure Stack . Es handelt sich um ein Produktportfolio, das die Dienste und Funktionen von Azure auf die Umgebung Ihrer Wahl ausdehnt, einschließlich das Rechenzentrum, Edge-Standorte und Außenstellen. Azure Stack-Implementierungen nutzen normalerweise Racks mit vier bis zu sechzehn Servern, die von vertrauenswürdigen Hardwarepartnern zusammengestellt und an Ihr Rechenzentrum geliefert werden.
  • Azure Monitor. Erfasst Telemetriedaten von einer Vielzahl von lokalen und Azure-Quellen. Verwaltungstools, z. B. in Microsoft Defender für Cloud und Azure Automation, pushen ebenfalls Protokolldaten an Azure Monitor.
  • Log Analytics-Arbeitsbereich Azure Monitor speichert Protokolldaten in einem Log Analytics-Arbeitsbereich, der ein Container ist, der Daten und Konfigurationsinformationen enthält.
  • Log Analytics-Agent: Der Log Analytics-Agent erfasst Überwachungsdaten vom Gastbetriebssystem, von VM-Workloads in Azure, von anderen Cloudanbietern und lokal. Der Log Analytics-Agent unterstützt Proxykonfiguration, und in diesem Szenario fungiert in der Regel ein OMS-Gateway (Microsoft Operations Management Suite) als Proxy.
  • Lokales Netzwerk. Dies ist die Firewall, die für die Unterstützung von ausgehendem HTTPS-Datenverkehr von definierten Systemen konfiguriert ist.
  • Lokale Windows- und Linux-Systeme. Systeme, auf denen der Log Analytics-Agent installiert ist.
  • Azure Windows- und Linux-VMs. Systeme, auf denen der Überwachungs-Agent von Microsoft Defender für Cloud installiert ist.

Komponenten

Szenariodetails

Mögliche Anwendungsfälle

Typische Einsatzmöglichkeiten für diese Architektur sind:

  • Bewährte Methoden für die Integration der lokalen Sicherheits- und Telemetrieüberwachung in Azure-basierten Workloads
  • Integrieren von Microsoft Defender für Cloud mit Azure Stack
  • Integrieren von Microsoft Defender für Cloud mit Microsoft Sentinel

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Microsoft Defender für Cloud-Upgrade

Diese Referenzarchitektur verwendet Microsoft Defender für Cloud zur Überwachung von lokalen Systemen, Azure-VMs, Azure Monitor-Ressourcen und sogar VMs, die von anderen Cloudanbietern gehostet werden. Details zu den Preisen für Microsoft Defender für Cloud finden Sie hier.

Angepasster Log Analytics-Arbeitsbereich

Microsoft Sentinel benötigt Zugriff auf einen Log Analytics-Arbeitsbereich. In diesem Szenario können Sie den standardmäßigen Log Analytics-Arbeitsbereich von Defender für Cloud nicht mit Microsoft Sentinel verwenden. Stattdessen erstellen Sie einen benutzerdefinierten Arbeitsbereich. Datenaufbewahrung für einen angepassten Arbeitsbereich basiert auf dem Tarif des Arbeitsbereichs. Preismodelle für Überwachungsprotokolle finden Sie hier.

Hinweis

Microsoft Sentinel kann für Arbeitsbereiche in einer beliebigen GA-Region (allgemeine Verfügbarkeit) von Log Analytics mit Ausnahme der Regionen „China“ und „Deutschland (Sovereign)“ ausgeführt werden. Die von Microsoft Sentinel generierten Daten (z. B. Vorfälle, Lesezeichen und Warnungsregeln, die möglicherweise einige aus diesen Arbeitsbereichen stammende Kundendaten enthalten) werden entweder in „Europa“ (für Arbeitsbereiche in Europa), in „Australien“ (für Arbeitsbereiche in Australien) oder in „USA, Osten“ (für Arbeitsbereiche in allen anderen Regionen) gespeichert.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

In einer Sicherheitsrichtlinie werden die Sicherheitsmechanismen definiert, die für Ressourcen in einem angegebenen Abonnement zu empfehlen sind. In Microsoft Defender für Cloud definieren Sie Richtlinien für Ihre Azure-Abonnements entsprechend den Sicherheitserfordernissen Ihres Unternehmens sowie dem Typ der Anwendungen oder der Vertraulichkeit der Daten für jedes Abonnement.

Die Sicherheitsrichtlinien, die Sie in Microsoft Defender für Cloud aktivierten, steuern Sicherheitsempfehlungen und -überwachung. Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Verbessern Ihrer Sicherheitsrichtlinie mit Microsoft Defender für Cloud. Sie können Sicherheitsrichtlinien in Microsoft Defender für Cloud nur auf Verwaltungs- oder Abonnementgruppenebene zuweisen.

Hinweis

Teil eins der Referenzarchitektur beschreibt, wie Microsoft Defender für Cloud zum Überwachen von Azure-Ressourcen, lokalen Systemen und Azure Stack-Systemen aktiviert wird.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Wie bereits beschrieben, können die Kosten, die über Ihr Azure-Abonnement hinausgehen, Folgendes umfassen:

  1. Microsoft Defender für Cloud-Kosten. Weitere Informationen finden Sie in der Microsoft Defender für Cloud: Preise.
  2. Der Azure Monitor-Arbeitsbereich bietet Granularität bei der Abrechnung. Weitere Informationen finden Sie unter Verwalten von Nutzung und Kosten mit Azure Monitor-Protokollen.
  3. Microsoft Sentinel ist ein kostenpflichtiger Dienst. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Rollen in Microsoft Defender für Cloud

Defender für Cloud bewertet die Konfiguration Ihrer Ressourcen, um Sicherheitsprobleme und Schwachstellen zu identifizieren, und zeigt Informationen im Zusammenhang mit einer Ressource an, wenn Ihnen die Rolle des Besitzers, Mitwirkenden oder Lesers für das Abonnement oder die Ressourcengruppe zugewiesen wurde, zu der eine Ressource gehört.

Neben diesen Rollen gibt es zwei spezifische Rollen für Defender für Cloud:

  • Sicherheitsleseberechtigter. Ein Benutzer, der dieser Rolle angehört, verfügt nur über Leserechte für Defender für Cloud. Der Benutzer kann Empfehlungen, Warnungen, eine Sicherheitsrichtlinie und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.

  • Sicherheitsadministrator. Ein Benutzer, der dieser Rolle angehört, hat die gleichen Rechte wie der Sicherheitsleseberechtigte und kann darüber hinaus Sicherheitsrichtlinien aktualisieren sowie Warnungen und Empfehlungen verwerfen. Normalerweise handelt es sich hierbei um Benutzer, die die Workload verwalten.

  • Die Sicherheitsrollen Security Reader und Security Admin haben nur in Defender für Cloud Zugriff. Die Sicherheitsrollen besitzen keinen Zugriff auf andere Dienstbereiche von Azure wie Storage, Web, Mobile oder Internet der Dinge (IoT).

Microsoft Sentinel-Abonnement

  • Für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet, benötigen Sie die Berechtigungen für Mitwirkende, um Microsoft Sentinel zu aktivieren.
  • Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie Berechtigungen für Mitwirkende oder für Leser, um Microsoft Sentinel zu verwenden.
  • Microsoft Sentinel ist ein kostenpflichtiger Dienst. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, eine effiziente Skalierung entsprechend den Anforderungen der Benutzer auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

Der Log Analytics-Agent für Windows und Linux ist so konzipiert, dass die Leistung von VMs oder physischen Systemen nur ganz minimal beeinträchtigt wird.

Durch den Einsatz von Microsoft Defender für Cloud werden Ihre normalen Betriebsabläufe nicht beeinträchtigt. Stattdessen überwacht er Ihre Bereitstellungen passiv und bietet Empfehlungen basierend auf den Sicherheitsrichtlinien, die Sie aktivieren.

Bereitstellen dieses Szenarios

Erstellen eines Log Analytics-Arbeitsbereichs im Azure-Portal

  1. Melden Sie sich am Azure-Portal als Benutzer mit Sicherheitsadministratorberechtigungen an.
  2. Wählen Sie im Azure-Portal Alle Dienste aus. Geben Sie in der Liste mit den Ressourcen Log Analytics ein. Sobald Sie mit der Eingabe beginnen, wird die Liste auf der Grundlage Ihrer Eingabe gefiltert. Wählen Sie Log Analytics-Arbeitsbereiche aus.
  3. Wählen Sie Hinzufügen auf der Seite „Log Analytics“ aus.
  4. Geben Sie einen Namen für den neuen Log Analytics-Arbeitsbereich ein, z. B. Defender für Cloud-SentinelWorkspace. Dieser Name muss in allen Azure Monitor-Abonnements global eindeutig sein.
  5. Wählen Sie ein anderes Abonnement aus der Dropdownliste aus, wenn die Standardauswahl nicht geeignet ist.
  6. Wählen Sie als Ressourcengruppe eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe.
  7. Wählen Sie unter Speicherort eine verfügbare Geolocation aus.
  8. Wählen Sie OK aus, um die Konfiguration abzuschließen. New Workspace created for the architecture

Aktivieren von Defender für Cloud

Während Sie noch am Azure-Portal als Benutzer mit Sicherheitsadministratorberechtigungen angemeldet sind, wählen Sie im Bereich Defender für Cloud aus. Die Defender für Cloud – Übersicht wird geöffnet:

Defender for Cloud Overview dashboard blade opens

Defender für Cloud aktiviert automatisch den Free-Tarif für alle Ihre Azure-Abonnements, für die weder Sie noch ein anderer Abonnementbenutzer zuvor ein Onboarding durchgeführt haben.

Aktualisieren von Microsoft Defender für die Cloud

  1. Wählen Sie im Hauptmenü von Defender für Cloud die Option Erste Schritte aus.
  2. Wählen Sie die Schaltfläche Upgrade jetzt ausführen aus. Defender für Cloud listet Ihre Abonnements und Arbeitsbereiche auf, die zur Verwendung berechtigt sind.
  3. Sie können berechtigte Arbeitsbereiche und Abonnements auswählen, um Ihre Testversion zu starten. Wählen Sie den zuvor erstellten Arbeitsbereich Defender für Cloud-SentinelWorkspace im Dropdownmenü aus.
  4. Wählen Sie im Hauptmenü von Defender für Cloud die Option Testversion starten aus.
  5. Das Dialogfeld Agents installieren sollte angezeigt werden.
  6. Wählen Sie die Schaltfläche Agents installieren aus. Das Blatt Defender for Cloud – Coverage wird angezeigt, und Sie sollten Ihr ausgewähltes Abonnement beachten. Security Coverage blade showing your subscriptions should be open

Sie haben jetzt automatische Bereitstellung aktiviert, und Defender für Cloud installiert den Log Analytics-Agent für Windows (HealthService.exe) und den omsagent für Linux auf allen unterstützten Azure-VMs und allen neuen VMs, die Sie erstellen. Sie können diese Richtlinie deaktivieren und manuelle Verwaltung verwenden, aber es wird dringend empfohlen, automatische Bereitstellung zu verwalten.

Weitere Informationen zu den spezifischen Defender für Cloud-Features, die unter Windows und Linux verfügbar sind, finden Sie unter Featureabdeckung für Computer.

Aktivieren von Microsoft Defender für die Cloudüberwachung lokaler Windows-Computer

  1. Wählen Sie im Azure-Portal auf dem Blatt Defender für Cloud – Übersicht die Registerkarte Erste Schritte aus.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus. Eine Liste Ihrer Log Analytics-Arbeitsbereiche wird angezeigt und sollte den Defender für Cloud-SentinelWorkspace enthalten.
  3. Wählen Sie diesen Arbeitsbereich aus. Das Blatt Direkt-Agent wird mit einem Link zum Herunterladen eines Windows- oder Linux-Agents sowie Schlüsseln für Ihre Arbeitsbereichsidentifizierung(ID) geöffnet, die Sie zum Konfigurieren des Agents benötigen.
  4. Klicken Sie auf den Link Windows-Agent herunterladen für den entsprechenden Prozessortyp Ihres Computers, um die Setupdatei herunterzuladen.
  5. Klicken Sie rechts neben Arbeitsbereichs-ID auf Kopieren, und fügen Sie die ID dann in den Editor ein.
  6. Wählen Sie rechts neben Primärschlüssel die Option Kopieren aus, und fügen Sie den Schlüssel dann in den Editor ein.

Installieren des Windows-Agents

Führen Sie die folgenden Schritte aus, um den Agent auf den Zielcomputern zu installieren.

  1. Kopieren Sie die Datei auf den Zielcomputer, und führen Sie dann Setup aus.
  2. Wählen Sie auf der Seite Willkommen die Option Weiter aus.
  3. Lesen Sie die Seite Lizenzbedingungen durch, und klicken Sie anschließend auf Ich stimme zu.
  4. Auf der Seite Zielordner können Sie den Standardinstallationsordner entweder ändern oder beibehalten. Klicken Sie anschließend auf Weiter.
  5. Stellen Sie über die Seite Agent-Setupoptionen eine Verbindung zwischen dem Agent und Azure Log Analytics her, und klicken Sie anschließend auf Weiter.
  6. Fügen Sie auf der Seite Azure Log Analytics die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie im vorherigen Schritt in Editor kopiert haben.
  7. Wenn der Computer in einen Log Analytics-Arbeitsbereich in Azure Government Cloud melden soll, wählen Sie Azure US-Regierung aus der Dropdownliste Azure Cloud aus. Wenn der Computer über einen Proxyserver mit dem Log Analytics-Dienst kommunizieren muss, wählen Sie Erweitert aus, und geben Sie dann die URL sowie die Portnummer des Proxyservers an.
  8. Nachdem Sie die erforderlichen Konfigurationseinstellungen angegeben haben, wählen Sie Weiter aus. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Überprüfen Sie Ihre Auswahl auf der Seite Bereit zum Installieren, und klicken Sie dann auf Installieren.
  10. Wählen Sie auf der Seite Die Konfiguration wurde erfolgreich abgeschlossen die Option Fertig stellen aus.

Nach der Fertigstellung wird der Log Analytics-Agent in der Windows-Systemsteuerung angezeigt, und Sie können die Konfiguration überprüfen und sicherstellen, dass der Agent verbunden ist.

Weitere Informationen zum Installieren und Konfigurieren des Agents finden Sie unter Installieren des Log Analytics-Agents auf Windows-Computern.

Der Log Analytics-Agent-Dienst erfasst Ereignis- und Leistungsdaten und führt Tasks und andere Workflows aus, die in einem Management Pack definiert sind. Defender for Cloud erweitert die Plattformen für den Cloudworkloadschutz durch die Integration in Microsoft Defender for Servers. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.

Weitere Informationen zu Microsoft Defender for Servers finden Sie unter Integrieren von Servern in den Microsoft Defender for Servers-Dienst.

Aktivieren von Microsoft Defender für die Cloudüberwachung lokaler Linux-Computer

  1. Kehren Sie zur Registerkarte Erste Schritte zurück, wie zuvor beschrieben.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus. Es wird eine Liste Ihrer Log Analytics-Arbeitsbereiche angezeigt. Die Liste sollte den Defender für Cloud-SentinelWorkspace enthalten, den Sie erstellt haben.
  3. Wählen Sie auf dem Blatt Direkt-Agent unter AGENT FÜR LINUX HERUNTERLADEN UND ONBOARDING DURCHFÜHREN die Option Kopieren aus, um den Befehl wget zu kopieren.
  4. Öffnen Sie den Editor, und fügen Sie diesen Befehl dann ein. Speichern Sie diese Datei an einem Speicherort, auf den Sie auf Ihrem Linux-Computer zugreifen können.

Hinweis

Unter Unix- und Linux-Betriebssystemen ist wget ein Tool für den nicht interaktiven Dateidownload aus dem Web. Es unterstützt HTTPS, FTPS und Proxys.

Der Linux-Agent verwendet das Linux Audit Daemon-Framework. Defender für Cloud integriert Funktionen dieses Frameworks im Log Analytics-Agent, wodurch Überwachungsdatensätze mithilfe des Log Analytics-Agents für Linux erfasst, erweitert und in Ereignissen aggregiert werden können. In Defender für Cloud werden ständig neue Analysen hinzugefügt, die Linux-Signale verwenden, um schädliches Verhalten auf cloudbasierten und lokalen Linux-Computern zu erkennen.

Eine Liste der Linux-Warnungen finden Sie in der Referenztabelle der Warnungen.

Installieren des Linux-Agents

Führen Sie die folgenden Schritte aus, um den Agent auf den Linux-Zielcomputern zu installieren:

  1. Öffnen Sie auf dem Linux-Computer die Datei, die Sie zuvor gespeichert haben. Wählen Sie den gesamten Inhalt aus, und kopieren Sie ihn. Öffnen Sie eine Terminalkonsole, und fügen Sie den Befehl dann ein.
  2. Nachdem die Installation abgeschlossen ist, können Sie überprüfen, ob omsagent installiert ist, indem Sie den Befehl pgrep ausführen. Der Befehl gibt die PID (Prozess-ID) von omsagent zurück. Die Protokolle für den Agent befinden sich unter /var/opt/microsoft/omsagent/“Arbeitsbereichs-ID“/log/ .

Es kann bis zu 30 Minuten dauern, bis der neue Linux-Computer in Defender für Cloud angezeigt wird.

Aktivieren der Überwachung von Azure Stack-VMs durch Microsoft Defender für Cloud

Nachdem Sie das Onboarding Ihres Azure-Abonnements durchgeführt haben, können Sie Microsoft Defender für Cloud zum Schützen Ihrer in Azure Stack ausgeführten VMs einrichten, indem Sie die VM-Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung aus dem Azure Stack-Marketplace hinzufügen. Dazu ist Folgendes erforderlich:

  1. Kehren Sie zur Registerkarte Erste Schritte zurück, wie zuvor beschrieben.
  2. Wählen Sie unter Neue Nicht-Azure-Computer hinzufügen die Option Konfigurieren aus. Eine Liste Ihrer Log Analytics-Arbeitsbereiche wird angezeigt und sollte den von Ihnen erstellten Defender für Cloud-SentinelWorkspace enthalten.
  3. Auf dem Blatt Direkt-Agent ist ein Link zum Herunterladen des Agents und der Schlüssel für Ihre Arbeitsbereich-ID zur Verwendung während der Agent-Konfiguration vorhanden. Sie müssen den Agent nicht manuell herunterladen. Er wird in den folgenden Schritten als VM-Erweiterung installiert.
  4. Klicken Sie rechts neben Arbeitsbereichs-ID auf Kopieren, und fügen Sie die ID dann in den Editor ein.
  5. Wählen Sie rechts neben Primärschlüssel die Option Kopieren aus, und fügen Sie den Schlüssel dann in den Editor ein.

Aktivieren der Überwachung von Azure Stack-VMs durch Defender für Cloud

In Microsoft Defender für Cloud wird die VM-Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung gebündelt mit Azure Stack verwendet. Führen Sie die folgenden Schritte aus, um die Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung zu aktivieren:

  1. Melden Sie sich auf einer neuen Browserregisterkarte am Azure Stack-Portal an.
  2. Wechseln Sie zur Seite Virtuelle Computer, und wählen Sie dann die VM aus, die mit Defender für Cloud geschützt werden soll.
  3. Wählen Sie Erweiterungen. Die Liste der auf dieser VM installierten VM-Erweiterungen wird angezeigt.
  4. Wählen Sie die Registerkarte Hinzufügen aus. Das Menüblatt Neue Ressource wird geöffnet und zeigt die Liste der verfügbaren VM-Erweiterungen an.
  5. Wählen Sie die Erweiterung Azure Monitor, Update- und Konfigurationsverwaltung aus, und wählen Sie dann Erstellen aus. Das Konfigurationsblatt Erweiterung installieren wird geöffnet.
  6. Fügen Sie auf dem Konfigurationsblatt Erweiterung installieren die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie im vorherigen Schritt in Editor kopiert haben.
  7. Nachdem Sie die erforderlichen Konfigurationseinstellungen angegeben haben, wählen Sie OK aus.
  8. Nach Abschluss der Erweiterungsinstallation wird die Erweiterung mit dem Status Bereitstellung erfolgreich angezeigt. Es kann bis zu einer Stunde dauern, bis die VM auf dem Defender für Cloud-Portal angezeigt wird.

Weitere Informationen zum Installieren und Konfigurieren des Agents für Windows finden Sie unter Installieren des Agents mithilfe des Setup-Assistenten.

Informationen zur Behebung von Problemen mit dem Linux-Agent finden Sie unter Beheben von Problemen mit dem Log Analytics-Agent für Linux.

Jetzt können Sie Ihre Azure-VMs und Nicht-Azure-Computer zentral überwachen. Azure Compute bietet einen Überblick über alle VMs und Computer zusammen mit Empfehlungen. Jede Spalte stellt einen Satz von Empfehlungen dar, und die Farben zeigen die VMs oder Computer sowie den aktuellen Sicherheitsstatus für diese Empfehlung an. Außerdem werden in Defender für Cloud Sicherheitswarnungen mit allen erkannten Bedrohungen für diese Computer angezeigt. Defender for Cloud list of systems monitored on the Compute blade

Auf dem Blatt Compute werden zwei Arten von Symbolen dargestellt:

Purple computer icon that represents a non-azure monitored computer Nicht-Azure-Computer

Blue terminal icon that represents an Azure monitored computer Azure-Computer

Hinweis

Teil zwei der Referenzarchitektur verbindet Warnungen von Microsoft Defender für Cloud und streamt sie an Microsoft Sentinel.

Die Rolle von Microsoft Sentinel besteht darin, Daten aus verschiedenen Datenquellen zu erfassen und quellenübergreifend zu korrelieren. Microsoft Sentinel nutzt maschinelles Lernen und KI, um Bedrohungsbekämpfung, Warnungserkennung und Reaktionen auf Bedrohungen intelligenter zu gestalten.

Zum Durchführen des Onboardings von Microsoft Sentinel müssen Sie Microsoft Sentinel zuerst aktivieren und dann eine Verbindung mit Ihren Datenquellen herstellen. Microsoft Sentinel enthält eine Reihe von Connectors für Microsoft-Lösungen, die vorkonfiguriert verfügbar sind und Echtzeitintegration bieten, darunter beispielsweise Microsoft Defender for Cloud, Microsoft Threat Protection-Lösungen, Microsoft 365-Quellen (darunter Office 365), Microsoft Entra ID, Microsoft Defender for Servers oder Microsoft Defender for Cloud Apps. Außerdem stehen integrierte Connectors für Sicherheitslösungen von anderen Anbietern als Microsoft zur Verfügung. Sie können auch Common Event Format (CEF), Syslog oder eine REST-API verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Anforderungen für die Integration von Microsoft Sentinel mit Microsoft Defender für Cloud

  1. Ein Microsoft Azure-Abonnement.
  2. Ein Log Analytics-Arbeitsbereich, der nicht der beim Aktivieren von Microsoft Defender für Cloud erstellte Standardarbeitsbereich ist.
  3. Microsoft Defender für Cloud.

Wenn Sie den vorherigen Abschnitt durchgearbeitet haben, sollten alle drei Anforderungen erfüllt sein.

Globale Voraussetzungen

  • Für das Abonnement, in dem sich der Microsoft Sentinel-Arbeitsbereich befindet, benötigen Sie die Berechtigungen für Mitwirkende, um Microsoft Sentinel zu aktivieren.
  • Für die Ressourcengruppe, zu der der Arbeitsbereich gehört, benötigen Sie Berechtigungen für Mitwirkende oder für Leser, um Microsoft Sentinel zu verwenden.
  • Möglicherweise benötigen Sie zusätzliche Berechtigungen, um eine Verbindung mit bestimmten Datenquellen herzustellen. Sie benötigen keine zusätzlichen Berechtigungen, um eine Verbindung mit Defender für Cloud herzustellen.
  • Microsoft Sentinel ist ein kostenpflichtiger Dienst. Weitere Informationen finden Sie unter Preise für Microsoft Sentinel.

Aktivieren von Microsoft Sentinel

  1. Melden Sie sich am Azure-Portal als ein Benutzer an, der über die Berechtigung „Mitwirkender“ für Defender für Cloud-SentinelWorkspace verfügt.
  2. Suchen Sie nach Microsoft Sentinel, und wählen Sie diese Lösung aus. In the Azure portal search for the term
  3. Klicken Sie auf Hinzufügen.
  4. Wählen Sie auf dem Blatt Microsoft Sentinel die Option Defender für Cloud-SentinelWorkspace aus.
  5. Wählen Sie in Microsoft Sentinel im Navigationsmenü die Option Datenconnectors aus.
  6. Wählen Sie im Datenconnector-Katalog Microsoft Defender für Cloudund dann die Schaltfläche Connectorseite öffnen aus. In Microsoft Sentinel showing the open Collectors page
  7. Wählen Sie unter Konfiguration die Option Verbinden neben den Abonnements aus, für die Warnungen zu Microsoft Sentinel gestreamt werden sollen. Die Schaltfläche Verbinden ist nur verfügbar, wenn Sie über die erforderlichen Berechtigungen und das Defender für Cloud-Abonnement verfügen.
  8. Der Verbindungsstatus sollte nun Wird verbunden lauten. Nachdem die Verbindung hergestellt wurde, wechselt er in Verbunden.
  9. Nachdem Sie die Konnektivität bestätigt haben, können Sie die Datenconnector-Einstellungen von Defender für Cloud schließen und die Seite aktualisieren, um Warnungen in Microsoft Sentinel zu beobachten. Möglicherweise dauert es eine Weile, bis die Protokollsynchronisierung mit Microsoft Sentinel beginnt. Nachdem Sie die Verbindung hergestellt haben, sehen Sie eine Datenzusammenfassung im Diagramm „Empfangene Daten“ und den Verbindungsstatus der Datentypen.
  10. Sie können auswählen, ob die Warnungen von Microsoft Defender für Cloud automatisch Vorfälle in Microsoft Sentinel generieren sollen. Wählen Sie unter Incidents erstellen die Option Aktiviert aus, um die Standardanalyseregel zu aktivieren, durch die aus Warnungen automatisch Incidents erstellt werden. Anschließend können Sie diese Regel unter Analytics auf der Registerkarte Aktive Regeln bearbeiten.
  11. Suchen Sie nach SecurityAlert, um das relevante Schema für die Microsoft Defender für Cloud-Warnungen in Log Analytics zu verwenden.

Ein Vorteil der Verwendung von Microsoft Sentinel als SIEM besteht darin, dass Datenkorrelationen über mehrere Quellen hinweg ermöglicht werden, wodurch Sie eine End-to-End-Sichtbarkeit der sicherheitsbezogenen Ereignisse Ihrer Organisation erhalten.

Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

  • Schnellstart: Erste Schritte mit Microsoft Sentinel
  • Tutorial: Standardmäßig verfügbare Erkennung von Bedrohungen

Nächste Schritte

Azure Monitor

Microsoft Defender für Cloud

Microsoft Sentinel

Azure Stack