Sammeln von Daten aus Ihren Workloads mit dem Log Analytics-Agent

Konfigurieren von Log Analytics-Agent und -Arbeitsbereichen

Wenn der Log Analytics-Agent aktiviert ist, stellt Defender for Cloud den Agent auf allen unterstützten und neu erstellten Azure-VMs bereit. Eine Liste der unterstützten Plattformen finden Sie unter Unterstützte Plattformen in Microsoft Defender für Cloud.

So konfigurieren Sie die Integration mit dem Log Analytics-Agent:

1. Öffnen Sie im Menü von Defender für Cloud Umgebungseinstellungen.

2. Wählen Sie das relevante Abonnement aus.

3. Wählen Sie in der Spalte für die Überwachungsabdeckung der Defender-Pläne die Option Einstellungen aus.

4. Definieren Sie im Bereich mit den Konfigurationsoptionen den zu verwendenden Arbeitsbereich.

   

   • Azure-VMs mit den von Defender for Cloud erstellten Standardarbeitsbereichen verbinden: Defender for Cloud erstellt eine neue Ressourcengruppe und einen Standardarbeitsbereich am selben geografischen Standort und verbindet den Agent mit diesem Arbeitsbereich. Wenn ein Abonnement VMs an mehreren geografischen Standorten enthält, erstellt Defender für Cloud mehrere Arbeitsbereiche, um die Einhaltung der Datenschutzanforderungen sicherzustellen.

     Für den Arbeitsbereich und die Ressourcengruppe gilt folgende Namenskonvention:

     • Arbeitsbereich: DefaultWorkspace-[Abonnement-ID]-[Region]
     • Ressourcengruppe: DefaultResourceGroup-[Region]

     Eine Lösung mit Defender für Cloud wird automatisch für den Arbeitsbereich nach dem für das Abonnement festgelegten Tarif aktiviert.

     Tipp

     Falls Sie Fragen zu Standardarbeitsbereichen haben, finden Sie hier weitere Informationen:

     • Werden mir die Azure Monitor-Protokolle für die von Defender für Cloud erstellten Arbeitsbereiche in Rechnung gestellt?
     • Wo wird der standardmäßige Log Analytics-Arbeitsbereich erstellt?
     • Kann ich die von Defender für Cloud erstellten Standardarbeitsbereiche löschen?

   • Azure-VMs mit einem anderen Arbeitsbereich verbinden: Wählen Sie in der Dropdownliste den Arbeitsbereich aus, in dem die gesammelten Daten gespeichert werden sollen. Die Dropdownliste enthält sämtliche Arbeitsbereiche für alle Ihrer Abonnements. Sie können diese Option verwenden, um Daten von VMs zu sammeln, die in anderen Abonnements ausgeführt werden, und sie im ausgewählten Arbeitsbereich zu speichern.

     Wenn Sie bereits über einen vorhandenen Log Analytics-Arbeitsbereich verfügen, können Sie diesen verwenden (erfordert Lese- und Schreibberechtigungen für den Arbeitsbereich). Diese Option ist hilfreich, wenn Sie einen zentralen Arbeitsbereich in Ihrer Organisation verwenden und diesen für die Sammlung von Sicherheitsdaten verwenden möchten. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Protokolldaten und Arbeitsbereiche in Azure Monitor.

     Wenn für den ausgewählten Arbeitsbereich bereits eine Security- oder SecurityCenterFree-Lösung aktiviert ist, werden die Preise automatisch festgelegt. Falls nicht, installieren Sie eine Defender für Cloud-Lösung im Arbeitsbereich:

     1. Öffnen Sie im Menü von Defender für Cloud Umgebungseinstellungen.
     2. Wählen Sie den Arbeitsbereich aus, mit dem die Agents verbunden werden sollen.
     3. Legen Sie die Sicherheitsstatusverwaltung auf ein fest, oder wählen Sie Alle aktivieren aus, um alle Microsoft Defender-Pläne zu aktivieren.

5. Wählen Sie in der Konfiguration der sicherheitsrelevanten Windows-Ereignisse die Menge an unformatierten Ereignisdaten aus, die Sie speichern möchten:

   • Keine: deaktiviert die Speicherung von Sicherheitsereignissen. (Standardwert)
   • Minimal: speichert eine kleine Gruppe von Ereignissen. Verwenden Sie diese Option, wenn Sie das Ereignisvolumen minimieren möchten.
   • Allgemein: speichert eine Gruppe von Ereignissen, die die Anforderungen der meisten Kunden erfüllt und einen vollständigen Überwachungspfad bietet.
   • Alle Ereignisse: für Kunden, die alle Ereignisse speichern möchten.

   Tipp

   Informationen zum Festlegen dieser Optionen auf der Arbeitsbereichsebene finden Sie unter Festlegen der Option für sicherheitsrelevante Ereignisse auf der Arbeitsbereichsebene.

   Weitere Informationen zu diesen Optionen finden Sie unter Optionen für sicherheitsrelevante Windows-Ereignisse für den Log Analytics-Agent.

6. Klicken Sie im Konfigurationsbereich auf Übernehmen.

Optionen für sicherheitsrelevante Windows-Ereignisse für den Log Analytics-Agent

Wenn Sie eine Datensammlungsebene in Microsoft Defender für Cloud auswählen, werden die sicherheitsrelevanten Ereignisse der ausgewählten Ebene in Ihrem Log Analytics-Arbeitsbereich gespeichert, sodass Sie die Ereignisse in Ihrem Arbeitsbereich untersuchen, durchsuchen und überwachen können. Der Log Analytics-Agent sammelt und analysiert auch die sicherheitsrelevanten Ereignisse, die für den Bedrohungsschutz von Defender für Cloud erforderlich sind.

Requirements (Anforderungen)

Der erhöhte Sicherheitsschutz von Defender für Cloud ist für die Speicherung von Windows-Sicherheitsereignisdaten erforderlich. Erfahren Sie mehr über die Pläne für erhöhten Schutz.

Möglicherweise wird Ihnen das Speichern von Daten in Log Analytics in Rechnung gestellt. Weitere Informationen hierzu finden Sie in der Preisübersicht.

Informationen für Microsoft Sentinel-Benutzer

Die Sammlung sicherheitsrelevanter Ereignisse im Kontext eines einzelnen Arbeitsbereichs kann entweder von Microsoft Defender für Cloud oder Microsoft Sentinel aus konfiguriert werden, aber nicht von beiden. Sie haben zwei Möglichkeiten, Microsoft Sentinel einem Arbeitsbereich hinzuzufügen, der bereits Warnungen von Microsoft Defender für Cloud erhält, und zum Erfassen sicherheitsrelevanter Ereignisse:

• Lassen Sie die Sammlung von sicherheitsrelevanten Ereignissen in Microsoft Defender für Cloud unverändert. Sie können diese Ereignisse in Microsoft Sentinel und in Defender für Cloud abfragen und analysieren. Wenn Sie den Konnektivitätsstatus des Connectors überwachen oder seine Konfiguration in Microsoft Sentinel ändern möchten, sollten Sie die zweite Option in Betracht ziehen.
• Deaktivieren Sie die Sammlung sicherheitsrelevanter Ereignisse in Microsoft Defender für Cloud, und fügen Sie dann den Connector „Sicherheitsereignisse“ in Microsoft Sentinel hinzu. Sie können Ereignisse sowohl in Microsoft Sentinel als auch in Defender für Cloud abfragen und analysieren, aber auch in Microsoft Sentinel – und nur dort – den Verbindungsstatus des Connectors überwachen und dessen Konfiguration ändern. Um die Sammlung sicherheitsrelevanter Ereignisse in Defender für Cloud zu deaktivieren, legen Sie in der Konfiguration Ihres Log Analytics-Agents für Sicherheitsrelevante Windows-Ereignisse die Option Keine fest.

Welche Ereignistypen werden für die Einstellungen „Allgemein“ und „Minimal“ gespeichert?

Die Allgemein- und Minimal-Ereignissätze wurden entwickelt, um typische Szenarien basierend auf Kunden- und Branchenstandards für die ungefilterte Häufigkeit der einzelnen Ereignisse und ihrer Verwendung zu behandeln.

• Minimal: Dieser Satz soll nur Ereignisse abdecken, die auf eine erfolgreiche Verletzung und wichtige Ereignisse mit geringem Volumen hinweisen können. Bei dem Großteil des Datenvolumens dieses Satzes handelt es sich um erfolgreiche Benutzeranmeldeereignisse (Ereignis-ID 4624), nicht erfolgreiche Benutzeranmeldeereignisse (Ereignis-ID 4625) und Prozesserstellungsereignisse (Ereignis-ID 4688). Abmeldeereignisse sind nur für die Überwachung wichtig und haben ein relativ hohes Volumen, sodass sie in diesem Ereignissatz nicht enthalten sind.
• Allgemein: Dieser Satz soll einen vollständigen Benutzerüberwachungspfad einschließlich Ereignissen mit geringem Volumen bereitstellen. Dieser Satz enthält beispielsweise sowohl Benutzeranmeldungsereignisse (Ereignis-ID 4624) als auch Benutzerabmeldungsereignisse (Ereignis-ID 4634). Wir schließen Überwachungsaktionen wie Sicherheitsgruppenänderungen, wichtige Domänencontroller-Kerberos-Vorgänge und andere Ereignisse ein, die von Branchenorganisationen empfohlen werden.

Im Anschluss finden Sie eine vollständige Aufschlüsselung der Sicherheits- und AppLocker-Ereignis-IDs für die einzelnen Sätze:

Datenschicht	Indikatoren für gesammelte Ereignisse
Wenig	1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
	4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Allgemein	1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
	4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
	4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
	4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
	4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
	4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
	6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Hinweis

• Wenn Sie ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) verwenden, wird empfohlen, das Überwachungsrichtlinien-Prozesserstellungsereignis 4688 und das Feld CommandLine im Ereignis 4688 zu aktivieren. Weitere Informationen zum Prozesserstellungsereignis 4688 finden Sie in den häufigen Fragen zu Defender for Cloud. Weitere Informationen zu diesen Überwachungsrichtlinien finden Sie unter Empfehlungen zur Überwachungsrichtlinie.
• Zum Aktivieren der Datensammlung für Adaptive Anwendungssteuerungen konfiguriert Defender für Cloud eine lokale AppLocker-Richtlinie im Überwachungsmodus, um alle Anwendungen zuzulassen. Diese bewirkt, dass AppLocker Ereignisse generiert, die dann von Defender für Cloud gesammelt und genutzt werden. Es ist wichtig zu beachten, dass diese Richtlinie nicht auf Computern konfiguriert wird, auf denen bereits eine AppLocker-Richtlinie konfiguriert ist.
• Zum Erfassen von Ereignis-ID 5156 der Windows-Filterplattform müssen Sie Filterplattformverbindung überwachen aktivieren (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable).

Festlegen der Option für sicherheitsrelevante Ereignisse auf der Arbeitsbereichsebene

Sie können die Ebene der Daten, die zu sicherheitsrelevanten Ereignissen gespeichert werden sollen, auf der Arbeitsbereichsebene definieren.

1. Wählen Sie im Azure-Portal im Menü von Defender für Cloud Umgebungseinstellungen aus.

2. Wählen Sie den relevanten Arbeitsbereich aus. Die einzigen Datensammlungsereignisse für einen Arbeitsbereich sind die auf dieser Seite beschriebenen sicherheitsrelevanten Windows-Ereignisse.

   

3. Wählen Sie die Menge zu speichernder Rohereignisdaten aus, und klicken Sie auf Speichern.

Manuelle Agent-Bereitstellung

So installieren Sie den Log Analytics-Agent manuell:

1. Navigieren Sie im Azure-Portal zur Seite mit den Microsoft Defender for Cloud-Umgebungseinstellungen.

2. Wählen Sie das relevante Abonnement und dann Einstellungen & Überwachung aus.

3. Deaktivieren Sie den Log Analytics-Agent/Azure Monitor-Agent.

   

4. Erstellen Sie optional einen Arbeitsbereich.

5. Aktivieren Sie Microsoft Defender für Cloud für den Arbeitsbereich, in dem Sie den Log Analytics-Agent installieren:

   1. Öffnen Sie im Menü von Defender für Cloud Umgebungseinstellungen.

   2. Legen Sie den Arbeitsbereich fest, für den Sie den Agent installieren. Stellen Sie sicher, dass sich der Arbeitsbereich im gleichen Abonnement befindet, das Sie in Defender für Cloud verwenden, und dass Sie über Lese-/Schreibberechtigungen für den Arbeitsbereich verfügen.

   3. Wählen Sie eine oder beide der Optionen „Server“ oder „SQL-Server auf Computern“ aus („Grundlegendes CSPM“ ist der kostenlose Standard), und wählen Sie dann Speichern aus.

      

      Hinweis

      Wenn für den Arbeitsbereich bereits eine Security- oder SecurityCenterFree-Lösung aktiviert ist, werden die Preise automatisch festgelegt.

6. Wenn Sie Agents mithilfe einer Resource Manager-Vorlage auf neuen VMs bereitstellen möchten, installieren Sie den Log Analytics-Agent:

   • Installieren des Log Analytics-Agents für Windows
   • Installieren des Log Analytics-Agents für Linux

7. Folgen Sie zum Bereitstellen von Agents auf Ihren vorhandenen VMs den Anweisungen unter Sammeln von Daten von einem virtuellen Azure-Computer mit Azure Monitor (der Abschnitt Sammeln von Ereignis- und Leistungsdaten ist optional).

8. Wenn Sie die Agents mithilfe von PowerShell bereitstellen möchten, folgen Sie den Anweisungen in der Dokumentation zu VMs:

   • Für Windows-Computer
   • Für Linux-Computer

Tipp

Weitere Informationen zum Onboarding finden Sie unter Automatisieren des Onboardings von Microsoft Defender für Cloud mithilfe von PowerShell.

So deaktivieren Sie Überwachungskomponenten:

• Wechseln Sie zu den Defender-Plänen, deaktivieren Sie den Plan, der die Erweiterung verwendet, und wählen Sie Speichern aus.
• Wechseln Sie für Defender-Pläne mit Überwachungseinstellungen zu den Einstellungen des Defender-Plans, deaktivieren Sie die Erweiterung, und wählen Sie Speichern aus.

Hinweis

• Durch das Deaktivieren von Erweiterungen werden die Erweiterungen nicht aus den betroffenen Workloads entfernt.
• Informationen zum Entfernen der OMS-Erweiterung finden Sie unter Wie entferne ich durch Defender für Cloud installierte OMS-Erweiterungen?.