Häufig gestellte Fragen: Datensammlung, Agents und ArbeitsbereicheFAQ - Questions about data collection, agents, and workspaces

Security Center erfasst Daten von Ihren virtuellen Azure-Computern (virtual machines, VMs), VM-Skalierungsgruppen, IaaS-Containern und Azure-fremden Computern (auch lokal), um sie auf Sicherheitslücken und Bedrohungen zu überwachen.Security Center collects data from your Azure virtual machines (VMs), Virtual machine scale sets, IaaS containers, and non-Azure computers (including on-premises machines) to monitor for security vulnerabilities and threats. Die Daten werden mit dem Log Analytics-Agent erfasst. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Arbeitsbereich.Data is collected using the Log Analytics agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis.

Werden mir die Azure Monitor-Protokolle auf den von Security Center erstellten Arbeitsbereiche in Rechnung gestellt?Am I billed for Azure Monitor logs on the workspaces created by Security Center?

Nein.No. Von Security Center erstellte Arbeitsbereiche sind zwar für die knotenbasierte Abrechnung von Azure Monitor-Protokollen konfiguriert, es fallen jedoch keine Kosten für Azure Monitor-Protokolle an.Workspaces created by Security Center, while configured for Azure Monitor logs per node billing, don't incur Azure Monitor logs charges. Die Abrechnung von Security Center basiert immer auf Ihrer Security Center-Sicherheitsrichtlinie und den installierten Lösungen in einem Arbeitsbereich:Security Center billing is always based on your Security Center security policy and the solutions installed on a workspace:

  • Free-Tarif: Security Center aktiviert die Lösung „SecurityCenterFree“ im Standardarbeitsbereich.Free tier – Security Center enables the 'SecurityCenterFree' solution on the default workspace. Für den Free-Tarif entstehen keine Kosten.You won't be billed for the Free tier.

  • Standard-Tarif: Security Center aktiviert die Lösung „Security“ im Standardarbeitsbereich.Standard tier – Security Center enables the 'Security' solution on the default workspace.

Weitere Informationen zu Preisen finden Sie unter Security Center – Preise.For more information on pricing, see Security Center pricing.

Hinweis

Der Protokollanalyse-Tarif von Arbeitsbereichen, die von Security Center erstellt wurden, hat keine Auswirkungen auf die Security Center-Abrechnung.The log analytics pricing tier of workspaces created by Security Center does not affect Security Center billing.

Hinweis

Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen.This article was recently updated to use the term Azure Monitor logs instead of Log Analytics. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert.Log data is still stored in a Log Analytics workspace and is still collected and analyzed by the same Log Analytics service. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen.We are updating the terminology to better reflect the role of logs in Azure Monitor. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.See Azure Monitor terminology changes for details.

Was ist der Log Analytics-Agent?What is the Log Analytics agent?

Zur Überwachung auf Sicherheitsrisiken und Bedrohungen ist Azure Security Center vom Log Analytics-Agent abhängig. Dieser Agent wird auch vom Azure Monitor-Dienst verwendet.To monitor for security vulnerabilities and threats, Azure Security Center depends on the Log Analytics Agent - this is the same agent used by the Azure Monitor service.

Der Agent wird manchmal als Microsoft Monitoring Agent (oder „MMA“ bezeichnet) bezeichnet.The agent is sometimes referred to as the Microsoft Monitoring Agent (or "MMA").

Der Agent sammelt verschiedene sicherheitsrelevante Konfigurationsdetails und Ereignisprotokolle von verbundenen Computern und kopiert die Daten zur weiteren Analyse in den Log Analytics-Arbeitsbereich.The agent collects various security-related configuration details and event logs from connected machines, and then copies the data to your Log Analytics workspace for further analysis. Beispiele für Daten dieser Art: Betriebssystemtyp und -version, Betriebssystemprotokolle (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen und angemeldeter Benutzer.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, and logged in user.

Stellen Sie sicher, dass auf ihren Computern eines der unterstützten Betriebssysteme für den Agent ausgeführt wird, wie auf den folgenden Seiten beschrieben:Ensure your machines are running one of the supported operating systems for the agent as described on the following pages:

Weitere Informationen zu denvom Log Analytics-Agent gesammelten Daten.Learn more about the data collected by the Log Analytics agent.

Wann kommt eine VM für die automatische Bereitstellung der Log Analytics-Agent-Installation infrage?What qualifies a VM for automatic provisioning of the Log Analytics agent installation?

Windows- oder Linux-IaaS-VMs kommen unter folgenden Voraussetzungen infrage:Windows or Linux IaaS VMs qualify if:

  • Die Log Analytics-Agent-Erweiterung ist derzeit nicht auf der VM installiert.The Log Analytics agent extension is not currently installed on the VM.
  • Die VM wird ausgeführt.The VM is in running state.
  • Der Azure-VM-Agent für Windows oder Linux ist installiert.The Windows or Linux Azure Virtual Machine Agent is installed.
  • Die VM wird nicht als Appliance wie z.B. Webanwendungsfirewall oder Firewall der nächsten Generation verwendet.The VM is not used as an appliance such as web application firewall or next generation firewall.

Wo wird der standardmäßige Log Analytics-Arbeitsbereich erstellt?Where is the default Log Analytics workspace created?

Der Speicherort des standardmäßigen Arbeitsbereichs hängt von Ihrer Azure-Region ab:The location of the default workspace depends on your Azure region:

  • Bei virtuellen Computern in den USA und Brasilien befindet sich der Arbeitsbereich in den USA.For VMs in the United States and Brazil the workspace location is the United States
  • Bei virtuellen Computern in Kanada befindet sich der Arbeitsbereich in Kanada.For VMs in Canada, the workspace location is Canada
  • Bei virtuellen Computern in Europa befindet sich der Arbeitsbereich in Europa.For VMs in Europe the workspace location is Europe
  • Bei virtuellen Computern in Großbritannien befindet sich der Arbeitsbereich in Großbritannien.For VMs in the UK the workspace location is the UK
  • Bei virtuellen Computern in „Asien, Osten“ und „Asien, Südosten“ befindet sich der Arbeitsbereich in Asien.For VMs in East Asia and Southeast Asia the workspace location is Asia
  • Bei virtuellen Computern in Korea befindet sich der Arbeitsbereich in Korea.For VMs in Korea, the workspace location is Korea
  • Bei virtuellen Computern in Indien befindet sich der Arbeitsbereich in Indien.For VMs in India, the workspace location is India
  • Bei virtuellen Computern in Japan befindet sich der Arbeitsbereich in Japan.For VMs in Japan, the workspace location is Japan
  • Bei virtuellen Computern in China befindet sich der Arbeitsbereich in China.For VMs in China, the workspace location is China
  • Bei virtuellen Computern in Australien befindet sich der Arbeitsbereich in Australien.For VMs in Australia, the workspace location is Australia

Welche Daten erfasst der Log Analytics-Agent?What data is collected by the Log Analytics agent?

Eine vollständige Liste der vom Agent überwachten Anwendungen und Dienste finden Sie unter Was wird von Azure Monitor überwacht?.For a full list of the applications and services monitored by the agent, see What is monitored by Azure Monitor?.

Wichtig

Wenn Sie die Protokollierung aktiviert und eine sehr aktive Ressource zum Protokollieren ausgewählt haben (z. B. das Protokoll auf ausführlich festgelegt haben), könnte dies bei einigen Diensten wie Azure-Firewall erhebliche Auswirkungen auf die Speicheranforderungen Ihres Log Analytics-Arbeitsbereichs haben.Note that for some services, such as Azure Firewall, if you have enabled logging and chosen a chatty resource to log (for example, setting the log to verbose) you may see significant impacts on your Log Analytics workspace storage needs.

Kann ich die von Security Center erstellten Standardarbeitsbereiche löschen?Can I delete the default workspaces created by Security Center?

Das Löschen des Standardarbeitsbereichs wird nicht empfohlen.Deleting the default workspace is not recommended. Security Center verwendet die Standardarbeitsbereiche, um Sicherheitsdaten Ihrer virtuellen Computer zu speichern.Security Center uses the default workspaces to store security data from your VMs. Wenn Sie einen Arbeitsbereich löschen, kann Security Center diese Daten nicht erfassen, und einige Sicherheitsempfehlungen und Warnungen sind nicht verfügbar.If you delete a workspace, Security Center is unable to collect this data and some security recommendations and alerts are unavailable.

Entfernen Sie zur Wiederherstellung den Log Analytics-Agent auf den VMs, die mit dem gelöschten Arbeitsbereich verbunden sind.To recover, remove the Log Analytics agent on the VMs connected to the deleted workspace. Security Center installiert den Agent erneut und erstellt neue Standardarbeitsbereiche.Security Center reinstalls the agent and creates new default workspaces.

Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden?How can I use my existing Log Analytics workspace?

Sie können einen vorhandenen Log Analytics-Arbeitsbereich zum Speichern der von Security Center gesammelten Daten auswählen.You can select an existing Log Analytics workspace to store data collected by Security Center. Wenn Sie Ihren vorhandenen Log Analytics-Arbeitsbereich verwenden möchten, gilt Folgendes:To use your existing Log Analytics workspace:

  • Der Arbeitsbereich muss Ihrem ausgewählten Azure-Abonnement zugeordnet sein.The workspace must be associated with your selected Azure subscription.
  • Sie müssen mindestens über Leseberechtigungen verfügen, um auf den Arbeitsbereich zugreifen zu können.At a minimum, you must have read permissions to access the workspace.

So wählen Sie einen vorhandenen Log Analytics-Arbeitsbereich aus:To select an existing Log Analytics workspace:

  1. Wählen Sie unter Sicherheitsrichtlinie – Datensammlung die Option Use another workspace (Anderen Arbeitsbereich verwenden) aus.Under Security policy – Data Collection, select Use another workspace.

    Verwenden eines anderen Arbeitsbereichs

  2. Wählen Sie im Pulldownmenü einen Arbeitsbereich zum Speichern der gesammelten Daten aus.From the pull-down menu, select a workspace to store collected data.

    Hinweis

    Das Pulldownmenü enthält nur Arbeitsbereiche, auf die Sie Zugriff haben und die sich in Ihrem Azure-Abonnement befinden.In the pull down menu, only workspaces that you have access to and are in your Azure subscription are shown.

  3. Wählen Sie Speichern aus.Select Save. Sie werden gefragt, ob Sie überwachte virtuelle Computer neu konfigurieren möchten.You will be asked if you would like to reconfigure monitored VMs.

    • Klicken Sie auf Nein, wenn die neuen Arbeitsbereichseinstellungen nur auf neue virtuelle Computer angewendet werden sollen.Select No if you want the new workspace settings to apply on new VMs only. Die neuen Arbeitsbereichseinstellungen gelten nur für neue Agent-Installationen (neu ermittelte virtuelle Computer, auf denen der Log Analytics-Agent nicht installiert ist).The new workspace settings only apply to new agent installations; newly discovered VMs that do not have the Log Analytics agent installed.
    • Klicken Sie auf Ja, wenn die neuen Arbeitsbereichseinstellungen auf alle virtuellen Computer angewendet werden sollen.Select Yes if you want the new workspace settings to apply on all VMs. Darüber hinaus wird jeder virtuelle Computer, der mit einem von Security Center erstellten Arbeitsbereich verbunden ist, nun mit dem neuen Zielarbeitsbereich verbunden.In addition, every VM connected to a Security Center created workspace is reconnected to the new target workspace.

    Hinweis

    Wenn Sie Ja auswählen, löschen Sie die von Security Center erstellten Arbeitsbereiche erst, wenn alle virtuellen Computer mit dem neuen Zielarbeitsbereich verbunden sind.If you select Yes, don't delete any workspaces created by Security Center until all VMs have been reconnected to the new target workspace. Dieser Vorgang ist nicht erfolgreich, wenn ein Arbeitsbereich zu früh gelöscht wird.This operation fails if a workspace is deleted too early.

    • Wenn Sie den Vorgang abbrechen möchten, klicken Sie auf Abbrechen.To cancel the operation, select Cancel.

Was passiert, wenn der Log Analytics-Agent bereits als Erweiterung auf der VM installiert wurde?What if the Log Analytics agent was already installed as an extension on the VM?

Wenn der Monitoring Agent als Erweiterung installiert ist, erlaubt die Konfiguration der Erweiterung auch Berichte an nur einen einzelnen Arbeitsbereich.When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Bereits vorhandene Verbindungen mit Benutzerarbeitsbereichen werden von Security Center nicht überschrieben.Security Center does not override existing connections to user workspaces. Security Center speichert Sicherheitsdaten eines virtuellen Computers in einem bereits verbundenen Arbeitsbereich, sofern darin die Lösung „Security“ oder „SecurityCenterFree“ installiert wurde.Security Center will store security data from a VM in a workspace that is already connected, provided that the "Security" or "SecurityCenterFree" solution has been installed on it. Security Center kann die Version der Erweiterung während dieses Vorgangs auf die neueste Version aktualisieren.Security Center may upgrade the extension version to the latest version in this process.

Weitere Informationen finden Sie unter Automatische Bereitstellung bei einer bereits vorhandenen Agent-Installation.For more information, see Automatic provisioning in cases of a pre-existing agent installation.

Was geschieht, wenn der Log Analytics-Agent direkt ist auf dem Computer installiert wird, jedoch nicht als Erweiterung (direkter Agent)?What if a Log Analytics agent is directly installed on the machine but not as an extension (Direct Agent)?

Wenn der Log Analytics-Agent direkt auf dem virtuellen Computer (also nicht als Azure-Erweiterung) installiert ist, installiert Security Center die Log Analytics-Agent-Erweiterung und aktualisiert den Log Analytics-Agent ggf. auf die neueste Version.If the Log Analytics agent is installed directly on the VM (not as an Azure extension), Security Center will install the Log Analytics agent extension, and may upgrade the Log Analytics agent to the latest version.

Der installierte Agent erstellt seine Berichte weiterhin für die bereits konfigurierten Arbeitsbereiche und darüber hinaus für den in Security Center konfigurierten Arbeitsbereich (Multi-Homing wird auf Windows-Computern unterstützt).The agent installed will continue to report to its already configured workspace(s), and in addition will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines).

Wenn der konfigurierte Arbeitsbereich ein Benutzerarbeitsbereich ist (nicht der Standardarbeitsbereich von Security Center), müssen Sie darin die Lösung „Security“ oder „SecurityCenterFree“ installieren, damit Security Center mit der Verarbeitung von Ereignissen von VMs und Computern, die ihre Berichte in diesem Arbeitsbereich erstellen, beginnen kann.If the configured workspace is a user workspace (not Security Center's default workspace), you will need to install the "Security/"SecurityCenterFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

Auf Linux-Computern wird das Multi-Homing von Agents noch nicht unterstützt, weshalb, wenn eine bestehende Agent-Installation erkannt wird, keine automatische Bereitstellung erfolgt und die Konfiguration des Computers nicht geändert wird.For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.

Wenn für vorhandene Computer in Abonnements, die vor dem 17. März 2019 in Security Center integriert wurden, ein vorhandener Agent erkannt wurde, wird die Log Analytics-Agent-Erweiterung nicht installiert, und der Computer ist nicht betroffen.For existing machines on subscriptions onboarded to Security Center before March 17 2019, when an existing agent will be detected, the Log Analytics agent extension will not be installed and the machine will not be affected. Für diese Computer wird die Empfehlung „Monitoring Agent-Integritätsprobleme auf Ihren Computern beheben“ angezeigt, damit Sie die Installationsprobleme des Agents auf diesen Computern beheben können.For these machines, see the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines

Weitere Informationen finden Sie im nächsten Abschnitt: Was geschieht, wenn ein System Center Operations Manager- oder OMS-Direkt-Agent bereits auf meiner VM installiert ist?For more information, see the next section What happens if a System Center Operations Manager or OMS direct agent is already installed on my VM?

Was, wenn auf meinem virtuellen Computer bereits ein System Center Operations Manager-Agent installiert ist?What if a System Center Operations Manager agent is already installed on my VM?

Security Center installiert die Log Analytics-Agent-Erweiterung zusätzlich zum vorhandenen System Center Operations Manager-Agent.Security center will install the Log Analytics agent extension side by side to the existing System Center Operations Manager agent. Der vorhandene Agent sendet weiterhin normal Berichte an den System Center Operations Manager-Server.The existing agent will continue to report to the System Center Operations Manager server normally. Beachten Sie, dass die vom Operations Manager-Agent und dem Log Analytics-Agent gemeinsam genutzten Laufzeitbibliotheken bei diesem Vorgang auf die neueste Version aktualisiert werden.Note that the Operations Manager agent and Log Analytics agent share common run-time libraries, which will be updated to the latest version during this process. Hinweis: Falls Version 2012 des Operations Manager-Agents installiert ist, aktivieren Sie die automatische Bereitstellung nicht (Verwaltungsfunktionen können verloren gehen, wenn der Operations Manager-Server auch Version 2012 aufweist).Note - If version 2012 of the Operations Manager agent is installed, do not turn on automatic provisioning (manageability capabilities can be lost when the Operations Manager server is also version 2012).

Was passiert, wenn ich diese Erweiterungen entferne?What is the impact of removing these extensions?

Wenn Sie die Microsoft Monitoring-Erweiterung entfernen, kann Security Center keine Sicherheitsdaten des virtuellen Computers erfassen, und einige Sicherheitsempfehlungen und Warnungen sind nicht verfügbar.If you remove the Microsoft Monitoring Extension, Security Center is not able to collect security data from the VM and some security recommendations and alerts are unavailable. Innerhalb von 24 Stunden erkennt Security Center, dass die Erweiterung auf dem virtuellen Computer fehlt, und installiert sie erneut.Within 24 hours, Security Center determines that the VM is missing the extension and reinstalls the extension.

Wie verhindere ich die automatische Agent-Installation und die Arbeitsbereicherstellung?How do I stop the automatic agent installation and workspace creation?

Sie können die automatische Bereitstellung für Ihre Abonnements in der Sicherheitsrichtlinie deaktivieren, dies wird jedoch nicht empfohlen.You can turn off automatic provisioning for your subscriptions in the security policy but this is not recommended. Die Deaktivierung der automatischen Bereitstellung schränkt die Empfehlungen und Warnungen von Security Center ein.Turning off automatic provisioning limits Security Center recommendations and alerts. So deaktivieren Sie die automatische Bereitstellung:To disable automatic provisioning:

  1. Wenn Ihr Abonnement für den Standard-Tarif konfiguriert ist, öffnen Sie die Sicherheitsrichtlinie für dieses Abonnement, und wählen Sie den Tarif Free aus.If your subscription is configured for the Standard tier, open the security policy for that subscription and select the Free tier.

    Tarif

  2. Deaktivieren Sie als Nächstes die automatische Bereitstellung, indem Sie auf der Seite Sicherheitsrichtlinie – Datensammlung auf Aus klicken.Next, turn off automatic provisioning by selecting Off on the Security policy – Data collection page. DatensammlungData collection

Sollte ich die automatische Agent-Installation und Arbeitsbereicherstellung deaktivieren?Should I opt out of the automatic agent installation and workspace creation?

Hinweis

Lesen Sie unbedingt die Abschnitte Welche Auswirkungen hat die Deaktivierung der automatischen Bereitstellung? und Welche Schritte werden bei Deaktivierung der automatischen Bereitstellung empfohlen?, falls Sie entscheiden, die automatische Bereitstellung zu deaktivieren.Be sure to review sections What are the implications of opting out? and recommended steps when opting out if you choose to opt out of automatic provisioning.

Möglicherweise möchten Sie die automatische Bereitstellung deaktivieren, wenn Folgendes auf Sie zutrifft:You may want to opt out of automatic provisioning if the following applies to you:

  • Die automatische Agent-Installation durch Security Center gilt für das gesamte Abonnement.Automatic agent installation by Security Center applies to the entire subscription. Sie können die automatische Installation nicht auf eine Teilmenge der VMs anwenden.You cannot apply automatic installation to a subset of VMs. Wenn wichtige VMs nicht mit dem Log Analytics-Agent installiert werden können, sollten Sie die automatische Bereitstellung deaktivieren.If there are critical VMs that cannot be installed with the Log Analytics agent, then you should opt out of automatic provisioning.

  • Die Installation der Log Analytics-Agent-Erweiterung aktualisiert die Agent-Version.Installation of the Log Analytics agent extension updates the agent's version. Dies gilt für einen direkten Agent und einen System Center Operations Manager-Agent (im letztgenannten teilen sich Operations Manager und der Log Analytics-Agent gemeinsame Laufzeitbibliotheken, die im Prozess aktualisiert werden).This applies to a direct agent and a System Center Operations Manager agent (in the latter, the Operations Manager and Log Analytics agent share common runtime libraries - which will be updated in the process). Wenn der installierte Operations Manager-Agent Version 2012 aufweist und aktualisiert wird, können Verwaltungsfunktionen verloren gehen, wenn die Version des Operations Manager-Servers ebenfalls 2012 ist.If the installed Operations Manager agent is version 2012 and is upgraded, manageability capabilities can be lost when the Operations Manager server is also version 2012. Erwägen Sie die Deaktivierung der automatischen Bereitstellung, wenn Sie Version 2012 des Operations Manager-Agents installiert haben.Consider opting out of automatic provisioning if the installed Operations Manager agent is version 2012.

  • Wenn Sie über einen benutzerdefinierten Arbeitsbereich außerhalb des Abonnements (einen zentralen Arbeitsbereich) verfügen, sollten Sie die automatische Bereitstellung deaktivieren.If you have a custom workspace external to the subscription (a centralized workspace), then you should opt out of automatic provisioning. Sie können die Log Analytics-Agent-Erweiterung manuell installieren und mit Ihrem Arbeitsbereich verbinden, ohne dass Security Center die Verbindung überschreibt.You can manually install the Log Analytics agent extension and connect it your workspace without Security Center overriding the connection.

  • Wenn Sie das Erstellen mehrerer Arbeitsbereiche pro Abonnement vermeiden möchten und innerhalb des Abonnements über Ihren eigenen benutzerdefinierten Arbeitsbereich verfügen, haben Sie zwei Optionen:If you want to avoid creation of multiple workspaces per subscription and you have your own custom workspace within the subscription, then you have two options:

    1. Sie können die automatische Bereitstellung deaktivieren.You can opt out of automatic provisioning. Legen Sie nach der Migration die standardmäßigen Arbeitsbereichseinstellungen wie in Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden? beschrieben fest.After migration, set the default workspace settings as described in How can I use my existing Log Analytics workspace?

    2. Alternativ können Sie zulassen, dass die Migration abgeschlossen, der Log Analytics-Agent auf den VMs installiert und die Verbindung der VMs mit dem erstellten Arbeitsbereich hergestellt wird.Or, you can allow the migration to complete, the Log Analytics agent to be installed on the VMs, and the VMs connected to the created workspace. Wählen Sie dann Ihren eigenen benutzerdefinierten Arbeitsbereich durch Einstellung der standardmäßigen Arbeitsbereichseinstellung mit Aktivierung zur Neukonfiguration der bereits installierten Agents.Then, select your own custom workspace by setting the default workspace setting with opting in to reconfiguring the already installed agents. Weitere Informationen finden Sie unter Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden?.For more information, see How can I use my existing Log Analytics workspace?

Welche Auswirkungen hat die Deaktivierung der automatischen Bereitstellung?What are the implications of opting out of automatic provisioning?

Wenn die Migration abgeschlossen ist, kann Security Center keine Sicherheitsdaten der VM erfassen, und einige Sicherheitsempfehlungen und Warnungen sind nicht verfügbar.When migration is complete, Security Center can't collect security data from the VM and some security recommendations and alerts are unavailable. Bei Deaktivierung installieren Sie den Log Analytics-Agent manuell.If you opt out, install the Log Analytics agent manually. Siehe Welche Schritte werden bei Deaktivierung der automatischen Bereitstellung empfohlen?.See recommended steps when opting out.

Damit Security Center Sicherheitsdaten auf virtuellen Computern erfassen und Empfehlungen und Warnungen bereitstellen kann, installieren Sie die Log Analytics-Agent-Erweiterung manuell.Manually install the Log Analytics agent extension so Security Center can collect security data from your VMs and provide recommendations and alerts. Eine Anleitung zur Installation finden Sie unter Agent-Installation für Windows-VM oder Agent-Installation für Linux-VM.See agent installation for Windows VM or agent installation for Linux VM for guidance on installation.

Sie können eine Verbindung des Agent zu jedem vorhandenen benutzerdefinierten Arbeitsbereich oder in Security Center erstellten Arbeitsbereich herstellen.You can connect the agent to any existing custom workspace or Security Center created workspace. Wenn in einem benutzerdefinierten Arbeitsbereich die Lösungen „Security“ oder „SecurityCenterFree“ nicht aktiviert sind, müssen Sie eine Lösung anwenden.If a custom workspace does not have the 'Security' or 'SecurityCenterFree' solutions enabled, then you will need to apply a solution. Wählen Sie zum Anwenden den benutzerdefinierten Arbeitsbereich oder das Abonnement aus, und wenden Sie einen Tarif über die Seite Sicherheitsrichtlinie – Tarif an.To apply, select the custom workspace or subscription and apply a pricing tier via the Security policy – Pricing tier page.

Tarif

Security Center aktiviert basierend auf dem ausgewählten Tarif die richtige Lösung im Arbeitsbereich.Security Center will enable the correct solution on the workspace based on the selected pricing tier.

Wie entferne ich durch Security Center installierte OMS-Erweiterungen?How do I remove OMS extensions installed by Security Center?

Sie können den Log Analytics-Agent manuell entfernen.You can manually remove the Log Analytics agent. Dies wird jedoch nicht empfohlen, da es die Empfehlungen und Warnungen von Security Center einschränkt.This is not recommended as it limits Security Center recommendations and alerts.

Hinweis

Bei aktivierter Datensammlung wird der Agent nach dem Entfernen erneut installiert.If data collection is enabled, Security Center will reinstall the agent after you remove it. Daher müssen Sie vor dem manuellen Entfernen des Agents die Datensammlung deaktivieren.You need to disable data collection before manually removing the agent. Die Anleitung zum Deaktivieren der Datensammlung finden Sie unter „Wie verhindere ich die automatische Agent-Installation und die Arbeitsbereicherstellung?“See How do I stop the automatic agent installation and workspace creation? for instructions on disabling data collection.

So entfernen Sie den Agent manuell:To manually remove the agent:

  1. Öffnen Sie im Portal Log Analytics.In the portal, open Log Analytics.

  2. Wählen Sie auf der Seite „Log Analytics“ einen Arbeitsbereich aus:On the Log Analytics page, select a workspace:

  3. Wählen Sie die virtuellen Computer aus, die Sie nicht überwachen möchten, und wählen Sie anschließend Trennen aus.Select the VMs that you don't want to monitor and select Disconnect.

Entfernen des Agents

Hinweis

Falls ein virtueller Linux-Computer bereits über einen OMS-Agent verfügt, bei dem es sich nicht um eine Erweiterung handelt, wird der Agent beim Entfernen der Erweiterung ebenfalls entfernt und muss neu installiert werden.If a Linux VM already has a non-extension OMS agent, removing the extension removes the agent as well and you'll have to reinstall it.

Wie deaktiviere ich Datensammlung?How do I disable data collection?

Die automatische Bereitstellung wird dringend empfohlen, um Sicherheitswarnungen und -empfehlungen zu Systemupdates, zu Sicherheitsrisiken für das Betriebssystem und zu Endpoint Protection zu erhalten.Automatic provisioning is highly recommended in order to get security alerts and recommendations about system updates, OS vulnerabilities, and endpoint protection. Standardmäßig ist die automatische Bereitstellung deaktiviert.By default, auto-provisioning is disabled.

Wenn Sie sie aktiviert haben, aber jetzt deaktivieren möchten:If you've enabled it but now want to disable it:

  1. Öffnen Sie im Azure-Portal das Security Center, und wählen Sie Sicherheitsrichtlinie aus.From the Azure portal, open Security Center and select Security policy.

  2. Wählen Sie das Abonnement aus, für das Sie die automatische Bereitstellung deaktivieren möchten.Select the subscription on which you want to disable automatic provisioning.

    Sicherheitsrichtlinie – Datensammlung wird geöffnet.Security policy - Data collection opens.

  3. Wählen Sie unter Automatische Bereitstellung die Option Aus aus.Under Auto provisioning, select Off.

Wie aktiviere ich die Datensammlung?How do I enable data collection?

Sie können die Datensammlung für Ihr Azure-Abonnement in der Sicherheitsrichtlinie aktivieren.You can enable data collection for your Azure subscription in the Security policy. Zum Aktivieren der DatensammlungTo enable data collection. Melden Sie sich beim Azure-Portal an, und wählen Sie nacheinander Durchsuchen, Security Center und Sicherheitsrichtlinie aus.Sign in to the Azure portal, select Browse, select Security Center, and select Security policy. Wählen Sie das Abonnement aus, für das Sie die automatische Bereitstellung aktivieren möchten.Select the subscription that you wish to enable automatic provisioning. Wenn Sie ein Abonnement auswählen, wird Sicherheitsrichtlinie – Datensammlung geöffnet.When you select a subscription Security policy - Data collection opens. Wählen Sie unter Automatische Bereitstellung die Option Ein aus.Under Auto provisioning, select On.

Was passiert, wenn die Datensammlung aktiviert wird?What happens when data collection is enabled?

Bei aktivierter automatischer Bereitstellung wird der Log Analytics-Agent von Security Center auf allen unterstützten und neu erstellten virtuellen Azure-Computern bereitgestellt.When automatic provisioning is enabled, Security Center provisions the Log Analytics agent on all supported Azure VMs and any new ones that are created. Die automatische Bereitstellung wird empfohlen, die manuelle Agent-Installation ist jedoch ebenfalls verfügbar.Automatic provisioning is recommended but manual agent installation is also available. Erfahren Sie, wie Sie die Log Analytics-Agent-Erweiterung installieren.Learn how to install the Log Analytics agent extension.

Der Agent aktiviert das Prozesserstellungsereignis 4688 und das Feld CommandLine im Ereignis 4688.The agent enables the process creation event 4688 and the CommandLine field inside event 4688. Auf der VM erstellte neue Prozesse werden von EventLog aufgezeichnet und von den Erkennungsdiensten in Security Center überwacht.New processes created on the VM are recorded by EventLog and monitored by Security Center's detection services. Weitere Informationen zu den für jeden neuen Prozess aufgezeichneten Details finden Sie unter Description Fields in 4688 (Beschreibungsfelder in 4688).For more information on the details recorded for each new process, see description fields in 4688. Außerdem sammelt der Agent die auf dem virtuellen Computer erstellten 4688-Ereignisse und speichert sie in der Suche.The agent also collects the 4688 events created on the VM and stores them in search.

Der Agent aktiviert auch die Datensammlung für Adaptive Anwendungssteuerungen, und Security Center konfiguriert eine lokale AppLocker-Richtlinie im Überwachungsmodus, um alle Anwendungen zuzulassen.The agent also enables data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. Diese Richtlinie bewirkt, dass AppLocker Ereignisse generiert, die dann von Security Center gesammelt und genutzt werden können.This policy will cause AppLocker to generate events, which are then collected and leveraged by Security Center. Es ist wichtig zu beachten, dass diese Richtlinie nicht auf Computern konfiguriert wird, auf denen bereits eine AppLocker-Richtlinie konfiguriert ist.It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.

Wenn Security Center verdächtige Aktivitäten auf dem virtuellen Computer erkennt, wird der Kunde per E-Mail benachrichtigt, sofern Sicherheitskontaktinformationen bereitgestellt wurden.When Security Center detects suspicious activity on the VM, the customer is notified by email if security contact information has been provided. Außerdem wird eine Warnung auf dem Sicherheitswarnungsdashboard von Security Center angezeigt.An alert is also visible in Security Center's security alerts dashboard.

Wird Security Center mit einem OMS-Gateway funktionieren?Will Security Center work using an OMS gateway?

Ja.Yes. Azure Security Center nutzt Azure Monitor zum Erfassen von Daten von Azure-VMs und -Servern mithilfe des Log Analytics-Agents.Azure Security Center leverages Azure Monitor to collect data from Azure VMs and servers, using the Log Analytics agent. Um die Daten zu sammeln, muss jede VM und jeder Server über HTTPS mit dem Internet verbunden sein.To collect the data, each VM and server must connect to the Internet using HTTPS. Die Verbindung kann direkt, über einen Proxy oder über das OMS-Gateway hergestellt werden.The connection can be direct, using a proxy, or through the OMS Gateway.

Wirkt sich der Monitoring Agent auf die Leistung der Server aus?Does the Monitoring Agent impact the performance of my servers?

Der Agent beansprucht eine äußerst geringe Menge von Systemressourcen und sollten nur eine geringe Auswirkung auf die Leistung haben.The agent consumes a nominal amount of system resources and should have little impact on the performance. Weitere Informationen zu Auswirkungen auf die Leistung, zum Agent und zur Erweiterung finden Sie unter Planungs- und Betriebshandbuch.For more information on performance impact and the agent and extension, see the planning and operations guide.