Configuración del aprovisionamiento automático para agentes y extensiones de Microsoft Defender for Cloud

  • Artículo
  • Tiempo de lectura: 19 minutos

Microsoft Defender for Cloud recopila datos de los recursos con el agente o las extensiones correspondientes para ese recurso y el tipo de recopilación de datos que ha habilitado. Siga los procedimientos que se indican a continuación para aprovisionar automáticamente los agentes y las extensiones necesarios que utiliza Microsoft Defender for Cloud en sus recursos.

Captura de pantalla de las extensiones de Microsoft Defender for Cloud que se pueden aprovisionar automáticamente.

Nota

Al habilitar el aprovisionamiento automático de cualquiera de las extensiones admitidas, las máquinas existentes y futuras pueden verse afectadas. Pero al deshabilitar el aprovisionamiento automático para una extensión, solo se verán afectadas las máquinas futuras; no se desinstala nada al deshabilitar el aprovisionamiento automático.

Prerrequisitos

Para empezar a trabajar con Defender for Cloud, necesita una suscripción a Microsoft Azure. Si no tiene ninguna suscripción, puede registrarse para obtener una cuenta gratuita.

Disponibilidad

En esta tabla se muestran los detalles de disponibilidad de la propia característica de aprovisionamiento automático.

Aspecto Detalles
Estado de la versión: El aprovisionamiento automático está en fase de disponibilidad general (GA)
Precios: El aprovisionamiento automático es gratuito
Roles y permisos necesarios: Depende de la extensión específica; vea la pestaña correspondiente
Destinos admitidos: Depende de la extensión específica; vea la pestaña correspondiente
Nubes: Nubes comerciales
Azure Government, Azure China 21Vianet

Sugerencia

Para los elementos marcados en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

¿Cómo recopila Defender for Cloud los datos?

Defender for Cloud recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas virtuales, los contenedores de IaaS y de las máquinas que no son de Azure (incluidas las máquinas locales) para supervisar las amenazas y vulnerabilidades de seguridad.

La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección contra amenazas y del mantenimiento. La recopilación de datos solo es necesaria para los recursos de proceso, como máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no son de Azure.

Puede beneficiarse de Microsoft Defender for Cloud aunque no aprovisione agentes. Sin embargo, tendrá una seguridad limitada y no se admitirán las funcionalidades indicadas anteriormente.

Los datos se recopilan mediante:

  • El agente de Log Analytics, que lee distintas configuraciones relacionadas con la seguridad y registros de eventos de la máquina, y copia los datos en el área de trabajo para analizarlos. Estos son algunos ejemplos de dichos datos: tipo y versión del sistema operativo, registros del sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones IP y usuario conectado.
  • Las extensiones de seguridad como, por ejemplo, el complemento de Azure Policy para Kubernetes, el cual también puede proporcionar datos a Defender for Cloud relacionados con tipos de recursos especializados.

Sugerencia

A medida que Defender for Cloud ha crecido, los tipos de recursos que se pueden supervisar también han crecido. El número de extensiones también ha crecido. El aprovisionamiento automático se ha ampliado para admitir tipos de recursos adicionales que aprovechan las funcionalidades de Azure Policy.

Motivos del uso del aprovisionamiento automático

Cualquiera de los agentes y extensiones que se describen en esta página puede instalarse manualmente (consulte Instalación manual del agente de Log Analytics). Sin embargo, el aprovisionamiento automático reduce la sobrecarga de administración mediante la instalación de todos los agentes y extensiones necesarios en las máquinas existentes, y en las nuevas, para garantizar una cobertura de seguridad más rápida para todos los recursos admitidos.

Se recomienda habilitar el aprovisionamiento automático, pero está deshabilitado de forma predeterminada.

¿Cómo funciona el aprovisionamiento automático?

La configuración del aprovisionamiento automático de Defender for Cloud tiene una opción de alternancia para cada tipo de extensión admitida. Al habilitar el aprovisionamiento automático de una extensión, asigne la directiva Implementar si no existe adecuada. Este tipo de directiva garantiza que la extensión esté aprovisionada en todos los recursos existentes y futuros de ese tipo.

Sugerencia

Obtenga más información sobre los efectos de Azure Policy, incluida la directiva "Implementar si no existe" en Comprender los efectos de Azure Policy.

Habilitación del aprovisionamiento automático del agente y las extensiones de Log Analytics

Si el aprovisionamiento automático está activado para el agente de Log Analytics, Defender for Cloud lo implementará en todas las máquinas virtuales de Azure compatibles y en las nuevas que se hayan creado. Consulte Plataformas compatibles con Microsoft Defender for Cloud para ver una lista de plataformas compatibles.

Para habilitar el aprovisionamiento automático del agente de Log Analytics:

  1. En el menú de Defender for Cloud, abra Parámetros del entorno.

  2. Seleccione la suscripción correspondiente.

  3. En la página Aprovisionamiento automático, establezca el estado del agente de Log Analytics en Activo.

    Habilitación del aprovisionamiento automático del agente de Log Analytics.

  4. En el panel Opciones de configuración, defina el área de trabajo que se va a usar.

    Opciones de configuración para el aprovisionamiento automático de agentes de Log Analytics en máquinas virtuales.

    • Conexión de máquinas virtuales de Azure a las áreas de trabajo predeterminadas que crea Defender for Cloud: Defender for Cloud crea un nuevo grupo de recursos y un área de trabajo predeterminada en esa geolocalización y la conecta al agente. Si una suscripción contiene máquinas virtuales de varias geolocalizaciones, Defender for Cloud crea varias áreas de trabajo para garantizar el cumplimiento de los requisitos de privacidad de los datos.

      La convención de nomenclatura del área de trabajo y el grupo de recursos es:

      • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
      • Grupo de recursos: DefaultResourceGroup-[geo]

      Una solución de Defender for Cloud se habilita automáticamente en el área de trabajo según el plan de tarifa establecido para la suscripción.

      Sugerencia

      Si tiene preguntas relacionadas con las áreas de trabajo predeterminadas, consulte:

    • Conexión de máquinas virtuales de Azure a un área de trabajo diferente: en la lista desplegable, seleccione el área de trabajo donde se van a almacenar los datos recopilados. La lista desplegable incluye todas las áreas de trabajo de todas las suscripciones. Puede usar esta opción para recopilar datos de máquinas virtuales que se ejecutan en distintas suscripciones y almacenarlos en el área de trabajo seleccionada.

      Si ya tiene un área de trabajo de Log Analytics, es posible que desee utilizarla (necesita permisos de lectura y escritura sobre ella). Esta opción es útil si está usando un área de trabajo centralizada en la organización y desea usarla para la recopilación de datos de seguridad. Puede obtener más información en Administración del acceso a los datos de registro y las áreas de trabajo en Azure Monitor.

      Si el área de trabajo seleccionada ya tiene una solución "Security" o "SecurityCenterFree" habilitada, los precios se establecerán automáticamente. Si no es así, instale una solución de Defender for Cloud en el área de trabajo:

      1. En el menú de Defender for Cloud, abra Parámetros del entorno.
      2. Seleccione el área de trabajo a la que se conectarán los agentes.
      3. En Administración de la posición de seguridad, seleccione activado, o bien seleccione Habilitar todo para activar todos los planes de Microsoft Defender.

  5. En la opción Eventos de seguridad de Windows, seleccione la cantidad de datos de eventos sin procesar que se van a almacenar:

    • Ninguno: deshabilita el almacenamiento de eventos de seguridad. (Es el valor predeterminado).
    • Mínima: un pequeño conjunto de eventos para cuando quiere reducir el volumen de eventos.
    • Normal: un conjunto de eventos que satisface a la mayoría de los clientes y les proporciona un registro de auditoría completo.
    • Todos los eventos: para clientes que quieren asegurarse de que se almacenan todos los eventos.

    Sugerencia

    Para establecer estas opciones en el nivel del área de trabajo, consulte Configuración de las opciones de eventos de seguridad en el nivel de área de trabajo.

    Para más información acerca de estas opciones, consulte Opciones de eventos de seguridad de Windows para el agente de Log Analytics.

  6. Seleccione Aplicar en el panel de configuración.

  7. Para habilitar el aprovisionamiento automático de una extensión que no sea el agente de Log Analytics:

    1. Cambie el estado a Activo para la extensión que corresponda.

      Opción para habilitar o deshabilitar el aprovisionamiento automático para el complemento de directivas de K8s.

    2. Seleccione Guardar. Se asigna la directiva de Azure Policy y se crea una tarea de corrección.

      Extensión Directiva
      Complemento de Policy para Kubernetes Implementación del complemento de Azure Policy en los clústeres de Azure Kubernetes Service
      Agente de la configuración de invitado (versión preliminar) Implementar los requisitos previos para habilitar directivas de configuración de invitado en máquinas virtuales

  8. Seleccione Guardar. Si es necesario aprovisionar un área de trabajo, la instalación del agente puede tardar hasta 25 minutos.

  9. Se le preguntará si quiere volver a configurar las máquinas virtuales supervisadas que estaban anteriormente conectadas a un área de trabajo predeterminada:

    Revisión de las opciones para volver a configurar máquinas virtuales supervisadas.

    • No: la nueva configuración del área de trabajo solo se aplica a aquellas máquinas virtuales recién detectadas que no tienen instalado el agente de Log Analytics.
    • : la nueva configuración del área de trabajo se aplicará a todas las máquinas virtuales y aquellas máquinas virtuales conectadas actualmente a un área de trabajo de Defender for Cloud se volverán a conectar a la nueva área de trabajo de destino.

    Nota

    Si selecciona , no elimine las áreas de trabajo creadas por Defender for Cloud hasta que todas las máquinas virtuales se hayan vuelto a conectar a la nueva área de trabajo de destino. Esta operación no se lleva a cabo si se elimina un área de trabajo demasiado pronto.

Opciones de eventos de seguridad de Windows para el agente de Log Analytics

Cuando se selecciona un nivel de recopilación de datos en Microsoft Defender for Cloud, los eventos de seguridad del nivel seleccionado se almacenan en el área de trabajo de Log Analytics para que pueda investigarlos, buscarlos y auditarlos. El agente de Log Analytics también recopila y analiza los eventos de seguridad necesarios para la protección contra amenazas de Defender for Cloud.

Requisitos

Las protecciones de seguridad mejoradas de Defender for Cloud son necesarias para almacenar Windows datos de eventos de seguridad. Obtenga más información sobre los planes de protección mejorados.

Es posible que se le cobre por almacenar datos en Log Analytics. Consulte la página de preciospara obtener más información.

Información para usuarios de Microsoft Sentinel

La recopilación de eventos de seguridad en el contexto de una sola área de trabajo se puede configurar desde Microsoft Defender for Cloud o desde Microsoft Sentinel, pero no desde ambos. Si desea agregar Microsoft Sentinel a un área de trabajo que ya recibe alertas de Microsoft Defender for Cloud y recopilar eventos de seguridad, puede:

  • Dejar la colección Eventos de seguridad en Microsoft Defender for Cloud tal y como está. Podrá consultar y analizar estos eventos tanto en Microsoft Sentinel como en Defender for Cloud. Si desea supervisar el estado de conectividad del conector o cambiar su configuración en Microsoft Sentinel, considere la segunda opción.
  • Deshabilite la recopilación de eventos de seguridad en Microsoft Defender for Cloud y agregue el conector Eventos de seguridad en Microsoft Sentinel. Podrá consultar y analizar eventos en tanto en Microsoft Sentinel como en Defender for Cloud, pero también podrá supervisar el estado de conectividad del conector o cambiar su configuración únicamente en Microsoft Sentinel. Para deshabilitar la recopilación de eventos de seguridad en Defender for Cloud, en Eventos de seguridad de Windows seleccione Ninguno en la configuración del agente de Log Analytics.

¿Qué tipos de evento se almacenan para los niveles "Normal" y "Mínima"?

Los conjuntos de eventos Normal y Mínima se diseñaron para abordar escenarios típicos en función de los estándares del sector y del cliente para la frecuencia sin filtrar de cada evento y su uso.

  • Mínima: este conjunto está pensado para cubrir solo los eventos que podrían indicar una vulneración correcta y eventos importantes con un volumen bajo. La mayoría del volumen de datos de este conjunto es el inicio de sesión de usuario correcto (identificador de evento 4625), eventos de inicio de sesión de usuario con errores (identificador de evento 4624) y eventos de creación de procesos (identificador de evento 4688). Los eventos de cierre de sesión solo son importantes para la auditoría y tienen un volumen relativamente alto, por lo que no se incluyen en este conjunto de eventos.
  • Normal: este conjunto está pensado para proporcionar una completa pista de auditoría del usuario, incluidos los eventos con un volumen bajo. Por ejemplo, este conjunto contiene tanto eventos de inicio de sesión de usuario (identificador de evento 4624) y eventos de cierre de sesión de usuario (identificador de evento 4634). Se incluyen acciones de auditoría como cambios en los grupos de seguridad, operaciones de Kerberos en los controladores de dominio de clave y otros eventos que recomiendan las organizaciones del sector.

A continuación se muestra un desglose completo de los identificadores de evento de seguridad y AppLocker para cada conjunto:

Capa de datos Indicadores de eventos recopilados
mínimo 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Comunes 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Nota

  • Si se usa un objeto de directiva de grupo (GPO), se recomienda habilitar el evento 4688 de creación de procesos de las directivas de auditoría y el campo CommandLine del evento 4688. Para más información acerca del evento 4688 de creación de procesos, consulte las preguntas más frecuentes acerca de Defender for Cloud. Para más información acerca de estas directivas de auditoría, consulte Recomendaciones de la directiva de auditoría.
  • Para habilitar la recopilación de datos para Controles de aplicaciones adaptables, Defender for Cloud configura una directiva de AppLocker local en el modo de auditoría que permite todas las aplicaciones. Con esto, AppLocker generará eventos que luego Defender for Cloud recopilará y aprovechará. Es importante tener en cuenta que esta directiva no se configurará en las máquinas en las que ya se haya configurado una directiva de AppLocker.
  • Para recopilar Windows Filtering Platform Event ID 5156, tiene que habilitar Auditar conexión de Plataforma de filtrado (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Configuración de la opción Evento de seguridad en el nivel del área de trabajo

Puede definir el nivel de datos de eventos de seguridad que se van a almacenar en el nivel del área de trabajo.

  1. En el menú Defender for Cloud de Azure Portal, seleccione Parámetros del entorno.

  2. Seleccione el área de trabajo correspondiente. Los únicos eventos de recopilación de datos de un área de trabajo son los eventos de seguridad de Windows que se describen en esta página.

    Configuración de los datos de eventos de seguridad que se van a almacenar en un área de trabajo.

  3. Seleccione la cantidad de datos de eventos sin procesar que se van a almacenar y seleccione Guardar.

Aprovisionamiento manual del agente

Para instalar manualmente el agente de Log Analytics, haga lo siguiente:

  1. Deshabilite el aprovisionamiento automático.

  2. Opcionalmente, cree un área de trabajo.

  3. Habilite Microsoft Defender para la nube en el área de trabajo en la que va a instalar el agente de Log Analytics:

    1. En el menú de Defender for Cloud, abra Parámetros del entorno.

    2. Establezca el área de trabajo en la que va a instalar el agente. Asegúrese de que el área de trabajo está en la misma suscripción que se usa en Defender for Cloud y que tiene permisos de lectura/escritura en el área de trabajo.

    3. Seleccione la opción de Microsoft Defender para la nube activado y elija Guardar.

      Nota

      Si el área de trabajo ya tiene una solución Security o SecurityCenterFree habilitada, los precios se establecerán automáticamente.

  4. Para implementar agentes en las nuevas máquinas virtuales mediante una plantilla de Resource Manager, instale el agente de Log Analytics:

  5. Para implementar agentes en las máquinas virtuales existentes, siga las instrucciones que se indican en Recopilación de datos acerca de máquinas virtuales de Azure (la sección Recopilación de datos de eventos y rendimiento es opcional).

  6. Para usar PowerShell para implementar los agentes, siga las instrucciones de la documentación de máquinas virtuales:

Sugerencia

Para obtener información acerca de la incorporación, consulte Automatización de la incorporación de Microsoft Defender for Cloud mediante PowerShell.

Aprovisionamiento automático en los casos de una instalación de agente ya existente

Los siguientes casos de uso especifican cómo funciona el aprovisionamiento automático en aquellos casos en que ya hay un agente o una extensión instalados.

  • El agente de Log Analytics está instalado en la máquina, pero no como una extensión (Agente directo): si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de Azure), Defender for Cloud instalará la extensión del agente de Log Analytics y puede que la actualice a la versión más reciente. El agente instalado continuará informando a las áreas de trabajo que ya tiene configuradas y, además, al área de trabajo configurada en Defender for Cloud (las máquinas Windows admiten el hospedaje múltiple).

    Si Log Analytics está configurado con un área de trabajo de usuario, no el área de trabajo predeterminada de Defender for Cloud, deberá instalar la solución "Security" o "SecurityCenterFree" para que Defender for Cloud empiece a procesar eventos de las máquinas virtuales y los equipos que informan a esa área de trabajo.

    En el caso de las máquinas Linux, aún no se admite el hospedaje múltiple del agente. Si se detecta la instalación de un agente existente, el agente de Log Analytics no se aprovisionará automáticamente.

    En el caso de las máquinas existentes en suscripciones incorporadas a Defender for Cloud antes del 17 de marzo de 2019, cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la máquina no se modificará. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.

  • El agente de System Center Operations Manager está instalado en la máquina: Defender for Cloud instalará la extensión del agente de Log Analytics en paralelo a la versión existente de Operations Manager. El agente de Operations Manager existente continuará enviando informes con normalidad al servidor de Operations Manager. El agente de Operations Manager y el agente de Log Analytics comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión más reciente durante este proceso. Si está instalada la versión 2012 del agente de Operations Manager, no habilite el aprovisionamiento automático.

  • Está presente una extensión de máquina virtual existente:

    • Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes a una sola área de trabajo. Defender for Cloud no invalida las conexiones existentes con áreas de trabajo de usuario. Defender for Cloud almacenará datos de seguridad de la máquina virtual en el área de trabajo que ya está conectada, si se ha instalado en ella la solución "Security" o "SecurityCenterFree". Durante este proceso, Defender for Cloud puede actualizar la versión de extensión a la versión más reciente.
    • Para ver el área de trabajo, a la que la extensión existente está enviando datos, ejecute la prueba de Validación de la conectividad con Microsoft Defender for Cloud. También puede abrir las áreas de trabajo de Log Analytics, seleccionar un área de trabajo, seleccionar la máquina virtual y examinar la conexión del agente de Log Analytics.
    • Si tiene un entorno donde esté instalado el agente de Log Analytics en estaciones de trabajo de cliente y esté informando a un área de trabajo de Log Analytics existente, revise la lista de sistemas operativos compatibles con Microsoft Defender for Cloud para asegurarse de que el sistema operativo es compatible. Para más información, consulte Clientes existentes de análisis de registros.

Deshabilitar aprovisionamiento automático

Si deshabilita el aprovisionamiento automático, no se aprovisionarán agentes en las nuevas máquinas virtuales.

Para desactivar el aprovisionamiento automático de agentes:

  1. En el menú Defender for Cloud del portal, seleccione Parámetros del entorno.

  2. Seleccione la suscripción correspondiente.

  3. Seleccione Aprovisionamiento automático.

  4. Cambie el estado a Desactivado para el agente que corresponda.

    Botones de alternancia para deshabilitar el aprovisionamiento automático por tipo de agente.

  5. Seleccione Guardar. Cuando el aprovisionamiento automático está deshabilitado, no se muestra la sección de configuración del área de trabajo predeterminada:

    Cuando el aprovisionamiento automático está deshabilitado, la celda de configuración está vacía.

Nota

La deshabilitación del aprovisionamiento automático no quita el agente de Log Analytics de las máquinas virtuales de Azure en las que se aprovisionó el agente. Para más información acerca de cómo quitar la extensión de OMS, consulte ¿Cómo quito extensiones OMS instaladas por Defender for Cloud?.

Solución de problemas

Pasos siguientes

En esta página se explica cómo habilitar el aprovisionamiento automático para el agente de Log Analytics y otras extensiones de Defender for Cloud. También se describe cómo definir un área de trabajo de Log Analytics en la que almacenar los datos recopilados. Ambas operaciones son necesarias para habilitar la recopilación de datos. El almacenamiento de datos en un área de trabajo nueva o existente de Log Analytics puede incurrir en más cargos por almacenamiento de datos. Para más información sobre los precios en la moneda o región local, consulte la página de precios.