Felhőhöz készült Microsoft Defender hibaelhárítási útmutató

  • Cikk

Ez az útmutató olyan informatikai szakembereknek, információbiztonsági elemzőknek és felhőgazdáknak szól, akiknek a szervezetnek meg kell hárítania a Felhőhöz készült Microsoft Defender kapcsolatos problémákat.

Tipp.

Ha problémába ütközik, vagy segítségre van szüksége a támogatási csapatunktól, az Azure Portal Problémák diagnosztizálása és megoldása szakasza jó hely a megoldások kereséséhez.

Képernyőkép az Azure Portalról, amely a Felhőhöz készült Defender problémáinak diagnosztizálását és megoldását bemutató oldalt mutatja.

A naplózási napló használata a problémák kivizsgálásához

A hibaelhárítási információk keresésének első helye a sikertelen összetevő naplója . Az auditnaplóban a következő részletek láthatók:

  • Mely műveleteket hajtották végre.
  • A művelet kezdeményezője.
  • A művelet végrehajtásának időpontja.
  • A művelet állapota.

A napló az erőforrásokon végrehajtott összes írási műveletet (PUT, , ) DELETEtartalmazza, olvasási műveleteket (GET) POSTnem.

Összekötők hibaelhárítása

Felhőhöz készült Defender összekötőkkel gyűjt monitorozási adatokat az Amazon Web Services-fiókokból és a Google Cloud Platform -projektekből. Ha problémákat tapasztal az összekötőkkel kapcsolatban, vagy nem látja az AWS-ből vagy a GCP-ből származó adatokat, tekintse át az alábbi hibaelhárítási tippeket.

gyakori összekötőproblémák Tippek

  • Győződjön meg arról, hogy az összekötőhöz társított előfizetés ki van jelölve az Azure Portal Címtárak + előfizetések szakaszában található előfizetési szűrőben.
  • A biztonsági összekötőn szabványokat kell hozzárendelni. Az ellenőrzéshez lépjen a környezeti beállításokra a Felhőhöz készült Defender bal oldali menüben, válassza ki az összekötőt, majd válassza a Gépház. Ha nincs hozzárendelve szabvány, válassza ki a három elemet annak ellenőrzéséhez, hogy rendelkezik-e jogosultságokkal a szabványok hozzárendeléséhez.
  • Egy összekötő-erőforrásnak jelen kell lennie az Azure Resource Graphban. Ellenőrizze a következő Resource Graph-lekérdezést: resources | where ['type'] =~ "microsoft.security/securityconnectors".
  • Győződjön meg arról, hogy a Kubernetes-naplók küldése engedélyezve van az AWS- vagy GCP-összekötőn, hogy fenyegetésészlelési riasztásokat kapjon a vezérlősíkhoz.
  • Győződjön meg arról, hogy a Microsoft Defender-érzékelő és az Azure Arc-kompatibilis Kubernetes-bővítményekhez készült Azure Policy sikeresen telepítve lett az Amazon Elastic Kubernetes Service (EKS) és a Google Kubernetes Engine (GKE) fürtökre. Az ügynököt az alábbi Felhőhöz készült Defender javaslatokkal ellenőrizheti és telepítheti:
    • Az EKS-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével
    • A GKE-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével
    • Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek
    • A GKE-fürtöknek telepítve kell lenniük az Azure Policy-bővítménysel
  • Ha problémákat tapasztal az AWS- vagy GCP-összekötő törlésével kapcsolatban, ellenőrizze, hogy van-e zárolása. Az Azure-tevékenységnaplóban hiba utalhat egy zárolás jelenlétére.
  • Ellenőrizze, hogy vannak-e számítási feladatok az AWS-fiókban vagy a GCP-projektben.

Tippek AWS-összekötővel kapcsolatos problémák esetén

  • Győződjön meg arról, hogy a CloudFormation-sablon üzembe helyezése sikeresen befejeződött.
  • Várjon legalább 12 órát az AWS-gyökérfiók létrehozása után.
  • Győződjön meg arról, hogy az EKS-fürtök sikeresen csatlakoznak az Azure Arc-kompatibilis Kuberneteshez.
  • Ha nem látja az AWS-adatokat a Felhőhöz készült Defender, győződjön meg arról, hogy az adatok Felhőhöz készült Defender való küldéséhez szükséges AWS-erőforrások az AWS-fiókban találhatók.

Az AWS-be irányuló API-hívások költséghatása

Az egyszeri vagy felügyeleti AWS-fiók létrehozásakor a felderítési szolgáltatás Felhőhöz készült Defender azonnal megvizsgálja a környezetet. A felderítési szolgáltatás API-hívásokat hajt végre a különböző szolgáltatásvégpontokon, hogy lekérje az Azure által a biztonságot segítő összes erőforrást.

A kezdeti vizsgálat után a szolgáltatás rendszeresen ellenőrzi a környezetet az előkészítés során konfigurált időközönként. Az AWS-ben a fiók minden API-hívása létrehoz egy keresési eseményt, amely a CloudTrail-erőforrásban van rögzítve. A CloudTrail-erőforrás költségekkel jár. A díjszabás részleteiért tekintse meg az AWS CloudTrail díjszabási oldalát az Amazon AWS webhelyén.

Ha a CloudTrailt a GuardDutyhoz kapcsolta, a kapcsolódó költségekért is Ön a felelős. Ezeket a költségeket az Amazon AWS webhelyén található GuardDuty dokumentációban találja.

Natív API-hívások számának lekérése

Kétféleképpen lehet lekérni az Felhőhöz készült Defender hívások számát:

  • Használjon egy meglévő Athena-táblát, vagy hozzon létre egy újat. További információ: AWS CloudTrail-naplók lekérdezése az Amazon AWS-webhelyen.
  • Használjon egy meglévő eseményadattárat, vagy hozzon létre egy újat. További információ: Az AWS CloudTrail Lake használata az Amazon AWS webhelyén.

Mindkét módszer az AWS CloudTrail-naplók lekérdezésére támaszkodik.

A hívások számának lekéréséhez nyissa meg az Athena táblát vagy az eseményadattárat, és használja az alábbi előre definiált lekérdezések egyikét az igényeinek megfelelően. Cserélje le <TABLE-NAME> az Athena-tábla vagy eseményadattár azonosítójára.

  • Az összes API-hívás számának listázása Felhőhöz készült Defender szerint:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • A teljes API-hívások számának listázása Felhőhöz készült Defender naponta összesítve:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • A teljes API-hívások számának felsorolása Felhőhöz készült Defender eseménynév alapján összesítve:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Listázza a teljes API-hívások számát Felhőhöz készült Defender régiónként összesítve:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Tippek GCP-összekötőkkel kapcsolatos problémák esetén

  • Győződjön meg arról, hogy a GCP Cloud Shell-szkript sikeresen befejeződött.
  • Győződjön meg arról, hogy a GKE-fürtök sikeresen csatlakoznak az Azure Arc-kompatibilis Kuberneteshez.
  • Győződjön meg arról, hogy az Azure Arc-végpontok szerepelnek a tűzfal engedélyezési listáján. A GCP-összekötő API-hívásokat indít ezekre a végpontokra a szükséges előkészítési fájlok lekéréséhez.
  • Ha a GCP-projektek előkészítése sikertelen, győződjön meg arról, hogy rendelkezik compute.regions.list engedéllyel és Microsoft Entra-engedéllyel a szolgáltatásnév létrehozásához az előkészítési folyamathoz. Győződjön meg arról, hogy a GCP-erőforrások WorkloadIdentityPoolIdWorkloadIdentityProviderIdServiceAccountEmail létre lettek hozva a GCP-projektben.

Defender API-hívások a GCP-be

A GCP egyetlen projektjének vagy szervezetének előkészítésekor a felderítési szolgáltatás a Felhőhöz készült Defender elindítja a környezet azonnali vizsgálatát. A felderítési szolgáltatás API-hívásokat hajt végre a különböző szolgáltatásvégpontokon, hogy lekérje az Azure által a biztonságot segítő összes erőforrást.

A kezdeti vizsgálat után a szolgáltatás rendszeresen ellenőrzi a környezetet az előkészítés során konfigurált időközönként.

Az Felhőhöz készült Defender végrehajtott natív API-hívások számának lekérése:

  1. Nyissa meg a Naplózási>naplókezelőt.

  2. Szűrje a dátumokat a kívánt módon (például 1d).

  3. A Felhőhöz készült Defender végrehajtott API-hívások megjelenítéséhez futtassa ezt a lekérdezést:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Tekintse meg a hisztogramot a hívások számának időbeli megtekintéséhez.

A Log Analytics-ügynök hibaelhárítása

Felhőhöz készült Defender a Log Analytics-ügynökkel gyűjti és tárolja az adatokat. A cikkben szereplő információk Felhőhöz készült Defender funkciót jelölnek a Log Analytics-ügynökre való áttérés után.

A riasztástípusok a következők:

  • Virtuális gép működésének elemzése (VMBA)
  • Hálózatelemzés
  • Az Azure SQL Database és az Azure Synapse Analytics elemzése
  • Környezeti információk

A riasztás típusától függően a riasztások vizsgálatához szükséges információkat a következő erőforrások használatával gyűjtheti össze:

  • Biztonsági naplók a virtuális gép (VM) eseménynaplójában Windows rendszerben
  • A naplózási démon (auditd) Linuxban
  • Az Azure-tevékenységnaplók és az engedélyezett diagnosztikai naplók a támadási erőforráson

Lehetősége van visszajelzést adni a riasztás leírásával és relevanciájával kapcsolatban. Nyissa meg a riasztást, válassza a Hasznos volt gombot, válassza ki az okot, majd írjon be egy megjegyzést a visszajelzés magyarázatához. A riasztások javítása érdekében folyamatosan figyeljük ezeket a visszajelzéseket.

A Log Analytics-ügynök folyamatainak és verzióinak ellenőrzése

Az Azure Monitorhoz hasonlóan Felhőhöz készült Defender a Log Analytics-ügynök használatával gyűjt biztonsági adatokat az Azure-beli virtuális gépekről. Miután engedélyezte az adatgyűjtést, és megfelelően telepítette az ügynököt a célgépen, a HealthService.exe folyamatnak futnia kell.

Nyissa meg a szolgáltatásfelügyeleti konzolt (services.msc), és győződjön meg arról, hogy a Log Analytics-ügynök szolgáltatás fut.

Képernyőkép a Log Analytics-ügynökszolgáltatásról a Task Managerben.

Az ügynök melyik verziójának megtekintéséhez nyissa meg a Feladatkezelőt. A Folyamatok lapon keresse meg a Log Analytics-ügynök szolgáltatást, kattintson rá a jobb gombbal, majd válassza a Tulajdonságok lehetőséget. A Részletek lapon keresse meg a fájlverziót.

A Log Analytics-ügynökszolgáltatás részleteinek képernyőképe.

A Log Analytics-ügynök telepítési forgatókönyveinek ellenőrzése

A Log Analytics-ügynök számítógépre való telepítésekor két olyan telepítési forgatókönyv létezik, amelyek eltérő eredményeket eredményezhetnek. A támogatott forgatókönyvek:

  • A Felhőhöz készült Defender által automatikusan telepített ügynök: A riasztásokat Felhőhöz készült Defender és naplókeresésben tekintheti meg. E-mail-értesítéseket kap az erőforráshoz tartozó előfizetés biztonsági szabályzatában konfigurált e-mail-címen.

  • Az Azure-ban található virtuális gépen manuálisan telepített ügynök: Ebben az esetben, ha 2017 februárja előtt manuálisan letöltött és telepített ügynököket használ, a riasztásokat csak akkor tekintheti meg a Felhőhöz készült Defender portálon, ha a munkaterülethez tartozó előfizetésre szűr. Ha arra az előfizetésre szűr, amelyhez az erőforrás tartozik, nem fog riasztásokat látni. E-mail-értesítéseket kap a munkaterülethez tartozó előfizetés biztonsági szabályzatában konfigurált e-mail-címen.

    A szűrési probléma elkerülése érdekében mindenképpen töltse le az ügynök legújabb verzióját.

Az ügynök hálózati csatlakozási problémáinak monitorozása

Ahhoz, hogy az ügynökök Felhőhöz készült Defender csatlakozzanak és regisztráljanak, hozzáféréssel kell rendelkezniük az Azure-hálózati erőforrások DNS-címéhez és hálózati portjához. A hozzáférés engedélyezéséhez hajtsa végre az alábbi műveleteket:

  • Proxykiszolgálók használatakor győződjön meg arról, hogy a megfelelő proxykiszolgáló-erőforrások megfelelően vannak konfigurálva az ügynök beállításai között.
  • Konfigurálja a hálózati tűzfalakat a Log Analyticshez való hozzáférés engedélyezéséhez.

Az Azure hálózati erőforrásai a következők:

Ügynök erőforrása Kikötő HTTPS-ellenőrzés kihagyása
*.ods.opinsights.azure.com 443 Igen
*.oms.opinsights.azure.com 443 Igen
*.blob.core.windows.net 443 Igen
*.azure-automation.net 443 Igen

Ha problémái vannak a Log Analytics-ügynök előkészítésével, olvassa el az Operations Management Suite előkészítési problémáinak hibaelhárítását.

A nem megfelelően működő kártevőirtó-védelem hibaelhárítása

A vendégügynök a Microsoft Antimalware bővítmény által végzett összes művelet szülőfolyamata. Ha a vendégügynök folyamata meghiúsul, a vendégügynök gyermekfolyamataként futó Microsoft Antimalware-védelem is meghiúsulhat.

Íme néhány hibaelhárítási tipp:

  • Ha a cél virtuális gép egyéni rendszerképből lett létrehozva, győződjön meg arról, hogy a virtuális gép létrehozója telepített egy vendégügynököt.
  • Ha a cél linuxos virtuális gép, a kártevőirtó bővítmény Windows-verziójának telepítése sikertelen lesz. A Linux-vendégügynöknek konkrét operációs rendszer- és csomagkövetelményei vannak.
  • Ha a virtuális gépet a vendégügynök egy régi verziójával hozták létre, előfordulhat, hogy a régi ügynök nem tud automatikusan frissíteni az újabb verzióra. Saját rendszerképek létrehozásakor mindig a vendégügynök legújabb verzióját használja.
  • Egyes külső felügyeleti szoftverek letilthatják a vendégügynököt, vagy letilthatják a hozzáférést bizonyos fájlhelyekhez. Ha külső felügyeleti szoftver van telepítve a virtuális gépen, győződjön meg arról, hogy a kártevőirtó ügynök szerepel a kizárási listán.
  • Győződjön meg arról, hogy a tűzfalbeállítások és a hálózati biztonsági csoport nem blokkolja a vendégügynök felé és onnan érkező hálózati forgalmat.
  • Győződjön meg arról, hogy a hozzáférés-vezérlési listák nem akadályozzák a lemezhozzáférést.
  • A vendégügynöknek elegendő lemezterületre van szüksége a megfelelő működéshez.

Alapértelmezés szerint a Microsoft Antimalware felhasználói felülete le van tiltva. Azonban engedélyezheti a Microsoft Antimalware felhasználói felületét az Azure Resource Manager virtuális gépeken.

Az irányítópult betöltésével kapcsolatos problémák elhárítása

Ha problémákat tapasztal a számítási feladatok elleni védelem irányítópultjának betöltésekor, győződjön meg arról, hogy az előfizetésen először engedélyező felhasználó Felhőhöz készült Defender, és az adatgyűjtést bekapcsolni kívánó felhasználó tulajdonosi vagy közreműködői szerepkörrel rendelkezik az előfizetésben. Ha igen, az előfizetés Olvasó szerepkörrel rendelkező felhasználói megtekinthetik az irányítópultot, a riasztásokat, a javaslatokat és a szabályzatot.

Az Azure DevOps-szervezet összekötői problémáinak elhárítása

Ha nem tudja előkészíteni az Azure DevOps-szervezetet, próbálkozzon az alábbi hibaelhárítási tippekkel:

  • Győződjön meg arról, hogy az Azure Portal nem előzetes verziójú verzióját használja; az engedélyezési lépés nem működik az Azure preview portálon.

  • Fontos tudni, hogy melyik fiókba jelentkezett be a hozzáférés engedélyezésekor, mert ez lesz az a fiók, amelyet a rendszer az előkészítéshez használ. A fiókja ugyanahhoz az e-mail-címhez társítható, de különböző bérlőkhöz is társítható. Győződjön meg arról, hogy a megfelelő fiók/bérlő kombinációt választja ki. Ha módosítania kell a kombinációt:

    1. Az Azure DevOps-profillapon a legördülő menüben válasszon ki egy másik fiókot.

      Képernyőkép a fiók kiválasztásához használt Azure DevOps-profillapról.

    2. Miután kiválasztotta a megfelelő fiók/bérlő kombinációt, lépjen a környezeti beállításokra Felhőhöz készült Defender, és szerkessze az Azure DevOps-összekötőt. Az összekötő újraauthorizálása a megfelelő fiók/bérlő kombinációval való frissítéséhez. Ezután a legördülő menüben meg kell jelennie a szervezetek megfelelő listájának.

  • Győződjön meg arról, hogy rendelkezik a projektgyűjteményi Rendszergazda istrator szerepkörsel a előkészíteni kívánt Azure DevOps-szervezetben.

  • Győződjön meg arról, hogy az OAuth kapcsolón keresztüli külső alkalmazáshozzáférés be van kapcsolva az Azure DevOps-szervezet számára. További információ az OAuth-hozzáférés engedélyezéséről.

Kapcsolatfelvétel a Microsoft ügyfélszolgálatával

A Felhőhöz készült Defender hibaelhárítási információi a Felhőhöz készült Defender Q&A lapon is megtalálhatók.

Ha további segítségre van szüksége, megnyithat egy új támogatási kérelmet az Azure Portalon. A Súgó + támogatási lapon válassza a Támogatási kérelem létrehozása lehetőséget.

Képernyőkép a támogatási kérések Azure Portalon történő létrehozására szolgáló lehetőségekről.

Lásd még