Felhőhöz készült Microsoft Defender előkészítésének automatizálása a PowerShell használatával

  • Cikk

Az Azure-számítási feladatokat programozott módon is biztonságossá teheti a Felhőhöz készült Microsoft Defender PowerShell-modul használatával. A PowerShell használatával automatizálhatja a feladatokat, és elkerülheti a manuális feladatokban rejlő emberi hibákat. Ez különösen hasznos olyan nagyméretű üzemelő példányokban, amelyek több tucat, több száz és több ezer erőforrással rendelkező előfizetést foglalnak magukban, amelyek mindegyiket a kezdetektől védeni kell.

A Felhőhöz készült Microsoft Defender PowerShell használatával történő előkészítése lehetővé teszi az Azure-erőforrások előkészítésének és felügyeletének programozott automatizálását, valamint a szükséges biztonsági vezérlők hozzáadását.

Ez a cikk egy PowerShell-példaszkriptet tartalmaz, amely módosítható és használható a környezetben az előfizetések Felhőhöz készült Defender bevezetéséhez.

Ebben a példában engedélyezzük a Felhőhöz készült Defender egy d07c0080-170c-4c24-861d-9c817742786c azonosítójú előfizetésen, és a magas szintű védelmet biztosító ajánlott beállításokat fogjuk alkalmazni a Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióinak engedélyezésével, amely fejlett veszélyforrások elleni védelmet és észlelési képességeket biztosít:

  1. Engedélyezze a fokozott biztonságot a Felhőhöz készült Microsoft Defender.

  2. Állítsa be azt a Log Analytics-munkaterületet, amelyre a Log Analytics-ügynök elküldi az előfizetéshez társított virtuális gépeken gyűjtött adatokat – ebben a példában egy meglévő felhasználó által definiált munkaterületet (myWorkspace).

  3. Aktiválja Felhőhöz készült Defender automatikus ügynökkiépítését, amely üzembe helyezi a Log Analytics-ügynököt.

  4. Állítsa be a szervezet CISO-ját biztonsági kapcsolattartóként Felhőhöz készült Defender riasztásokhoz és figyelemre méltó eseményekhez.

  5. Rendelje hozzá Felhőhöz készült Defender alapértelmezett biztonsági szabályzatát.

Előfeltételek

Ezeket a lépéseket a Felhőhöz készült Defender parancsmagok futtatása előtt kell végrehajtani:

  1. Futtassa a PowerShellt rendszergazdaként.

  2. Futtassa a következő parancsokat a PowerShellben:

    Set-ExecutionPolicy -ExecutionPolicy AllSigned

    Install-Module -Name Az.Security -Force

Felhőhöz készült Defender előkészítése a PowerShell használatával

  1. Előfizetéseinek regisztrálása az Felhőhöz készült Defender erőforrás-szolgáltatóhoz:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

  2. Nem kötelező: Az előfizetések lefedettségi szintjének (Felhőhöz készült Microsoft Defender továbbfejlesztett biztonsági funkcióinak be- és kikapcsolása) beállítása. Ha nincs definiálva, ezek a funkciók ki vannak kapcsolva:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"

  3. Konfiguráljon egy Log Analytics-munkaterületet, amelyről az ügynökök jelentést fognak tenni. Rendelkeznie kell egy Olyan Log Analytics-munkaterületpel, amelyet már létrehozott, és amelyről az előfizetés virtuális gépei jelentést fognak tenni. Több előfizetést is meghatározhat, hogy ugyanarra a munkaterületre jelentsen. Ha nincs megadva, a rendszer az alapértelmezett munkaterületet használja.

    Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"

  4. A Log Analytics-ügynök automatikus telepítése az Azure-beli virtuális gépeken:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision

    Feljegyzés

    Javasoljuk, hogy engedélyezze az automatikus kiépítést, hogy az Azure-beli virtuális gépek Felhőhöz készült Microsoft Defender automatikusan védve legyenek.
    A frissített Felhőhöz készült Defender stratégia részeként az Azure Monitor Agent (AMA) már nem lesz szükséges a Defender for Servers ajánlathoz. Azonban továbbra is szükség lesz a Defenderre a gépeken futó SQL Serverhez. Ennek eredményeképpen az Azure Monitor Agent (AMA) üzembe helyezése a Felhőhöz készült Defender portálon elérhető a gépeken futó SQL-kiszolgálók számára, új üzembehelyezési szabályzattal. További információ az SQL Server által célzott Azure Monitoring Agent (AMA) automatikus üzembe helyezési folyamatára való migrálásról.

  5. Nem kötelező: Erősen ajánlott megadni a biztonsági kapcsolattartási adatokat az előfizetésekhez, amelyeket a rendszer a Felhőhöz készült Defender által generált riasztások és értesítések címzettjeként fog használni:

    Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert

  6. Rendelje hozzá az alapértelmezett Felhőhöz készült Defender házirend-kezdeményezést:

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

    $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 

New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'

Sikeresen előkészítette Felhőhöz készült Microsoft Defender a PowerShell-lel.

Ezeket a PowerShell-parancsmagokat mostantól automatizálási szkriptekkel is használhatja az előfizetések és erőforrások közötti programozott iterációhoz. Ez időt takarít meg, és csökkenti az emberi hibák valószínűségét. Ezt a példaszkriptet hivatkozásként használhatja.

Lásd még

Ha többet szeretne megtudni arról, hogyan automatizálhatja az előkészítést Felhőhöz készült Defender a PowerShell használatával, tekintse meg az alábbi cikket:

A Felhőhöz készült Defender a következő cikkekben talál további információt: