Konfigurasikan provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud mengumpulkan data dari sumber daya Anda menggunakan agen atau ekstensi yang relevan untuk sumber daya tersebut dan jenis pengumpulan data yang telah Anda aktifkan. Gunakan prosedur di bawah untuk secara otomatis memprovisikan agen dan ekstensi yang diperlukan yang digunakan oleh Defender untuk Cloud untuk sumber daya Anda.

Cuplikan Layar ekstensi Microsoft Defender untuk Cloud yang dapat di provisikan secara otomatis

Catatan

Saat mengaktifkan provisi otomatis dari salah satu ekstensi yang didukung, Anda berpotensi memengaruhi mesin yang ada dan di masa mendatang. Tetapi ketika Anda menonaktifkan provisi otomatis untuk ekstensi, Anda hanya akan memengaruhi mesin di masa mendatang : tidak ada yang dihapus instalannya dengan menonaktifkan provisi otomatis.

Prasyarat

Untuk memulai Defender for Cloud, Anda harus berlangganan Microsoft Azure. Jika Anda tidak memiliki langganan, Anda bisa mendaftar untuk mendapatkan akun gratis.

Ketersediaan

Tabel ini menunjukkan detail ketersediaan untuk fitur provisi otomatis itu sendiri.

Aspek Detail
Status rilis: Provisi otomatis tersedia secara umum (GA)
Harga: Provisi otomatis gratis untuk digunakan
Peran dan izin akses yang diperlukan: Bergantung pada ekstensi tertentu - lihat tab yang relevan
Tujuan yang didukung: Bergantung pada ekstensi tertentu - lihat tab yang relevan
Cloud: Cloud komersial
Azure Government, Azure Tiongkok

Tip

Untuk item yang ditandai di pratinjau: Ketentuan Tambahan Pratinjau Azure menyertakan ketentuan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau yang belum dirilis ke ketersediaan umum.

Bagaimana Defender untuk Cloud mengumpulkan data?

Defender untuk Cloud mengumpulkan data dari mesin virtual Azure (VM), set skala mesin virtual, kontainer IaaS, dan mesin non-Azure (termasuk lokal) untuk memantau kerentanan dan ancaman keamanan.

Pengumpulan data diperlukan untuk memberikan visibilitas ke dalam pembaruan yang hilang, pengaturan keamanan OS yang salah dikonfigurasi, status perlindungan titik akhir, dan perlindungan kesehatan dan ancaman. Pengumpulan data hanya diperlukan untuk sumber daya komputasi seperti VM, set skala mesin virtual, kontainer IaaS, dan komputer non-Azure.

Anda dapat memanfaatkan Microsoft Defender untuk Cloud meskipun tidak memprovisikan agen. Namun, Anda akan memiliki keamanan terbatas dan kemampuan yang tercantum di atas tidak didukung.

Data dikumpulkan menggunakan:

  • Agen Log Analytics yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari mesin dan menyalin data ke ruang kerja Anda untuk analisis. Contoh data tersebut adalah: jenis dan versi sistem operasi, log sistem operasi (log kejadian Windows), proses yang berjalan, nama mesin, alamat IP, dan pengguna yang masuk.
  • Ekstensi keamanan, seperti Add-on Azure Policy untuk Kube, yang juga dapat memberikan data kepada Defender untuk Cloud mengenai jenis sumber daya khusus.

Tip

Seiring berkembangnya Defender untuk Cloud, jenis sumber daya yang dapat dipantau juga berkembang. Jumlah ekstensi juga telah bertambah. Penyediaan otomatis telah diperluas untuk mendukung jenis sumber daya tambahan dengan memanfaatkan kemampuan Azure Policy.

Mengapa menggunakan penyediaan otomatis?

Salah satu agen dan ekstensi yang dijelaskan di halaman ini dapat diinstal secara manual (lihat Instalasi manual agen Log Analytics). Namun, penyediaan otomatis mengurangi overhead manajemen dengan menginstal semua agen dan ekstensi yang diperlukan pada mesin yang ada - dan baru - untuk memastikan cakupan keamanan yang lebih cepat untuk semua sumber daya yang didukung.

Sebaiknya aktifkan penyediaan otomatis, tetapi dinonaktifkan secara default.

Bagaimana cara kerja penyediaan otomatis?

Pengaturan provisi otomatis Defender untuk Cloud memiliki tombol untuk setiap jenis ekstensi yang didukung. Saat Anda mengaktifkan penyediaan ekstensi secara otomatis, Anda menetapkan kebijakan Penerapan yang sesuai jika tidak ada. Jenis kebijakan ini memastikan perpanjangan disediakan pada semua sumber daya yang ada dan yang akan datang dari jenis tersebut.

Tip

Pelajari selengkapnya tentang efek Kebijakan Azure termasuk penerapan jika tidak terdapat di Pahami efek Azure Policy.

Mengaktifkan penyediaan otomatis agen dan ekstensi Log Analytics

Saat provisi otomatis diaktifkan untuk agen Analitik Log, Defender untuk Cloud menyebarkan agen pada semua VM Azure yang didukung dan semua mesin virtual baru yang dibuat. Untuk daftar platform yang didukung, lihat Platform yang didukung di Microsoft Defender untuk Cloud.

Untuk mengaktifkan penyediaan otomatis agen Log Analytics:

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Di halaman Provisi otomatis, tetapkan status provisi otomatis untuk agen Log Analytics ke Aktif.

    Aktifkan provisi otomatis agen Analitik Log.

  4. Dari panel opsi konfigurasi, tentukan ruang kerja yang akan digunakan.

    Opsi konfigurasi untuk menyediakan agen Log Analytics secara otomatis ke VM.

    • Sambungkan mesin virtual Azure ke ruang kerja default yang dibuat oleh Defender untuk Cloud - Defender untuk Cloud membuat grup sumber daya baru dan ruang kerja default di geolokasi yang sama, dan menyambungkan agen ke ruang kerja tersebut. Jika langganan berisi mesin virtual dari beberapa geolokasi, Defender untuk Cloud membuat beberapa ruang kerja untuk memastikan kepatuhan terhadap persyaratan privasi data.

      Konvensi penamaan untuk ruang kerja dan grup sumber daya adalah:

      • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
      • Grup Sumber Daya: DefaultResourceGroup-[geo]

      Solusi Defender untuk Cloud diaktifkan secara otomatis di ruang kerja per tingkat harga yang ditetapkan untuk langganan.

    • Menyambungkan Azure VM ke ruang kerja yang berbeda - Dari daftar dropdown, pilih ruang kerja untuk menyimpan data yang dikumpulkan. Daftar dropdown mencakup semua ruang kerja di semua langganan Anda. Anda dapat menggunakan opsi ini untuk mengumpulkan data dari mesin virtual yang berjalan di langganan yang berbeda dan menyimpan semuanya di ruang kerja yang Anda pilih.

      Jika Anda sudah memiliki ruang kerja Log Analytics yang sudah ada, Anda mungkin ingin menggunakan ruang kerja yang sama (memerlukan izin baca dan tulis di ruang kerja). Opsi ini berguna jika Anda menggunakan ruang kerja terpusat di organisasi Anda dan ingin menggunakannya untuk pengumpulan data keamanan. Pelajari selengkapnmya di Mengelola akses untuk log data dan ruang kerja di Azure Monitor.

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi "Keamanan" atau "SecurityCenterFree", harga akan diatur secara otomatis. Jika tidak, instal solusi Defender untuk Cloud di ruang kerja:

      1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.
      2. Pilih ruang kerja tempat Anda akan menghubungkan agen.
      3. Atur Manajemen postur keamanan ke aktif atau pilih Aktifkan semua untuk mengaktifkan semua paket Microsoft Defender.
  5. Dari konfigurasi Peristiwa keamanan Windows, pilih jumlah data kejadian mentah untuk disimpan:

    • Tidak Ada - Nonaktifkan penyimpanan peristiwa keamanan. (Default)
    • Minimal - Sekumpulan kecil peristiwa ketika Anda ingin meminimalkan volume acara.
    • Umum - Serangkaian peristiwa yang memuaskan sebagian besar pelanggan dan menyediakan jejak audit penuh.
    • Semua acara - Untuk pelanggan yang ingin memastikan semua acara disimpan.

    Tip

    Untuk mengatur opsi ini di tingkat ruang kerja, lihat Mengatur opsi acara keamanan di tingkat ruang kerja.

    Untuk informasi selengkapnya tentang opsi ini, lihat Opsi kejadian keamanan Windows untuk agen Log Analytics.

  6. Pilih Terapkan di panel konfigurasi.

  7. Untuk mengaktifkan provisi otomatis ekstensi selain agen Analitik Log:

    1. Alihkan status ke Aktif untuk ekstensi yang relevan.

      Beralih untuk mengaktifkan penyediaan otomatis untuk add-on kebijakan K8s.

    2. Pilih Simpan. Definisi Azure Policy telah ditetapkan dan tugas remediasi telah dibuat.

      Ekstensi Kebijakan
      Add-on kebijakan untuk Kubernetes Terapkan Add-on Azure Policy ke klaster Azure Kubernetes Service
      Agen Konfigurasi Tamu (pratinjau) Menyebarkan prasyarat untuk mengaktifkan kebijakan Konfigurasi Tamu pada komputer virtual
  8. Pilih Simpan. Jika ruang kerja perlu disediakan, instalasi agen mungkin memerlukan waktu hingga 25 menit.

  9. Anda akan ditanya apakah Anda ingin mengonfigurasi ulang VM yang dipantau yang sebelumnya tersambung ke ruang kerja default:

    Meninjau opsi untuk mengonfigurasi ulang VM yang dipantau.

    • Tidak - pengaturan ruang kerja baru Anda hanya akan diterapkan ke VM yang baru ditemukan yang tidak memiliki agen Log Analytics yang terinstal.
    • Ya - pengaturan ruang kerja baru Anda akan diterapkan ke semua mesin virtual dan setiap mesin virtual yang saat ini tersambung ke ruang kerja yang dibuat Defender untuk Cloud akan disambungkan kembali ke ruang kerja target baru.

    Catatan

    Jika Anda memilih Ya, jangan hapus ruang kerja yang dibuat oleh Defender untuk Cloud hingga semua mesin virtual telah disambungkan kembali ke ruang kerja target yang baru. Operasi ini gagal jika ruang kerja dihapus terlalu dini.

Opsi kejadian keamanan Windows untuk agen Log Analytics

Saat Anda memilih tingkat pengumpulan data di Microsoft Defender untuk Cloud, peristiwa keamanan tingkat yang dipilih disimpan di ruang kerja Analitik Log sehingga Anda dapat menyelidiki, mencari, dan mengaudit peristiwa di ruang kerja Anda. Agen Analitik Log juga mengumpulkan dan menganalisis peristiwa keamanan yang diperlukan untuk perlindungan ancaman Defender untuk Cloud.

Persyaratan

Perlindungan keamanan yang ditingkatkan dari Defender untuk Cloud diperlukan untuk menyimpan data peristiwa keamanan Windows. Pelajari selengkapnya tentang rencana perlindungan yang ditingkatkan.

Anda mungkin dikenakan biaya untuk menyimpan data di Analitik Log. Untuk informasi selengkapnya, lihat halaman harga.

Informasi untuk pengguna Microsoft Sentinel

Pengumpulan peristiwa keamanan dalam konteks satu ruang kerja dapat dikonfigurasi dari Microsoft Defender untuk Cloud atau Microsoft Sentinel, tetapi tidak keduanya. Jika Anda berencana untuk menambahkan Microsoft Sentinel ke ruang kerja yang sudah mendapatkan pemberitahuan dari Microsoft Defender untuk Cloud, dan diatur untuk mengumpulkan Peristiwa Keamanan, Anda memiliki dua opsi:

  • Biarkan koleksi Peristiwa Keamanan di Microsoft Defender untuk Cloud apa adanya. Anda akan dapat membuat kueri dan menganalisis peristiwa ini di Microsoft Sentinel dan Defender untuk Cloud. Jika Anda ingin memantau status konektivitas konektor atau mengubah konfigurasinya di Microsoft Sentinel, pertimbangkan opsi kedua.
  • Nonaktifkan pengumpulan Peristiwa Keamanan di Microsoft Defender untuk Cloud lalu tambahkan konektor Peristiwa Keamanan di Microsoft Sentinel. Anda akan dapat membuat kueri dan menganalisis peristiwa di Microsoft Sentinel dan Defender untuk Cloud, tetapi Anda juga dapat memantau status konektivitas konektor atau mengubah konfigurasinya di - dan hanya di - Microsoft Sentinel. Untuk menonaktifkan pengumpulan Peristiwa Keamanan di Defender untuk Cloud, atur peristiwa keamanan Windows ke Tidak Ada dalam konfigurasi agen Analitik Log Anda.

Jenis acara apa yang disimpan secara "Umum" dan "Minimal"?

Set peristiwa Umum dan Minimal dirancang untuk mengatasi skenario umum berdasarkan standar pelanggan dan industri untuk frekuensi yang tidak difilter dari setiap peristiwa dan penggunaannya.

  • Minimal - Set ini dimaksudkan untuk hanya mencakup peristiwa yang mungkin menunjukkan pelanggaran yang berhasil dan peristiwa penting dengan volume rendah. Sebagian besar volume data set ini adalah peristiwa masuk pengguna yang berhasil (ID peristiwa 4625), peristiwa masuk pengguna yang gagal (ID peristiwa 4624), dan peristiwa pembuatan proses (ID peristiwa 4688). Peristiwa keluar hanya penting untuk audit dan memiliki volume yang relatif tinggi, sehingga tidak disertakan dalam set peristiwa ini.
  • Umum - Set ini dimaksudkan untuk menyediakan jejak audit pengguna penuh, termasuk peristiwa dengan volume rendah. Misalnya, set ini berisi peristiwa masuk pengguna (ID peristiwa 4624) dan peristiwa keluar pengguna (ID peristiwa 4634). Kami menyertakan tindakan audit seperti perubahan grup keamanan, pengontrol domain utama operasi Kerberos, dan acara lain yang direkomendasikan oleh organisasi industri.

Berikut rincian lengkap ID peristiwa Keamanan dan Pengunci Aplikasi untuk setiap set:

Tingkat data Indikator peristiwa yang dikumpulkan
Minimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Common 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Catatan

  • Jika Anda menggunakan Group Policy Object (GPO), disarankan agar Anda mengaktifkan kebijakan audit Peristiwa Pembuatan Proses 4688 dan bidang CommandLine di dalam peristiwa 4688. Untuk informasi selengkapnya tentang Peristiwa Pembuatan Proses 4688, lihat FAQ Defender untuk Cloud. Untuk informasi selengkapnya tentang kebijakan audit ini, lihat Rekomendasi Kebijakan Audit.
  • Untuk mengaktifkan pengumpulan data untuk Kontrol aplikasi adaptif, Defender untuk Cloud mengonfigurasi kebijakan AppLocker lokal dalam mode Audit untuk mengizinkan semua aplikasi. Hal ini akan menyebabkan AppLocker menghasilkan peristiwa yang kemudian dikumpulkan dan dimanfaatkan oleh Defender untuk Cloud. Penting untuk dicatat bahwa kebijakan ini tidak akan dikonfigurasi pada mesin mana pun yang sudah ada kebijakan AppLocker yang dikonfigurasi.
  • Untuk mengumpulkan Windows Filtering Platform ID Peristiwa 5156, Anda perlu mengaktifkan Koneksi Platform Pemfilteran Audit (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Mengatur opsi peristiwa keamanan di tingkat ruang kerja

Anda dapat menentukan tingkat data peristiwa keamanan untuk disimpan di tingkat ruang kerja.

  1. Dari menu Defender untuk Cloud di portal Microsoft Azure, pilih Pengaturan lingkungan.

  2. Pilih ruang kerja yang relevan. Satu-satunya peristiwa pengumpulan data untuk ruang kerja adalah kejadian keamanan Windows yang dijelaskan di halaman ini.

    Mengatur data peristiwa keamanan untuk disimpan di ruang kerja.

  3. Pilih jumlah data peristiwa mentah untuk disimpan dan pilih Simpan.

Penyediaan agen manual

Untuk menginstal agen Log Analytics secara manual:

  1. Nonaktifkan penyediaan otomatis.

  2. Secara opsional, buat ruang kerja.

  3. Aktifkan Microsoft Defender untuk Cloud di ruang kerja tempat Anda menginstal agen Analitik Log:

    1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

    2. Atur ruang kerja tempat Anda menginstal agen. Pastikan ruang kerja berada dalam langganan yang sama dengan yang Anda gunakan di Defender untuk Cloud dan Anda memiliki izin baca/tulis untuk ruang kerja tersebut.

    3. Pilih Microsoft Defender untuk Cloud di, dan Simpan.

      Catatan

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi Keamanan atau SecurityCenterFree, harga akan diatur secara otomatis.

  4. Untuk menerapkan agen di VM baru menggunakan templat Resource Manager, instal agen Log Analytics:

  5. Untuk menyebarkan agen pada VM Yang sudah ada, ikuti instruksi dalam Mengumpulkan data tentang Azure Virtual Machines (bagian Mengumpulkan data peristiwa dan kinerja bersifat opsional).

  6. Untuk menggunakan PowerShell untuk menyebarkan agen, gunakan instruksi dari dokumentasi mesin virtual:

Tip

Untuk informasi selengkapnya tentang onboarding, lihat Mengotomatiskan onboarding Microsoft Defender untuk Cloud menggunakan PowerShell.

Provisikan secara otomatis jika ada instalasi agen yang sudah ada sebelumnya

Kasus penggunaan berikut menjelaskan cara kerja provisi otomatis jika sudah ada agen atau ekstensi yang diinstal.

  • Agen Analitik Log diinstal di mesin, tetapi bukan sebagai ekstensi (Agen langsung) - Jika agen Analitik Log diinstal langsung di VM (bukan sebagai ekstensi Azure), Defender untuk Cloud akan menginstal ekstensi agen Analitik Log, dan mungkin meningkatkan agen Analitik Log ke versi terbaru. Agen yang diinstal akan terus melaporkan ke ruang kerja yang sudah dikonfigurasi dan ruang kerja yang dikonfigurasi di Defender untuk Cloud. (Multi-homing didukung pada komputer Windows.)

    Misalkan Log Analytics dikonfigurasikan dengan ruang kerja pengguna, bukan ruang kerja default Defender untuk Cloud. Dalam hal ini, Anda harus menginstal solusi "Keamanan" atau "SecurityCenterFree" untuk Defender untuk Cloud mulai memproses peristiwa dari VM dan komputer yang melaporkan ke ruang kerja tersebut.

    Untuk komputer Linux, multi-homing Agen belum didukung. Jika penginstalan agen yang ada terdeteksi, agen Analitik Log tidak akan diprovisikan secara otomatis.

    Untuk komputer yang ada pada langganan yang disetor ke Defender untuk Cloud sebelum 17 Maret 2019, ketika agen yang ada akan terdeteksi, ekstensi agen Analitik Log tidak akan diinstal dan komputer tidak akan terpengaruh. Untuk mesin ini, lihat rekomendasi "Atasi masalah kesehatan agen pemantauan pada mesin Anda" untuk menyelesaikan masalah instalasi agen pada mesin ini.

  • Agen Manajer Operasi Pusat Sistem diinstal pada mesin - Defender untuk Cloud akan menginstal ekstensi agen Analitik Log secara berdampingan dengan Manajer Operasi yang ada. Agen Operations Manager yang ada akan terus melaporkan ke server Operations Manager secara normal. Agen Operations Manager dan agen Log Analytics berbagi pustaka run-time umum, yang akan diperbarui ke versi terbaru selama proses ini. Jika agen Manajer Operasi versi 2012 diinstal, jangan aktifkan provisi otomatis.

  • Ekstensi VM yang sudah ada sebelumnya yang tersedia:

    • Saat Agen Pemantauan diinstal sebagai ekstensi, konfigurasi ekstensi memungkinkan pelaporan hanya ke satu ruang kerja. Defender untuk Cloud tidak menimpa koneksi yang ada ke ruang kerja pengguna. Defender untuk Cloud akan menyimpan data keamanan dari VM di ruang kerja yang sudah tersambung, asalkan solusi "Keamanan" atau "SecurityCenterFree" telah diinstal di dalamnya. Microsoft Defender untuk Cloud dapat meningkatkan versi ekstensi ke versi terbaru dalam proses ini.
    • Untuk melihat ke ruang kerja mana ekstensi yang ada mengirim data, jalankan pengujian untuk Memvalidasi konektivitas dengan Microsoft Defender untuk Cloud. Atau, Anda dapat membuka ruang kerja Log Analytics, memilih ruang kerja, memilih VM, dan melihat koneksi agen Log Analytics.
    • Jika Anda memiliki lingkungan tempat agen Analitik Log diinstal pada stasiun kerja klien dan melaporkan ke ruang kerja Analitik Log yang ada, tinjau daftar sistem operasi yang didukung oleh Microsoft Defender untuk Cloud guna memastikan sistem operasi Anda didukung. Untuk informasi selengkapnya, lihat Pelanggan Log Analytics yang sudah ada.

Nonaktifkan penyediaan otomatis

Ketika Anda menonaktifkan provisi otomatis, agen tidak akan tersedia pada VM baru.

Untuk menonaktifkan provisi otomatis agen:

  1. Dari menu Defender untuk Cloud di portal, pilih Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Pilih Penyediaan otomatis.

  4. Alihkan status ke Nonaktif untuk agen yang relevan.

    Beralih untuk menonaktifkan penyediaan otomatis per jenis agen.

  5. Pilih Simpan. Saat provisi otomatis dinonaktifkan, bagian konfigurasi ruang kerja default tidak ditampilkan:

    Saat penyediaan otomatis dinonaktifkan, sel konfigurasi kosong

Catatan

Menonaktifkan provisi otomatis tidak menghapus agen Log Analytics dari VM Azure tempat agen disediakan. Untuk informasi tentang cara menghapus ekstensi OMS, lihat Bagaimana cara menghapus ekstensi OMS yang dipasang oleh Defender untuk Cloud.

Pemecahan Masalah

Langkah berikutnya

Halaman ini menjelaskan cara mengaktifkan provisi otomatis untuk agen Analitik Log dan ekstensi Defender untuk Cloud lainnya. Ini juga menjelaskan cara menentukan ruang kerja Log Analytics untuk menyimpan data yang dikumpulkan. Kedua operasi diperlukan untuk memungkinkan pengumpulan data. Penyimpanan data di ruang kerja Analitik Log mungkin dikenakan lebih banyak biaya untuk penyimpanan data. Untuk detail harga dalam mata uang atau wilayah lokal Anda, lihat halaman harga.