Konfigurasikan provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud mengumpulkan data dari sumber daya Anda menggunakan agen atau ekstensi yang relevan untuk sumber daya tersebut dan jenis pengumpulan data yang telah Anda aktifkan. Gunakan prosedur di bawah untuk secara otomatis memprovisikan agen yang diperlukan dan ekstensi yang digunakan untuk Defender untuk Cloud untuk sumber daya Anda.

Screenshot of Microsoft Defender for Cloud's extensions that can be auto provisioned.

Catatan

Saat mengaktifkan provisi otomatis dari salah satu ekstensi yang didukung, Anda berpotensi memengaruhi mesin yang ada dan di masa mendatang. Tetapi ketika Anda menonaktifkan provisi otomatis untuk ekstensi, Anda hanya akan memengaruhi mesin di masa mendatang : tidak ada yang dihapus instalannya dengan menonaktifkan provisi otomatis.

Prasyarat

Untuk memulai Defender for Cloud, Anda harus berlangganan Microsoft Azure. Jika Anda tidak memiliki langganan, Anda bisa mendaftar untuk mendapatkan akun gratis.

Ketersediaan

Tabel ini menunjukkan detail ketersediaan untuk fitur provisi otomatis itu sendiri.

Aspek Detail
Status rilis: Provisi otomatis tersedia secara umum (GA)
Harga: Provisi otomatis gratis untuk digunakan
Peran dan izin akses yang diperlukan: Bergantung pada ekstensi tertentu - lihat tab yang relevan
Tujuan yang didukung: Bergantung pada ekstensi tertentu - lihat tab yang relevan
Cloud: Cloud komersial
Azure Government, Azure Tiongkok

Tip

Untuk item yang ditandai di pratinjau: Ketentuan Tambahan Pratinjau Azure menyertakan ketentuan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau yang belum dirilis ke ketersediaan umum.

Bagaimana Defender untuk Cloud mengumpulkan data?

Defender untuk Cloud mengumpulkan data dari mesin virtual Azure (VM), set skala mesin virtual, kontainer IaaS, dan mesin non-Azure (termasuk lokal) untuk memantau kerentanan dan ancaman keamanan.

Pengumpulan data diperlukan untuk memberikan visibilitas ke dalam pembaruan yang hilang, pengaturan keamanan OS yang salah dikonfigurasi, status perlindungan titik akhir, dan perlindungan kesehatan dan ancaman. Pengumpulan data hanya diperlukan untuk sumber daya komputasi seperti VM, set skala mesin virtual, kontainer IaaS, dan komputer non-Azure.

Anda dapat memanfaatkan Microsoft Defender untuk Cloud meskipun tidak memprovisikan agen. Namun, Anda akan memiliki keamanan terbatas dan kemampuan yang tercantum di atas tidak didukung.

Data dikumpulkan menggunakan:

  • Agen Log Analytics yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari mesin dan menyalin data ke ruang kerja Anda untuk analisis. Contoh data tersebut adalah: jenis dan versi sistem operasi, log sistem operasi (log kejadian Windows), proses yang berjalan, nama mesin, alamat IP, dan pengguna yang masuk.
  • Ekstensi keamanan, seperti Add-on Azure Policy untuk Kube, yang juga dapat memberikan data kepada Defender untuk Cloud mengenai jenis sumber daya khusus.

Tip

Seiring berkembangnya Defender untuk Cloud, jenis sumber daya yang dapat dipantau juga berkembang. Jumlah ekstensi juga telah bertambah. Penyediaan otomatis telah diperluas untuk mendukung jenis sumber daya tambahan dengan memanfaatkan kemampuan Azure Policy.

Mengapa menggunakan penyediaan otomatis?

Salah satu agen dan ekstensi yang dijelaskan di halaman ini dapat diinstal secara manual (lihat Instalasi manual agen Log Analytics). Namun, penyediaan otomatis mengurangi overhead manajemen dengan menginstal semua agen dan ekstensi yang diperlukan pada mesin yang ada - dan baru - untuk memastikan cakupan keamanan yang lebih cepat untuk semua sumber daya yang didukung.

Sebaiknya aktifkan penyediaan otomatis, tetapi dinonaktifkan secara default.

Bagaimana cara kerja penyediaan otomatis?

Pengaturan provisi otomatis Defender untuk Cloud memiliki tombol untuk setiap jenis ekstensi yang didukung. Saat Anda mengaktifkan penyediaan ekstensi secara otomatis, Anda menetapkan kebijakan Penerapan yang sesuai jika tidak ada. Jenis kebijakan ini memastikan perpanjangan disediakan pada semua sumber daya yang ada dan yang akan datang dari jenis tersebut.

Tip

Pelajari selengkapnya tentang efek Kebijakan Azure termasuk penerapan jika tidak terdapat di Pahami efek Azure Policy.

Mengaktifkan penyediaan otomatis agen dan ekstensi Log Analytics

Saat provisi otomatis diaktifkan untuk agen Analitik Log, Defender untuk Cloud menyebarkan agen pada semua mesin virtual Azure yang didukung dan semua mesin virtual baru yang dibuat. Untuk daftar platform yang didukung, lihat Platform yang didukung di Microsoft Defender untuk Cloud.

Untuk mengaktifkan penyediaan otomatis agen Log Analytics:

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Di halaman Provisi otomatis, tetapkan status provisi otomatis untuk agen Log Analytics ke Aktif.

    Enabling auto provisioning of the Log Analytics agent.

  4. Dari panel opsi konfigurasi, tentukan ruang kerja yang akan digunakan.

    Configuration options for auto provisioning Log Analytics agents to VMs.

    • Sambungkan mesin virtual Azure ke ruang kerja default yang dibuat oleh Defender untuk Cloud - Defender untuk Cloud membuat grup sumber daya baru dan ruang kerja default di geolokasi yang sama, dan menyambungkan agen ke ruang kerja tersebut. Jika langganan berisi mesin virtual dari beberapa geolokasi, Defender untuk Cloud membuat beberapa ruang kerja untuk memastikan kepatuhan terhadap persyaratan privasi data.

      Konvensi penamaan untuk ruang kerja dan grup sumber daya adalah:

      • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
      • Grup Sumber Daya: DefaultResourceGroup-[geo]

      Solusi Defender untuk Cloud diaktifkan secara otomatis di ruang kerja per tingkat harga yang ditetapkan untuk langganan.

    • Menyambungkan Azure VM ke ruang kerja yang berbeda - Dari daftar dropdown, pilih ruang kerja untuk menyimpan data yang dikumpulkan. Daftar dropdown mencakup semua ruang kerja di semua langganan Anda. Anda dapat menggunakan opsi ini untuk mengumpulkan data dari mesin virtual yang berjalan di langganan yang berbeda dan menyimpan semuanya di ruang kerja yang Anda pilih.

      Jika Anda sudah memiliki ruang kerja Log Analytics yang sudah ada, Anda mungkin ingin menggunakan ruang kerja yang sama (memerlukan izin baca dan tulis di ruang kerja). Opsi ini berguna jika Anda menggunakan ruang kerja terpusat di organisasi Anda dan ingin menggunakannya untuk pengumpulan data keamanan. Pelajari selengkapnmya di Mengelola akses untuk log data dan ruang kerja di Azure Monitor.

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi "Keamanan" atau "SecurityCenterFree", harga akan diatur secara otomatis. Jika tidak, instal solusi Defender untuk Cloud di ruang kerja:

      1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.
      2. Pilih ruang kerja tempat Anda akan menghubungkan agen.
      3. Pilih Matikan peningkatan keamanan atau Aktifkan semua paket Microsoft Defender.
  5. Dari konfigurasi Peristiwa keamanan Windows, pilih jumlah data kejadian mentah untuk disimpan:

    • Tidak Ada - Nonaktifkan penyimpanan peristiwa keamanan. Ini adalah pengaturan default.
    • Minimal - Sekumpulan kecil peristiwa ketika Anda ingin meminimalkan volume acara.
    • Umum - Serangkaian peristiwa yang memuaskan sebagian besar pelanggan dan menyediakan jejak audit penuh.
    • Semua acara - Untuk pelanggan yang ingin memastikan semua acara disimpan.

    Tip

    Untuk mengatur opsi ini di tingkat ruang kerja, lihat Mengatur opsi acara keamanan di tingkat ruang kerja.

    Untuk informasi selengkapnya tentang opsi ini, lihat Opsi kejadian keamanan Windows untuk agen Log Analytics.

  6. Pilih Terapkan di panel konfigurasi.

  7. Untuk mengaktifkan penyediaan ekstensi secara otomatis selain agen Log Analytics:

    1. Alihkan status ke Aktif untuk ekstensi yang relevan.

      Toggle to enable auto provisioning for K8s policy add-on.

    2. Pilih Simpan. Definisi Azure Policy telah ditetapkan dan tugas remediasi telah dibuat.

      Ekstensi Kebijakan
      Add-on kebijakan untuk Kubernetes Terapkan Add-on Azure Policy ke klaster Azure Kubernetes Service
      Agen Konfigurasi Tamu (pratinjau) Menyebarkan prasyarat untuk mengaktifkan kebijakan Konfigurasi Tamu pada komputer virtual
  8. Pilih Simpan. Jika ruang kerja perlu disediakan, instalasi agen mungkin memerlukan waktu hingga 25 menit.

  9. Anda akan ditanya apakah Anda ingin mengonfigurasi ulang VM yang dipantau yang sebelumnya tersambung ke ruang kerja default:

    Review options to reconfigure monitored VMs.

    • Tidak - pengaturan ruang kerja baru Anda hanya akan diterapkan ke VM yang baru ditemukan yang tidak memiliki agen Log Analytics yang terinstal.
    • Ya - pengaturan ruang kerja baru Anda akan diterapkan ke semua mesin virtual dan setiap mesin virtual yang saat ini tersambung ke ruang kerja yang dibuat Defender untuk Cloud akan disambungkan kembali ke ruang kerja target baru.

    Catatan

    Jika Anda memilih Ya, jangan hapus ruang kerja yang dibuat oleh Defender untuk Cloud hingga semua mesin virtual telah disambungkan kembali ke ruang kerja target yang baru. Operasi ini gagal jika ruang kerja dihapus terlalu dini.

Opsi kejadian keamanan Windows untuk agen Log Analytics

Memilih tingkat pengumpulan data di Microsoft Defender untuk Cloud hanya memengaruhi penyimpanan peristiwa keamanan di ruang kerja Analitik Log Anda. Agen Analitik Log akan tetap mengumpulkan dan menganalisis peristiwa keamanan yang diperlukan untuk perlindungan ancaman Defender untuk Cloud, terlepas dari tingkat peristiwa keamanan yang Anda pilih untuk disimpan di ruang kerja. Memilih untuk menyimpan peristiwa keamanan memungkinkan penyelidikan, pencarian, dan pengauditan peristiwa tersebut di ruang kerja Anda.

Persyaratan

Perlindungan keamanan yang ditingkatkan dari Defender untuk Cloud diperlukan untuk menyimpan data peristiwa keamanan Windows. Pelajari selengkapnya tentang rencana perlindungan yang ditingkatkan.

Menyimpan data di Log Analytics dapat dikenakan biaya tambahan untuk penyimpanan data. Untuk informasi selengkapnya, lihat halaman harga.

Informasi untuk pengguna Microsoft Sentinel

Pengguna Microsoft Sentinel: perhatikan bahwa pengumpulan peristiwa keamanan dalam konteks satu ruang kerja dapat dikonfigurasi dari Microsoft Defender untuk Cloud atau Microsoft Sentinel, tetapi tidak keduanya. Jika Anda berencana untuk menambahkan Microsoft Sentinel ke ruang kerja yang sudah mendapatkan pemberitahuan dari Microsoft Defender untuk Cloud, dan diatur untuk mengumpulkan Peristiwa Keamanan, Anda memiliki dua opsi:

  • Biarkan koleksi Peristiwa Keamanan di Microsoft Defender untuk Cloud apa adanya. Anda akan dapat membuat kueri dan menganalisis peristiwa ini di Microsoft Sentinel serta di Defender untuk Cloud. Namun, Anda tidak akan dapat memantau status konektivitas konektor atau mengubah konfigurasinya di Microsoft Sentinel. Jika ini penting bagi Anda, pertimbangkan opsi kedua.
  • Nonaktifkan koleksi Peristiwa Keamanan di Microsoft Defender untuk Cloud (dengan mengatur peristiwa keamanan Windows ke Tidak ada dalam konfigurasi agen Analitik Log Anda). Kemudian tambahkan konektor Peristiwa Keamanan di Microsoft Sentinel. Seperti opsi pertama, Anda akan dapat membuat kueri dan menganalisis peristiwa di Microsoft Sentinel dan Defender untuk Cloud, tetapi Anda sekarang dapat memantau status konektivitas konektor atau mengubah konfigurasinya di - dan hanya di - Microsoft Sentinel.

Jenis acara apa yang disimpan secara "Umum" dan "Minimal"?

Set ini dirancang untuk mengatasi skenario umum. Pastikan untuk mengevaluasi mana yang sesuai dengan kebutuhan Anda sebelum menerapkannya.

Untuk menentukan peristiwa untuk opsi Umum dan Minimal, kami bekerja dengan pelanggan dan standar industri untuk mempelajari frekuensi yang tidak difilter dari setiap peristiwa dan penggunaannya. Kami menggunakan panduan berikut dalam proses ini:

  • Minimal - Pastikan bahwa set ini hanya mencakup peristiwa yang dapat menunjukkan pelanggaran yang dilakukan dan peristiwa penting yang memiliki volume yang sangat rendah. Misalnya, set ini berisi login pengguna yang berhasil dan gagal (ID peristiwa 4624, 4625), tetapi tidak mengandung keluar yang penting untuk diaudit juga untuk deteksi dan memiliki volume yang relatif tinggi. Sebagian besar volume data set ini adalah peristiwa login dan peristiwa pembuatan proses (ID peristiwa 4688).
  • Umum - Berikan jejak audit pengguna lengkap dalam set ini. Misalnya, set ini berisi login pengguna dan keluar pengguna (PERISTIWA ID 4634). Kami menyertakan tindakan audit seperti perubahan grup keamanan, pengontrol domain utama operasi Kerberos, dan acara lain yang direkomendasikan oleh organisasi industri.

Peristiwa yang memiliki volume sangat rendah termasuk dalam set umum dan dijadikan sebagai motivasi utama untuk memilihnya atas semua peristiwa adalah untuk mengurangi volume tanpa harus memfilter peristiwa tertentu.

Berikut adalah perincian lengkap DARI ID peristiwa Keamanan dan Penguncian Aplikasi untuk setiap set:

Tingkat data Indikator peristiwa yang dikumpulkan
Minimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Common 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Catatan

  • Jika Anda menggunakan Group Policy Object (GPO), disarankan agar Anda mengaktifkan kebijakan audit Peristiwa Pembuatan Proses 4688 dan bidang CommandLine di dalam peristiwa 4688. Untuk informasi selengkapnya tentang Peristiwa Pembuatan Proses 4688, lihat FAQ Defender untuk Cloud. Untuk informasi selengkapnya tentang kebijakan audit ini, lihat Rekomendasi Kebijakan Audit.
  • Untuk mengaktifkan pengumpulan data untuk Kontrol aplikasi adaptif, Defender untuk Cloud mengonfigurasi kebijakan AppLocker lokal dalam mode Audit untuk mengizinkan semua aplikasi. Hal ini akan menyebabkan AppLocker menghasilkan peristiwa yang kemudian dikumpulkan dan dimanfaatkan oleh Defender untuk Cloud. Penting untuk dicatat bahwa kebijakan ini tidak akan dikonfigurasi pada mesin mana pun yang sudah ada kebijakan AppLocker yang dikonfigurasi.
  • Untuk mengumpulkan Windows Filtering Platform ID Peristiwa 5156, Anda perlu mengaktifkan Koneksi Platform Pemfilteran Audit (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Mengatur opsi peristiwa keamanan di tingkat ruang kerja

Anda dapat menentukan tingkat data peristiwa keamanan untuk disimpan di tingkat ruang kerja.

  1. Dari menu Defender untuk Cloud di portal Microsoft Azure, pilih Pengaturan lingkungan.

  2. Pilih ruang kerja yang relevan. Satu-satunya peristiwa pengumpulan data untuk ruang kerja adalah kejadian keamanan Windows yang dijelaskan di halaman ini.

    Setting the security event data to store in a workspace.

  3. Pilih jumlah data peristiwa mentah untuk disimpan dan pilih Simpan.

Penyediaan agen manual

Untuk menginstal agen Log Analytics secara manual:

  1. Nonaktifkan penyediaan otomatis.

  2. Secara opsional, buat ruang kerja.

  3. Aktifkan Microsoft Defender untuk Cloud di ruang kerja tempat Anda menginstal agen Analitik Log:

    1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

    2. Atur ruang kerja tempat Anda menginstal agen. Pastikan ruang kerja berada dalam langganan yang sama dengan yang Anda gunakan di Defender untuk Cloud dan Anda memiliki izin baca/tulis untuk ruang kerja tersebut.

    3. Pilih Microsoft Defender untuk Cloud di, dan Simpan.

      Catatan

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi Keamanan atau SecurityCenterFree, harga akan diatur secara otomatis.

  4. Untuk menerapkan agen di VM baru menggunakan templat Resource Manager, instal agen Log Analytics:

  5. Untuk menyebarkan agen pada VM Yang sudah ada, ikuti instruksi dalam Mengumpulkan data tentang Azure Virtual Machines (bagian Mengumpulkan data peristiwa dan kinerja bersifat opsional).

  6. Untuk menggunakan PowerShell untuk menyebarkan agen, gunakan instruksi dari dokumentasi mesin virtual:

Tip

Untuk informasi selengkapnya tentang onboarding, lihat Mengotomatiskan onboarding Microsoft Defender untuk Cloud menggunakan PowerShell.

Penyediaan otomatis jika ada instalasi agen yang sudah ada sebelumnya

Kasus penggunaan berikut menentukan cara kerja penyediaan otomatis dalam kasus ketika sudah ada agen atau ekstensi yang diinstal.

  • Agen Analitik Log diinstal di mesin, tetapi bukan sebagai ekstensi (Agen langsung) - Jika agen Analitik Log diinstal langsung di mesin virtual (bukan sebagai ekstensi Azure), Defender untuk Cloud akan menginstal ekstensi agen Analitik Log, dan mungkin meningkatkan agen Analitik Log ke versi terbaru. Agen yang diinstal akan terus melaporkan ke ruang kerja yang sudah dikonfigurasi, dan selain itu akan melaporkan ke ruang kerja yang dikonfigurasi di Defender untuk Cloud (Multi-homing didukung pada mesin Windows).

    Jika ruang kerja yang dikonfigurasi adalah ruang kerja pengguna (bukan ruang kerja default Defender untuk Cloud), maka Anda perlu menginstal solusi "Keamanan" atau "SecurityCenterFree" di dalamnya agar Defender untuk Cloud mulai memproses peristiwa dari mesin virtual dan komputer yang melapor ke ruang kerja tersebut.

    Untuk mesin Linux, multi-homing Agen belum didukung - oleh karena itu, jika instalasi agen yang ada terdeteksi, penyediaan otomatis tidak akan terjadi dan konfigurasi mesin tidak akan diubah.

    Untuk mesin yang ada pada langganan yang disetor ke Defender untuk Cloud sebelum 17 Maret 2019, ketika agen yang ada akan terdeteksi, ekstensi agen Analitik Log tidak akan diinstal dan mesin tidak akan terpengaruh. Untuk mesin ini, lihat rekomendasi "Atasi masalah kesehatan agen pemantauan pada mesin Anda" untuk menyelesaikan masalah instalasi agen pada mesin ini.

  • Agen Manajer Operasi Pusat Sistem diinstal pada mesin - Defender untuk Cloud akan menginstal ekstensi agen Analitik Log secara berdampingan dengan Manajer Operasi yang ada. Agen Operations Manager yang ada akan terus melaporkan ke server Operations Manager secara normal. Agen Operations Manager dan agen Log Analytics berbagi pustaka run-time umum, yang akan diperbarui ke versi terbaru selama proses ini. Jika agen Operations Manager versi 2012 diinstal, jangan aktifkan penyediaan otomatis.

  • Ekstensi VM yang sudah ada sebelumnya yang tersedia:

    • Saat Agen Pemantauan diinstal sebagai ekstensi, konfigurasi ekstensi memungkinkan pelaporan hanya ke satu ruang kerja. Microsoft Defender untuk Cloud tetap mengutamakan koneksi yang ada ke ruang kerja pengguna. Defender untuk Cloud akan menyimpan data keamanan dari mesin virtual di ruang kerja yang sudah tersambung, asalkan solusi "Keamanan" atau "SecurityCenterFree" telah diinstal di dalamnya. Microsoft Defender untuk Cloud dapat meningkatkan versi ekstensi ke versi terbaru dalam proses ini.
    • Untuk melihat ke ruang kerja mana ekstensi yang ada mengirim data, jalankan pengujian untuk Memvalidasi konektivitas dengan Microsoft Defender untuk Cloud. Atau, Anda dapat membuka ruang kerja Log Analytics, memilih ruang kerja, memilih VM, dan melihat koneksi agen Log Analytics.
    • Jika Anda memiliki lingkungan tempat agen Analitik Log diinstal pada stasiun kerja klien dan melaporkan ke ruang kerja Analitik Log yang ada, tinjau daftar sistem operasi yang didukung oleh Microsoft Defender untuk Cloud guna memastikan sistem operasi Anda didukung. Untuk informasi selengkapnya, lihat Pelanggan Log Analytics yang sudah ada.

Nonaktifkan penyediaan otomatis

Ketika Anda menonaktifkan penyediaan otomatis, agen tidak akan disediakan pada VM baru.

Untuk menonaktifkan penyediaan otomatis agen:

  1. Dari menu Defender untuk Cloud di portal, pilih Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Pilih Penyediaan otomatis.

  4. Alihkan status ke Nonaktif untuk agen yang relevan.

    Toggles to disable auto provisioning per agent type.

  5. Pilih Simpan. Saat penyediaan otomatis dinonaktifkan, bagian konfigurasi ruang kerja default tidak ditampilkan:

    When auto provisioning is disabled, the configuration cell is empty

Catatan

Menonaktifkan penyediaan otomatis tidak menghapus agen Log Analytics dari Azure VMs tempat agen disediakan. Untuk informasi tentang cara menghapus ekstensi OMS, lihat Bagaimana cara menghapus ekstensi OMS yang dipasang oleh Defender untuk Cloud.

Pemecahan Masalah

Langkah berikutnya

Halaman ini menjelaskan cara mengaktifkan provisi otomatis untuk agen Analitik Log dan ekstensi Defender untuk Cloud lainnya. Ini juga menjelaskan cara menentukan ruang kerja Log Analytics untuk menyimpan data yang dikumpulkan. Kedua operasi diperlukan untuk memungkinkan pengumpulan data. Menyimpan data di Log Analytics, baik Anda menggunakan ruang kerja baru atau yang sudah ada, mungkin dikenakan lebih banyak biaya untuk penyimpanan data. Untuk detail harga dalam mata uang atau wilayah lokal Anda, lihat halaman harga.