Bagaimana Defender untuk Cloud mengumpulkan data?
Defender untuk Cloud mengumpulkan data dari komputer virtual (VM) Azure Anda, Virtual Machine Scale Sets, kontainer IaaS, dan komputer non-Azure (termasuk lokal) untuk memantau kerentanan dan ancaman keamanan. Beberapa paket Defender memerlukan komponen pemantauan untuk mengumpulkan data dari beban kerja Anda.
Pengumpulan data diperlukan untuk memberikan visibilitas ke dalam pembaruan yang hilang, pengaturan keamanan OS yang dikonfigurasi dengan tidak tepat, status perlindungan titik akhir, serta perlindungan kesehatan dan ancaman. Pengumpulan data hanya diperlukan untuk sumber daya komputasi seperti VM, Virtual Machine Scale Sets, kontainer IaaS, dan komputer non-Azure.
Anda dapat memanfaatkan Microsoft Defender untuk Cloud meskipun tidak memprovisikan agen. Namun, Anda akan memiliki keamanan terbatas dan kemampuan yang tercantum tidak didukung.
Data dikumpulkan menggunakan:
- Agen Azure Monitor (AMA)
- Microsoft Defender Advanced Threat Protection (MDE)
- Agen Analitik Log
- Komponen keamanan, seperti Azure Policy untuk Kubernetes
Mengapa menggunakan Defender untuk Cloud untuk menyebarkan komponen pemantauan?
Visibilitas ke dalam keamanan beban kerja Anda bergantung pada data yang dikumpulkan komponen pemantauan. Komponen memastikan cakupan keamanan untuk semua sumber daya yang didukung.
Untuk menghemat proses penginstalan ekstensi secara manual, Defender untuk Cloud mengurangi overhead manajemen dengan menginstal semua ekstensi yang diperlukan pada komputer yang ada dan baru. Defender untuk Cloud menetapkan yang sesuai Sebarkan jika tidak ada kebijakan ke beban kerja dalam langganan. Jenis kebijakan ini memastikan perpanjangan disediakan pada semua sumber daya yang ada dan yang akan datang dari jenis tersebut.
Tip
Pelajari selengkapnya tentang efek Azure Policy, termasuk Menyebarkan jika tidak ada, di Memahami efek Azure Policy.
Paket apa yang menggunakan komponen pemantauan?
Paket ini menggunakan komponen pemantauan untuk mengumpulkan data:
- Defender untuk Server
- Agen Azure Arc (Untuk server multicloud dan lokal)
- Microsoft Defender untuk Titik Akhir
- Penilaian kerentanan
- Agen Azure Monitor atau agen Analitik Log
- Defender untuk server SQL pada komputer
- Agen Azure Arc (Untuk server multicloud dan lokal)
- Agen Azure Monitor atau agen Analitik Log
- Penemuan dan pendaftaran server SQL otomatis
- Defender untuk Kontainer
- Agen Azure Arc (Untuk server multicloud dan lokal)
- Sensor defender, Azure Policy untuk Kubernetes, data log audit Kubernetes
Ketersediaan ekstensi
Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Agen Azure Monitor (AMA)
| Aspek | Detail |
|---|---|
| Status rilis: | Tersedia secara umum (GA) |
| Paket Defender yang relevan: | Defender untuk SQL Server di Komputer |
| Peran dan izin yang diperlukan (tingkat langganan): | Pemilik |
| Tujuan yang didukung: |  Azure Virtual MachinesMesin dengan dukungan Azure Arc |
| Berbasis kebijakan: | Ya |
| Cloud: | Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Pelajari selengkapnya penggunaan Agen Azure Monitor dengan Defender untuk Cloud.
Agen Analitik Log
| Aspek | Komputer virtual Azure | Komputer dengan dukungan Azure Arc |
|---|---|---|
| Status rilis: | Tersedia secara umum (GA) | Tersedia secara umum (GA) |
| Paket Defender yang relevan: | Manajemen Postur Keamanan Cloud Dasar (CSPM) untuk rekomendasi keamanan berbasis agen Microsoft Defender for Servers Microsoft Defender untuk SQL |
Manajemen Postur Keamanan Cloud Dasar (CSPM) untuk rekomendasi keamanan berbasis agen Microsoft Defender for Servers Microsoft Defender untuk SQL |
| Peran dan izin yang diperlukan (tingkat langganan): | Pemilik | Pemilik |
| Tujuan yang didukung: | Azure Virtual Machines |
Mesin dengan dukungan Azure Arc |
| Berbasis kebijakan: | Tidak |
Ya |
| Cloud: | Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Sistem operasi yang didukung untuk agen Analitik Log
Defender untuk Cloud bergantung pada agen Analitik Log. Pastikan mesin Anda menjalankan salah satu sistem operasi yang didukung untuk agen ini seperti yang dijelaskan pada halaman berikut:
- Agen Log Analytics untuk sistem operasi yang didukung Windows
- Agen Log Analytics untuk sistem operasi yang didukung Linux
Pastikan juga agen Analitik Log Anda dikonfigurasi dengan benar untuk mengirim data ke Defender untuk Cloud.
Menyebarkan agen Analitik Log dalam kasus penginstalan agen yang sudah ada sebelumnya
Kasus penggunaan berikut menjelaskan cara kerja penyebaran agen Analitik Log jika sudah ada agen atau ekstensi yang diinstal.
Agen Analitik Log diinstal di mesin, tetapi bukan sebagai ekstensi (Agen langsung) - Jika agen Analitik Log diinstal langsung di VM (bukan sebagai ekstensi Azure), Defender untuk Cloud akan menginstal ekstensi agen Analitik Log, dan mungkin meningkatkan agen Analitik Log ke versi terbaru. Agen yang diinstal akan terus melaporkan ke ruang kerja yang sudah dikonfigurasi dan ruang kerja yang dikonfigurasi di Defender untuk Cloud. (Multi-homing didukung pada komputer Windows.)
Misalkan Log Analytics dikonfigurasikan dengan ruang kerja pengguna, bukan ruang kerja default Defender untuk Cloud. Dalam hal ini, Anda harus menginstal solusi "Keamanan" atau "SecurityCenterFree" untuk Defender untuk Cloud mulai memproses peristiwa dari VM dan komputer yang melaporkan ke ruang kerja tersebut.
Untuk komputer Linux, multi-homing Agen belum didukung. Jika penginstalan agen yang ada terdeteksi, agen Analitik Log tidak akan disebarkan.
Untuk komputer yang ada pada langganan yang disetor ke Defender untuk Cloud sebelum 17 Maret 2019, ketika agen yang ada akan terdeteksi, ekstensi agen Analitik Log tidak akan diinstal dan komputer tidak akan terpengaruh. Untuk mesin ini, lihat rekomendasi "Atasi masalah kesehatan agen pemantauan pada mesin Anda" untuk menyelesaikan masalah instalasi agen pada mesin ini.
Agen Manajer Operasi Pusat Sistem diinstal pada mesin - Defender untuk Cloud akan menginstal ekstensi agen Analitik Log secara berdampingan dengan Manajer Operasi yang ada. Agen Operations Manager yang ada akan terus melaporkan ke server Operations Manager secara normal. Agen Operations Manager dan agen Log Analytics berbagi pustaka run-time umum, yang akan diperbarui ke versi terbaru selama proses ini.
Ekstensi VM yang sudah ada sebelumnya yang tersedia:
- Saat Agen Pemantauan diinstal sebagai ekstensi, konfigurasi ekstensi memungkinkan pelaporan hanya ke satu ruang kerja. Defender untuk Cloud tidak menimpa koneksi yang ada ke ruang kerja pengguna. Defender untuk Cloud akan menyimpan data keamanan dari VM di ruang kerja yang sudah tersambung, jika solusi "Keamanan" atau "SecurityCenterFree" diinstal di dalamnya. Defender untuk Cloud mungkin meningkatkan versi ekstensi ke versi terbaru dalam proses ini.
- Untuk melihat ke ruang kerja mana ekstensi yang ada mengirim data, jalankan alat TestCloud Koneksi ion.exe untuk memvalidasi konektivitas dengan Microsoft Defender untuk Cloud, seperti yang dijelaskan dalam Memverifikasi konektivitas agen Analitik Log. Atau, Anda dapat membuka ruang kerja Log Analytics, memilih ruang kerja, memilih VM, dan melihat koneksi agen Log Analytics.
- Jika Anda memiliki lingkungan tempat agen Analitik Log diinstal pada stasiun kerja klien dan melaporkan ke ruang kerja Analitik Log yang ada, tinjau daftar sistem operasi yang didukung oleh Microsoft Defender untuk Cloud guna memastikan sistem operasi Anda didukung.
Pelajari selengkapnya tentang bekerja dengan agen Analitik Log.
Pertahanan Microsoft untuk Titik Akhir
| Aspek | Linux | Windows |
|---|---|---|
| Status rilis: | Tersedia secara umum (GA) | Tersedia secara umum (GA) |
| Paket Defender yang relevan: | Microsoft Defender for Servers | Microsoft Defender for Servers |
| Peran dan izin yang diperlukan (tingkat langganan): | - Untuk mengaktifkan/menonaktifkan integrasi: Admin Keamanan atau Pemilik - Untuk melihat pemberitahuan Pertahanan untuk Titik Akhir di Defender untuk Cloud: Pembaca keamanan, Pembaca, Kontributor Grup Sumber Daya, Pemilik Grup Sumber Daya, Admin Keamanan, Pemilik langganan, atau Kontributor Langganan |
- Untuk mengaktifkan/menonaktifkan integrasi: Admin Keamanan atau Pemilik - Untuk melihat pemberitahuan Pertahanan untuk Titik Akhir di Defender untuk Cloud: Pembaca keamanan, Pembaca, Kontributor Grup Sumber Daya, Pemilik Grup Sumber Daya, Admin Keamanan, Pemilik langganan, atau Kontributor Langganan |
| Tujuan yang didukung: | Mesin dengan dukungan Azure ArcAzure Virtual Machines |
Mesin dengan dukungan Azure Arc mesin virtual Azure yang menjalankan Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, multi-sesi Windows 10 Enterprise mesin virtual Azure menjalankan Windows 10 |
| Berbasis kebijakan: | Tidak |
Tidak |
| Cloud: | Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Pelajari selengkapnya tentang Microsoft Defender untuk Titik Akhir.
Penilaian kerentanan
| Aspek | Detail |
|---|---|
| Status rilis: | Tersedia secara umum (GA) |
| Paket Defender yang relevan: | Microsoft Defender for Servers |
| Peran dan izin yang diperlukan (tingkat langganan): | Pemilik |
| Tujuan yang didukung: | Azure Virtual MachinesMesin dengan dukungan Azure Arc |
| Berbasis kebijakan: | Ya |
| Cloud: | Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Konfigurasi Tamu
| Aspek | Detail |
|---|---|
| Status rilis: | Pratinjau |
| Paket Defender yang relevan: | Tidak ada paket yang diperlukan |
| Peran dan izin yang diperlukan (tingkat langganan): | Pemilik |
| Tujuan yang didukung: | Azure Virtual Machines |
| Cloud: | Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Pelajari selengkapnya tentang ekstensi Konfigurasi Tamu Azure.
Ekstensi Defender untuk Kontainer
Tabel ini memperlihatkan detail ketersediaan untuk komponen yang diperlukan oleh perlindungan yang ditawarkan oleh Pertahanan Microsoft untuk Kontainer.
Secara default, ekstensi yang diperlukan diaktifkan saat Anda mengaktifkan Defender untuk Kontainer dari portal Azure.
| Aspek | Kluster Azure Kubernetes Service | Kluster Kubernetes yang mendukung Azure Arc |
|---|---|---|
| Status rilis: | • Sensor defender: GA • Azure Policy untuk Kubernetes: Tersedia secara umum (GA) |
• Sensor pertahanan: Pratinjau • Azure Policy untuk Kubernetes: Pratinjau |
| Paket Defender yang relevan: | Pertahanan Microsoft untuk Kontainer | Pertahanan Microsoft untuk Kontainer |
| Peran dan izin yang diperlukan (tingkat langganan): | Pemilik atau Administrator Akses Pengguna | Pemilik atau Administrator Akses Pengguna |
| Tujuan yang didukung: | Sensor AKS Defender hanya mendukung kluster AKS yang mengaktifkan RBAC. | Lihat Distribusi Kubernetes yang didukung untuk Kubernetes yang didukung Arc |
| Berbasis kebijakan: | Ya |
Ya |
| Cloud: | Sensor pertahanan: Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet Azure Policy untuk Kubernetes: Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Sensor pertahanan: Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet Azure Policy untuk Kubernetes: Cloud komersial Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet |
Pelajari selengkapnya tentang peran yang digunakan untuk memprovisikan ekstensi Defender untuk Kontainer.
Pemecahan Masalah
- Untuk mengidentifikasi persyaratan jaringan agen pemantauan, lihat Pemecahan masalah persyaratan jaringan agen pemantauan.
- Untuk mengidentifikasi masalah orientasi manual, lihat Cara memecahkan masalah orientasi Operations Management Suite.
Langkah berikutnya
Halaman ini menjelaskan komponen pemantauan apa dan cara mengaktifkannya.
Pelajari lebih lanjut tentang:
- Menyiapkan pemberitahuan email untuk pemberitahuan keamanan
- Melindungi beban kerja dengan paket Defender