Guida introduttiva: Configurare il provisioning automatico per agenti ed estensioni da Microsoft Defender for Cloud

Microsoft Defender for Cloud raccoglie i dati dalle risorse usando l'agente o le estensioni pertinenti per tale risorsa e il tipo di raccolta dati abilitata. Usare le procedure seguenti per effettuare automaticamente il provisioning degli agenti e delle estensioni necessari usati da Defender for Cloud alle risorse.

Quando si abilita il provisioning automatico di una delle estensioni supportate, le estensioni vengono installate nei computer esistenti e futuri nella sottoscrizione. Quando si disabilita il provisioning automatico per un'estensione, l'estensione non viene installata nei computer futuri, ma non viene disinstallata anche dai computer esistenti.

Screenshot delle estensioni di Microsoft Defender for Cloud di cui è possibile eseguire il provisioning automatico.

Prerequisiti

Per iniziare a usare Defender for Cloud, è necessario avere una sottoscrizione di Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere un account gratuito.

Disponibilità

Questa tabella mostra i dettagli di disponibilità per la funzionalità di provisioning automatico.

Aspetto Dettagli
Stato della versione: Il provisioning automatico è disponibile a livello generale
Prezzi: Il provisioning automatico è gratuito da usare
Autorizzazioni e ruoli obbligatori: Dipende dall'estensione specifica. Vedere la scheda pertinente
Destinazioni supportate: Dipende dall'estensione specifica. Vedere la scheda pertinente
Cloud: Cloud commerciali
Azure per enti pubblici, Azure China 21Vianet

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

In che modo Defender per Cloud raccoglie i dati?

Defender per Cloud raccoglie i dati dalle macchine virtuali di Azure, dai set di scalabilità di macchine virtuali, dai contenitori IaaS e dai computer non Azure (inclusi quelli locali) per monitorare le vulnerabilità e le minacce per la sicurezza.

La raccolta dei dati è fondamentale per ottenere visibilità sugli aggiornamenti mancanti, le impostazioni di sicurezza del sistema operativo non configurate correttamente, lo stato della protezione degli endpoint e la protezione dell'integrità e dalle minacce. La raccolta dati è necessaria solo per le risorse di calcolo, ad esempio macchine virtuali, set di scalabilità di macchine virtuali, contenitori IaaS e computer non azure.

È possibile trarre vantaggio da Microsoft Defender per Cloud anche se non si esegue il provisioning degli agenti. Tuttavia, la sicurezza è limitata e le funzionalità elencate in precedenza non sono supportate.

I dati vengono raccolti tramite:

  • L'agente di Log Analytics, che legge diverse configurazioni correlate alla sicurezza oltre ai log eventi del computer e copia i dati nell'area di lavoro per l'analisi. I dati raccolti sono ad esempio il tipo di sistema operativo e la versione, i log del sistema operativo (log eventi Windows), i processi in esecuzione, il nome del computer, gli indirizzi IP e l'utente connesso.
  • Estensioni di sicurezza, ad esempio il componente aggiuntivo Criteri di Azure per Kubernetes, che possono anche fornire dati a Defender for Cloud per i tipi di risorse specializzati.

Perché usare il provisioning automatico?

Le estensioni e gli agenti descritti in questa pagina possono essere installati manualmente. Vedere Installazione manuale dell'agente di Log Analytics. Tuttavia, il provisioning automatico riduce il sovraccarico di gestione installando tutti gli agenti necessari e le estensioni nei computer nuovi ed esistenti per garantire una copertura di sicurezza più rapida per tutte le risorse supportate.

È consigliabile abilitare il provisioning automatico, anche se è disabilitato per impostazione predefinita.

Come funziona il provisioning automatico?

La pagina delle impostazioni di provisioning automatico di Defender for Cloud include un interruttore per ogni tipo di estensione supportata. Quando si abilita il provisioning automatico di un'estensione, si assegna il criterio Distribuisci appropriato se non esiste . Questo tipo di criterio garantisce che l'estensione venga effettuato il provisioning su tutte le risorse esistenti e future di tale tipo.

Suggerimento

Altre informazioni sugli effetti Criteri di Azure inclusi Distribuisci se non esistono in Informazioni sugli effetti Criteri di Azure.

Abilitare il provisioning automatico dell'agente e delle estensioni di Log Analytics

Quando il provisioning automatico è attivo per l'agente di Log Analytics, Defender for Cloud distribuisce l'agente in tutte le macchine virtuali di Azure supportate e quelle nuove create. Per l'elenco delle piattaforme supportate, vedere Piattaforme supportate in Microsoft Defender for Cloud.

Per abilitare il provisioning automatico dell'agente di Log Analytics:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare la sottoscrizione pertinente.

  3. Nella pagina Provisioning automatico impostare lo stato del provisioning automatico per l'agente di Log Analytics su Attivo.

    Abilitazione del provisioning automatico dell'agente di Log Analytics.

  4. Nel riquadro delle opzioni di configurazione definire l'area di lavoro da usare.

    Opzioni di configurazione per il provisioning automatico degli agenti di Log Analytics alle macchine virtuali.

    • Connettere le macchine virtuali di Azure alle aree di lavoro predefinite create da Defender for Cloud - Defender for Cloud crea un nuovo gruppo di risorse e un'area di lavoro predefinita nella stessa georilevazione e connette l'agente a tale area di lavoro. Se una sottoscrizione contiene VM di più aree geografiche, Defender per il cloud crea più aree di lavoro per garantire la conformità ai requisiti di privacy dei dati.

      Ecco le convenzioni di denominazione per l'area di lavoro e il gruppo di risorse:

      • Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
      • Gruppo di risorse: DefaultResourceGroup-[geo]

      Una soluzione Defender for Cloud viene abilitata automaticamente nell'area di lavoro per ogni piano tariffario impostato per la sottoscrizione.

    • Connect Azure VMs to a different workspace (Connetti le VM di Azure a un'area di lavoro diversa): nell'elenco a discesa selezionare l'area di lavoro in cui archiviare i dati raccolti. L'elenco a discesa include tutte le aree di lavoro di tutte le sottoscrizioni. È possibile usare questa opzione per raccogliere i dati dalle macchine virtuali in esecuzione in sottoscrizioni diverse e archiviarli tutti nell'area di lavoro selezionata.

      Se è già disponibile un'area di lavoro Log Analytics, si può scegliere di usare la stessa (sono necessari autorizzazioni di lettura e scrittura per l'area di lavoro). Questa opzione è utile se nell'organizzazione è disponibile un'area di lavoro centralizzata che si vuole usare per la raccolta dati sulla sicurezza. Per altre informazioni, vedere Gestire l'accesso ai dati di log e alle aree di lavoro in Monitoraggio di Azure.

      Se l'area di lavoro selezionata ha già una soluzione "Security" o "SecurityCenterFree" abilitata, i prezzi verranno impostati automaticamente. In caso contrario, installare una soluzione Defender for Cloud nell'area di lavoro:

      1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.
      2. Selezionare l'area di lavoro a cui connettere gli agenti.
      3. Impostare Gestione del comportamento di sicurezza su su o selezionare Abilita tutto per attivare tutti i piani di Microsoft Defender.
  5. Nella configurazione Eventi di sicurezza di Windows selezionare la quantità di dati non elaborati sugli eventi da archiviare:

    • Nessuno: disabilita l'archiviazione degli eventi di sicurezza. Valore predefinito.
    • Minimi: un piccolo set di eventi nel caso i cui si voglia ridurne al minimo il volume.
    • Comuni: un set di eventi che soddisfa la maggior parte dei clienti e fornisce un audit trail completo.
    • Tutti gli eventi: per i clienti che vogliono assicurarsi che tutti gli eventi vengano archiviati.

    Suggerimento

    Per impostare queste opzioni a livello di area di lavoro, vedere Impostazione dell'opzione per gli eventi di sicurezza a livello di area di lavoro.

    Per altre informazioni su queste opzioni, vedere Opzioni degli eventi di sicurezza di Windows per l'agente di Log Analytics.

  6. Selezionare Applica nel riquadro di configurazione.

  7. Per abilitare il provisioning automatico di un'estensione diversa dall'agente di Log Analytics:

    1. Impostare lo stato su Attivato per l'estensione appropriata.

      Disattiva per abilitare il provisioning automatico per il componente aggiuntivo dei criteri K8s.

    2. Selezionare Salva. La definizione di Criteri di Azure viene assegnata e viene creata un'attività di correzione.

      Estensione Policy
      Componente aggiuntivo Criteri per Kubernetes Distribuire il componente aggiuntivo Criteri di Azure nei cluster del servizio Azure Kubernetes
      Agente di configurazione guest (anteprima) Distribuisci i prerequisiti per abilitare i criteri di configurazione guest nelle macchine virtuali
  8. Selezionare Salva. Se è necessario eseguire il provisioning di un'area di lavoro, l'installazione dell'agente potrebbe richiedere fino a 25 minuti.

  9. Verrà chiesto se si vogliono riconfigurare le VM monitorate che in precedenza erano connesse a un'area di lavoro predefinita:

    Esaminare le opzioni per riconfigurare le macchine virtuali monitorate.

    • No: le impostazioni della nuova area di lavoro si applicano solo alle nuove VM individuate in cui non è installato l'agente di Log Analytics.
    • : le nuove impostazioni dell'area di lavoro verranno applicate a tutte le macchine virtuali e ogni macchina virtuale attualmente connessa a un'area di lavoro creata da Defender for Cloud verrà riconnessa alla nuova area di lavoro di destinazione.

    Nota

    Se si seleziona , non eliminare le aree di lavoro create da Defender for Cloud fino a quando tutte le macchine virtuali non sono state riconnesse alla nuova area di lavoro di destinazione. Questa operazione non riesce se un'area di lavoro viene eliminata troppo presto.

Opzioni degli eventi di sicurezza di Windows per l'agente di Log Analytics

Quando si seleziona un livello di raccolta dati in Microsoft Defender for Cloud, gli eventi di sicurezza del livello selezionato vengono archiviati nell'area di lavoro Log Analytics in modo da poter analizzare, cercare e controllare gli eventi nell'area di lavoro. L'agente di Log Analytics raccoglie e analizza anche gli eventi di sicurezza necessari per la protezione delle minacce di Defender for Cloud.

Requisiti

Le protezioni di sicurezza avanzate di Defender for Cloud sono necessarie per archiviare i dati degli eventi di sicurezza di Windows. Altre informazioni sui piani di protezione avanzata.

Potrebbe essere addebitato l'addebito per l'archiviazione dei dati in Log Analytics. Per altre informazioni vedere la pagina dei prezzi.

Informazioni per gli utenti di Microsoft Sentinel

La raccolta di eventi di sicurezza all'interno del contesto di una singola area di lavoro può essere configurata da Microsoft Defender for Cloud o Da Microsoft Sentinel, ma non da entrambi. Se si vuole aggiungere Microsoft Sentinel a un'area di lavoro che riceve già avvisi da Microsoft Defender for Cloud e per raccogliere eventi di sicurezza, è possibile:

  • Lasciare l'insieme Security Events in Microsoft Defender for Cloud così come è. Sarà possibile eseguire query e analizzare questi eventi in Microsoft Sentinel e Defender for Cloud. Se si vuole monitorare lo stato di connettività del connettore o modificare la configurazione in Microsoft Sentinel, prendere in considerazione la seconda opzione.
  • Disabilitare la raccolta Eventi di sicurezza in Microsoft Defender for Cloud e quindi aggiungere il connettore Eventi di sicurezza in Microsoft Sentinel. Sarà possibile eseguire query e analizzare gli eventi in Microsoft Sentinel e Defender for Cloud, ma sarà anche possibile monitorare lo stato di connettività del connettore o modificare la configurazione in - e solo in - Microsoft Sentinel. Per disabilitare la raccolta eventi di sicurezza in Defender for Cloud, impostare gli eventi di sicurezza di Windows su Nessuno nella configurazione dell'agente di Log Analytics.

Quali tipi di eventi vengono archiviati per le opzioni "Comuni" e "Minimi"?

I set di eventi Common e Minimal sono stati progettati per affrontare scenari tipici basati sugli standard del cliente e del settore per la frequenza non filtrata di ogni evento e il relativo utilizzo.

  • Minimo : questo set è destinato a coprire solo gli eventi che potrebbero indicare una violazione riuscita e eventi importanti con volume basso. La maggior parte del volume di dati di questo set ha esito positivo (ID evento 4625), eventi di accesso utente non riusciti (ID evento 4624) e eventi di creazione del processo (ID evento 4688). Gli eventi di disconnessamento sono importanti solo per il controllo e hanno un volume relativamente elevato, quindi non sono inclusi in questo set di eventi.
  • Comune : questo set è destinato a fornire un audit trail utente completo, inclusi gli eventi con volume basso. Ad esempio, questo set contiene sia gli eventi di accesso utente (ID evento 4624) sia gli eventi di accesso utente (ID evento 4634). Sono incluse azioni di controllo quali modifiche al gruppo di sicurezza, operazioni Kerberos del controller del dominio principale e altri eventi consigliati dalle organizzazioni del settore.

Ecco una suddivisione completa degli ID evento Security and App Locker per ogni set:

Livello dati Indicatori di eventi raccolti
Minime 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Comuni 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Nota

  • Se si usa l'oggetto Criteri di gruppo, è consigliabile abilitare i criteri di controllo della creazione del processo dell'evento 4688 e il campo CommandLine all'interno dell'evento 4688. Per altre informazioni sull'evento di creazione dei processi 4688, vedere Domande frequenti su Defender for Cloud. Per altre informazioni su questi criteri di controllo, vedere Suggerimenti per i criteri di controllo.
  • Per abilitare la raccolta dati per i controlli applicazioni adattivi, Defender for Cloud configura un criterio appLocker locale in modalità controllo per consentire tutte le applicazioni. In questo modo AppLocker genererà eventi che vengono quindi raccolti e sfruttati da Defender for Cloud. È importante notare che questi criteri non saranno configurati nei computer in cui è già configurato un criterio AppLocker.
  • Per raccogliere l'ID evento 5156 della piattaforma filtri Windows, è necessario abilitare Controlla Connessione a Piattaforma filtro Windows (Auditpol /set /subcategory:"Connessione a Piattaforma filtro" /Success:Enable)

Impostazione dell'opzione per gli eventi di sicurezza a livello di area di lavoro

È possibile definire il livello dei dati sugli eventi di sicurezza da archiviare a livello di area di lavoro.

  1. Dal menu di Defender for Cloud nella portale di Azure selezionare Impostazioni ambiente.

  2. Selezionare l'area di lavoro appropriata. Gli unici eventi della raccolta dati per un'area di lavoro sono gli eventi di sicurezza di Windows descritti in questa pagina.

    Impostazione dei dati degli eventi di sicurezza da archiviare in un'area di lavoro.

  3. Selezionare la quantità di dati non elaborati sugli eventi da archiviare, quindi selezionare Salva.

Provisioning manuale dell'agente

Per installare manualmente l'agente di Log Analytics:

  1. Disabilitare il provisioning automatico.

  2. Facoltativamente, creare un'area di lavoro.

  3. Abilitare Microsoft Defender for Cloud nell'area di lavoro in cui si installa l'agente di Log Analytics:

    1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

    2. Impostare l'area di lavoro in cui si installa l'agente. Assicurarsi che l'area di lavoro si trovi nella stessa sottoscrizione usata in Defender for Cloud e che siano disponibili autorizzazioni di lettura/scrittura per l'area di lavoro.

    3. Selezionare Microsoft Defender for Cloud on e Salva.

      Nota

      Se l'area di lavoro dispone già di una soluzione Security o SecurityCenterFree abilitata, il piano tariffario verrà impostato automaticamente.

  4. Per distribuire gli agenti in nuove VM con un modello di Resource Manager, installare l'agente di Log Analytics:

  5. Per distribuire gli agenti nelle VM esistenti, seguire le istruzioni riportate in Raccogliere dati sulle macchine virtuali di Azure (la sezione Raccogliere dati su eventi e prestazioni è facoltativa).

  6. Per usare PowerShell per distribuire l'estensione, seguire le istruzioni indicate nella documentazione delle macchine virtuali:

Suggerimento

Per altre informazioni sull'onboarding, vedere Automatizzare l'onboarding di Microsoft Defender for Cloud con PowerShell.

Provisioning automatico in caso di installazione di un agente preesistente

I casi d'uso seguenti illustrano il funzionamento del provisioning automatico nei casi in cui è già installato un agente o un'estensione.

  • L'agente di Log Analytics viene installato nel computer, ma non come estensione (agente diretto): se l'agente di Log Analytics viene installato direttamente nella macchina virtuale (non come estensione di Azure), Defender for Cloud installerà l'estensione dell'agente di Log Analytics e potrebbe aggiornare l'agente di Log Analytics alla versione più recente. L'agente installato continuerà a segnalare le aree di lavoro già configurate e all'area di lavoro configurata in Defender for Cloud. Il multihoming è supportato nei computer Windows.

    Se Log Analytics è configurato con un'area di lavoro utente e non con l'area di lavoro predefinita di Defender for Cloud, è necessario installare la soluzione "Sicurezza" o "SecurityCenterFree" in tale area di lavoro per consentire a Defender for Cloud di avviare l'elaborazione di eventi da macchine virtuali e computer che segnalano a tale area di lavoro.

    Per i computer Linux, l'agente multihoming non è ancora supportato. Se viene rilevata un'installazione dell'agente esistente, il provisioning dell'agente di Log Analytics non verrà eseguito automaticamente.

    Per i computer esistenti nelle sottoscrizioni caricate in Defender for Cloud prima del 17 marzo 2019, quando verrà rilevato un agente esistente, l'estensione dell'agente di Log Analytics non verrà installata e il computer non sarà interessato. Per questi computer, vedere la raccomandazione "Risolvere i problemi di integrità dell'agente di monitoraggio nei computer" per risolvere i problemi di installazione dell'agente.

  • L'agente di System Center Operations Manager viene installato nel computer . Defender for Cloud installerà l'estensione dell'agente di Log Analytics affiancata a Operations Manager esistente. L'agente di Operations Manager esistente continuerà a inviare report normalmente al server Operations Manager. L'agente di Operations Manager e l'agente di Log Analytics condividono librerie di runtime comuni, che durante questo processo verranno aggiornate all'ultima versione. Se è installato l'agente di Operations Manager versione 2012, non abilitare il provisioning automatico.

  • È presente un'estensione di VM preesistente:

    • Quando l'agente di monitoraggio viene installato come estensione, la configurazione dell'estensione consente il reporting a una sola area di lavoro. Defender for Cloud non esegue l'override delle connessioni esistenti alle aree di lavoro utente. Defender for Cloud archivierà i dati di sicurezza dalla macchina virtuale nell'area di lavoro già connessa, se è stata installata la soluzione "Security" o "SecurityCenterFree". Defender for Cloud può aggiornare la versione dell'estensione alla versione più recente in questo processo.
    • Per visualizzare l'area di lavoro a cui l'estensione esistente invia dati, eseguire il test per Convalidare la connettività con Microsoft Defender for Cloud. In alternativa, è possibile aprire le aree di lavoro Log Analytics, selezionare un'area di lavoro, selezionare la macchina virtuale ed esaminare la connessione dell'agente di Log Analytics.
    • Se si dispone di un ambiente in cui l'agente di Log Analytics è installato nelle workstation client e si segnala a un'area di lavoro Log Analytics esistente, esaminare l'elenco dei sistemi operativi supportati da Microsoft Defender for Cloud per assicurarsi che il sistema operativo sia supportato. Per altre informazioni, vedere Clienti di Log Analytics esistenti.

Disabilitare il provisioning automatico

Quando si disabilita il provisioning automatico, non verrà effettuato il provisioning degli agenti nelle nuove macchine virtuali.

Per disattivare il provisioning automatico di un agente:

  1. Dal menu di Defender for Cloud nel portale selezionare Impostazioni ambiente.

  2. Selezionare la sottoscrizione pertinente.

  3. Selezionare Provisioning automatico.

  4. Impostare lo stato su Disattivato per l'agente appropriato.

    Attiva/disattiva il provisioning automatico per ogni tipo di agente.

  5. Selezionare Salva. Quando il provisioning automatico è disabilitato, la sezione di configurazione dell'area di lavoro predefinita non viene visualizzata:

    Se il provisioning automatico è disabilitato, la cella di configurazione è vuota

Nota

La disabilitazione del provisioning automatico non rimuove l'agente di Log Analytics dalle macchine virtuali di Azure in cui è stato effettuato il provisioning dell'agente. Per informazioni sulla rimozione dell'estensione OMS, vedere Ricerca per categorie rimuovere le estensioni OMS installate da Defender for Cloud.

Risoluzione dei problemi

Passaggi successivi

Questa pagina ha illustrato come abilitare il provisioning automatico per l'agente di Log Analytics e altre estensioni di Defender for Cloud. Descrive anche come definire un'area di lavoro Log Analytics in cui archiviare i dati raccolti. Entrambe le operazioni sono necessarie per consentire la raccolta dei dati. L'archiviazione dei dati in un'area di lavoro Log Analytics nuova o esistente potrebbe comportare costi maggiori per l'archiviazione dei dati. Per informazioni dettagliate sui prezzi nella valuta locale o nell'area geografica, vedere la pagina dei prezzi.