In che modo Defender per il cloud raccoglie i dati?
Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure, dai set di scalabilità di macchine virtuali, dai contenitori IaaS e dai computer non Azure (inclusi quelli locali) per monitorare le vulnerabilità e le minacce per la sicurezza. Alcuni piani di Defender richiedono componenti di monitoraggio per raccogliere dati dai carichi di lavoro.
La raccolta dei dati è fondamentale per ottenere visibilità sugli aggiornamenti mancanti, le impostazioni di sicurezza del sistema operativo non configurate correttamente, lo stato della protezione degli endpoint e la protezione dell'integrità e dalle minacce. La raccolta di dati è necessaria solo per le risorse di calcolo, ad esempio macchine virtuali, set di scalabilità di macchine virtuali, contenitori IaaS e computer non Azure.
Microsoft Defender per il cloud offre vantaggi anche se non si effettua il provisioning di agenti. Tuttavia, si avrà una sicurezza limitata e le funzionalità elencate non sono supportate.
I dati vengono raccolti tramite:
- Agente di Monitoraggio di Azure
- Microsoft Defender per endpoint (MDE)
- Agente di Log Analytics
- Componenti di sicurezza, ad esempio il Criteri di Azure per Kubernetes
Perché usare Defender per il cloud per distribuire i componenti di monitoraggio?
La visibilità sulla sicurezza dei carichi di lavoro dipende dai dati raccolti dai componenti di monitoraggio. I componenti garantiscono la copertura della sicurezza per tutte le risorse supportate.
Per evitare di dover installare manualmente le estensioni, Defender per il cloud riduce il sovraccarico di gestione installando tutte le estensioni necessarie nei computer nuovi ed esistenti. Defender per il cloud assegna l'oggetto appropriato Distribuire se non esistono criteri nei carichi di lavoro nella sottoscrizione. Questo tipo di criterio garantisce che venga effettuato il provisioning dell'estensione in tutte le risorse esistenti e future di quel tipo.
Suggerimento
Altre informazioni sugli effetti Criteri di Azure, tra cui Deploy if not exists, in Informazioni sugli effetti Criteri di Azure.
Quali piani usano i componenti di monitoraggio?
Questi piani usano i componenti di monitoraggio per raccogliere i dati:
- Defender per server
- Agente di Azure Arc (per server multicloud e locali)
- Microsoft Defender per endpoint
- Valutazione della vulnerabilità
- Agente di Monitoraggio di Azure o agente di Log Analytics
- Defender per i server SQL nei computer
- Agente di Azure Arc (per server multicloud e locali)
- Agente di Monitoraggio di Azure o agente di Log Analytics
- Individuazione e registrazione automatica di SQL Server
- Defender per contenitori
- Agente di Azure Arc (per server multicloud e locali)
- Sensore defender, Criteri di Azure per Kubernetes, dati del log di controllo kubernetes
Disponibilità delle estensioni
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Agente di Monitoraggio di Azure (AMA)
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità Generale |
| Piano di Defender pertinente: | Defender per SQL Server nei computer |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | Proprietario |
| Destinazioni supportate: |  Macchine virtuali di Azure Computer abilitati per Azure Arc |
| Basato su criteri: | Sì |
| Cloud: | Cloud commerciali Azure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Altre informazioni sull'uso dell'agente di Monitoraggio di Azure con Defender per il cloud.
Agente di Log Analytics
| Aspetto | Macchine virtuali di Azure | Computer abilitati per Azure Arc |
|---|---|---|
| Stato della versione: | Disponibilità Generale | Disponibilità Generale |
| Piano di Defender pertinente: | Foundational Cloud Security Posture Management (CSPM) per le raccomandazioni sulla sicurezza basate su agenti Microsoft Defender per server Microsoft Defender per SQL |
Foundational Cloud Security Posture Management (CSPM) per le raccomandazioni sulla sicurezza basate su agenti Microsoft Defender per server Microsoft Defender per SQL |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | Proprietario | Proprietario |
| Destinazioni supportate: | Macchine virtuali di Azure |
Computer abilitati per Azure Arc |
| Basato su criteri: | No |
Sì |
| Cloud: | Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Sistemi operativi supportati per l'agente di Log Analytics
Defender per il cloud dipende dal Agente di Log Analytics. Verificare che nei computer sia in esecuzione uno dei sistemi operativi supportati per questo agente, come descritto nelle pagine seguenti:
- Agente di Log Analytics per i sistemi operativi Windows supportati
- Agente di Log Analytics per i sistemi operativi Linux supportati
Assicurarsi anche che l'agente di Log Analytics sia configurato correttamente per l'invio di dati a Defender per il cloud.
Distribuzione dell'agente di Log Analytics in caso di installazione di un agente preesistente
I casi d'uso seguenti illustrano il funzionamento della distribuzione dell'agente di Log Analytics nei casi in cui è già installato un agente o un'estensione.
L'agente di Log Analytics è installato nel computer, ma non come estensione (agente diretto): se l'agente di Log Analytics viene installato direttamente nella macchina virtuale e non come estensione di Azure, Defender per il cloud installerà l'estensione dell'agente di Log Analytics e potrebbe aggiornare l'agente all'ultima versione. L'agente installato continuerà a inviare report alle aree di lavoro già configurate e all'area di lavoro configurata in Defender per il cloud. Il multihosting è supportato nei computer Windows.
Se Log Analytics è configurato con un'area di lavoro dell'utente e non con l'area di lavoro predefinita di Defender per il cloud, sarà necessario installarvi la soluzione "Security" o "SecurityCenterFree" per consentire a Defender per il cloud di avviare l'elaborazione di eventi da macchine virtuali e computer che inviano report a tale area di lavoro.
Per i computer Linux, il multihosting degli agenti non è ancora supportato. Se viene rilevata un'installazione esistente di un agente, l'agente di Log Analytics non verrà distribuito.
Per i computer esistenti in sottoscrizioni di cui è stato eseguito l'onboarding in Defender per il cloud prima del 17 marzo 2019, quando verrà rilevato un agente esistente, l'estensione dell'agente di Log Analytics non verrà installata e il computer non verrà modificato. Per questi computer, vedere la raccomandazione "Risolvere i problemi di integrità dell'agente di monitoraggio nei computer" per risolvere i problemi di installazione dell'agente.
L'agente di System Center Operations Manager è installato nel computer: Defender per il cloud installerà l'estensione dell'agente di Log Analytics in modalità affiancata con l'istanza esistente di Operations Manager. L'agente di Operations Manager esistente continuerà a inviare report normalmente al server Operations Manager. L'agente di Operations Manager e l'agente di Log Analytics condividono librerie di runtime comuni, che durante questo processo verranno aggiornate all'ultima versione.
È presente un'estensione di macchina virtuale preesistente:
- Quando l'agente di monitoraggio viene installato come estensione, la configurazione dell'estensione consente il reporting a una sola area di lavoro. Defender per il cloud non esegue l'override delle connessioni esistenti alle aree di lavoro dell'utente. Defender per il cloud archivierà i dati di sicurezza dalla macchina virtuale nell'area di lavoro già connessa, se è stata installata la soluzione "Security" o "SecurityCenterFree". Defender per il cloud potrebbe aggiornare la versione dell'estensione alla versione più recente in questo processo.
- Per visualizzare l'area di lavoro a cui l'estensione esistente invia dati, eseguire lo strumento TestCloud Connessione ion.exe per convalidare la connettività con Microsoft Defender per il cloud, come descritto in Verificare la connettività dell'agente di Log Analytics. In alternativa, è possibile aprire le aree di lavoro Log Analytics, selezionare un'area di lavoro, selezionare la macchina virtuale ed esaminare la connessione dell'agente di Log Analytics.
- Se si dispone di un ambiente in cui l'agente di Log Analytics è installato nelle workstation client e si segnala a un'area di lavoro Log Analytics esistente, esaminare l'elenco dei sistemi operativi supportati da Microsoft Defender per il cloud per assicurarsi che il sistema operativo sia supportato.
Altre informazioni sull'uso dell'agente di Log Analytics.
Microsoft Defender per endpoint
| Aspetto | Linux | Windows |
|---|---|---|
| Stato della versione: | Disponibilità Generale | Disponibilità Generale |
| Piano di Defender pertinente: | Microsoft Defender per server | Microsoft Defender per server |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | - Per abilitare o disabilitare l'integrazione: Amministrazione di sicurezza o proprietario - Per visualizzare gli avvisi di Defender per endpoint in Defender per il cloud: lettore, lettore, collaboratore gruppo di risorse, proprietario del gruppo di risorse, Amministrazione di sicurezza, proprietario della sottoscrizione o Collaboratore sottoscrizione |
- Per abilitare o disabilitare l'integrazione: Amministrazione di sicurezza o proprietario - Per visualizzare gli avvisi di Defender per endpoint in Defender per il cloud: lettore, lettore, collaboratore gruppo di risorse, proprietario del gruppo di risorse, Amministrazione di sicurezza, proprietario della sottoscrizione o Collaboratore sottoscrizione |
| Destinazioni supportate: | Computer abilitati per Azure Arc Macchine virtuali di Azure |
Computer abilitati per Azure Arc Macchine virtuali di Azure che eseguono Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Desktop virtuale Azure, Windows 10 Enterprise multisessione Macchine virtuali di Azure che eseguono Windows 10 |
| Basato su criteri: | No |
No |
| Cloud: | Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Altre informazioni sulle Microsoft Defender per endpoint.
Valutazione della vulnerabilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità Generale |
| Piano di Defender pertinente: | Microsoft Defender per server |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | Proprietario |
| Destinazioni supportate: | Macchine virtuali di Azure Computer abilitati per Azure Arc |
| Basato su criteri: | Sì |
| Cloud: | Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Configurazione guest
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Anteprima |
| Piano di Defender pertinente: | Nessun piano necessario |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | Proprietario |
| Destinazioni supportate: | Macchine virtuali di Azure |
| Cloud: | Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Altre informazioni sull'estensione Configurazione guest di Azure.
Estensioni di Defender per contenitori
Questa tabella mostra i dettagli di disponibilità per i componenti richiesti dalle protezioni offerte da Microsoft Defender per contenitori.
Per impostazione predefinita, le estensioni necessarie vengono abilitate quando si abilita Defender per contenitori dal portale di Azure.
| Aspetto | cluster servizio Azure Kubernetes | Cluster Kubernetes abilitato per Azure Arc |
|---|---|---|
| Stato della versione: | • Sensore defender: disponibilità generale • Criteri di Azure per Kubernetes: disponibile a livello generale |
• Sensore defender: anteprima • Criteri di Azure per Kubernetes: anteprima |
| Piano di Defender pertinente: | Microsoft Defender per contenitori | Microsoft Defender per contenitori |
| Ruoli e autorizzazioni necessari (a livello di sottoscrizione): | Proprietario o Accesso utente Amministrazione istrator | Proprietario o Accesso utente Amministrazione istrator |
| Destinazioni supportate: | Il sensore di Azure Kubernetes Defender supporta solo i cluster del servizio Azure Kubernetes con controllo degli accessi in base al ruolo abilitato. | Vedere Distribuzioni di Kubernetes supportate per Kubernetes con abilitazione di Arc |
| Basato su criteri: | Sì |
Sì |
| Cloud: | Sensore defender: Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet Criteri di Azure per Kubernetes: Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Sensore defender: Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet Criteri di Azure per Kubernetes: Cloud commercialiAzure per enti pubblici, Microsoft Azure gestito da 21Vianet |
Altre informazioni sui ruoli usati per effettuare il provisioning delle estensioni di Defender per contenitori.
Risoluzione dei problemi
- Per identificare i requisiti di rete di Monitoring Agent, vedere Risoluzione dei problemi di rete di Microsoft Monitoring Agent.
- Per identificare i problemi di onboarding manuale, vedere How to troubleshoot Operations Management Suite onboarding issues (Come risolvere i problemi di onboarding di Operations Management Suite).
Passaggi successivi
In questa pagina sono illustrati i componenti di monitoraggio e come abilitarli.
Altre informazioni su:
- Configurazione delle notifiche tramite posta elettronica per gli avvisi di sicurezza
- Protezione dei carichi di lavoro con i piani di Defender