Microsoft Defender per il cloud guida alla risoluzione dei problemi

  • Articolo

Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud le cui organizzazioni devono risolvere i problemi relativi alle Microsoft Defender per il cloud.

Suggerimento

Quando si riscontra un problema o si necessita di consigli del team di supporto, la sezione Diagnosticare e risolvere i problemi del portale di Azure è un buon posto per cercare soluzioni.

Screenshot del portale di Azure che mostra la pagina per la diagnosi e la risoluzione dei problemi in Defender per il cloud.

Usare il log di controllo per analizzare i problemi

La prima posizione in cui cercare informazioni sulla risoluzione dei problemi è il log di controllo per il componente non riuscito. Nel log di controllo è possibile visualizzare i dettagli, ad esempio:

  • Quali operazioni sono state eseguite.
  • Chi ha avviato l'operazione.
  • Quando si è verificata l'operazione.
  • Lo stato dell'operazione.

Il log di controllo contiene tutte le operazioni di scrittura (PUT, POST, DELETE) eseguite sulle risorse, ma non sulle operazioni di lettura (GET).

Risolvere i problemi relativi ai connettori

Defender per il cloud usa i connettori per raccogliere dati di monitoraggio da account Amazon Web Services (AWS) e progetti Google Cloud Platform (GCP). Se si verificano problemi con i connettori o non vengono visualizzati dati da AWS o GCP, vedere i suggerimenti seguenti per la risoluzione dei problemi.

Suggerimenti per problemi comuni del connettore

  • Assicurarsi che la sottoscrizione associata al connettore sia selezionata nel filtro di sottoscrizione che si trova nella sezione Directory e sottoscrizioni del portale di Azure.
  • Gli standard devono essere assegnati nel connettore di sicurezza. Per verificare, passare a Impostazioni ambiente nel menu a sinistra Defender per il cloud, selezionare il connettore e quindi selezionare Impostazioni. Se non vengono assegnati standard, selezionare i tre puntini per verificare se si dispone delle autorizzazioni per assegnare gli standard.
  • Una risorsa connettore deve essere presente in Azure Resource Graph. Usare la query resource graph seguente per verificare: resources | where ['type'] =~ "microsoft.security/securityconnectors".
  • Assicurarsi che l'invio dei log di controllo kubernetes sia abilitato nel connettore AWS o GCP in modo da poter ricevere avvisi di rilevamento delle minacce per il piano di controllo.
  • Assicurarsi che il sensore Di Microsoft Defender e il Criteri di Azure per le estensioni Kubernetes abilitate per Azure Arc siano stati installati correttamente nei cluster Amazon Elastic Kubernetes Service (EKS) e Google Kubernetes Engine (GKE). È possibile verificare e installare l'agente con le raccomandazioni Defender per il cloud seguenti:
    • I cluster del servizio Azure Kubernetes devono avere installato l'estensione di Microsoft Defender per Azure Arc
    • I cluster GKE devono avere installato l'estensione di Microsoft Defender per Azure Arc
    • Nei cluster Kubernetes abilitati per Azure Arc deve essere installata l'estensione Criteri di Azure
    • Nei cluster GKE deve essere installata l'estensione Criteri di Azure
  • Se si verificano problemi con l'eliminazione del connettore AWS o GCP, verificare se si dispone di un blocco. Un errore nel log attività di Azure potrebbe suggerire la presenza di un blocco.
  • Verificare che i carichi di lavoro siano presenti nell'account AWS o nel progetto GCP.

Suggerimenti per i problemi del connettore AWS

  • Assicurarsi che la distribuzione del modello CloudFormation sia stata completata correttamente.
  • Attendere almeno 12 ore dopo la creazione dell'account radice AWS.
  • Assicurarsi che i cluster del servizio Azure Kubernetes siano connessi correttamente a Kubernetes abilitato per Azure Arc.
  • Se non vengono visualizzati i dati AWS in Defender per il cloud, assicurarsi che le risorse AWS necessarie per l'invio di dati a Defender per il cloud esistano nell'account AWS.

Impatto dei costi delle chiamate API ad AWS

Quando si esegue l'onboarding dell'account AWS singolo o di gestione, il servizio di individuazione in Defender per il cloud avvia un'analisi immediata dell'ambiente. Il servizio di individuazione esegue chiamate API a vari endpoint di servizio per recuperare tutte le risorse che Azure consente di proteggere.

Dopo questa analisi iniziale, il servizio continua a analizzare periodicamente l'ambiente a intervalli configurati durante l'onboarding. In AWS ogni chiamata API all'account genera un evento di ricerca registrato nella risorsa CloudTrail. La risorsa CloudTrail comporta costi. Per informazioni dettagliate sui prezzi, vedere la pagina dei prezzi di AWS CloudTrail nel sito Amazon AWS.

Se si è connessi CloudTrail a GuardDuty, si è anche responsabili dei costi associati. Questi costi sono disponibili nella documentazione di GuardDuty nel sito Amazon AWS.

Recupero del numero di chiamate API native

Esistono due modi per ottenere il numero di chiamate effettuate Defender per il cloud:

  • Usare una tabella DiEna esistente o crearne una nuova. Per altre informazioni, vedere Esecuzione di query sui log di AWS CloudTrail nel sito Amazon AWS.
  • Usare un archivio dati eventi esistente o crearne uno nuovo. Per altre informazioni, vedere Uso di AWS CloudTrail Lake nel sito Amazon AWS.

Entrambi i metodi si basano sull'esecuzione di query sui log di AWS CloudTrail.

Per ottenere il numero di chiamate, passare alla tabella DiEna o all'archivio dati dell'evento e usare una delle query predefinite seguenti, in base alle esigenze. Sostituire <TABLE-NAME> con l'ID dell'archivio dati della tabella o dell'evento DiEna.

  • Elencare il numero di chiamate API complessive per Defender per il cloud:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • Elencare il numero di chiamate API complessive per Defender per il cloud aggregate per giorno:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • Elencare il numero di chiamate API complessive per Defender per il cloud aggregate in base al nome dell'evento:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Elencare il numero di chiamate API complessive per Defender per il cloud aggregate in base all'area:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Suggerimenti per i problemi del connettore GCP

  • Assicurarsi che lo script GCP Cloud Shell sia stato completato correttamente.
  • Assicurarsi che i cluster GKE siano connessi correttamente a Kubernetes abilitato per Azure Arc.
  • Assicurarsi che gli endpoint di Azure Arc siano inclusi nell'elenco degli elementi consentiti del firewall. Il connettore GCP effettua chiamate API a questi endpoint per recuperare i file di onboarding necessari.
  • Se l'onboarding dei progetti GCP ha esito negativo, assicurarsi di disporre compute.regions.list dell'autorizzazione e dell'autorizzazione Microsoft Entra per creare l'entità servizio per il processo di onboarding. Assicurarsi che le risorse WorkloadIdentityPoolIdGCP , WorkloadIdentityProviderIde ServiceAccountEmail vengano create nel progetto GCP.

Chiamate API defender a GCP

Quando si esegue l'onboarding di un singolo progetto o organizzazione GCP, il servizio di individuazione in Defender per il cloud avvia un'analisi immediata dell'ambiente. Il servizio di individuazione esegue chiamate API a vari endpoint di servizio per recuperare tutte le risorse che Azure consente di proteggere.

Dopo questa analisi iniziale, il servizio continua a analizzare periodicamente l'ambiente a intervalli configurati durante l'onboarding.

Per ottenere il numero di chiamate API native che Defender per il cloud eseguite:

  1. Passare a Log Explorer registrazione>.

  2. Filtrare le date come desiderate, ad esempio 1d.

  3. Per visualizzare le chiamate API che Defender per il cloud eseguite, eseguire questa query:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Fare riferimento all'istogramma per visualizzare il numero di chiamate nel tempo.

Risolvere i problemi dell'agente di Log Analytics

Defender per il cloud usa l'agente di Log Analytics per raccogliere e archiviare i dati. Le informazioni contenute in questo articolo rappresentano Defender per il cloud funzionalità dopo la transizione all'agente di Log Analytics.

I tipi di avviso sono:

  • Analisi del comportamento delle macchine virtuali (VMBA)
  • Analisi della rete
  • database SQL di Azure e analisi di Azure Synapse Analytics
  • Fornisce informazioni contestuali

A seconda del tipo di avviso, è possibile raccogliere le informazioni necessarie per analizzare un avviso usando le risorse seguenti:

  • Log di sicurezza nel Visualizzatore eventi della macchina virtuale in Windows
  • Daemon di controllo (auditd) in Linux
  • I log attività di Azure e i log di diagnostica abilitati per la risorsa di attacco

È possibile condividere un feedback per la descrizione e la pertinenza dell'avviso. Passare all'avviso, selezionare il pulsante Was This Useful (Era utile), selezionare il motivo e quindi immettere un commento per spiegare il feedback. Questo canale di feedback viene monitorato costantemente allo scopo di migliorare gli avvisi forniti.

Controllare i processi e le versioni dell'agente di Log Analytics

Proprio come Monitoraggio di Azure, Defender per il cloud usa l'agente di Log Analytics per raccogliere i dati di sicurezza dalle macchine virtuali di Azure. Dopo aver abilitato la raccolta dati e aver installato correttamente l'agente nel computer di destinazione, il HealthService.exe processo deve essere in esecuzione.

Aprire la console di gestione dei servizi (services.msc) per assicurarsi che il servizio agente di Log Analytics sia in esecuzione.

Screenshot del servizio agente di Log Analytics in Gestione attività.

Per visualizzare la versione dell'agente in uso, aprire Gestione attività. Nella scheda Processi individuare il servizio agente di Log Analytics, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Proprietà. Nella scheda Dettagli cercare la versione del file.

Screenshot dei dettagli per il servizio agente di Log Analytics.

Controllare gli scenari di installazione per l'agente di Log Analytics

Esistono due scenari di installazione che possono produrre risultati diversi quando si installa l'agente di Log Analytics nel computer. Gli scenari supportati sono:

  • Agente installato automaticamente da Defender per il cloud: è possibile visualizzare gli avvisi in Defender per il cloud e nella ricerca log. Si ricevono notifiche tramite posta elettronica all'indirizzo di posta elettronica configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene la risorsa.

  • Agente installato manualmente in una macchina virtuale che si trova in Azure: in questo scenario, se si usano agenti scaricati e installati manualmente prima di febbraio 2017, è possibile visualizzare gli avvisi nel portale di Defender per il cloud solo se si filtra la sottoscrizione a cui appartiene l'area di lavoro. Se si filtra la sottoscrizione a cui appartiene la risorsa , non verranno visualizzati avvisi. Si ricevono notifiche tramite posta elettronica all'indirizzo di posta elettronica configurato nei criteri di sicurezza per la sottoscrizione a cui appartiene l'area di lavoro.

    Per evitare il problema di filtro, assicurarsi di scaricare la versione più recente dell'agente.

Monitorare i problemi di connettività di rete per l'agente

Per consentire agli agenti di connettersi e registrarsi con Defender per il cloud, devono avere accesso agli indirizzi DNS e alle porte di rete per le risorse di rete di Azure. Per abilitare questo accesso, eseguire queste azioni:

  • Quando si usano i server proxy, assicurarsi che le risorse del server proxy appropriate siano configurate correttamente nelle impostazioni dell'agente.
  • Configurare i firewall di rete per consentire l'accesso a Log Analytics.

Le risorse di rete di Azure sono:

Risorsa dell'agente Port Ignorare il controllo HTTPS
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
*.blob.core.windows.net 443
*.azure-automation.net 443

Se si verificano problemi durante l'onboarding dell'agente di Log Analytics, vedere Risolvere i problemi di onboarding di Operations Management Suite.

Risolvere i problemi di protezione antimalware in modo non corretto

L'agente guest è il processo padre di tutto ciò che fa l'estensione Microsoft Antimalware . Quando il processo dell'agente guest ha esito negativo, anche la protezione antimalware Microsoft eseguita come processo figlio dell'agente guest potrebbe non riuscire.

Ecco alcuni suggerimenti per la risoluzione dei problemi:

  • Se la macchina virtuale di destinazione è stata creata da un'immagine personalizzata, assicurarsi che l'autore della macchina virtuale abbia installato un agente guest.
  • Se la destinazione è una macchina virtuale Linux, l'installazione della versione windows dell'estensione antimalware avrà esito negativo. L'agente guest Linux ha requisiti specifici per il sistema operativo e il pacchetto.
  • Se la macchina virtuale è stata creata con una versione precedente dell'agente guest, l'agente precedente potrebbe non avere la possibilità di eseguire automaticamente l'aggiornamento alla versione più recente. Usare sempre la versione più recente dell'agente guest quando si creano immagini personalizzate.
  • Alcuni software di amministrazione di terze parti potrebbero disabilitare l'agente guest o bloccare l'accesso a determinati percorsi di file. Se nella macchina virtuale è installato software di amministrazione di terze parti, assicurarsi che l'agente antimalware sia presente nell'elenco di esclusione.
  • Assicurarsi che le impostazioni del firewall e un gruppo di sicurezza di rete non blocchino il traffico di rete da e verso l'agente guest.
  • Assicurarsi che nessun elenco di controllo di accesso impedisca l'accesso al disco.
  • L'agente guest necessita di spazio su disco sufficiente per funzionare correttamente.

Per impostazione predefinita, l'interfaccia utente di Microsoft Antimalware è disabilitata. È tuttavia possibile abilitare l'interfaccia utente di Microsoft Antimalware nelle macchine virtuali di Azure Resource Manager.

Risolvere i problemi relativi al caricamento del dashboard

Se si verificano problemi con il caricamento del dashboard di protezione del carico di lavoro, assicurarsi che l'utente che ha abilitato prima Defender per il cloud nella sottoscrizione e che l'utente che vuole attivare la raccolta dati abbia il ruolo Proprietario o Collaboratore nella sottoscrizione. In tal caso, gli utenti con il ruolo Lettore nella sottoscrizione possono visualizzare il dashboard, gli avvisi, le raccomandazioni e i criteri.

Risolvere i problemi del connettore per l'organizzazione di Azure DevOps

Se non è possibile eseguire l'onboarding dell'organizzazione di Azure DevOps, provare i suggerimenti per la risoluzione dei problemi seguenti:

  • Assicurarsi di usare una versione non di anteprima del portale di Azure. Il passaggio di autorizzazione non funziona nel portale di anteprima di Azure.

  • È importante sapere quale account si è connessi quando si autorizza l'accesso, perché sarà l'account usato dal sistema per l'onboarding. L'account può essere associato allo stesso indirizzo di posta elettronica, ma anche a tenant diversi. Assicurarsi di selezionare la combinazione di account/tenant corretta. Se è necessario modificare la combinazione:

    1. Nella pagina del profilo Di Azure DevOps usare il menu a discesa per selezionare un altro account.

      Screenshot della pagina del profilo Azure DevOps usata per selezionare un account.

    2. Dopo aver selezionato la combinazione di account/tenant corretta, passare a Impostazioni ambiente in Defender per il cloud e modificare il connettore Azure DevOps. Riautorizzare il connettore per aggiornarlo con la combinazione di account/tenant corretta. Verrà quindi visualizzato l'elenco corretto delle organizzazioni nel menu a discesa.

  • Assicurarsi di avere il ruolo Amministrazione istrator della raccolta di progetti nell'organizzazione Azure DevOps di cui si vuole eseguire l'onboarding.

  • Assicurarsi che l'accesso dell'applicazione di terze parti tramite l'interruttore OAuth sia Attivato per l'organizzazione di Azure DevOps. Altre informazioni sull'abilitazione dell'accesso OAuth.

Contattare il supporto tecnico Microsoft

È anche possibile trovare informazioni sulla risoluzione dei problemi per Defender per il cloud nella pagina Defender per il cloud domande e risposte.

Se è necessaria ulteriore assistenza, è possibile aprire una nuova richiesta di supporto nel portale di Azure. Nella pagina Guida e supporto selezionare Crea una richiesta di supporto.

Screenshot delle selezioni per la creazione di una richiesta di supporto nel portale di Azure.

Vedi anche

  • Informazioni su come gestire e rispondere agli avvisi di sicurezza in Defender per il cloud.
  • Informazioni sulla convalida degli avvisi in Defender per il cloud.
  • Esaminare le domande comuni sull'uso di Defender per il cloud.