Skonfiguruj funkcję autoaprowizacji dla agentów i rozszerzeń z Azure Security CenterConfigure auto provisioning for agents and extensions from Azure Security Center

Azure Security Center zbiera dane z zasobów przy użyciu odpowiedniego agenta lub rozszerzeń dla tego zasobu oraz typu zbieranych danych.Azure Security Center collects data from your resources using the relevant agent or extensions for that resource and the type of data collection you've enabled. Użyj poniższych procedur, aby upewnić się, że zasoby mają wymaganych agentów i rozszerzeń używanych przez Security Center.Use the procedures below to ensure your resources have the necessary agents and extensions used by Security Center.

Wymagania wstępnePrerequisites

Do rozpoczęcia korzystania z usługi Security Center wymagana jest subskrypcja usługi Microsoft Azure.To get started with Security Center, you must have a subscription to Microsoft Azure. Jeśli nie masz subskrypcji, możesz zarejestrować się w celu uzyskania bezpłatnego konta.If you don't have a subscription, you can sign up for a free account.

DostępnośćAvailability

AspektAspect SzczegółyDetails
Stan wydania:Release state: Funkcja: obsługa autoaprowizacji jest ogólnie dostępna (ga)Feature: Auto provisioning is generally available (GA)
Agent i rozszerzenia: usługa log Analytics Agent dla maszyn wirtualnych platformy Azure jest w wersji zapoznawczej, a dodatek zasad dla Kubernetes został rozbudowanyAgent and extensions: Log Analytics agent for Azure VMs is GA, Microsoft Dependency agent is in preview, Policy Add-on for Kubernetes is GA
WpisanąPricing: BezpłatnaFree
Obsługiwane miejsca docelowe:Supported destinations: Tak Maszyny platformy AzureAzure machines
Nie Maszyny usługi Azure ArcAzure Arc machines
Nie Kubernetes węzłyKubernetes nodes
Nie Virtual Machine Scale SetsVirtual Machine Scale Sets
PołączeńClouds: Tak Chmury komercyjneCommercial clouds
Tak US Gov, Chiny gov, inne govUS Gov, China Gov, Other Gov

Jak Security Center zbierać dane?How does Security Center collect data?

Security Center zbiera dane z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych, kontenerów IaaS oraz innych niż platformy Azure (w tym lokalnych) maszyn do monitorowania luk w zabezpieczeniach i zagrożeń.Security Center collects data from your Azure virtual machines (VMs), virtual machine scale sets, IaaS containers, and non-Azure (including on-premises) machines to monitor for security vulnerabilities and threats.

Zbieranie danych jest wymagane w celu zapewnienia wglądu w brakujące aktualizacje, nieprawidłowej konfiguracji ustawień zabezpieczeń systemu operacyjnego, stanu programu Endpoint Protection oraz ochrony kondycji i zagrożeń.Data collection is required to provide visibility into missing updates, misconfigured OS security settings, endpoint protection status, and health and threat protection. Zbieranie danych jest wymagana tylko w przypadku zasobów obliczeniowych, takich jak maszyny wirtualne, zestawy skalowania maszyn wirtualnych, kontenery IaaS i komputery spoza platformy Azure.Data collection is only needed for compute resources such as VMs, virtual machine scale sets, IaaS containers, and non-Azure computers.

Możesz skorzystać z Azure Security Center, nawet jeśli nie zainicjujesz agentów.You can benefit from Azure Security Center even if you don’t provision agents. Jednak będziesz mieć ograniczone zabezpieczenia i możliwości wymienione powyżej nie są obsługiwane.However, you'll have limited security and the capabilities listed above aren't supported.

Dane są zbierane przy użyciu:Data is collected using:

  • Agent log Analytics, który odczytuje różne konfiguracje związane z zabezpieczeniami i dzienniki zdarzeń z komputera i kopiuje dane do obszaru roboczego w celu przeprowadzenia analizy.The Log Analytics agent, which reads various security-related configurations and event logs from the machine and copies the data to your workspace for analysis. Przykładami takich danych są: typ i wersja systemu operacyjnego, Dzienniki systemu operacyjnego (dzienniki zdarzeń systemu Windows), uruchomione procesy, Nazwa maszyny, adresy IP i zalogowany użytkownik.Examples of such data are: operating system type and version, operating system logs (Windows event logs), running processes, machine name, IP addresses, and logged in user.
  • Rozszerzenia zabezpieczeń, takie jak dodatek Azure Policy dla Kubernetes, które mogą również dostarczać dane do Security Center dotyczących wyspecjalizowanych typów zasobów.Security extensions, such as the Azure Policy Add-on for Kubernetes, which can also provide data to Security Center regarding specialized resource types.

Porada

Jak Security Center, typy zasobów, które mogą być monitorowane, również zostały nahodowane.As Security Center has grown, the types of resources that can be monitored has also grown. Liczba rozszerzeń została również osiągnięta.The number of extensions has also grown. Funkcja autoaprowizacji została rozszerzona o obsługę dodatkowych typów zasobów, wykorzystując możliwości Azure Policy.Auto provisioning has expanded to support additional resource types by leveraging the capabilities of Azure Policy.

Dlaczego warto używać autoaprowizacji?Why use auto provisioning?

Dowolny Agent i rozszerzenia opisane na tej stronie można zainstalować ręcznie (zobacz ręczne Instalowanie agenta log Analytics).Any of the agents and extensions described on this page can be installed manually (see Manual installation of the Log Analytics agent). Jednak Funkcja autoaprowizacji zmniejsza obciążenie związane z zarządzaniem przez zainstalowanie wszystkich wymaganych agentów i rozszerzeń na istniejących i nowych maszynach w celu zapewnienia szybszego pokrycia zabezpieczeń dla wszystkich obsługiwanych zasobów.However, auto provisioning reduces management overhead by installing all required agents and extensions on existing - and new - machines to ensure faster security coverage for all supported resources.

Zalecamy włączenie obsługi autoaprowizacji, ale jest ona domyślnie wyłączona.We recommend enabling auto provisioning, but it's disabled by default.

Jak działa funkcja autoaprowizacji?How does auto provisioning work?

Ustawienia autoaprowizacji Security Center są dostępne dla każdego typu obsługiwanego rozszerzenia.Security Center's auto provisioning settings have a toggle for each type of supported extension. Po włączeniu autoaprowizacji rozszerzenia przypiszesz odpowiednie zasady wdrażania, jeśli nie istnieje .When you enable auto provisioning of an extension, you assign the appropriate Deploy if not exists policy. Ten typ zasad zapewnia, że rozszerzenie jest obsługiwane we wszystkich istniejących i przyszłych zasobach tego typu.This policy type ensures the extension is provisioned on all existing and future resources of that type.

Porada

Dowiedz się więcej na temat Azure Policy efektów, w tym do wdrożenia, jeśli nie istnieje w temacie Azure Policy efekty.Learn more about Azure Policy effects including deploy if not exists in Understand Azure Policy effects.

Włącz funkcję autoaprowizacji agenta Log Analytics i rozszerzeń Enable auto provisioning of the Log Analytics agent and extensions

Gdy automatyczne Inicjowanie obsługi jest włączone dla agenta Log Analytics, Security Center wdraża agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i utworzonych nowych.When automatic provisioning is on for the Log Analytics agent, Security Center deploys the agent on all supported Azure VMs and any new ones created. Listę obsługiwanych platform można znaleźć w temacie obsługiwane platformy w Azure Security Center.For the list of supported platforms, see Supported platforms in Azure Security Center.

Aby włączyć funkcję autoaprowizacji agenta Log Analytics:To enable auto provisioning of the Log Analytics agent:

  1. W menu Security Center wybierz pozycję cennik & ustawienia.From Security Center's menu, select Pricing & settings.

  2. Wybierz odpowiednią subskrypcję.Select the relevant subscription.

  3. Na stronie autozastrzeganie Ustaw stan agenta log Analytics na wartość włączone.In the Auto provisioning page, set the Log Analytics agent's status to On.

    Włączanie obsługi administracyjnej agenta Log Analytics

  4. W okienku Opcje konfiguracji Zdefiniuj obszar roboczy, który ma być używany.From the configuration options pane, define the workspace to use.

    Opcje konfiguracji automatycznej aprowizacji Log Analytics agentów na maszynach wirtualnych

    • Połącz maszyny wirtualne platformy Azure z domyślnymi obszarami roboczymi utworzonymi przez Security Center — Security Center tworzy nową grupę zasobów i domyślny obszar roboczy w tej samej lokalizacji geolokalizacyjnej i łączy agenta z tym obszarem roboczym.Connect Azure VMs to the default workspace(s) created by Security Center - Security Center creates a new resource group and default workspace in the same geolocation, and connects the agent to that workspace. Jeśli subskrypcja zawiera maszyny wirtualne z wielu lokalizacji, Security Center tworzy wiele obszarów roboczych, aby zapewnić zgodność z wymaganiami dotyczącymi ochrony prywatności danych.If a subscription contains VMs from multiple geolocations, Security Center creates multiple workspaces to ensure compliance with data privacy requirements.

      Konwencja nazewnictwa obszaru roboczego i grupy zasobów to:The naming convention for the workspace and resource group is:

      • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]Workspace: DefaultWorkspace-[subscription-ID]-[geo]
      • Grupa zasobów: DefaultResourceGroup-[Geo]Resource Group: DefaultResourceGroup-[geo]

      Security Center automatycznie włącza Security Center rozwiązanie w obszarze roboczym zgodnie z warstwą cenową ustawioną dla subskrypcji.Security Center automatically enables a Security Center solution on the workspace per the pricing tier set for the subscription.

    • Łączenie maszyn wirtualnych platformy Azure z innym obszarem roboczym — z listy rozwijanej wybierz obszar roboczy, w którym mają być przechowywane zebrane dane.Connect Azure VMs to a different workspace - From the dropdown list, select the workspace to store collected data. Lista rozwijana zawiera wszystkie obszary robocze we wszystkich Twoich subskrypcjach.The dropdown list includes all workspaces across all of your subscriptions. Za pomocą tej opcji można zbierać dane z maszyn wirtualnych działających w różnych subskrypcjach i przechować je w wybranym obszarze roboczym.You can use this option to collect data from virtual machines running in different subscriptions and store it all in your selected workspace.

      Jeśli masz już istniejący obszar roboczy Log Analytics, możesz chcieć użyć tego samego obszaru roboczego (wymagane są uprawnienia do odczytu i zapisu w obszarze roboczym).If you already have an existing Log Analytics workspace, you might want to use the same workspace (requires read and write permissions on the workspace). Ta opcja jest przydatna, jeśli używasz scentralizowanego obszaru roboczego w organizacji i chcesz używać go do zbierania danych zabezpieczeń.This option is useful if you're using a centralized workspace in your organization and want to use it for security data collection. Dowiedz się więcej w temacie Zarządzanie dostępem do danych dziennika i obszarów roboczych w programie Azure monitor.Learn more in Manage access to log data and workspaces in Azure Monitor.

      Jeśli w wybranym obszarze roboczym jest już włączone rozwiązanie "Security" lub "SecurityCenterFree", Cennik zostanie ustawiony automatycznie.If your selected workspace already has a "Security" or "SecurityCenterFree" solution enabled, the pricing will be set automatically. Jeśli nie, Zainstaluj rozwiązanie Security Center w obszarze roboczym:If not, install a Security Center solution on the workspace:

      1. W menu Security Center Otwórz & ustawienia cennika.From Security Center's menu, open Pricing & settings.
      2. Wybierz obszar roboczy, do którego chcesz połączyć agentów.Select the workspace to which you'll be connecting the agents.
      3. Wybierz pozycję Azure Defender on lub Azure Defender off.Select Azure Defender on or Azure Defender off.
  5. W obszarze Konfiguracja zdarzeń zabezpieczeń systemu Windows wybierz ilość danych nieprzetworzonych zdarzeń do zapisania:From the Windows security events configuration, select the amount of raw event data to store:

    • Brak — Wyłącz magazyn zdarzeń zabezpieczeń.None – Disable security event storage. Jest to ustawienie domyślne.This is the default setting.
    • Minimalny — mały zestaw zdarzeń do zminimalizowania ilości zdarzeń.Minimal – A small set of events for when you want to minimize the event volume.
    • Common — zestaw zdarzeń, który spełnia większość klientów i zawiera pełny dziennik inspekcji.Common – A set of events that satisfies most customers and provides a full audit trail.
    • Wszystkie zdarzenia — dla klientów, którzy chcą mieć pewność, że wszystkie zdarzenia są przechowywane.All events – For customers who want to make sure all events are stored.

    Porada

    Aby ustawić te opcje na poziomie obszaru roboczego, zobacz Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczego.To set these options at the workspace level, see Setting the security event option at the workspace level.

    Aby uzyskać więcej informacji na temat tych opcji, zobacz Opcje zdarzeń zabezpieczeń systemu Windows dla agenta log Analytics.For more information of these options, see Windows security event options for the Log Analytics agent.

  6. Wybierz pozycję Zastosuj w okienku Konfiguracja.Select Apply in the configuration pane.

  7. Aby włączyć automatyczną obsługę rozszerzenia innego niż Agent Log Analytics:To enable automatic provisioning of an extension other than the Log Analytics agent:

    1. Jeśli włączysz funkcję autoaprowizacji dla programu Microsoft Dependency Agent, upewnij się, że Agent Log Analytics ma ustawioną funkcję autowdrażanie.If you're enabling auto provisioning for the Microsoft Dependency agent, ensure the Log Analytics agent is set to auto deploy.

    2. Przełącz stan na wartość włączone dla odpowiedniego rozszerzenia.Toggle the status to On for the relevant extension.

      Przełącz, aby włączyć funkcję autoaprowizacji dla dodatku zasad K8s

    3. Wybierz pozycję Zapisz.Select Save. Zasady platformy Azure są przypisane i tworzone jest zadanie korygowania.The Azure policy is assigned and a remediation task is created.

      WewnętrznyExtension ZasadyPolicy
      Dodatek usługi Policy dla platformy KubernetesPolicy Add-on for Kubernetes Wdrażanie dodatku Azure Policy w klastrach usługi Azure KubernetesDeploy Azure Policy Add-on to Azure Kubernetes Service clusters
      Microsoft Dependency Agent (wersja zapoznawcza) (maszyny wirtualne z systemem Windows)Microsoft Dependency agent (preview) (Windows VMs) Wdróż agenta zależności dla maszyn wirtualnych z systemem WindowsDeploy Dependency agent for Windows virtual machines
      Microsoft Dependency Agent (wersja zapoznawcza) (maszyny wirtualne z systemem Linux)Microsoft Dependency agent (preview) (Linux VMs) Wdróż agenta zależności dla maszyn wirtualnych z systemem LinuxDeploy Dependency agent for Linux virtual machines
  8. Wybierz pozycję Zapisz.Select Save. Jeśli konieczne jest zainicjowanie obszaru roboczego, Instalacja agenta może trwać do 25 minut.If a workspace needs to be provisioned, agent installation might take up to 25 minutes.

  9. Zostanie wyświetlony monit, czy chcesz ponownie skonfigurować monitorowane maszyny wirtualne, które zostały wcześniej połączone z domyślnym obszarem roboczym:You'll be asked if you want to reconfigure monitored VMs that were previously connected to a default workspace:

    Przejrzyj opcje, aby ponownie skonfigurować monitorowane maszyny wirtualne

    • Nie — nowe ustawienia obszaru roboczego zostaną zastosowane tylko do nowo odnalezionych maszyn wirtualnych, na których nie zainstalowano agenta log Analytics.No - your new workspace settings will only be applied to newly discovered VMs that don't have the Log Analytics agent installed.
    • Tak — nowe ustawienia obszaru roboczego zostaną zastosowane do wszystkich maszyn wirtualnych, a każda maszyna wirtualna aktualnie połączona z Security Centerm utworzonym obszarem roboczym zostanie ponownie nawiązane połączenie z nowym docelowym obszarem roboczym.Yes - your new workspace settings will apply to all VMs and every VM currently connected to a Security Center created workspace will be reconnected to the new target workspace.

    Uwaga

    W przypadku wybrania opcji tak nie usuwaj obszarów roboczych utworzonych przez Security Center, dopóki wszystkie maszyny wirtualne nie zostaną ponownie połączone z nowym docelowym obszarem roboczym.If you select Yes, don't delete the workspace(s) created by Security Center until all VMs have been reconnected to the new target workspace. Ta operacja kończy się niepowodzeniem, jeśli obszar roboczy zostanie zbyt wcześnie usunięty.This operation fails if a workspace is deleted too early.

Opcje zdarzeń zabezpieczeń systemu Windows dla agenta Log Analytics Windows security event options for the Log Analytics agent

Wybranie warstwy zbierania danych w Azure Security Center ma wpływ tylko na Magazyn zdarzeń zabezpieczeń w obszarze roboczym log Analytics.Selecting a data collection tier in Azure Security Center only affects the storage of security events in your Log Analytics workspace. Agent Log Analytics będzie nadal zbierać i analizować zdarzenia zabezpieczeń wymagane do ochrony przed zagrożeniami Security Center, niezależnie od poziomu zdarzeń zabezpieczeń wybranych do przechowywania w obszarze roboczym.The Log Analytics agent will still collect and analyze the security events required for Security Center’s threat protection, regardless of the level of security events you choose to store in your workspace. Wybranie opcji przechowywania zdarzeń zabezpieczeń umożliwia badanie, wyszukiwanie i inspekcję tych zdarzeń w obszarze roboczym.Choosing to store security events enables investigation, search, and auditing of those events in your workspace.

WymaganiaRequirements

Usługa Azure Defender jest wymagana do przechowywania danych zdarzeń zabezpieczeń systemu Windows.Azure Defender is required for storing Windows security event data. Dowiedz się więcej o usłudze Azure Defender.Learn more about Azure Defender.

Przechowywanie danych w Log Analytics może wiązać się z dodatkowymi opłatami za przechowywanie danych.Storing data in Log Analytics might incur additional charges for data storage. Aby uzyskać więcej informacji, odwiedź stronę cennika.For more information, see the pricing page.

Informacje dla użytkowników wskaźnikowych platformy AzureInformation for Azure Sentinel users

Użytkownicy platformy Azure — należy pamiętać, że zbieranie zdarzeń zabezpieczeń w kontekście jednego obszaru roboczego można skonfigurować z poziomu Azure Security Center lub platformy Azure, ale nie obu.Users of Azure Sentinel: note that security events collection within the context of a single workspace can be configured from either Azure Security Center or Azure Sentinel, but not both. Jeśli planujesz dodać wskaźnik platformy Azure do obszaru roboczego, który już otrzymuje alerty z Azure Security Center i jest ustawiony na zbieranie zdarzeń zabezpieczeń, masz dwie opcje:If you're planning to add Azure Sentinel to a workspace that is already getting alerts from Azure Security Center, and is set to collect Security Events, you have two options:

  • Pozostaw zbieranie zdarzeń zabezpieczeń w Azure Security Center.Leave the Security Events collection in Azure Security Center as is. Będzie można wykonywać zapytania i analizować te zdarzenia na platformie Azure, a także w usłudze Azure Defender.You will be able to query and analyze these events in Azure Sentinel as well as in Azure Defender. Nie będzie jednak można monitorować stanu łączności łącznika ani zmieniać jego konfiguracji na platformie Azure — wskaźnik.You will not, however, be able to monitor the connector's connectivity status or change its configuration in Azure Sentinel. Jeśli jest to ważne dla Ciebie, weź pod uwagę drugą opcję.If this is important to you, consider the second option.
  • Wyłącz zbieranie zdarzeń zabezpieczeń w Azure Security Center (przez ustawienie zdarzeń zabezpieczeń systemu Windows na Brak w konfiguracji agenta log Analytics).Disable Security Events collection in Azure Security Center (by setting Windows security events to None in the configuration of your Log Analytics agent). Następnie Dodaj łącznik zdarzeń zabezpieczeń na platformie Azure — wskaźnik.Then add the Security Events connector in Azure Sentinel. Podobnie jak w przypadku pierwszej opcji, można wysyłać zapytania i analizować zdarzenia zarówno z platformy Azure, jak i usługi Azure Defender/ASC, ale teraz będzie można monitorować stan łączności łącznika lub zmieniać jego konfigurację w systemach i tylko na platformie Azure.As with the first option, you will be able to query and analyze events in both Azure Sentinel and Azure Defender/ASC, but you will now be able to monitor the connector's connectivity status or change its configuration in - and only in - Azure Sentinel.

Jakie typy zdarzeń są przechowywane dla "Common" i "minimalny"?What event types are stored for "Common" and "Minimal"?

Te zestawy zostały zaprojektowane w celu rozwiązywania typowych scenariuszy.These sets were designed to address typical scenarios. Upewnij się, że należy obliczyć, który z nich odpowiada Twoim potrzebom przed wdrożeniem.Make sure to evaluate which one fits your needs before implementing it.

Aby określić zdarzenia dotyczące typowych i minimalnych opcji, pracujemy z klientami i standardami branżowymi, aby dowiedzieć się więcej o niefiltrowanych częstotliwości poszczególnych zdarzeń i ich użyciu.To determine the events for the Common and Minimal options, we worked with customers and industry standards to learn about the unfiltered frequency of each event and their usage. W tym procesie użyto następujących wytycznych:We used the following guidelines in this process:

  • Minimalny — upewnij się, że ten zestaw obejmuje tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie i ważne zdarzenia, które mają bardzo niski wolumin.Minimal - Make sure that this set covers only events that might indicate a successful breach and important events that have a very low volume. Na przykład ten zestaw zawiera pomyślne i nieudane Logowanie użytkownika (identyfikatory zdarzeń 4624, 4625), ale nie zawiera wylogowania, co jest ważne w przypadku inspekcji, ale nie ma znaczenia dla wykrywania i ma stosunkowo dużą ilość danych.For example, this set contains user successful and failed login (event IDs 4624, 4625), but it doesn’t contain sign out which is important for auditing but not meaningful for detection and has relatively high volume. Większość ilości danych tego zestawu to zdarzenia logowania i zdarzenia tworzenia procesu (Identyfikator zdarzenia 4688).Most of the data volume of this set is the login events and process creation event (event ID 4688).
  • Common — Podaj pełny dziennik inspekcji użytkownika w tym zestawie.Common - Provide a full user audit trail in this set. Na przykład ten zestaw zawiera identyfikatory logowania użytkowników i wylogowania użytkowników (Identyfikator zdarzenia 4634).For example, this set contains both user logins and user sign outs (event ID 4634). Obejmuje to akcje inspekcji, takie jak zmiany grupy zabezpieczeń, kluczowego kontrolera domeny i inne zdarzenia, które są zalecane przez organizacje branżowe.We include auditing actions like security group changes, key domain controller Kerberos operations, and other events that are recommended by industry organizations.

Zdarzenia, które mają bardzo niski wolumin, zostały uwzględnione w wspólnym zestawie jako główna motywacja do wyboru nad wszystkimi zdarzeniami polega na zmniejszeniu ilości i braku filtrowania określonych zdarzeń.Events that have very low volume were included in the common set as the main motivation to choose it over all the events is to reduce the volume and not to filter out specific events.

Poniżej znajduje się kompletny podział identyfikatorów zdarzeń związanych z zabezpieczeniami i blokowaniem aplikacji dla każdego zestawu:Here is a complete breakdown of the Security and App Locker event IDs for each set:

Warstwa danychData tier Zebrane wskaźniki zdarzeńCollected event indicators
MinimalnyMinimal 1102, 4624, 4625, 4657, 4663, 4688, 4700, 4702, 4719, 4720, 4722, 4723, 4724, 4727, 4728, 4732, 4735, 4737, 4739, 4740, 4754, 4755,1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756, 4767, 4799, 4825, 4946, 4948, 4956, 5024, 5033, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 82224756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
WspólneCommon 1, 413, 300, 324, 340, 403, 404, 410, 411, 412,, 431, 500, 501, 1100, 1102, 1107, 1108, 4608, 4610, 4611, 4614, 4622,1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624, 4625, 4634, 4647, 4648, 4649, 4657, 4661, 4662, 4663, 4665, 4666, 4667, 4688, 4670, 4672, 4673, 4674, 4675, 4689, 4697,4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700, 4702, 4704, 4705, 4716, 4717, 4718, 4719, 4720, 4722, 4723, 4724, 4725, 4726, 4727, 4728, 4729, 4733, 4732, 4735, 4737,4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738, 4739, 4740, 4742, 4744, 4745, 4746, 4750, 4751, 4752, 4754, 4755, 4756, 4757, 4760, 4761, 4762, 4764, 4767, 4768, 4771,4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774, 4778, 4779, 4781, 4793, 4797, 4798, 4799, 4800, 4801, 4802, 4803, 4825, 4826, 4870, 4886, 4887, 4888, 4893,: 4898, 49024774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904, 4905, 4907, 4931, 4932, 4933, 4946, 4948, 4956, 4985, 5024, 5033, 5059, 5136, 5137, 5140, 5145, 5632, 6144, 6145, 6272,4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273, 6278, 6416, 6423, 6424, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8222, 26401, 300046273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Uwaga

  • W przypadku używania obiektu zasady grupy (GPO) zaleca się włączenie zdarzenia dotyczącego tworzenia procesu zasad inspekcji 4688 i pola wiersza polecenia wewnątrz zdarzenia 4688.If you are using Group Policy Object (GPO), it is recommended that you enable audit policies Process Creation Event 4688 and the CommandLine field inside event 4688. Aby uzyskać więcej informacji o zdarzeniu tworzenia procesu 4688, zobacz często zadawane pytaniadotyczące Security Center.For more information about Process Creation Event 4688, see Security Center's FAQ. Aby uzyskać więcej informacji na temat tych zasad inspekcji, zobacz zalecenia dotyczące zasad inspekcji.For more information about these audit policies, see Audit Policy Recommendations.
  • Aby włączyć zbieranie danych na potrzeby adaptacyjnego sterowania aplikacjami, Security Center konfiguruje lokalne zasady funkcji AppLocker w trybie inspekcji, aby zezwolić na wszystkie aplikacje.To enable data collection for Adaptive Application Controls, Security Center configures a local AppLocker policy in Audit mode to allow all applications. Spowoduje to generowanie przez funkcję AppLocker zdarzeń, które są następnie zbierane i wykorzystywane przez Security Center.This will cause AppLocker to generate events which are then collected and leveraged by Security Center. Należy pamiętać, że te zasady nie zostaną skonfigurowane na wszystkich komputerach, na których już skonfigurowano zasady funkcji AppLocker.It is important to note that this policy will not be configured on any machines on which there is already a configured AppLocker policy.
  • Aby zbierać zdarzenia platformy filtrowania systemu Windows o identyfikatorze 5156, należy włączyć funkcję filtrowania inspekcji dla platformy (auditpol/Set/Subcategory: "Filtering Platform Connection"/Success: Enable)To collect Windows Filtering Platform Event ID 5156, you need to enable Audit Filtering Platform Connection (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczegoSetting the security event option at the workspace level

Można zdefiniować poziom danych zdarzeń zabezpieczeń do przechowywania na poziomie obszaru roboczego.You can define the level of security event data to store at the workspace level.

  1. W Azure Portal z menu Security Center wybierz pozycję Cennik ustawienia &.From Security Center's menu in the Azure portal, select Pricing & settings.

  2. Wybierz odpowiedni obszar roboczy.Select the relevant workspace. Jedynymi zdarzeniami zbierania danych dla obszaru roboczego są zdarzenia zabezpieczeń systemu Windows opisane na tej stronie.The only data collection events for a workspace are the Windows security events described on this page.

    Ustawianie danych zdarzeń zabezpieczeń do przechowywania w obszarze roboczym

  3. Wybierz ilość danych nieprzetworzonych zdarzenia do zapisania i wybierz pozycję Zapisz.Select the amount of raw event data to store and select Save.

Ręczna obsługa agentów Manual agent provisioning

Aby ręcznie zainstalować agenta Log Analytics:To manually install the Log Analytics agent:

  1. Wyłącz funkcję autoaprowizacji.Disable auto provisioning.

  2. Opcjonalnie możesz utworzyć obszar roboczy.Optionally, create a workspace.

  3. Włącz usługę Azure Defender w obszarze roboczym, na którym instalujesz agenta Log Analytics:Enable Azure Defender on the workspace on which you're installing the Log Analytics agent:

    1. W menu Security Center wybierz pozycję cennik & ustawienia.From Security Center's menu, select Pricing & settings.

    2. Ustaw obszar roboczy, w którym jest instalowany Agent.Set the workspace on which you're installing the agent. Upewnij się, że obszar roboczy znajduje się w tej samej subskrypcji, której używasz w Security Center i że masz uprawnienia do odczytu/zapisu dla obszaru roboczego.Make sure the workspace is in the same subscription you use in Security Center and that you have read/write permissions for the workspace.

    3. Wybierz pozycję Azure Defender on i Zapisz.Select Azure Defender on, and Save.

      Uwaga

      Jeśli w obszarze roboczym jest już włączone rozwiązanie Security lub SecurityCenterFree , Cennik zostanie ustawiony automatycznie.If the workspace already has a Security or SecurityCenterFree solution enabled, the pricing will be set automatically.

  4. Aby wdrożyć agentów na nowych maszynach wirtualnych przy użyciu szablonu Menedżer zasobów, Zainstaluj agenta Log Analytics:To deploy agents on new VMs using a Resource Manager template, install the Log Analytics agent:

  5. Aby wdrożyć agentów na istniejących maszynach wirtualnych, postępuj zgodnie z instrukcjami podanymi w temacie zbieranie danych dotyczących platformy Azure Virtual Machines (sekcja zbieranie danych dotyczących zdarzeń i wydajności jest opcjonalne).To deploy agents on your existing VMs, follow the instructions in Collect data about Azure Virtual Machines (the section Collect event and performance data is optional).

  6. Aby wdrożyć agentów przy użyciu programu PowerShell, Skorzystaj z instrukcji z dokumentacji dotyczącej maszyn wirtualnych:To use PowerShell to deploy the agents, use the instructions from the virtual machines documentation:

Porada

Aby uzyskać instrukcje na temat sposobu dołączania Security Center przy użyciu programu PowerShell, zobacz Automatyzowanie dołączania Azure Security Center przy użyciu programu PowerShell.For instructions on how to onboard Security Center using PowerShell, see Automate onboarding of Azure Security Center using PowerShell.

Automatyczne Inicjowanie obsługi w przypadku istniejącej instalacji agenta Automatic provisioning in cases of a pre-existing agent installation

W następujących przypadkach użycia określono, jak funkcja automatycznego udostępniania będzie działać w przypadkach, gdy jest już zainstalowany agent lub rozszerzenie.The following use cases specify how automatic provision works in cases when there is already an agent or extension installed.

  • Agent log Analytics jest zainstalowany na komputerze, ale nie jako rozszerzenie (Agent bezpośredni) — jeśli Agent log Analytics jest instalowany bezpośrednio na maszynie wirtualnej (nie jako rozszerzenie platformy Azure), Security Center zainstaluje rozszerzenie agenta log Analytics i będzie mógł uaktualnić agenta log Analytics do najnowszej wersji.Log Analytics agent is installed on the machine, but not as an extension (Direct agent) - If the Log Analytics agent is installed directly on the VM (not as an Azure extension), Security Center will install the Log Analytics agent extension, and might upgrade the Log Analytics agent to the latest version. Zainstalowany agent będzie kontynuował raportowanie do już skonfigurowanych obszarów roboczych, a ponadto przeprowadzi raport do obszaru roboczego skonfigurowanego w Security Center (wiele multihostingu jest obsługiwana na maszynach z systemem Windows).The agent installed will continue to report to its already configured workspace(s), and additionally will report to the workspace configured in Security Center (Multi-homing is supported on Windows machines). Jeśli skonfigurowany obszar roboczy jest obszarem roboczym użytkownika (nie Security Center domyślnym obszarem roboczym), należy zainstalować na nim rozwiązanie "Security" lub "SecurityCenterFree" dla Security Center, aby rozpocząć przetwarzanie zdarzeń z maszyn wirtualnych i komputerów zgłaszanych do tego obszaru roboczego.If the configured workspace is a user workspace (not Security Center's default workspace), then you will need to install the "Security" or "SecurityCenterFree" solution on it for Security Center to start processing events from VMs and computers reporting to that workspace.

    W przypadku maszyn z systemem Linux Agent multihostingu nie jest jeszcze obsługiwany — w związku z tym jeśli zostanie wykryta istniejąca instalacja agenta, automatyczne Inicjowanie obsługi nie zostanie wykonane i konfiguracja maszyny nie zostanie zmieniona.For Linux machines, Agent multi-homing is not yet supported - hence, if an existing agent installation is detected, automatic provisioning will not occur and the machine's configuration will not be altered.

    W przypadku istniejących maszyn w ramach subskrypcji, które zostały dołączone do Security Center przed 17 marca 2019, gdy zostanie wykryty istniejący Agent, rozszerzenie agenta Log Analytics nie zostanie zainstalowane i nie będzie to miało takiego oddziaływania.For existing machines on subscriptions onboarded to Security Center before 17 March 2019, when an existing agent will be detected, the Log Analytics agent extension will not be installed and the machine will not be affected. W przypadku tych maszyn Zobacz zalecenia dotyczące rozwiązywania problemów z kondycją agenta monitorowania na swoich komputerach, aby rozwiązać problemy z instalacją agenta na tych komputerach.For these machines, see to the "Resolve monitoring agent health issues on your machines" recommendation to resolve the agent installation issues on these machines.

  • Agent System Center Operations Manager jest zainstalowany na komputerze — Centrum zabezpieczeń zainstaluje rozszerzenie agenta log Analytics obok istniejącej Operations Manager.System Center Operations Manager agent is installed on the machine - Security center will install the Log Analytics agent extension side by side to the existing Operations Manager. Istniejący Agent Operations Manager będzie kontynuował raportowanie do serwera Operations Manager w normalny sposób.The existing Operations Manager agent will continue to report to the Operations Manager server normally. Agent Operations Manager i Agent Log Analytics mają wspólne biblioteki uruchomieniowe, które zostaną zaktualizowane do najnowszej wersji w trakcie tego procesu.The Operations Manager agent and Log Analytics agent share common run-time libraries, which will be updated to the latest version during this process. Jeśli zainstalowano agenta Operations Manager w wersji 2012, nie należy włączać automatycznej aprowizacji.If Operations Manager agent version 2012 is installed, do not enable automatic provisioning.

  • Istnieje już istniejące rozszerzenie maszyny wirtualnej:A pre-existing VM extension is present:

    • Gdy Agent monitorowania jest zainstalowany jako rozszerzenie, konfiguracja rozszerzenia umożliwia raportowanie tylko jednego obszaru roboczego.When the Monitoring Agent is installed as an extension, the extension configuration allows reporting to only a single workspace. Security Center nie przesłania istniejących połączeń z obszarami roboczymi użytkowników.Security Center does not override existing connections to user workspaces. Security Center będą przechowywać dane zabezpieczeń z maszyny wirtualnej w już podłączonym obszarze roboczym, pod warunkiem, że zostało na nim zainstalowane rozwiązanie "Security" lub "SecurityCenterFree".Security Center will store security data from the VM in the workspace already connected, provided that the "Security" or "SecurityCenterFree" solution has been installed on it. Security Center może uaktualnić wersję rozszerzenia do najnowszej wersji w tym procesie.Security Center may upgrade the extension version to the latest version in this process.
    • Aby zobaczyć, w którym obszarze roboczym jest wysyłane dane rozszerzenie, Uruchom test w celu sprawdzenia łączności z Azure Security Center.To see to which workspace the existing extension is sending data to, run the test to Validate connectivity with Azure Security Center. Alternatywnie możesz otworzyć obszary robocze Log Analytics, wybrać obszar roboczy, wybrać maszynę wirtualną i sprawdzić połączenie z agentem Log Analytics.Alternatively, you can open Log Analytics workspaces, select a workspace, select the VM, and look at the Log Analytics agent connection.
    • Jeśli masz środowisko, w którym jest zainstalowany agent Log Analytics na stacjach roboczych klienta i raportowanie do istniejącego Log Analytics obszaru roboczego, przejrzyj listę systemów operacyjnych obsługiwanych przez Azure Security Center , aby upewnić się, że system operacyjny jest obsługiwany.If you have an environment where the Log Analytics agent is installed on client workstations and reporting to an existing Log Analytics workspace, review the list of operating systems supported by Azure Security Center to make sure your operating system is supported. Aby uzyskać więcej informacji, zobacz istniejących klientów usługi log Analytics.For more information, see Existing log analytics customers.

Wyłącz funkcję autoaprowizacji Disable auto provisioning

Po wyłączeniu obsługi autoaprowizacji agenci nie będą obsługiwani na nowych maszynach wirtualnych.When you disable auto provisioning, agents will not be provisioned on new VMs.

Aby wyłączyć automatyczne Inicjowanie obsługi agenta:To turn off automatic provisioning of an agent:

  1. Z poziomu menu Security Center w portalu wybierz pozycję cennik & ustawienia.From Security Center's menu in the portal, select Pricing & settings.

  2. Wybierz odpowiednią subskrypcję.Select the relevant subscription.

  3. Wybierz pozycję autoinicjowanie obsługi.Select Auto provisioning.

  4. Przełącz stan na wyłączony dla odpowiedniego agenta.Toggle the status to Off for the relevant agent.

    Włącza lub wyłącza funkcję autoaprowizacji na typ agenta

  5. Wybierz pozycję Zapisz.Select Save. Gdy funkcja automatycznej aprowizacji jest wyłączona, domyślna sekcja konfiguracji obszaru roboczego nie jest wyświetlana:When auto provisioning is disabled, the default workspace configuration section is not displayed:

    Gdy funkcja automatycznej aprowizacji jest wyłączona, komórka konfiguracji jest pusta

Uwaga

Wyłączenie automatycznej aprowizacji nie powoduje usunięcia agenta Log Analytics z maszyn wirtualnych platformy Azure, w przypadku których Agent został zainicjowany.Disabling automatic provisioning does not remove the Log Analytics agent from Azure VMs where the agent was provisioned. Aby uzyskać informacje dotyczące usuwania rozszerzenia pakietu OMS, zobacz Jak mogę usuwania rozszerzeń pakietu OMS zainstalowanych przez Security Center.For information on removing the OMS extension, see How do I remove OMS extensions installed by Security Center.

Rozwiązywanie problemówTroubleshooting

Następne krokiNext steps

Na tej stronie wyjaśniono, jak włączyć funkcję autoaprowizacji dla agenta Log Analytics i innych rozszerzeń Security Center.This page explained how to enable auto provisioning for the Log Analytics agent and other Security Center extensions. Opisano w nim również sposób definiowania obszaru roboczego Log Analytics, w którym będą przechowywane zebrane dane.It also described how to define a Log Analytics workspace in which to store the collected data. Obie operacje są wymagane do włączenia zbierania danych.Both operations are required to enable data collection. Przechowywanie danych w Log Analytics, bez względu na to, czy używasz nowego, czy istniejącego obszaru roboczego, może nanieść większe opłaty za przechowywanie danych.Storing data in Log Analytics, whether you use a new or existing workspace, might incur more charges for data storage. Aby uzyskać szczegółowe informacje o cenach w wybranej walucie i według regionu, zobacz Security Center Cennik.For pricing details in your currency of choice and according to your region, see Security Center pricing.