Automatizar a integração do Microsoft Defender para Nuvem usando o PowerShell

Você pode proteger suas cargas de trabalho do Azure programaticamente usando o módulo Microsoft Defender para Nuvem com o PowerShell. O uso do PowerShell permite automatizar tarefas e evitar o erro humano, que ocorrem com as tarefas manuais. Isso é especialmente útil em implantações em grande escala que envolvem dezenas de assinaturas com centenas e milhares de recursos, que precisam ser protegidos desde o início.

A integração do Microsoft Defender para Nuvem através do PowerShell permite que você automatize programaticamente a integração e o gerenciamento de seus recursos do Azure e adicione os controles de segurança necessários.

Este artigo fornece um exemplo de script do PowerShell que pode ser modificado e usado em seu ambiente para implantar o Defender para Nuvem em suas assinaturas.

Neste exemplo, habilitaremos o Defender para Nuvem em uma assinatura com a ID d07c0080-170c-4c24-861d-9c817742786c e aplicaremos as configurações recomendadas que fornecem um alto nível de proteção, com a habilitação dos recursos de segurança aprimorados do Microsoft Defender para Nuvem, que fornecem funcionalidades avançadas de detecção e proteção contra ameaças:

1. Habilite a segurança aprimorada no Microsoft Defender para Nuvem.

2. Defina o workspace do Log Analytics para o qual o agente do Log Analytics enviará os dados coletados nas VMs associadas à assinatura. Neste exemplo, um workspace existente definido pelo usuário (myWorkspace).

3. Ative o provisionamento automático de agente do Defender para Nuvem que implanta o agente do Log Analytics.

4. Defina o CISO da organização como o contato de segurança para alertas e eventos notáveis do Defender para Nuvem.

5. Atribuir aspolíticas de segurança padrão do Defender para Nuvem.

Pré-requisitos

Essas etapas devem ser executadas antes de executar os cmdlets do Defender para Nuvem:

1. Execute o PowerShell como administrador.

2. Execute os seguintes comandos no PowerShell:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned
   

   Install-Module -Name Az.Security -Force
   

Integração do Defender para Nuvem usando o PowerShell

1. Registre suas assinaturas no provedor de recursos do Defender para Nuvem:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

2. Opcional: defina o nível de cobertura (ativar/desativar recursos de segurança aprimorados do Microsoft Defender para Nuvem) das assinaturas. Se não estiverem definidos, esses recursos estarão desativados:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
   

3. Configure um espaço de trabalho do Log Analytics no qual os agentes irão reportar. Você deve ter um espaço de trabalho do Log Analytics já criado ao qual as VMs da assinatura se reportarão. Você pode definir várias assinaturas para reportar ao mesmo workspace. Se não estiver definido, o workspace padrão será usado.

   Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
   

4. Provisione de modo automático a instalação do agente do Log Analytics nas suas VMs do Azure:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
   

   Observação

   Recomendamos que você habilite o provisionamento automático para garantir que suas máquinas virtuais do Azure sejam automaticamente protegidas pelo Microsoft Defender para Nuvem.
   Como parte da estratégia atualizada do Defender para Nuvem, o Agente do Azure Monitor (AMA) não será mais necessário para a oferta do Defender para servidores. No entanto, ainda será necessário para o Defender para SQL Server em computadores. Como resultado, a implantação do AMA (Agente do Azure Monitor) com o portal do Defender para Nuvem está disponível para SQL Servers em computadores, com uma nova política de implantação. Saiba mais sobre como migrar para o processo de provisionamento automático do AMA (Agente de Monitoramento do Azure) direcionado ao SQL Server.

5. Opcional: é altamente recomendável que você defina os detalhes do contato de segurança para as assinaturas que você integrou. Eles serão usados como destinatários de alertas e notificações gerados pelo Defender para Nuvem:

   Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
   

6. Atribua a iniciativa padrão de políticas do Defender para Nuvem:

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
   

   $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
   
   New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
   

Você integrou com êxito o Microsoft Defender para Nuvem com o PowerShell.

Agora você pode usar esses cmdlets do PowerShell com scripts de automação para iterar programaticamente entre assinaturas e recursos. Isso economiza tempo e reduz a probabilidade de erro humano. Você pode usar este exemplo de script como referência.

Confira também

Para saber mais sobre como você pode usar o PowerShell para automatizar a integração ao Defender para Nuvem, confira o artigo a seguir:

• Az.Security

Para saber mais sobre o Defender para Nuvem, consulte os seguintes artigos:

• Definindo políticas de segurança no Microsoft Defender para Nuvem. Saiba como configurar políticas de segurança para suas assinaturas e grupos de recursos do Azure.
• Como gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem. Saiba como gerenciar e responder aos alertas de segurança.