Konfigurera automatisk etablering för agenter och tillägg från Microsoft Defender för molnet

  • Artikel
  • 13 minuter för att läsa

Anteckning

Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.

Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.

Microsoft Defender for Cloud samlar in data från dina resurser med hjälp av relevant agent eller tillägg för resursen och den typ av datainsamling som du har aktiverat. Använd procedurerna nedan för att se till att dina resurser har nödvändiga agenter och tillägg som används av Defender for Cloud.

Förutsättningar

För att komma igång med Defender for Cloud måste du ha en prenumeration på Microsoft Azure. Om du inte har någon prenumeration kan du registrera dig för ett kostnadsfritt konto.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Funktion: Automatisk etablering är allmänt tillgänglig (GA)
Agent och tillägg: Log Analytics-agenten för virtuella Azure-datorer är GA, Microsoft Dependency Agent är i förhandsversion, Principtillägg för Kubernetes är GA, gästkonfigurationsagenten är förhandsversion
Prissättning: Kostnadsfri
Mål som stöds: Azure-datorer
Azure Arc datorer
Kubernetes-noder
Virtual Machine Scale Sets
Moln: Funktion:
Kommersiella moln
Azure Government, Azure China 21Vianet
Agent och tillägg:
Log Analytics-agenten för virtuella Azure-datorer är tillgänglig i alla moln, princip-tillägget för Kubernetes är tillgängligt i alla moln, gästkonfigurationsagenten är endast tillgänglig i kommersiella moln

Hur samlar Defender for Cloud in data?

Defender for Cloud samlar in data från dina virtuella Azure-datorer (VM), VM-skalningsuppsättningar, IaaS-containrar och icke-Azure-datorer (inklusive lokala) för att övervaka säkerhetsproblem och hot.

Datainsamling krävs för att ge insyn i saknade uppdateringar, felkonfigurerade säkerhetsinställningar för operativsystemet, status för slutpunktsskydd samt hälso- och hotskydd. Datainsamling behövs bara för beräkningsresurser som virtuella datorer, VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure-datorer.

Du kan dra nytta av Microsoft Defender för molnet även om du inte etablerar agenter. Du har dock begränsad säkerhet och funktionerna som anges ovan stöds inte.

Data samlas in med:

  • Log Analytics-agenten, som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din arbetsyta för analys. Exempel på sådana data är: typ och version av operativsystem, operativsystemets loggar (Windows-händelseloggar), processer som körs, datornamn, IP-adresser och inloggad användare.
  • Säkerhetstillägg, till exempel Azure Policy-tillägget för Kubernetes, som också kan tillhandahålla data till Defender for Cloud om specialiserade resurstyper.

Tips

I och med att Defender för molnet har vuxit har även de typer av resurser som kan övervakas ökat. Antalet tillägg har också ökat. Automatisk etablering har utökats för att stödja ytterligare resurstyper genom att utnyttja funktionerna i Azure Policy.

Varför ska jag använda automatisk etablering?

Alla agenter och tillägg som beskrivs på den här sidan kan installeras manuellt (se Manuell installation av Log Analytics-agenten). Automatisk etablering minskar dock hanteringskostnader genom att installera alla nödvändiga agenter och tillägg på befintliga och nya datorer för att säkerställa snabbare säkerhetstäckning för alla resurser som stöds.

Vi rekommenderar att du aktiverar automatisk etablering, men den är inaktiverad som standard.

Hur fungerar automatisk etablering?

Inställningarna för automatisk etablering i Defender for Cloud har en växlingsknapp för varje typ av tillägg som stöds. När du aktiverar automatisk etablering av ett tillägg tilldelar du lämplig princip för Distribuera om det inte finns. Den här principtypen säkerställer att tillägget etableras på alla befintliga och framtida resurser av den typen.

Tips

Läs mer om Azure Policy bland annat distribuera om det inte finns i Förstå Azure Policy effekter.

Aktivera automatisk etablering av Log Analytics-agenten och tillägg

När automatisk etablering är på för Log Analytics-agenten distribuerar Defender for Cloud agenten på alla virtuella Azure-datorer som stöds och eventuella nya som skapats. En lista över plattformar som stöds finns i Plattformar som stöds i Microsoft Defender för molnet.

Så här aktiverar du automatisk etablering av Log Analytics-agenten:

  1. Öppna Miljöinställningar på menyn i Defender för molnet.

  2. Välj relevant prenumeration.

  3. På sidan Automatisk etablering anger du status för automatisk etablering för Log Analytics-agenten till På.

    Aktivera automatisk etablering av Log Analytics-agenten.

  4. I fönstret konfigurationsalternativ definierar du arbetsytan som ska användas.

    Konfigurationsalternativ för automatisk etablering av Log Analytics-agenter till virtuella datorer.

    • Anslut virtuella Azure-datorer till standardarbetsytorna som skapats av Defender for Cloud – Defender for Cloud skapar en ny resursgrupp och standardarbetsyta på samma geoplats och ansluter agenten till arbetsytan. Om en prenumeration innehåller virtuella datorer från flera geoplatser skapar Defender for Cloud flera arbetsytor för att säkerställa att datasekretesskraven efterlevs.

      Namngivningskonventionen för arbetsytan och resursgruppen är:

      • Arbetsyta: DefaultWorkspace-[prenumerations-ID]-[geo]
      • Resursgrupp: DefaultResourceGroup-[geo]

      En Defender for Cloud-lösning aktiveras automatiskt på arbetsytan per prisnivå som angetts för prenumerationen.

      Tips

      Frågor om standardarbetsytor finns i:

    • Anslut virtuella Azure-datorer till en annan arbetsyta – I listrutan väljer du den arbetsyta där insamlade data ska lagras. Listrutan innehåller alla arbetsytor i alla dina prenumerationer. Du kan använda det här alternativet för att samla in data från virtuella datorer som körs i olika prenumerationer och lagra allt på den valda arbetsytan.

      Om du redan har en befintlig Log Analytics-arbetsyta kanske du vill använda samma arbetsyta (kräver läs- och skrivbehörighet på arbetsytan). Det här alternativet är användbart om du använder en centraliserad arbetsyta i din organisation och vill använda den för insamling av säkerhetsdata. Läs mer i Hantera åtkomst till loggdata och arbetsytor i Azure Monitor.

      Om din valda arbetsyta redan har en "Säkerhet" eller "SecurityCenterFree"-lösning aktiverad, anges priserna automatiskt. Om inte installerar du en Defender for Cloud-lösning på arbetsytan:

      1. Öppna Miljöinställningar på menyn i Defender för molnet.
      2. Välj den arbetsyta som du ska ansluta agenterna till.
      3. Välj Förbättrad säkerhet av eller Aktivera alla Microsoft Defender-planer.

  5. Från Windows för säkerhetshändelser väljer du hur mycket rådata för händelsedata som ska lagras:

    • Ingen – Inaktivera lagring av säkerhetshändelse. Det här är standardinställningen.
    • Minimal – En liten uppsättning händelser för när du vill minimera händelsevolymen.
    • Common – En uppsättning händelser som uppfyller de flesta kunder och ger en fullständig granskningslogg.
    • Alla händelser – För kunder som vill se till att alla händelser lagras.

    Tips

    Om du vill ange dessa alternativ på arbetsytenivå kan du se Ställa in säkerhetshändelsealternativet på arbetsytenivå.

    Mer information om dessa alternativ finns i Windows alternativ för säkerhetshändelse för Log Analytics-agenten.

  6. Välj Använd i konfigurationsfönstret.

  7. Så här aktiverar du automatisk etablering av ett annat tillägg än Log Analytics-agenten:

    1. Om du aktiverar automatisk etablering för Microsoft Dependency Agent ser du till att Log Analytics-agenten är inställd på automatisk distribution.

    2. Växla status till På för relevant tillägg.

      Växla för att aktivera automatisk etablering för K8s-princip-tillägg.

    3. Välj Spara. Den Azure Policy definitionen tilldelas och en reparationsuppgift skapas.

      Anknytning Policy
      Policytillägg för Kubernetes Distribuera Azure Policy till Azure Kubernetes Service kluster
      Microsoft Dependency Agent (förhandsversion) (Windows virtuella datorer) Distribuera beroendeagenten för Windows virtuella datorer
      Microsoft Dependency Agent (förhandsversion) (virtuella Linux-datorer) Distribuera beroendeagenten för virtuella Linux-datorer
      Gästkonfigurationsagent (förhandsversion) Distribuera förhandskrav för att aktivera gästkonfigurationsprinciper på virtuella datorer

  8. Välj Spara. Om en arbetsyta behöver etableras kan agentinstallationen ta upp till 25 minuter.

  9. Du tillfrågas om du vill konfigurera om övervakade virtuella datorer som tidigare var anslutna till en standardarbetsyta:

    Granska alternativ för att konfigurera om övervakade virtuella datorer.

    • Nej – dina nya arbetsyteinställningar tillämpas endast på nyligen identifierade virtuella datorer som inte har Log Analytics-agenten installerad.
    • Ja – dina nya arbetsyteinställningar gäller för alla virtuella datorer och alla virtuella datorer som för närvarande är anslutna till en arbetsyta som skapats av Defender for Cloud återansluts till den nya målarbetsytan.

    Anteckning

    Om du väljer Ja ska du inte ta bort de arbetsytor som skapats av Defender for Cloud förrän alla virtuella datorer har återanslutts till den nya målarbetsytan. Den här åtgärden misslyckas om en arbetsyta tas bort för tidigt.

Windows alternativ för säkerhetshändelse för Log Analytics-agenten

Om du väljer en datainsamlingsnivå i Microsoft Defender for Cloud påverkas endast lagringen av säkerhetshändelser på Log Analytics-arbetsytan. Log Analytics-agenten samlar fortfarande in och analyserar de säkerhetshändelser som krävs för Defender för molnskydd, oavsett vilken nivå av säkerhetshändelser du väljer att lagra på din arbetsyta. Om du väljer att lagra säkerhetshändelser kan du undersöka, söka efter och granska dessa händelser på din arbetsyta.

Krav

Det förbättrade säkerhetsskyddet i Defender for Cloud krävs för att lagra Windows säkerhetshändelsedata. Läs mer om de förbättrade skyddsplanerna.

Lagring av data i Log Analytics kan medföra ytterligare avgifter för datalagring. Mer information finns på sidan med priser.

Information för Microsoft Sentinel-användare

Användare av Microsoft Sentinel: Observera att insamling av säkerhetshändelser i kontexten för en enskild arbetsyta kan konfigureras från antingen Microsoft Defender för molnet eller Microsoft Sentinel, men inte båda. Om du planerar att lägga till Microsoft Sentinel på en arbetsyta som redan får aviseringar från Microsoft Defender för moln och är inställd på att samla in säkerhetshändelser har du två alternativ:

  • Lämna samlingen Säkerhetshändelser i Microsoft Defender för molnet som den är. Du kommer att kunna köra frågor mot och analysera dessa händelser i Microsoft Sentinel samt i Defender för molnet. Du kommer dock inte att kunna övervaka anslutningsappens anslutningsstatus eller ändra dess konfiguration i Microsoft Sentinel. Överväg det andra alternativet om det är viktigt för dig.
  • Inaktivera insamling av säkerhetshändelser i Microsoft Defender för moln (genom att Windows säkerhetshändelser till Ingen i konfigurationen av Log Analytics-agenten). Lägg sedan till anslutningsappen Säkerhetshändelser i Microsoft Sentinel. Precis som med det första alternativet kommer du att kunna fråga efter och analysera händelser i både Microsoft Sentinel och Defender for Cloud, men du kommer nu att kunna övervaka anslutningsappens anslutningsstatus eller ändra dess konfiguration i – och endast i – Microsoft Sentinel.

Vilka händelsetyper lagras för "Common" och "Minimal"?

Dessa uppsättningar har utformats för att hantera vanliga scenarier. Se till att utvärdera vilken som passar dina behov innan du implementerar den.

För att fastställa händelserna för de vanliga och minimala alternativen arbetade vi med kunder och branschstandarder för att lära oss mer om ofiltrerad frekvens för varje händelse och deras användning. Vi använde följande riktlinjer i den här processen:

  • Minimal – Se till att den här uppsättningen endast omfattar händelser som kan tyda på ett lyckat intrång och viktiga händelser med mycket låg volym. Den här uppsättningen innehåller till exempel användarinloggningen lyckades och misslyckades (händelse-ID:n 4624, 4625), men den innehåller inte utloggning som är viktig för granskning men inte meningsfull för identifiering och har relativt hög volym. Merparten av datavolymen i den här uppsättningen är inloggningshändelser och processskapande (händelse-ID 4688).
  • Common – Ange en fullständig användargranskningslogg i den här uppsättningen. Den här uppsättningen innehåller till exempel både användarinloggningar och användarinloggningar (händelse-ID 4634). Vi inkluderar granskningsåtgärder som säkerhetsgruppsändringar, Kerberos-åtgärder för nyckeldomänkontrollanter och andra händelser som rekommenderas av branschorganisationer.

Händelser med mycket låg volym ingår i den gemensamma uppsättningen som den huvudsakliga motivationen att välja den över alla händelser är att minska volymen och inte filtrera bort specifika händelser.

Här är en fullständig analys av händelse-ID:erna för Säkerhet och App Locker för varje uppsättning:

Datanivå Insamlade händelseindikatorer
Minimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Common 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Anteckning

  • Om du använder grupprincip-objekt (GPO) rekommenderar vi att du aktiverar granskningsprinciper Processgenereringshändelse 4688 och fältet Kommandorad i händelse 4688. Mer information om processskapande händelse 4688 finns i Defender for Clouds vanliga frågor och svar. Mer information om dessa granskningsprinciper finns i Granska princip Rekommendationer.
  • Om du vill aktivera datainsamling för anpassningsbara programkontrollerkonfigurerar Defender for Cloud en lokal AppLocker-princip i granskningsläge för att tillåta alla program. Detta gör att AppLocker genererar händelser som sedan samlas in och utnyttjas av Defender for Cloud. Observera att den här principen inte konfigureras på datorer där det redan finns en konfigurerad AppLocker-princip.
  • Om du vill Windows filtreringsplattformens händelse-ID 5156måste du aktivera Granskningsfiltreringsplattformsanslutning (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Ställa in säkerhetshändelsealternativet på arbetsytenivå

Du kan definiera vilken nivå av säkerhetshändelsedata som ska lagras på arbetsytenivå.

  1. Från menyn i Defender för molnet i Azure Portal väljer du Miljöinställningar.

  2. Välj relevant arbetsyta. De enda datainsamlingshändelserna för en arbetsyta är de Windows säkerhetshändelser som beskrivs på den här sidan.

    Ange säkerhetshändelsedata som ska lagras på en arbetsyta.

  3. Välj mängden rådata för händelsedata som ska lagras och välj Spara.

Manuell agentetablering

Så här installerar du Log Analytics-agenten manuellt:

  1. Inaktivera automatisk etablering.

  2. Du kan också skapa en arbetsyta.

  3. Aktivera Microsoft Defender for Cloud på arbetsytan där du installerar Log Analytics-agenten:

    1. Öppna Miljöinställningar på menyn i Defender för molnet.

    2. Ange den arbetsyta där du installerar agenten. Kontrollera att arbetsytan finns i samma prenumeration som du använder i Defender for Cloud och att du har läs-/skrivbehörighet för arbetsytan.

    3. Välj Microsoft Defender för molnet på och Spara.

      Anteckning

      Om arbetsytan redan har en Säkerhets- eller SecurityCenterFree-lösning aktiverad anges priserna automatiskt.

  4. Om du vill distribuera agenter på nya virtuella datorer Resource Manager en mall installerar du Log Analytics-agenten:

  5. Om du vill distribuera agenter på dina befintliga virtuella datorer följer du anvisningarna i Samla in data om Azure Virtual Machines (avsnittet Samla in händelse- och prestandadata är valfritt).

  6. Om du vill använda PowerShell för att distribuera agenterna följer du anvisningarna i dokumentationen för virtuella datorer:

Tips

Mer information om registrering finns i Automatisera registrering av Microsoft Defender för moln med Hjälp av PowerShell.

Automatisk etablering i fall av en befintlig agentinstallation

Följande användningsfall anger hur automatisk etablering fungerar om det redan finns en agent eller ett tillägg installerat.

  • Log Analytics-agenten installeras på datorn, men inte som ett tillägg (direktagent) – Om Log Analytics-agenten installeras direkt på den virtuella datorn (inte som ett Azure-tillägg) installerar Defender for Cloud Log Analytics-agenttillägget och kan uppgradera Log Analytics-agenten till den senaste versionen. Agenten som installeras fortsätter att rapportera till sina redan konfigurerade arbetsytor och rapporterar dessutom till arbetsytan som konfigurerats i Defender for Cloud (multi-homing stöds på Windows datorer).

    Om den konfigurerade arbetsytan är en användararbetsyta (inte Defender for Clouds standardarbetsyta) måste du installera lösningen "Säkerhet" eller "SecurityCenterFree" för att Defender for Cloud ska kunna börja bearbeta händelser från virtuella datorer och datorer som rapporterar till arbetsytan.

    För Linux-datorer stöds inte agenten för flera värdar än. Om en befintlig agentinstallation upptäcks sker ingen automatisk etablering och datorns konfiguration ändras inte.

    För befintliga datorer på prenumerationer som är inbyggda i Defender for Cloud före den 17 mars 2019 kommer Log Analytics-agenttillägget inte att installeras när en befintlig agent identifieras och datorn påverkas inte. Information om dessa datorer finns i rekommendationen "Lösa problem med övervakningsagentens hälsotillstånd på dina datorer" för att lösa agentinstallationsproblemen på dessa datorer.

  • System Center Operations Manager agenten är installerad på datorn – Defender for Cloud installerar Log Analytics-agenttillägget sida vid sida till den befintliga Operations Manager. Den befintliga Operations Manager agenten fortsätter att rapportera till Operations Manager servern. De Operations Manager agenten och Log Analytics-agenten delar vanliga körningsbibliotek, som uppdateras till den senaste versionen under den här processen. Om Operations Manager agentversion 2012 är installerad ska du inte aktivera automatisk etablering.

  • Det finns ett befintligt VM-tillägg:

    • När övervakningsagenten installeras som ett tillägg tillåter tilläggskonfigurationen endast rapportering till en enskild arbetsyta. Defender for Cloud åsidosätter inte befintliga anslutningar till användararbetsytor. Defender for Cloud lagrar säkerhetsdata från den virtuella datorn på arbetsytan som redan är ansluten, förutsatt att lösningen "Säkerhet" eller "SecurityCenterFree" har installerats på den. Defender for Cloud kan uppgradera tilläggsversionen till den senaste versionen i den här processen.
    • Om du vill se vilken arbetsyta som det befintliga tillägget skickar data till kör du testet för att verifiera anslutningen med Microsoft Defender för molnet. Du kan också öppna Log Analytics-arbetsytor, välja en arbetsyta, välja den virtuella datorn och titta på Log Analytics-agentanslutningen.
    • Om du har en miljö där Log Analytics-agenten är installerad på klientarbetsdatorer och rapporterar till en befintlig Log Analytics-arbetsyta granskar du listan över operativsystem som stöds av Microsoft Defender for Cloud för att kontrollera att ditt operativsystem stöds. Mer information finns i Befintliga Log Analytics-kunder.

Inaktivera automatisk etablering

När du inaktiverar automatisk etablering etableras inte agenter på nya virtuella datorer.

Så här inaktiverar du automatisk etablering av en agent:

  1. På menyn i Defender för molnet i portalen väljer du Miljöinställningar.

  2. Välj relevant prenumeration.

  3. Välj Automatisk etablering.

  4. Växla status till Av för relevant agent.

    Växlar för att inaktivera automatisk etablering per agenttyp.

  5. Välj Spara. När automatisk etablering är inaktiverat visas inte standardarbetsytans konfigurationsavsnitt:

    När automatisk etablering är inaktiverat är konfigurationscellen tom

Anteckning

Om du inaktiverar automatisk etablering tas inte Log Analytics-agenten bort från de virtuella Azure-datorer där agenten etablerades. Information om hur du tar bort OMS-tillägget finns i Hur gör jag för att ta bort OMS-tillägg som installerats av Defender för molnet.

Felsökning

Nästa steg

På den här sidan förklaras hur du aktiverar automatisk etablering för Log Analytics-agenten och andra Defender for Cloud-tillägg. Den beskriver också hur du definierar en Log Analytics-arbetsyta där insamlade data ska lagras. Båda åtgärderna krävs för att aktivera datainsamling. Lagring av data i Log Analytics, oavsett om du använder en ny eller befintlig arbetsyta, kan medföra fler avgifter för datalagring. Prisinformation i din lokala valuta eller region finns på sidan med priser.