Hur samlar Defender för molnet in data?
Defender för molnet samlar in data från dina virtuella Azure-datorer (VM), VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure (inklusive lokala) för att övervaka säkerhetsrisker och hot. Vissa Defender-planer kräver övervakningskomponenter för att samla in data från dina arbetsbelastningar.
Datainsamling krävs för att ge insyn i saknade uppdateringar, felkonfigurerade os-säkerhetsinställningar, slutpunktsskyddsstatus samt hälso- och hotskydd. Datainsamling behövs bara för beräkningsresurser som virtuella datorer, VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure-datorer.
Du kan dra nytta av Microsoft Defender för molnet även om du inte etablerar agenter. Du har dock begränsad säkerhet och de funktioner som anges stöds inte.
Data samlas in med hjälp av:
- Azure Monitor Agent (AMA)
- Microsoft Defender for Endpoint (MDE)
- Log Analytics-agent
- Säkerhetskomponenter, till exempel Azure Policy for Kubernetes
Varför ska du använda Defender för molnet för att distribuera övervakningskomponenter?
Insyn i säkerheten för dina arbetsbelastningar beror på de data som övervakningskomponenterna samlar in. Komponenterna säkerställer säkerhetstäckning för alla resurser som stöds.
Om du vill spara processen med att installera tilläggen manuellt Defender för molnet minskar hanteringskostnaderna genom att installera alla nödvändiga tillägg på befintliga och nya datorer. Defender för molnet tilldelar lämpliga Distribuera om den inte finns till arbetsbelastningarna i prenumerationen. Den här principtypen säkerställer att tillägget etableras på alla befintliga och framtida resurser av den typen.
Dricks
Läs mer om Azure Policy-effekter, inklusive Distribuera om det inte finns, i Förstå Azure Policy-effekter.
Vilka planer använder övervakningskomponenter?
Dessa planer använder övervakningskomponenter för att samla in data:
- Defender för servrar
- Azure Arc-agent (för flera molnservrar och lokala servrar)
- Microsoft Defender för Endpoint
- Sårbarhetsbedömning
- Azure Monitor-agent eller Log Analytics-agent
- Defender för SQL-servrar på datorer
- Azure Arc-agent (för flera molnservrar och lokala servrar)
- Azure Monitor-agent eller Log Analytics-agent
- Automatisk identifiering och registrering av SQL Server
- Defender för containrar
- Azure Arc-agent (för flera molnservrar och lokala servrar)
- Defender-sensor, Azure Policy for Kubernetes, Kubernetes-granskningsloggdata
Tillgänglighet för tillägg
Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Azure Monitor-agent (AMA)
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Allmänt tillgängliga (GA) |
| Relevant Defender-plan: | Defender för SQL-servrar på datorer |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | Ägare |
| Mål som stöds: |  Virtuella Azure-datorer Azure Arc-aktiverade datorer |
| Principbaserad: | Ja |
| Moln: | Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Läs mer om hur du använder Azure Monitor-agenten med Defender för molnet.
Log Analytics handläggare
| Aspekt | Virtuella Azure-datorer | Azure Arc-aktiverade datorer |
|---|---|---|
| Versionstillstånd: | Allmänt tillgängliga (GA) | Allmänt tillgängliga (GA) |
| Relevant Defender-plan: | Grundläggande CSPM (Cloud Security Posture Management) för agentbaserade säkerhetsrekommendationer Microsoft Defender för servrar Microsoft Defender for SQL |
Grundläggande CSPM (Cloud Security Posture Management) för agentbaserade säkerhetsrekommendationer Microsoft Defender för servrar Microsoft Defender for SQL |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | Ägare | Ägare |
| Mål som stöds: | Virtuella Azure-datorer |
Azure Arc-aktiverade datorer |
| Principbaserad: | Nej |
Ja |
| Moln: | Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Operativsystem som stöds för Log Analytics-agenten
Defender för molnet beror på Log Analytics-agent. Se till att dina datorer kör något av de operativsystem som stöds för den här agenten enligt beskrivningen på följande sidor:
- Log Analytics-agent för Windows-operativsystem som stöds
- Log Analytics-agent för Operativsystem som stöds av Linux
Se också till att Log Analytics-agenten är korrekt konfigurerad för att skicka data till Defender för molnet.
Distribuera Log Analytics-agenten i händelse av en befintlig agentinstallation
Följande användningsfall förklarar hur distributionen av Log Analytics-agenten fungerar i fall där det redan finns en agent eller ett tillägg installerat.
Log Analytics-agenten är installerad på datorn, men inte som ett tillägg (direktagent) – Om Log Analytics-agenten installeras direkt på den virtuella datorn (inte som ett Azure-tillägg) installerar Defender för molnet Log Analytics-agenttillägget och kan uppgradera Log Analytics-agenten till den senaste versionen. Den installerade agenten fortsätter att rapportera till sina redan konfigurerade arbetsytor och till den arbetsyta som konfigurerats i Defender för molnet. (Multi-homing stöds på Windows-datorer.)
Om Log Analytics har konfigurerats med en användararbetsyta och inte Defender för molnet standardarbetsyta måste du installera lösningen "Säkerhet" eller "SecurityCenterFree" på den för att Defender för molnet ska börja bearbeta händelser från virtuella datorer och datorer som rapporterar till den arbetsytan.
För Linux-datorer stöds inte Agent multi-homing ännu. Om en befintlig agentinstallation identifieras distribueras inte Log Analytics-agenten.
För befintliga datorer i prenumerationer som registrerats till Defender för molnet före den 17 mars 2019, när en befintlig agent identifieras, installeras inte Log Analytics-agenttillägget och datorn påverkas inte. För dessa datorer kan du läsa rekommendationen "Lösa problem med övervakningsagentens hälsotillstånd på dina datorer" för att lösa agentinstallationsproblemen på dessa datorer.
System Center Operations Manager-agenten är installerad på datorn – Defender för molnet installerar Log Analytics-agenttillägget sida vid sida till den befintliga Operations Manager. Den befintliga Operations Manager-agenten fortsätter att rapportera till Operations Manager-servern normalt. Operations Manager-agenten och Log Analytics-agenten delar vanliga körningsbibliotek, som uppdateras till den senaste versionen under den här processen.
Det finns ett befintligt VM-tillägg:
- När övervakningsagenten installeras som ett tillägg tillåter tilläggskonfigurationen rapportering till endast en enda arbetsyta. Defender för molnet åsidosätter inte befintliga anslutningar till användararbetsytor. Defender för molnet lagrar säkerhetsdata från den virtuella datorn på den arbetsyta som redan är ansluten, om lösningen "Säkerhet" eller "SecurityCenterFree" installerades på den. Defender för molnet kan uppgradera tilläggsversionen till den senaste versionen i den här processen.
- Om du vill se till vilken arbetsyta det befintliga tillägget skickar data till kör du verktyget TestCloud Anslut ion.exe för att verifiera anslutningen med Microsoft Defender för molnet, enligt beskrivningen i Verifiera Log Analytics-agentanslutning. Du kan också öppna Log Analytics-arbetsytor, välja en arbetsyta, välja den virtuella datorn och titta på Log Analytics-agentanslutningen.
- Om du har en miljö där Log Analytics-agenten är installerad på klientarbetsstationer och rapporterar till en befintlig Log Analytics-arbetsyta läser du listan över operativsystem som stöds av Microsoft Defender för molnet för att kontrollera att operativsystemet stöds.
Läs mer om att arbeta med Log Analytics-agenten.
Microsoft Defender för slutpunkter
| Aspekt | Linux | Windows |
|---|---|---|
| Versionstillstånd: | Allmänt tillgängliga (GA) | Allmänt tillgängliga (GA) |
| Relevant Defender-plan: | Microsoft Defender för servrar | Microsoft Defender för servrar |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | – Aktivera/inaktivera integreringen: Säkerhetsadministratör eller ägare - Så här visar du Defender för Slutpunktsaviseringar i Defender för molnet: Säkerhetsläsare, läsare, resursgruppsdeltagare, resursgruppsägare, säkerhetsadministratör, prenumerationsägare eller prenumerationsdeltagare |
– Aktivera/inaktivera integreringen: Säkerhetsadministratör eller ägare - Så här visar du Defender för Slutpunktsaviseringar i Defender för molnet: Säkerhetsläsare, läsare, resursgruppsdeltagare, resursgruppsägare, säkerhetsadministratör, prenumerationsägare eller prenumerationsdeltagare |
| Mål som stöds: | Azure Arc-aktiverade datorer Virtuella Azure-datorer |
Azure Arc-aktiverade datorer Virtuella Azure-datorer som kör Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise multi-session Virtuella Azure-datorer som kör Windows 10 |
| Principbaserad: | Nej |
Nej |
| Moln: | Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Läs mer om Microsoft Defender för Endpoint.
Sårbarhetsbedömning
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Allmänt tillgängliga (GA) |
| Relevant Defender-plan: | Microsoft Defender för servrar |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | Ägare |
| Mål som stöds: | Virtuella Azure-datorer Azure Arc-aktiverade datorer |
| Principbaserad: | Ja |
| Moln: | Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Gästkonfiguration
| Aspekt | Details |
|---|---|
| Versionstillstånd: | Förhandsgranska |
| Relevant Defender-plan: | Ingen plan krävs |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | Ägare |
| Mål som stöds: | Virtuella Azure-datorer |
| Moln: | Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Läs mer om Azures tillägg för gästkonfiguration.
Defender for Containers-tillägg
Den här tabellen visar tillgänglighetsinformationen för de komponenter som krävs av de skydd som erbjuds av Microsoft Defender för containrar.
Som standard aktiveras de tillägg som krävs när du aktiverar Defender för containrar från Azure-portalen.
| Aspekt | Azure Kubernetes Service-kluster | Azure Arc-aktiverade Kubernetes-kluster |
|---|---|---|
| Versionstillstånd: | • Defender-sensor: GA • Azure Policy for Kubernetes: Allmänt tillgänglig (GA) |
• Defender-sensor: Förhandsversion • Azure Policy for Kubernetes: Förhandsversion |
| Relevant Defender-plan: | Microsoft Defender för containrar | Microsoft Defender för containrar |
| Nödvändiga roller och behörigheter (prenumerationsnivå): | Ägare eller administratör för användaråtkomst | Ägare eller administratör för användaråtkomst |
| Mål som stöds: | AKS Defender-sensorn stöder endast AKS-kluster som har RBAC aktiverat. | Se Kubernetes-distributioner som stöds för Arc-aktiverade Kubernetes |
| Principbaserad: | Ja |
Ja |
| Moln: | Defender-sensor: Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet Azure Policy för Kubernetes: Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Defender-sensor: Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet Azure Policy för Kubernetes: Kommersiella moln Azure Government, Microsoft Azure drivs av 21Vianet |
Läs mer om de roller som används för att etablera Defender for Containers-tillägg.
Felsökning
- Om du vill se nätverkskrav för övervakningsagenten läser du Felsöka nätverkskrav för övervakningsagenten.
- Information om hur du identifierar manuella registreringsproblem finns i Så här felsöker du onboarding-problem med Operations Management Suite.
Nästa steg
På den här sidan beskrivs vilka övervakningskomponenter som är och hur du aktiverar dem.
Läs mer om:
- Konfigurera e-postaviseringar för säkerhetsaviseringar
- Skydda arbetsbelastningar med Defender-planer