Bulut için Defender nasıl veri toplar?
Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM), Sanal Makine Ölçek Kümeleri, IaaS kapsayıcılarından ve Azure dışı (şirket içi dahil) makinelerden veri toplar. Bazı Defender planlarında iş yüklerinizden veri toplamak için izleme bileşenleri gerekir.
Eksik güncelleştirmeler, yanlış yapılandırılmış işletim sistemi güvenlik ayarları, uç nokta koruma durumu ve sistem durumu ile tehdit koruması hakkında görünürlük sağlamak için veri toplama gereklidir. Veri toplama yalnızca VM'ler, Sanal Makine Ölçek Kümeleri, IaaS kapsayıcıları ve Azure dışı bilgisayarlar gibi işlem kaynakları için gereklidir.
Aracı sağlamasanız bile Bulut için Microsoft Defender yararlanabilirsiniz. Ancak, sınırlı güvenlik özelliklerine sahip olursunuz ve listelenen özellikler desteklenmez.
Veriler şu şekilde toplanır:
- Azure İzleyici Aracısı (AMA)
- Uç Nokta için Microsoft Defender (MDE)
- Log Analytics aracısı
- Kubernetes için Azure İlkesi gibi güvenlik bileşenleri
İzleme bileşenlerini dağıtmak için neden Bulut için Defender kullanmalısınız?
İş yüklerinizin güvenliğine ilişkin görünürlük, izleme bileşenlerinin topladığı verilere bağlıdır. Bileşenler, desteklenen tüm kaynaklar için güvenlik kapsamı sağlar.
Uzantıları el ile yükleme işlemini kaydetmek için Bulut için Defender mevcut ve yeni makinelere gerekli tüm uzantıları yükleyerek yönetim yükünü azaltır. Bulut için Defender uygun Yoksa, abonelikteki iş yüklerine dağıtma ilkesi. Bu ilke türü, uzantının bu türdeki mevcut ve gelecekteki tüm kaynaklarda sağlanmasını sağlar.
İpucu
Azure İlkesi efektlerini anlama bölümünde Mevcut değilse dağıt da dahil olmak üzere Azure İlkesi efektleri hakkında daha fazla bilgi edinin.
hangi planlarda izleme bileşenleri kullanılır?
Bu planlarda veri toplamak için izleme bileşenleri kullanılır:
- Sunucular için Defender
- Azure Arc aracısı (Çoklu bulut ve şirket içi sunucular için)
- Uç Nokta için Microsoft Defender
- Güvenlik açığı değerlendirmesi
- Azure İzleyici Aracısı veya Log Analytics aracısı
- Makinelerde SQL sunucuları için Defender
- Azure Arc aracısı (Çoklu bulut ve şirket içi sunucular için)
- Azure İzleyici Aracısı veya Log Analytics aracısı
- Otomatik SQL server bulma ve kayıt
- Kapsayıcılar için Defender
- Azure Arc aracısı (Çoklu bulut ve şirket içi sunucular için)
- Kubernetes için Azure İlkesi Defender algılayıcısı, Kubernetes denetim günlüğü verileri
Uzantıların kullanılabilirliği
Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Azure İzleyici Aracısı (AMA)
| Görünüş | Ayrıntılar |
|---|---|
| Sürüm durumu: | Genel kullanım (GA) |
| İlgili Defender planı: | Makinelerde SQL Server'lar için Defender |
| Gerekli roller ve izinler (abonelik düzeyi): | Sahip |
| Desteklenen hedefler: |  Azure sanal makineleri Azure Arc özellikli makineler |
| İlke tabanlı: | Evet |
| Bulut: | Ticari bulutlar Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Azure İzleyici Aracısını Bulut için Defender ile kullanma hakkında daha fazla bilgi edinin.
Log Analytics aracısı
| Görünüş | Azure sanal makineleri | Azure Arc özellikli makineler |
|---|---|---|
| Sürüm durumu: | Genel kullanım (GA) | Genel kullanım (GA) |
| İlgili Defender planı: | Aracı tabanlı güvenlik önerileri için Temel Bulut Güvenliği Duruş Yönetimi (CSPM) Sunucular için Microsoft Defender SQL için Microsoft Defender |
Aracı tabanlı güvenlik önerileri için Temel Bulut Güvenliği Duruş Yönetimi (CSPM) Sunucular için Microsoft Defender SQL için Microsoft Defender |
| Gerekli roller ve izinler (abonelik düzeyi): | Sahip | Sahip |
| Desteklenen hedefler: | Azure sanal makineleri |
Azure Arc özellikli makineler |
| İlke tabanlı: | Hayır |
Evet |
| Bulut: | Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Log Analytics aracısı için desteklenen işletim sistemleri
Bulut için DefenderLog Analytics aracısı. Makinelerinizin aşağıdaki sayfalarda açıklandığı gibi bu aracı için desteklenen işletim sistemlerinden birini çalıştırdığından emin olun:
- Windows tarafından desteklenen işletim sistemleri için Log Analytics aracısı
- Linux tarafından desteklenen işletim sistemleri için Log Analytics aracısı
Ayrıca Log Analytics aracınızın Bulut için Defender'a veri gönderecek şekilde düzgün yapılandırıldığından emin olun.
Önceden var olan aracı yükleme durumlarında Log Analytics aracısını dağıtma
Aşağıdaki kullanım örnekleri, zaten bir aracı veya uzantı yüklü olduğunda Log Analytics aracısının dağıtımının nasıl çalıştığını açıklar.
Log Analytics aracısı makineye yüklenir, ancak uzantı olarak yüklenmez (Doğrudan aracı) - Log Analytics aracısı doğrudan VM'ye yüklenmişse (Azure uzantısı olarak değil), Bulut için Defender Log Analytics aracı uzantısını yükler ve Log Analytics aracısını en son sürüme yükseltebilir. Yüklü aracı, önceden yapılandırılmış çalışma alanlarına ve Bulut için Defender'de yapılandırılan çalışma alanına raporlamaya devam eder. (Çoklu giriş Windows makinelerinde desteklenir.)
Log Analytics, Bulut için Defender varsayılan çalışma alanıyla değil de bir kullanıcı çalışma alanıyla yapılandırılmışsa, Bulut için Defender ilgili çalışma alanına rapor veren VM'lerden ve bilgisayarlardan olayları işlemeye başlayabilmeniz için üzerine "Security" veya "SecurityCenterFree" çözümünü yüklemeniz gerekir.
Linux makineleri için Aracı çoklu giriş özelliği henüz desteklenmemektedir. Mevcut bir aracı yüklemesi algılanırsa Log Analytics aracısı dağıtılmaz.
17 Mart 2019'da Bulut için Defender eklenen aboneliklerdeki mevcut makineler için, mevcut bir aracı algılandığında Log Analytics aracı uzantısı yüklenmez ve makine etkilenmez. Bu makineler için, bu makinelerdeki aracı yükleme sorunlarını çözmek için "Makinelerinizdeki izleme aracısı sistem durumu sorunlarını çözme" önerisine bakın.
System Center Operations Manager aracısı makineye yüklenir- Bulut için Defender Log Analytics aracı uzantısını mevcut Operations Manager'a yan yana yükler. Mevcut Operations Manager aracısı, Operations Manager sunucusuna normal şekilde raporlamaya devam eder. Operations Manager aracısı ve Log Analytics aracısı, bu işlem sırasında en son sürüme güncelleştirilecek ortak çalışma zamanı kitaplıklarını paylaşır.
Önceden var olan bir VM uzantısı var:
- İzleme Aracısı bir uzantı olarak yüklendiğinde, uzantı yapılandırması yalnızca tek bir çalışma alanına raporlamaya izin verir. Bulut için Defender, kullanıcı çalışma alanlarına yönelik mevcut bağlantıları geçersiz kılmaz. Bulut için Defender vm'deki güvenlik verilerini, "Security" veya "SecurityCenterFree" çözümü yüklüyse zaten bağlı olan çalışma alanında depolar. Bulut için Defender uzantı sürümünü bu işlemdeki en son sürüme yükseltebilir.
- Mevcut uzantının hangi çalışma alanına veri gönderdiğini görmek için Log Analytics aracı bağlantısını doğrulama bölümünde açıklandığı gibi Bulut için Microsoft Defender ile bağlantıyı doğrulamak için TestCloud Bağlan ion.exe aracını çalıştırın. Alternatif olarak Log Analytics çalışma alanlarını açabilir, bir çalışma alanı seçebilir, VM'yi seçebilir ve Log Analytics aracısı bağlantısına bakabilirsiniz.
- Log Analytics aracısının istemci iş istasyonlarına yüklendiği ve mevcut bir Log Analytics çalışma alanına rapor verdiği bir ortamınız varsa, işletim sisteminizin desteklendiğinden emin olmak için Bulut için Microsoft Defender tarafından desteklenen işletim sistemleri listesini gözden geçirin.
Log Analytics aracısı ile çalışma hakkında daha fazla bilgi edinin.
Uç nokta için Microsoft Defender
| Görünüş | Linux | Windows |
|---|---|---|
| Sürüm durumu: | Genel kullanım (GA) | Genel kullanım (GA) |
| İlgili Defender planı: | Sunucular için Microsoft Defender | Sunucular için Microsoft Defender |
| Gerekli roller ve izinler (abonelik düzeyi): | - Tümleştirmeyi etkinleştirmek/devre dışı bırakmak için: Güvenlik Yönetici veya Sahip - Uç Nokta için Defender uyarılarını Bulut için Defender görüntülemek için: Güvenlik okuyucusu, Okuyucu, Kaynak Grubu Katkıda Bulunanı, Kaynak Grubu Sahibi, Güvenlik Yönetici, Abonelik sahibi veya Abonelik Katkıda Bulunanı |
- Tümleştirmeyi etkinleştirmek/devre dışı bırakmak için: Güvenlik Yönetici veya Sahip - Uç Nokta için Defender uyarılarını Bulut için Defender görüntülemek için: Güvenlik okuyucusu, Okuyucu, Kaynak Grubu Katkıda Bulunanı, Kaynak Grubu Sahibi, Güvenlik Yönetici, Abonelik sahibi veya Abonelik Katkıda Bulunanı |
| Desteklenen hedefler: | Azure Arc özellikli makineler Azure sanal makineleri |
Azure Arc özellikli makinelerWindows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Sanal Masaüstü, Windows 10 Enterprise çoklu oturumu çalıştıran Azure VM'leri Windows 10 çalıştıran Azure VM'leri |
| İlke tabanlı: | Hayır |
Hayır |
| Bulut: | Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Uç Nokta için Microsoft Defender hakkında daha fazla bilgi edinin.
Güvenlik açığı değerlendirmesi
| Görünüş | Ayrıntılar |
|---|---|
| Sürüm durumu: | Genel kullanım (GA) |
| İlgili Defender planı: | Sunucular için Microsoft Defender |
| Gerekli roller ve izinler (abonelik düzeyi): | Sahip |
| Desteklenen hedefler: | Azure sanal makineleri Azure Arc özellikli makineler |
| İlke tabanlı: | Evet |
| Bulut: | Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Konuk Yapılandırması
| Görünüş | Ayrıntılar |
|---|---|
| Sürüm durumu: | Önizleme |
| İlgili Defender planı: | Plan gerekmez |
| Gerekli roller ve izinler (abonelik düzeyi): | Sahip |
| Desteklenen hedefler: | Azure sanal makineleri |
| Bulut: | Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Azure'ın Konuk Yapılandırma uzantısı hakkında daha fazla bilgi edinin.
Kapsayıcılar için Defender uzantıları
Bu tabloda, Kapsayıcılar için Microsoft Defender tarafından sunulan korumaların gerektirdiği bileşenlerin kullanılabilirlik ayrıntıları gösterilmektedir.
Varsayılan olarak, Azure portalından Kapsayıcılar için Defender'ı etkinleştirdiğinizde gerekli uzantılar etkinleştirilir.
| Görünüş | Azure Kubernetes Service kümeleri | Azure Arc özellikli Kubernetes kümeleri |
|---|---|---|
| Sürüm durumu: | • Defender algılayıcısı: GA • Kubernetes için Azure İlkesi: Genel kullanıma sunuldu (GA) |
• Defender algılayıcısı: Önizleme • Kubernetes için Azure İlkesi: Önizleme |
| İlgili Defender planı: | Kapsayıcılar için Microsoft Defender | Kapsayıcılar için Microsoft Defender |
| Gerekli roller ve izinler (abonelik düzeyi): | Sahip veya Kullanıcı Erişimi Yönetici istrator | Sahip veya Kullanıcı Erişimi Yönetici istrator |
| Desteklenen hedefler: | AKS Defender algılayıcısı yalnızca RBAC'nin etkinleştirildiği AKS kümelerini destekler. | Bkz. Arc özellikli Kubernetes için desteklenen Kubernetes dağıtımları |
| İlke tabanlı: | Evet |
Evet |
| Bulut: | Defender algılayıcısı: Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure Kubernetes için Azure İlkesi: Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Defender algılayıcısı: Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure Kubernetes için Azure İlkesi: Ticari bulutlarAzure Kamu, 21Vianet tarafından sağlanan Microsoft Azure |
Kapsayıcılar için Defender uzantılarını sağlamak için kullanılan roller hakkında daha fazla bilgi edinin.
Sorun giderme
- İzleme aracısının ağ gereksinimlerini belirlemek için bkz. İzleme aracısı ağ gereksinimleriyle ilgili sorunları giderme.
- El ile ekleme sorunlarını belirlemek için bkz . Operations Management Suite ekleme sorunlarını giderme.
Sonraki adımlar
Bu sayfada izleme bileşenlerinin ne olduğu ve bunların nasıl etkinleştirileceği açıklanmıştır.
Aşağıdakiler hakkında daha fazla bilgi edinin:
- Güvenlik uyarıları için e-posta bildirimlerini ayarlama
- Defender planlarıyla iş yüklerini koruma