Bulut için Microsoft Defender 'dan aracılar ve uzantılar için otomatik sağlamayı yapılandırma

  • Makale
  • Okumak için 12 dakika

Not

Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.

Microsoft güvenlik hizmetlerinin en son yeniden olarak yeniden olarak yeniden an kullanımı hakkında daha fazla bilgi edinmek için.

Bulut için Microsoft Defender, bu kaynak için ilgili aracıyı veya uzantıları ve etkinleştirdiğiniz veri koleksiyonu türünü kullanarak kaynaklarınızdan veri toplar. Kaynaklarınızın, Defender tarafından bulut için kullanılan gerekli aracılar ve uzantılara sahip olduğundan emin olmak için aşağıdaki yordamları kullanın.

Önkoşullar

Defender 'ı buluta kullanmaya başlamak için Microsoft Azure bir aboneliğiniz olması gerekir. Aboneliğiniz yoksa ücretsiz bir hesapiçin kaydolabilirsiniz.

Kullanılabilirlik

Görünüş Ayrıntılar
Yayın durumu: Özellik: otomatik sağlama genel kullanıma sunuldu (GA)
Aracı ve uzantılar: Azure VM 'ler için log ANALYTICS Aracısı GA, Microsoft bağımlılık Aracısı önizleme aşamasındadır, Kubernetes Için Ilke eklentisi GA, Konuk yapılandırma aracısının önizlemesi
Fiyat Ücretsiz
Desteklenen hedefler: Azure makineleri
Azure yay makineleri
Kubernetes düğümleri
Sanal Makine Ölçek Kümeleri
Larının Özellik:
Ticari bulutlar
Azure Kamu, Azure Çin 21Vianet
Aracı ve uzantılar:
Azure VM 'Leri için Log Analytics Aracısı tüm bulutlarda kullanılabilir, Kubernetes için Ilke eklentisi tüm bulutlarda mevcuttur, Konuk yapılandırma aracısı yalnızca ticari bulutlarda kullanılabilir

Defender, bulut verilerini nasıl toplar?

İçin Defender, Azure sanal makinelerinizden (VM), sanal makine ölçek kümelerinden, IaaS kapsayıcılarından ve Azure olmayan (Şirket içi) makineler, güvenlik açıklarını ve tehditleri izlemek için veri toplar.

Eksik güncelleştirmelere görünürlük sağlamak için veri toplama gerekir, yanlış yapılandırılmış işletim sistemi güvenlik ayarları, uç nokta koruma durumu ve sistem durumu ve tehdit koruması. Veri toplama yalnızca VM 'Ler, sanal makine ölçek kümeleri, IaaS kapsayıcıları ve Azure dışı bilgisayarlar gibi işlem kaynakları için gereklidir.

Aracılar sağlamasanız bile bulut için Microsoft Defender 'dan yararlanabilirsiniz. Bununla birlikte, sınırlı güvenliğe sahip olacaksınız ve yukarıda listelenen yetenekler desteklenmez.

Şu kullanılarak toplanan veriler:

  • Makineden güvenlikle ilgili çeşitli yapılandırma ve olay günlüklerini okuyan ve analiz için verileri çalışma alanınıza kopyalayan Log Analytics Aracısı. bu verilere örnek olarak şunlar verilebilir: işletim sistemi türü ve sürümü, işletim sistemi günlükleri (Windows olay günlükleri), çalışan süreçler, makine adı, ıp adresleri ve oturum açan kullanıcı.
  • Kubernetes Için Azure Ilke eklentisigibi güvenlik uzantıları, Ayrıca, özel kaynak türleriyle ilgili olarak Defender için de veri sağlayabilir.

İpucu

Bulut için Defender büyüdü, izlenebilecek kaynak türleri de artmıştır. Uzantı sayısı da artmıştır. Otomatik sağlama, Azure Ilkesinin yeteneklerini kullanarak ek kaynak türlerini desteklemek için genişletilmiştir.

Otomatik sağlama neden kullanılmalıdır?

Bu sayfada açıklanan aracıların ve genişletmeler el ile yüklenebilir ( bkz. Log Analytics aracısının el ile yüklenmesi). Ancak, Otomatik sağlama , tüm desteklenen kaynaklar için daha hızlı güvenlik kapsamı sağlamak üzere mevcut ve yeni makinelere tüm gerekli aracıları ve uzantıları yükleyerek yönetim yükünü azaltır.

Otomatik sağlamayı etkinleştirmeniz önerilir, ancak varsayılan olarak devre dışıdır.

Otomatik sağlama nasıl çalışır?

Bulutun otomatik sağlama ayarları için Defender her desteklenen uzantı türü için bir geçiş yapar. Bir uzantının otomatik olarak sağlanmasını etkinleştirdiğinizde uygun dağıtım yok ilkesi atanır. Bu ilke türü, uzantının, bu türdeki tüm mevcut ve gelecekteki kaynaklarda sağlanmış olmasını sağlar.

İpucu

Azure ilke efektlerini anlamabölümünde yoksa dağıtım dahil olmak üzere Azure ilke etkileri hakkında daha fazla bilgi edinin.

Log Analytics Aracısı ve uzantılarının otomatik sağlamasını etkinleştir

Log Analytics Aracısı için otomatik sağlama açık olduğunda, bulut için Defender, aracıyı desteklenen tüm Azure VM 'Lere ve oluşturulan tüm yeni makinelere dağıtır. Desteklenen platformların listesi için bkz. Microsoft Defender 'Da bulut Için desteklenen platformlar.

Log Analytics aracısının otomatik sağlamasını etkinleştirmek için:

  1. Bulut için Defender menüsünden ortam ayarları' nı açın.

  2. Uygun aboneliği seçin.

  3. Otomatik sağlama sayfasında, Log Analytics aracısının otomatik sağlama durumunu Açık olarak ayarlayın.

    Log Analytics aracısının otomatik olarak sağlanması etkinleştiriliyor.

  4. Yapılandırma seçenekleri bölmesinden, kullanılacak çalışma alanını tanımlayın.

    Aracıları sanal makinelere Log Analytics otomatik sağlama için yapılandırma seçenekleri.

    • Azure vm 'leri için defender tarafından bulut için oluşturulan varsayılan çalışma alanlarını Bağlan , aynı coğrafi konum içinde yeni bir kaynak grubu ve varsayılan çalışma alanı oluşturur ve aracıyı bu çalışma alanına bağlar. Abonelik birden çok geoloa 'dan VM 'Ler içeriyorsa, bulut için Defender, veri gizliliği gereksinimleriyle uyumluluğu sağlamak için birden çok çalışma alanı oluşturur.

      Çalışma alanı ve kaynak grubu için adlandırma kuralı:

      • Çalışma Alanı: DefaultWorkspace-[abonelik-kimliği]-[bölge]
      • Kaynak grubu: DefaultResourceGroup-[coğrafi]

      Bulut çözümü için bir Defender, abonelik için ayarlanan fiyatlandırma katmanı uyarınca çalışma alanında otomatik olarak etkinleştirilir.

      İpucu

      Varsayılan çalışma alanlarıyla ilgili sorular için bkz.:

    • Azure vm 'leri farklı bir çalışma alanına Bağlan -açılan listeden, toplanan verileri depolamak için çalışma alanını seçin. Açılır liste tüm aboneliklerinizde tüm çalışma alanlarını içerir. Bu seçeneği, farklı aboneliklerde çalışan sanal makinelerden veri toplamak ve tüm seçtiğiniz çalışma alanınızda depolamak için kullanabilirsiniz.

      Zaten bir Log Analytics çalışma alanınız varsa, aynı çalışma alanını kullanmak isteyebilirsiniz (çalışma alanında okuma ve yazma izinleri gerekir). Bu seçenek, kuruluşunuzda merkezi bir çalışma alanı kullanıyorsanız ve onu güvenlik verileri toplama için kullanmak istiyorsanız yararlıdır. Azure izleyici 'de günlük verilerine ve çalışma alanlarına erişimi yönetmekonusunda daha fazla bilgi edinin.

      Seçtiğiniz çalışma alanınızda zaten "güvenlik" veya "SecurityCenterFree" çözümü etkinse, fiyatlandırma otomatik olarak ayarlanır. Aksi takdirde, çalışma alanına bulut çözümü için bir Defender yüklersiniz:

      1. Bulut için Defender menüsünden ortam ayarları' nı açın.
      2. Aracıları bağlanacağınız çalışma alanını seçin.
      3. Gelişmiş güvenlik ' i seçin veya tüm Microsoft Defender planlarını etkinleştirin.

  5. Windows güvenlik olayları yapılandırmasından, depolanacak ham olay verisi miktarını seçin:

    • Hiçbiri – güvenlik olay depolamayı devre dışı bırakın. Bu varsayılan ayardır.
    • Minimum : olay birimini en aza indirmek istediğinizde küçük bir olay kümesi.
    • Ortak – çoğu müşteriyi karşılayan ve tam denetim izi sağlayan bir olay kümesidir.
    • Tüm olaylar – tüm olayların depolandığından emin olmak isteyen müşteriler için.

    İpucu

    Bu seçenekleri çalışma alanı düzeyinde ayarlamak için, bkz. çalışma alanı düzeyinde güvenlik olay seçeneğini ayarlama.

    bu seçenekler hakkında daha fazla bilgi için, bkz. Log Analytics aracısı için Windows güvenlik olay seçenekleri.

  6. Yapılandırma bölmesinde Uygula ' yı seçin.

  7. Log Analytics Aracısı dışında bir uzantının otomatik sağlanmasını etkinleştirmek için:

    1. Microsoft bağımlılık Aracısı için otomatik sağlamayı etkinleştirirseniz Log Analytics aracısının otomatik dağıtım olarak ayarlandığından emin olun.

    2. İlgili uzantı için durumu Açık olarak değiştirin.

      K8s İlkesi eklentisi için otomatik sağlamayı etkinleştirmek üzere değiştirin.

    3. Kaydet’i seçin. Azure Ilke tanımı atanır ve bir düzeltme görevi oluşturulur.

      Dahili numara İlke
      Kubernetes için İlke Eklentisi Azure Kubernetes hizmet kümelerine Azure Ilkesi eklentisi dağıtma
      Microsoft bağımlılık aracısı (önizleme) (Windows vm) Sanal makineler için bağımlılık Windows dağıtma
      Microsoft Bağımlılık aracısı (önizleme) (Linux VM'leri) Linux sanal makineleri için Bağımlılık aracısı dağıtma
      Konuk Yapılandırma aracısı (önizleme) Sanal makinelerde Konuk Yapılandırma ilkelerini etkinleştirmek için önkoşulları dağıtma

  8. Kaydet’i seçin. Bir çalışma alanının sağlanması gerekirse, aracı yüklemesi 25 dakika kadar sürebilir.

  9. Daha önce varsayılan çalışma alanına bağlı olan izlenen VM'leri yeniden yapılandırmak istiyor sanız sorabilirsiniz:

    izlenen VM'leri yeniden yapılandırma seçeneklerini gözden geçirme.

    • Hayır - Yeni çalışma alanı ayarlarınız yalnızca Log Analytics aracısı yüklü olmayan yeni bulunan VM'lere uygulanır.
    • Evet - Yeni çalışma alanı ayarlarınız tüm VM'ler için geçerli olur ve o anda Bulut için Defender tarafından oluşturulan çalışma alanına bağlı olan tüm VM'ler yeni hedef çalışma alanına yeniden bağlanır.

    Not

    Evet'i seçersiniz, tüm VM'ler yeni hedef çalışma alanına yeniden bağlanıncaya kadar Bulut için Defender tarafından oluşturulan çalışma alanlarını silmeyin. Çalışma alanı çok erken silinirse bu işlem başarısız olur.

Windows Log Analytics aracısı için güvenlik olayı seçeneklerini ayarlama

Bulut için Microsoft Defender'da bir veri toplama katmanı seçmek yalnızca Log Analytics çalışma alanınıza güvenlik olaylarının depolanmasına etki ediyor. Log Analytics aracısı, çalışma alanınıza depolamayı seçtiğiniz güvenlik olaylarının düzeyine bakılmaksızın, Bulut için Defender'ın tehdit koruması için gereken güvenlik olaylarını toplamaya ve analize devam eder. Güvenlik olaylarını depolamayı seçmek, bu olayların araştırma, arama ve denetimlerini çalışma alanınıza sağlar.

Gereksinimler

Bulut için Defender'ın gelişmiş güvenlik korumaları, güvenlik olayı verilerini Windows için gereklidir. Gelişmiş koruma planları hakkında daha fazla bilgi.

Verileri Log Analytics'te depolamak, veri depolama için ek ücrete neden olabilir. Daha fazla bilgi edinmek için bkz. fiyatlandırma sayfası.

Microsoft Sentinel kullanıcıları için bilgiler

Microsoft Sentinel kullanıcıları: Tek bir çalışma alanı bağlamındaki güvenlik olayları koleksiyonunun Ya bulut için Microsoft Defender'dan ya da Microsoft Sentinel'den ya da her ikisinde birden yapılandırılanamayabilirsiniz. Microsoft Sentinel'i Zaten Bulut için Microsoft Defender'dan uyarı alan ve Güvenlik Olayları toplamak üzere ayarlanmış bir çalışma alanına eklemeyi planlıyorsanız iki seçeneğiniz vardır:

  • Güvenlik Olayları koleksiyonunu Bulut için Microsoft Defender'da olduğu gibi bırakın. Hem Microsoft Sentinel'de hem de Bulut için Defender'da bu olayları sorgular ve analiz edersiniz. Ancak bağlayıcının bağlantı durumunu izleymeyecek veya Microsoft Sentinel'de yapılandırmasını değiştiremezsiniz. Bu sizin için önemli ise ikinci seçeneği göz önünde bulundurabilirsiniz.
  • Bulut için Microsoft Defender'da Güvenlik Olayları toplamayı devre dışı Windows (Log Analytics aracınız yapılandırmasında güvenlik olaylarını yok olarak ayarerek). Ardından Microsoft Sentinel'de Güvenlik Olayları bağlayıcısı ekleyin. İlk seçenekte olduğu gibi, hem Microsoft Sentinel'de hem de Bulut için Defender'da olayları sorgular ve analiz edersiniz, ancak artık bağlayıcının bağlantı durumunu izleyebilir veya yalnızca Microsoft Sentinel'de 'de yapılandırmasını değiştirebilirsiniz.

"Ortak" ve "Minimum" için hangi olay türleri depolanır?

Bu kümeler tipik senaryoları ele alan şekilde tasarlanmıştır. Uygulamadan önce, hangisinin ihtiyaçlarınıza uygun olduğunu değerlendirin.

Ortak ve Minimum seçeneklerine göre olayları belirlemek için müşterilerle ve sektör standartlarıyla birlikte çalışarak her bir etkinliğin filtrelenmemiş sıklığı ve kullanımları hakkında bilgi edinebilirsiniz. Bu işlemde aşağıdaki yönergeleri kullandık:

  • Minimum - Bu kümenin yalnızca başarılı bir ihlali ve çok düşük hacimli önemli olayları işaret ediyor olabileceğini olayları kapsay olduğundan emin olun. Örneğin, bu küme kullanıcı başarılı ve başarısız oturum açma bilgilerini (olay kimlikleri 4624, 4625) içerir, ancak denetim için önemli olan ancak algılama için anlamlı olmayan ve görece yüksek hacimli oturum açma bilgilerini içermemektedir. Bu kümenin veri hacminin çoğu oturum açma olayları ve işlem oluşturma olayıdır (olay kimliği 4688).
  • Ortak - Bu kümede tam bir kullanıcı denetim izi sağlar. Örneğin, bu küme hem kullanıcı oturum açmalarını hem de kullanıcı oturumu açma bilgilerini (olay kimliği 4634) içerir. Güvenlik grubu değişiklikleri, anahtar etki alanı denetleyicisi Kerberos işlemleri ve sektör kuruluşları tarafından önerilen diğer olaylar gibi denetim eylemlerini içeririz.

Çok düşük hacimli olaylar ortak kümeye dahil edildi çünkü tüm olaylara göre seçmenin ana motivasyonu, belirli olayları filtrelemek değil, hacmi azaltmaktır.

Her küme için Güvenlik ve Uygulama Kasası olay kimliklerinin eksiksiz bir dökümü:

Veri katmanı Toplanan olay göstergeleri
En az 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Common 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Not

  • grup ilkesi Nesnesi (GPO) kullanıyorsanız, denetim ilkelerini etkinleştirmeniz önerilir İşlem Oluşturma Olayı 4688 ve olay 4688 içindeki CommandLine alanı. İşlem Oluşturma Olayı 4688 hakkında daha fazla bilgi için bkz. Bulut için Defender SSS. Bu denetim ilkeleri hakkında daha fazla bilgi için bkz. Denetim İlkesi Öneriler.
  • Uyarlamalı Uygulama Denetimleri için veri toplamayı etkinleştirmek üzere,Bulut için Defender tüm uygulamalara izin verecek şekilde Denetim modunda yerel bir AppLocker ilkesi yapılandırıyor. Bu, AppLocker'ın daha sonra Bulut için Defender tarafından toplanan ve yararlanan olaylar oluşturmasına neden olur. Bu ilkenin zaten yapılandırılmış bir AppLocker ilkesi olan herhangi bir makinede yapılandırılmamış olacağını unutmayın.
  • Platform Windows Kimliği 5156'yagöre toplamak için Denetim Filtreleme Platformu Bağlantısını (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable) etkinleştirmeniz gerekir

Güvenlik olayı seçeneğini çalışma alanı düzeyinde ayarlama

Çalışma alanı düzeyinde depoladığınız güvenlik olayı verisi düzeyini tanımlayabilirsiniz.

  1. Uygulama menüsündeki Bulut için Defender menüsünden Azure portal ayarları'ı seçin.

  2. İlgili çalışma alanını seçin. Bir çalışma alanının veri toplama olayları, bu Windows güvenlik olaylarının listesidir.

    Güvenlik olayı verilerini çalışma alanında depolamak için ayarlama.

  3. Depo edilecek ham olay verisi miktarını seçin ve Kaydet'i seçin.

El ile aracı sağlama

Log Analytics aracıyı el ile yüklemek için:

  1. Otomatik sağlamayı devre dışı bırakma.

  2. İsteğe bağlı olarak bir çalışma alanı oluşturun.

  3. Log Analytics aracısini yüklemekte olduğunu çalışma alanında Bulut için Microsoft Defender'ı etkinleştirin:

    1. Bulut için Defender menüsünden Ortam ayarları'ı açın.

    2. Aracıyı yüklemekte olduğunu çalışma alanını ayarlayın. Çalışma alanının, Bulut için Defender'da kullanmakta olduğu abonelikte olduğundan ve çalışma alanı için okuma/yazma izinlerine sahip olduğundan emin olun.

    3. üzerinde Bulut için Microsoft Defender'ı seçin ve Kaydet'i seçin.

      Not

      Çalışma alanında zaten bir Güvenlik veya SecurityCenterFree çözümü etkinse, fiyatlandırma otomatik olarak ayarlanır.

  4. Yeni VM'lerde aracıları bir Resource Manager dağıtmak için Log Analytics aracıyı yükleyin:

  5. Aracıları mevcut VM'lere dağıtmak için Azure Sanal Makineler hakkında veri toplama (Olay ve performans verilerini toplama bölümünde isteğe bağlı olarak) verilen yönergeleri izleyin.

  6. PowerShell kullanarak aracıları dağıtmak için sanal makine belgelerinde verilen yönergeleri kullanın:

İpucu

Ekleme hakkında daha fazla bilgi için bkz. PowerShell kullanarak Bulut için Microsoft Defender'ı ekleme işlemini otomatikleştirme.

Önceden var olan aracı yüklemesi durumlarında otomatik sağlama

Aşağıdaki kullanım örnekleri, zaten bir aracı veya uzantının yüklü olduğu durumlarda otomatik sağlamanın nasıl çalıştığını belirtir.

  • Log Analytics aracısı makineye yüklenir, ancak uzantı olarak yüklenmez (Doğrudan aracı) - Log Analytics aracısı doğrudan VM'ye yüklenirse (Azure uzantısı olarak değil), Bulut için Defender Log Analytics aracı uzantısını yükleyebilir ve Log Analytics aracıyı en son sürüme yükseltebilirsiniz. Yüklü aracı önceden yapılandırılmış çalışma alanlarına rapor yapmaya devam eder ve buna ek olarak Bulut için Defender'da yapılandırılan çalışma alanına rapor eder (Windows makinelerde çoklu erişim desteği vardır).

    Yapılandırılan çalışma alanı bir kullanıcı çalışma alanı ise (Bulutun varsayılan çalışma alanı için Defender değil), Bulut için Defender'ın bu çalışma alanına raporlama yapan VM'lerden ve bilgisayarlardan olayları işlemeye başlaması için bu çalışma alanına "Güvenlik" veya "SecurityCenterFree" çözümünü yüklemeniz gerekir.

    Linux makinelerinde aracı çoklu katılım henüz desteklenmiyor. Bu nedenle, mevcut bir aracı yüklemesi algılanırsa otomatik sağlama oluşmaz ve makinenin yapılandırması değiştirilmez.

    17 Mart 2019'dan önce Bulut için Defender'a ekli aboneliklerde mevcut makineler için, mevcut bir aracı algılandığında Log Analytics aracı uzantısı yüklenmez ve makine etkilenmez. Bu makineler için, bu makinelerde aracı yükleme sorunlarını çözmek için "Makineleriniz üzerinde izleme aracısı sistem durumu sorunlarını çözme" önerisine bakın.

  • System Center Operations Manager makineye yüklenir - Bulut için Defender, Log Analytics aracı uzantısını mevcut aracıyla yan yana Operations Manager. Mevcut Operations Manager aracı normal şekilde sunucuya Operations Manager devam eder. Operations Manager Aracısı ve Log Analytics Aracısı, bu işlem sırasında en son sürüme güncellenecek ortak çalışma zamanı kitaplıklarını paylaşır. Operations Manager Agent 2012 sürümü yüklüyse, otomatik sağlamayı etkinleştirmeyin.

  • Önceden var olan BIR VM uzantısı var:

    • Izleme Aracısı bir uzantı olarak yüklendiğinde, uzantı yapılandırması raporlamaya yalnızca tek bir çalışma alanına izin verir. Defender for Cloud, mevcut kullanıcı çalışma alanları bağlantılarını geçersiz kılmaz. Bulut için Defender, "güvenlik" veya "SecurityCenterFree" çözümünün yüklenmiş olması şartıyla, zaten bağlı olan çalışma alanındaki VM 'den güvenlik verilerini depolar. Bulut için Defender, uzantı sürümünü bu işlemdeki en son sürüme yükseltemez.
    • Var olan uzantının hangi çalışma alanına veri gönderdiğini görmek için, buluta yönelik Microsoft Defender ile bağlantıyı doğrulamaküzere testi çalıştırın. Alternatif olarak, Log Analytics çalışma alanlarını açabilir, bir çalışma alanı seçebilir, sanal makineyi seçebilir ve Log Analytics Aracı bağlantısına bakabilirsiniz.
    • Log Analytics aracısının istemci iş istasyonlarında yüklü olduğu bir ortamınız varsa ve var olan bir Log Analytics çalışma alanına raporlama yaptıysanız, işletim sisteminizin desteklendiğinden emin olmak için bulut Için Microsoft Defender tarafından desteklenen işletim sistemlerinin listesini gözden geçirin. Daha fazla bilgi için bkz. var olan Log Analytics müşterileri.

Otomatik sağlamayı devre dışı bırak

Otomatik sağlamayı devre dışı bıraktığınızda, aracılar yeni VM 'lerde sağlanmayacak.

Bir aracının otomatik olarak sağlanmasını devre dışı bırakmak için:

  1. Portal 'ın bulutta bulunan menüsünde ortam ayarları' nı seçin.

  2. Uygun aboneliği seçin.

  3. Otomatik sağlamayı seçin.

  4. İlgili aracı için durumu kapalı olarak değiştirin.

    Aracı türü başına otomatik sağlamayı devre dışı bırakmak için geçiş yapar.

  5. Kaydet’i seçin. Otomatik sağlama devre dışı bırakıldığında, varsayılan çalışma alanı yapılandırma bölümü görüntülenmez:

    Otomatik sağlama devre dışı bırakıldığında, yapılandırma hücresi boştur

Not

Otomatik sağlamayı devre dışı bırakmak, aracının sağlandığı Azure VM 'lerinden Log Analytics aracısını kaldırmaz. OMS uzantısını kaldırma hakkında bilgi için, bkz. Defender tarafından bulut için yüklenen OMS uzantılarını kaldırma nasıl yaparım?.

Sorun giderme

Sonraki adımlar

Bu sayfa, Log Analytics Aracısı ve bulut uzantıları için diğer Defender için otomatik sağlamayı etkinleştirme konusunda anlatılmıştır. Ayrıca, toplanan verilerin depolandığı bir Log Analytics çalışma alanını nasıl tanımlayacağınızı da tarif ediyor. Veri toplamayı etkinleştirmek için her iki işlem de gereklidir. Yeni veya mevcut bir çalışma alanı kullanmanıza bakılmaksızın verileri Log Analytics depolama, veri depolama için daha fazla ücret ödemeniz istenebilir. Yerel para biriminizdeki veya bölgenizdeki fiyatlandırma ayrıntıları için bkz. fiyatlandırma sayfası.