適用於雲端的 Defender 如何收集數據?
適用於雲端的 Defender 會從您的 Azure 虛擬機器 (VM)、虛擬機器擴展集、IaaS 容器和非 Azure (包括內部部署機器) 機器收集資料,以監視是否有安全性弱點和威脅。 某些 Defender 方案需要監視元件,才能從您的工作負載收集資料。
為提供遺漏更新、設定錯誤的 OS 安全性設定、端點保護狀態以及健康情況與威脅防護的可見度,需要資料收集。 只有計算資源 (例如 VM、虛擬機器擴展集、IaaS 容器和非 Azure 電腦) 才需要資料收集。
即使您未佈建代理程式,仍可獲益於適用於雲端的 Microsoft Defender。 不過,您將會有有限的安全性,且不支援列出的功能。
會使用下列方式收集資料:
為何使用適用於雲端的 Defender 來部署監視元件?
工作負載安全性的可見度取決於監視元件收集的資料。 元件可確保所有支援資源的安全性涵蓋範圍。
為了節省手動安裝延伸模組的程序,適用於雲端的 Defender 透過在現有和新的電腦上安裝所有必要的延伸模組,以減少管理額外負荷。 適用於雲端的 Defender 指派適當的如果不存在原則,請部署至訂用帳戶中的工作負載。 此原則類型可確保會在該類型的所有現有和未來資源上佈建延伸模組。
提示
在瞭解 Azure 原則 效果中,深入瞭解 Azure 原則 效果,包括部署不存在。
哪些計劃會使用監視元件?
這些計劃會使用監視元件來收集資料:
- 適用於伺服器的 Defender
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- 適用於端點的 Microsoft Defender
- 弱點評估
- Azure 監視器代理程式 或 Log Analytics 代理程式
- 電腦上的適用於 SQL 的 Defender 伺服器
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- Azure 監視器代理程式 或 Log Analytics 代理程式
- 自動 SQL Server 探索與註冊
- 適用於容器的Defender
- Azure Arc 代理程式 (適用於多雲端和內部部署伺服器)
- 適用於 Kubernetes、Kubernetes 稽核記錄數據的 Defender 感測器 Azure 原則
延伸模組的可用性
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
Azure 監視器代理程式 (AMA)
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 正式推出 (GA) |
| 相關 Defender 方案: | 機器上的適用於 SQL Server 的 Defender |
| 必要角色和許可權(訂用帳戶層級): | 負責人 |
| 支援的目的地: |  Azure 虛擬機 已啟用 Azure Arc 的電腦 |
| 原則型: | 是的 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
深入瞭解如何搭配 適用於雲端的 Defender 使用 Azure 監視器代理程式。
Log Analytics 代理程式
| 層面 | Azure 虛擬機器 | 已啟用 Azure Arc 的電腦 |
|---|---|---|
| 版本狀態: | 正式推出 (GA) | 正式推出 (GA) |
| 相關 Defender 方案: | 代理程式安全性建議的基礎雲端安全性狀態管理 (CSPM) 適用於伺服器的 Microsoft Defender 適用於 SQL 的 Microsoft Defender |
代理程式安全性建議的基礎雲端安全性狀態管理 (CSPM) 適用於伺服器的 Microsoft Defender 適用於 SQL 的 Microsoft Defender |
| 必要角色和許可權(訂用帳戶層級): | 負責人 | 負責人 |
| 支援的目的地: | Azure 虛擬機 |
已啟用 Azure Arc 的電腦 |
| 原則型: | 不 |
是的 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
Log Analytics 代理程式支援的作業系統
適用於雲端的 Defender 取決於Log Analytics 代理程式。 確保您的電腦正在執行此代理程式的其中一個支援作業系統,如下列頁面所述:
也請確定Log Analytics代理程式已正確設定為將數據傳送至 適用於雲端的 Defender。
在有現有的代理程式安裝的情況下部署 Log Analytics 代理程式
下列使用案例說明當有已安裝的代理程式或延伸模組時,Log Analytics 代理程式的部署如何運作。
Log Analytics 代理程式已安裝在電腦上,但不是做為延伸模組 (直接代理程式) - 如果 Log Analytics 代理程式直接安裝在 VM 上 (不是做為 Azure 延伸模組),適用於雲端的 Defender 會安裝 Log Analytics 代理程式延伸模組,而且可能會將 Log Analytics 代理程式升級至最新版本。 已安裝的代理程式會繼續向其已設定的工作區報告,並向在適用於雲端的 Defender 中設定的工作區報告。 (Windows 電腦上支援多路連接。)
如果 Log Analytics 已設定使用者工作區,而不是適用於雲端的 Defender 預設工作區,您必須在其上安裝 "Security" 或 "SecurityCenterFree" 解決方案,適用於雲端的 Defender 才能開始處理來自向該工作區回報的 VM 和電腦的事件。
針對 Linux 電腦,尚不支援代理程式多路連接。 如果偵測到現有的代理程式安裝,將不會部署 Log Analytics 代理程式。
針對在 2019 年 3 月 17 日之前上線至適用於雲端的 Defender 的現有電腦,偵測到現有的代理程式時,將不會安裝 Log Analytics 代理程式延伸模組,且電腦不會受到影響。 針對這些電腦,請參閱「解決電腦上的監視代理程式健全狀況問題」建議,以解決這些電腦上的代理程式安裝問題。
System Center Operations Manager 代理程式已安裝在電腦上 - 適用於雲端的 Defender 會將 Log Analytics 代理程式延伸模組並存安裝到現有的 Operations Manager。 現有的 Operations Manager 代理程式會繼續正常向 Operations Manager 伺服器報告。 Operations Manager 代理程式和 Log Analytics 代理程式會共用通用的執行階段程式庫,其會在此程序期間更新為最新版本。
預先存在的 VM 延伸模組已存在:
- 將監視代理程式安裝為延伸模組時,延伸模組設定只會允許向單一工作區報告。 適用於雲端的 Defender 不會覆寫現有的連線至使用者工作區。 如果已安裝「安全性」或「SecurityCenterFree」解決方案,則 適用於雲端的 Defender 會將 VM 的安全性資料儲存在已連線的工作區中。 適用於雲端的 Defender 可能會在此程式中將擴充功能版本升級至最新版本。
- 若要查看現有延伸模塊傳送數據至哪個工作區,請執行TestCloud 連線 ion.exe工具來驗證與 適用於雲端的 Microsoft Defender的連線,如驗證Log Analytics代理程式連線中所述。 或者,您可以開啟 Log Analytics 工作區,選取工作區,選取 VM,然後查看 Log Analytics 代理程式連線。
- 如果您有將Log Analytics代理程式安裝在用戶端工作站並回報給現有Log Analytics工作區的環境,請檢閱 適用於雲端的 Microsoft Defender支援的作業系統清單,以確定您的操作系統受到支援。
深入瞭解 如何使用Log Analytics代理程式。
適用於端點的 Microsoft Defender
| 層面 | Linux | Windows |
|---|---|---|
| 版本狀態: | 正式推出 (GA) | 正式推出 (GA) |
| 相關 Defender 方案: | 適用於伺服器的 Microsoft Defender | 適用於伺服器的 Microsoft Defender |
| 必要角色和許可權(訂用帳戶層級): | - 若要啟用/停用整合:安全性 管理員 或擁有者 - 若要在 適用於雲端的 Defender 中檢視適用於端點的 Defender 警示:安全性讀取者、讀取者、資源群組參與者、資源群組擁有者、安全性 管理員、訂用帳戶擁有者或訂用帳戶參與者 |
- 若要啟用/停用整合:安全性 管理員 或擁有者 - 若要在 適用於雲端的 Defender 中檢視適用於端點的Defender警示:安全性讀取者、讀取者、資源群組參與者、資源群組擁有者、資源群組擁有者、安全性 管理員、訂用帳戶擁有者或訂用帳戶參與者 |
| 支援的目的地: | 已啟用 Azure Arc 的電腦 Azure 虛擬機 |
已啟用 Azure Arc 的電腦執行 Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1、Azure 虛擬桌面、Windows 10 企業版 多會話的 Azure VM 執行 Windows 10 的 Azure VM |
| 原則型: | 不 |
不 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
深入瞭解 適用於端點的 Microsoft Defender。
弱點評估
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 正式推出 (GA) |
| 相關 Defender 方案: | 適用於伺服器的 Microsoft Defender |
| 必要角色和許可權(訂用帳戶層級): | 負責人 |
| 支援的目的地: | Azure 虛擬機 已啟用 Azure Arc 的電腦 |
| 原則型: | 是的 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
來賓設定
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 預覽 |
| 相關 Defender 方案: | 不需要任何計劃 |
| 必要角色和許可權(訂用帳戶層級): | 負責人 |
| 支援的目的地: | Azure 虛擬機 |
| 雲端: | 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
深入瞭解 Azure 的 客體設定擴充功能。
適用於容器的Defender擴充功能
下表顯示適用於容器的 Microsoft Defender 所提供的保護所需的元件可用性詳細數據。
根據預設,當您從 Azure 入口網站 啟用適用於容器的Defender時,會啟用必要的擴充功能。
| 層面 | Azure Kubernetes Service 叢集 | 已啟用 Azure Arc 的 Kubernetes 叢集 |
|---|---|---|
| 版本狀態: | • Defender 感測器:GA • 適用於 Kubernetes 的 Azure 原則:正式推出 (GA) |
• Defender 感測器:預覽 • 適用於 Kubernetes 的 Azure 原則:預覽 |
| 相關 Defender 方案: | 適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender |
| 必要角色和許可權(訂用帳戶層級): | 擁有者或使用者存取 管理員 istrator | 擁有者或使用者存取 管理員 istrator |
| 支援的目的地: | AKS Defender 感測器僅支援 已啟用 RBAC 的 AKS 叢集。 | 請參閱已啟用Arc的 Kubernetes 支援的 Kubernetes 散發套件 |
| 原則型: | 是的 |
是的 |
| 雲端: | Defender 感測器: 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure 適用於 Kubernetes 的 Azure 原則: 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
Defender 感測器: 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure 適用於 Kubernetes 的 Azure 原則: 商業雲端 Azure Government,由 21Vianet 營運的 Microsoft Azure |
深入了解 用來布建適用於容器的Defender擴充功能的角色。
疑難排解
- 若要識別監視代理程式網路需求,請參閱針對監視代理程式網路需求進行疑難排解。
- 若要識別手動上線問題,請參閱 如何針對 Operations Management Suite 上線問題進行疑難解答。
下一步
此頁面說明監視元件是什麼,以及如何加以啟用。
深入了解: