資料收集、代理程式和工作區的常見問題

當您啟用需要監視元件的 Defender 方案時，系統會自動開啟資料收集。

啟用自動佈建時，適用於雲端的 Defender 會在所有支援的 Azure VM 和任何新建立的虛擬機器上使用 Log Analytics 代理程式。 建議使用自動佈建，但是手動代理程式安裝也可行。 了解如何安裝 Log Analytics 代理程式延伸模組。

代理程式支援處理序建立事件 4688，及事件 4688 中的 CommandLine 欄位。 EventLog 會記錄在 VM 上建立的新處理序，並由適用於雲端的 Defender 的偵測服務進行監視。 若要進一步了解為每個新程序記錄的詳細資料，請參閱 4688 中的描述欄位。 代理程式也會收集在 VM 上建立的 4688 事件並將它們儲存在搜尋中。

代理程式也會啟用自適性應用程式控制的資料收集，適用於雲端的 Defender 會在稽核模式中設定本機 AppLocker 原則，以允許所有應用程式。 此原則會導致 AppLocker 產生事件，然後由適用於雲端的 Defender 收集和使用。 請務必注意，在已經設定 AppLocker 原則的機器上不會設定此原則。

如果客戶提供安全性連絡資訊，當適用於雲端的 Defender 在 VM 上偵測到可疑活動時，客戶會收到通知電子郵件。 適用於雲端之 Defender 的安全性警示儀表板也會顯示警示。

為了監視安全性弱點和威脅，適用於雲端的 Microsoft Defender 會倚重於 Log Analytics 代理程式 - 這是 Azure 監視器服務所使用的相同代理程式。

代理程式有時候亦稱為 Microsoft Monitoring Agent (MMA)。

代理程式會從連線的電腦收集各種安全性相關的設定詳細資料和事件記錄檔，然後將資料複製到 Log Analytics 工作區以進一步分析。 這類資料的範例包括︰作業系統類型和版本、作業系統記錄 (Windows 事件記錄)、執行中程序、電腦名稱、IP 位址和已登入的使用者。

請確定您的機器正在執行代理程式支援的其中一個作業系統，如下列頁面所述：

• Windows 版 Log Analytics 代理程式支援的作業系統

• Linux 版 Log Analytics 代理程式支援的作業系統

深入了解 Log Analytics 代理程式所收集的資料。

符合下列條件的 Windows 或 Linux IaaS 虛擬機器：

• 虛擬機器目前尚未安裝 Log Analytics 代理程式延伸模組。
• 虛擬機器處於執行狀態。
• 已安裝 Windows 或 Linux Azure 虛擬機器代理程式。
• 虛擬機器並未作為 Web 應用程式防火牆或新一代防火牆等設備。

如需代理程式所收集安全性事件的完整清單，請參閱哪些事件種類會針對「通用」和「最小」安全性事件設定儲存？。

將監視代理程式安裝為延伸模組時，延伸模組設定只會允許向單一工作區報告。 適用於雲端的 Defender 不會覆寫現有的連線至使用者工作區。 如果已安裝「Security」或「SecurityCenterFree」解決方案，適用於雲端的 Defender 會將 VM 的安全性資料儲存在已連線的工作區中。 在此流程中，適用於雲端的 Defender 可能會將延伸模組版本升級至最新版本。

如需詳細資訊，請參閱在預先存在的代理程式安裝情況下自動佈建。

如果 Log Analytics 代理程式直接安裝在 VM 上 (而不是安裝為 Azure 延伸模組)，則適用於雲端的 Defender 將會安裝 Log Analytics 代理程式延伸模組，且可將 Log Analytics 代理程式升級至最新版本。

已安裝的代理程式會繼續向其已設定的工作區報告，並且向已在適用於雲端的 Defender 中設定的工作區報告。 (Windows 電腦上支援多路連接。)

針對自訂使用者工作區，您必須在上面安裝「Security」或「SecurityCenterFree」解決方案，讓適用於雲端的 Defender 可處理向該工作區報告的 VM 和電腦事件。

Linux 機器尚未支援代理程式多路連接。 如果偵測到已安裝代理程式，適用於雲端的 Defender 不會自動使用代理程式或變更機器的設定。

針對在 2019 年 3 月 17 日之前上線至適用於雲端的 Defender 的現有機器，目前尚不支援代理程式多路連接。 如果偵測到已安裝代理程式，適用於雲端的 Defender 不會自動使用代理程式或變更機器的設定。 針對這類機器，請參閱「請解決機器上的 Monitoring Agent 健康情況問題」的建議，以解決這些機器上的代理程式安裝問題

如需詳細資訊，請參閱下一節：如果我的 VM 上已安裝 System Center Operations Manager 或 OMS 直接代理程式，將會如何？

適用於雲端的 Defender 會實施一項 Azure 原則：當電腦上已安裝 System Center Operations Manager 代理程式時，將不允許安裝 Log Analytics 代理程式。 這兩個代理程式都能連接至多個節點，並向 System Center Operations Manager 和 Log Analytics 工作區進行報告。 Operations Manager 代理程式和 Log Analytics 代理程式會共用常見的執行階段程式庫。 注意 - 如果已安裝 Operations Manager 代理程式 2012 版，請勿開啟自動佈建 (如果 Operations Manager 伺服器也是2012 版，管理功能可能會遺失)。

如果您移除了 Microsoft 監視延伸模組，適用於雲端的 Defender 會無法收集來自虛擬機器的安全性資料，且部分安全性建議及警示將無法使用。 在 24 小時內，適用於雲端的 Defender 會判定 VM 缺少了延伸模組，並重新安裝延伸模組。

強烈建議使用適用於雲端的 Defender 佈建延伸模組，以便取得安全性警示，以及系統更新、作業系統弱點和端點保護的建議。 關閉延伸模組會限制這些警示和建議。 不過，您可以停用特定代理程式或延伸模組的自動佈建：

若要停用特定代理程式或延伸模組的自動佈建：

1. 從 Azure 入口網站開啟 [適用於雲端的 Defender]，然後選取 [Environment settings] \(環境設定\)。

2. 選取相關的訂用帳戶。

3. 在適用於伺服器的 Defender 方案中，選取 [監視涵蓋範圍] 資料行中的 [設定]。

   

4. 關閉您想要停止自動佈建的延伸模組。

   

5. 選取 [儲存]。

如果您符合下列情況，可以選擇退出自動佈建：

• 適用於雲端之 Defender 的自動代理程式安裝，適用於整個訂閱。 您無法將自動安裝套用到虛擬機器的子集。 如果有重要 VM 無法安裝 Log Analytics 代理程式，則應選擇退出自動佈建。

• Log Analytics 代理程式延伸模組的安裝程序會更新代理程式的版本。 這適用於直接代理程式和 System Center Operations Manager 代理程式 (在後者中，Operations Manager 和 Log Analytics 代理程式會共用相同的執行階段程式庫，而該程式庫會在此程序中更新)。 如果已安裝的 Operations Manager 代理程式是 2012 版，而且已升級，當 Operations Manager 伺服器也是 2012 版時，管理功能可能會遺失。 如果已安裝的 Operations Manager 代理程式是 2012 版，請考慮退出自動佈建。

• 如果您不想在每個訂用帳戶上建立多個工作區，而且訂用帳戶中有您自己的自訂工作區，則您有兩個選項：

  • 您可以退出自動佈建。 移轉之後，依循我可以如何使用現有 Log Analytics 工作區？中的說明來設定預設工作區的設定

  • 或者，您可以讓移轉程序完成，讓 Log Analytics 代理程式安裝在 VM 上，然後讓 VM 連線至已建立的工作區。 接著，藉由選擇重新設定已安裝的代理程式，在設定預設工作區的設定上，選取您的自訂工作區。 如需詳細資訊，請參閱如何使用我現有的 Log Analytics 工作區？

移轉完成後，適用於雲端的 Defender 將無法收集來自 VM 的安全性資料，且部分安全性建議及警示將無法使用。 如果您選擇退出，請手動安裝 Log Analytics 代理程式。 請參閱退出時的建議步驟。

請手動安裝 Log Analytics 代理程式延伸模組，讓適用於雲端的 Defender 能夠收集您 VM 所傳來的安全性資料，並提供建議和警示。 關於安裝的指引，請參閱 Windows 虛擬機器的代理程式安裝或 Linux 虛擬機器的代理程式安裝。

您可以將代理程式連線到任何現有的自訂工作區，或適用於雲端的 Defender 所建立工作區。 如果自訂工作區並沒有啟用的「Security」或「SecurityCenterFree」解決方案，則必須套用解決方案。 若要套用，請選取自訂工作區，並透過 [Environment settings] \(環境設定\) >[Defender plans] \(Defender 方案\) 頁面套用定價層。

適用於雲端的 Defender 會根據所選選項，在工作區上啟用正確的解決方案。

您可以手動移除 Log Analytics 代理程式，但不建議這麼做。 移除 OMS 延伸模組會限制適用於雲端的 Defender 其建議和警示。

若要手動移除代理程式：

1. 在入口網站中，開啟Log Analytics。

2. 在 [Log Analytics] 頁面上，選取工作區：

3. 選取您不想監視的 VM，然後選取 [中斷連線]。

   

是。 適用於雲端的 Microsoft Defender 使用 Log Analytics 代理程式，利用 Azure 監視器從 Azure VM 和伺服器收集資料。 為了收集資料，每個 VM 和伺服器都必須使用 HTTPS 連線至網際網路。 此連線可以是直接連線，或是使用 Proxy或透過 OMS 閘道的連線。

代理程式只耗用少量的系統資源，對效能的影響應該很小。 如需有關效能影響和代理程式與擴充的詳細資訊，請參閱規劃和操作指南。

否。 無代理程序掃描不會掃描已解除分配的 VM。

是。 無代理程式掃描會掃描 OS 磁碟和數據磁碟。

一天中的時間是動態的，而且可以變更不同的帳戶和訂用帳戶。

在 AWS 中，客戶帳戶上的作業可透過 CloudTrail 進行追蹤。

無代理程式掃描會收集類似代理程式所收集的資料，以執行相同的分析。 不會收集原始資料、PII (個人識別資訊) 或機密性業務資料，只會將中繼資料結果傳送給 Defender for Cloud。

無代理程式 快照集的分析會在由 適用於雲端的 Defender 管理的安全環境中進行。

這些環境是跨多雲端的區域，因此快照集會維持在與其來源 VM 相同的雲端區域（例如，美國西部 EC2 實例的快照集將會在同一個區域進行分析，而不會複製到另一個區域或雲端）。

分析磁碟的掃描環境是揮發性、隔離且高度安全的。

無代理程式掃描平台會經過稽核，並符合 Microsoft 嚴格的安全性和隱私權標準。 採取的一些措施是（不是一個全面的清單）：

• 每個區域的實體隔離，每個客戶和訂用帳戶的額外隔離
• 待用 E2E 加密和傳輸
• 掃描後立即清除磁碟快照集
• 只有元數據（即安全性結果）會離開隔離的掃描環境
• 掃描環境是自主的
• 所有作業都會經過內部稽核

無代理程式掃描包含在 Defender Cloud Security Posture Management (CSPM) 和 Defender for Servers P2 方案中。 啟用 Defender for Cloud 時不會產生任何其他費用。

磁碟快照集會使用 CreatedBy 標籤索引鍵和 Microsoft Defender for Cloud 標籤值建立。 CreatedBy 標籤會追蹤建立資源的人員。

您必須在 [計費] 和 [成本管理] 主控台中啟用標籤。 標籤最多需要 24 小時才能啟用。

啟用標籤之後，AWS 會以逗號分隔值 (.CSV 檔案) 產生成本配置報告，其中包含依您啟用中標籤分組的使用量和成本。

每個工作區都享有 500 MB 的免費資料擷取。 這會依每個節點、每個報告的工作區每天計算，並適用於已安裝「安全性」或「反惡意程式碼軟體」解決方案的每個工作區。 您需支付超過 500 MB 限制的所有資料擷取費用。

雖然適用於雲端之 Defender 所建立的工作區設定為以每個節點的 Azure 監視器記錄計費，但並不會產生 Azure 監視器記錄費用。 適用於雲端的 Defender 計費，一律基於適用於雲端的 Defender 安全性原則和安裝在工作區上的解決方案：

• 增強安全性關閉 - 適用於雲端的 Defender 會在預設工作區上啟用 "SecurityCenterFree" 解決方案。 未啟用 Defender 方案時，不會產生任何費用。

• 所有已啟用的適用於雲端的 Microsoft Defender 方案 – 適用於雲端的 Defender 會在預設工作區上啟用「安全性」解決方案。

如需當地貨幣或區域的定價詳細資料，請參閱 [定價頁面]。

預設工作區的位置取決於您的 Azure 區域：

• 位於美國和巴西的 VM，工作區位置為美國
• 位於加拿大的 VM，工作區位置為加拿大
• 位於歐洲的 VM，工作區位置為歐洲
• 位於英國的 VM，工作區位置為英國
• 位於東亞和東南亞的 VM，工作區位置為亞洲
• 位於韓國的 VM，工作區位置為韓國
• 位於印度的 VM，工作區位置為印度
• 位於日本的 VM，工作區位置為日本
• 位於中國的 VM，工作區位置為中國
• 位於澳大利亞的 VM，工作區位置為澳大利亞

建議您不要刪除預設工作區。 適用於雲端的 Defender 會使用預設工作區儲存來自虛擬機器的安全性資料。 如果您刪除了工作區，適用於雲端的 Defender 就無法收集此資料，且部分安全性建議及警示將無法使用。

若要復原，請將連線至已刪除工作區之 VM 上的 Log Analytics 代理程式移除。 適用於雲端的 Defender 會重新安裝代理程式，並建立新的預設工作區。

您可以選取現有的 Log Analytics 工作區來儲存適用於雲端之 Defender 所收集的資料。 若要使用現有的 Log Analytics 工作區：

• 工作區必須與您選取的 Azure 訂用帳戶相關聯。
• 至少必須擁有讀取權限以存取工作區。

若要選取現有的 Log Analytics 工作區：

1. 從適用於雲端的 Defender 功能表中，開啟 [環境設定]。

2. 選取相關的訂用帳戶。

3. 在適用於伺服器的 Defender 方案中，選取 [監視涵蓋範圍] 資料行中的 [設定]。

4. 針對 Log Analytics 代理程式，請選取 [編輯設定]。

   

5. 選取 [自訂工作區]，然後選取現有的工作區。

   

   提示

   此清單只會包含您有權存取的工作區，以及 Azure 訂閱中的工作區。

6. 選取套用。

7. 選取繼續。

8. 選取 [儲存]，並確認您想要重新設定受監視的 VM。

   重要

   只有在您將設定從預設工作區變更為自訂工作區時，此選項才相關。 如果您要將設定從某個自定義工作區變更為另一個工作區，或從自定義工作區變更為預設工作區，則變更不會套用至現有的計算機。

   • 如果您希望新的工作區設定僅套用在新的虛擬機器，請選取 [否]。 新的工作區設定只會套用在新安裝的代理程式，以及新探索到的未安裝 Log Analytics 代理程式的 VM。
   • 如果您希望新的工作區設定套用在所有虛擬機器，請選取 [是]。 此外，每個連線到適用於雲端的 Defender 所建立工作區的虛擬機器，會重新連線到新的目標工作區。

   注意

   如果您選取 [是]，在所有 VM 均重新連線至新的目標工作區之前，請不要刪除適用於雲端的 Defender 所建立的任何工作區。 如果過早刪除工作區，這項作業將會失敗。

如果虛擬機器已經以 Azure 延伸模組的形式安裝 Log Analytics 代理程式，適用於雲端的 Defender 不會覆寫現有工作區連線。 相反地，適用於雲端的 Defender 會使用現有的工作區。 如果虛擬機器所報告的工作區上已安裝「Security」或「SecurityCenterFree」解決方案，則該虛擬機器會受到保護。

如果適用於雲端的 Defender 解決方案尚未安裝，則會安裝在「資料收集」畫面中所選取的工作區上，且解決方案只會套用到相關的。 當您新增解決方案時，依預設會該解決方案會自動部署到與您 Log Analytics 工作區連線的所有 Windows 與 Linux 代理程式。 解決方案目標設定讓您能將範圍套用至解決方案。

當適用於雲端的 Defender 發現已經有虛擬機器連線到您建立的工作區時，適用於雲端的 Defender 會根據您的定價層啟用此工作區上的解決方案。 這些解決方案會透過方案目標設定，只套用至相關的資源器，所以收費不會改變。

• 未啟用 Defender 方案 – 適用於雲端的 Defender 會在工作區上安裝「SecurityCenterFree」解決方案，且您無需支付此方案的費用。

• 啟用所有 Microsoft Defender 方案 - 適用於雲端的 Defender 會在工作區上安裝「Security」解決方案。

  

如果虛擬機器已經以 Azure 延伸模組的形式安裝 Log Analytics 代理程式，適用於雲端的 Defender 會使用現有的已連線工作區。 適用於雲端的 Defender 解決方案若尚未安裝，此時會安裝至工作區，且透過解決方案目標設定，只將解決方案套用至相關的虛擬機器。

適用於雲端的 Defender 在虛擬機器上安裝 Log Analytics 代理程式時，如果未指向現有的工作區，則會使用適用於雲端的 Defender 所建立的預設工作區。

「安全性與稽核」解決方案可用來啟用適用於伺服器的 Microsoft Defender。 如果工作區已經安裝有「安全性與稽核」解決方案，適用於雲端的 Defender 會使用現有的解決方案。 收費不會改變。

下一步

了解適用於雲端的 Microsoft Defender 如何收集資料