Rychlý start: Konfigurace automatického zřizování pro agenty a rozšíření z Microsoft Defenderu pro cloud

Microsoft Defender for Cloud shromažďuje data z vašich prostředků pomocí příslušného agenta nebo rozšíření pro tento prostředek a typ shromažďování dat, který jste povolili. Pomocí níže uvedených postupů můžete automaticky zřizovat potřebné agenty a rozšíření, která defender pro cloud používá pro vaše prostředky.

Když povolíte automatické zřizování libovolného podporovaného rozšíření, rozšíření se nainstalují na stávající a budoucí počítače v předplatném. Když zakážete automatické zřizování rozšíření, rozšíření se nenainstaluje na budoucích počítačích, ale také se neodinstaluje ze stávajících počítačů.

Snímek obrazovky s rozšířeními Microsoft Defenderu pro cloud, která je možné automaticky zřídit

Požadavky

Abyste mohli začít s Defenderem pro cloud, musíte mít předplatné Microsoft Azure. Pokud předplatné nemáte, můžete si zaregistrovat bezplatný účet.

Dostupnost

Tato tabulka zobrazuje podrobnosti o dostupnosti pro samotnou funkci automatického zřizování.

Aspekt Podrobnosti
Stav vydání: Automatické zřizování je obecně dostupné (GA)
Ceny: Automatické zřizování je bezplatné
Požadované role a oprávnění: Závisí na konkrétním rozšíření – podívejte se na příslušnou kartu.
Podporované cíle: Závisí na konkrétním rozšíření – podívejte se na příslušnou kartu.
Mraky: Komerční cloudy
Azure Government, Azure China 21Vianet

Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo jinak ještě nebyly vydány do obecné dostupnosti.

Jak Defender pro cloud shromažďuje data?

Defender for Cloud shromažďuje data z vašich virtuálních počítačů Azure, škálovacích sad virtuálních počítačů, kontejnerů IaaS a počítačů mimo Azure (včetně místních) pro monitorování ohrožení zabezpečení a hrozeb.

Shromažďování dat je potřeba k zajištění viditelnosti chybějících aktualizací, chybně nakonfigurovaných nastavení zabezpečení operačního systému, stavu ochrany koncových bodů a ochrany před hrozbami. Shromažďování dat je potřeba jenom pro výpočetní prostředky, jako jsou virtuální počítače, škálovací sady virtuálních počítačů, kontejnery IaaS a počítače mimo Azure.

Microsoft Defender pro cloud můžete využít i v případě, že zřídíte agenty. Budete ale mít omezené zabezpečení a výše uvedené možnosti se nepodporují.

Data se shromažďují pomocí:

  • Agent Log Analytics, který čte různé konfigurace a protokoly událostí souvisejících se zabezpečením z počítače a kopíruje data do pracovního prostoru pro účely analýzy. Mezi příklady těchto dat patří: typ a verze operačního systému, protokoly operačního systému (protokoly událostí Windows), spuštěné procesy, název počítače, IP adresy a přihlášený uživatel.
  • Rozšíření zabezpečení, jako je doplněk Azure Policy pro Kubernetes, který může také poskytovat data defenderu pro cloud týkající se specializovaných typů prostředků.

Proč používat automatické zřizování?

Libovolnou z agentů a rozšíření popsaných na této stránce je možné nainstalovat ručně (viz Ruční instalace agenta Log Analytics). Automatické zřizování ale snižuje režii správy instalací všech požadovaných agentů a rozšíření na stávající a nové počítače, aby se zajistilo rychlejší pokrytí zabezpečení pro všechny podporované prostředky.

Doporučujeme povolit automatické zřizování, ale ve výchozím nastavení je zakázané.

Jak funguje automatické zřizování?

Stránka nastavení automatického zřizování defenderu pro cloud má přepínač pro každý typ podporovaného rozšíření. Když povolíte automatické zřizování rozšíření, přiřadíte příslušné nasazení, pokud neexistuje zásada. Tento typ zásady zajišťuje, že se rozšíření zřídí pro všechny existující a budoucí prostředky tohoto typu.

Tip

Další informace o Azure Policy efektech, včetně nasazení, pokud neexistuje, najdete v tématu Vysvětlení Azure Policy efektů.

Povolení automatického zřizování agenta a rozšíření Log Analytics

Při automatickém zřizování pro agenta Log Analytics nasadí Defender for Cloud agenta na všechny podporované virtuální počítače Azure a všechny nově vytvořené. Seznam podporovaných platforem najdete v tématu Podporované platformy v programu Microsoft Defender for Cloud.

Povolení automatického zřizování agenta Log Analytics:

  1. V nabídce programu Defender for Cloud otevřete nastavení prostředí.

  2. Vyberte příslušné předplatné.

  3. Na stránce Automatické zřizování nastavte stav automatického zřizování pro agenta Log Analytics na Zapnuto.

    Povolení automatického zřizování agenta Log Analytics

  4. V podokně možností konfigurace definujte pracovní prostor, který se má použít.

    Možnosti konfigurace pro automatické zřizování agentů Log Analytics pro virtuální počítače

    • Připojte virtuální počítače Azure k výchozím pracovním prostorům vytvořeným programem Defender for Cloud – Defender for Cloud vytvoří novou skupinu prostředků a výchozí pracovní prostor ve stejné geografické poloze a připojí agenta k danému pracovnímu prostoru. Pokud předplatné obsahuje virtuální počítače z několika geografických umístění, Vytvoří Defender for Cloud několik pracovních prostorů, aby se zajistilo dodržování požadavků na ochranu osobních údajů dat.

      Zásady vytváření názvů pro pracovní prostor a skupinu prostředků jsou následující:

      • Pracovní prostor: DefaultWorkspace-[ID_předplatného]-[zeměpisné umístění]
      • Skupina prostředků: DefaultResourceGroup-[geo]

      Řešení Defender for Cloud je v pracovním prostoru automaticky povolené podle cenové úrovně nastavené pro předplatné.

    • Připojte virtuální počítače Azure k jinému pracovnímu prostoru – V rozevíracím seznamu vyberte pracovní prostor, který se má ukládat shromážděná data. Rozevírací seznam obsahuje všechny pracovní prostory ve všech vašich předplatných. Tuto možnost můžete použít ke shromažďování dat z virtuálních počítačů spuštěných v různých předplatných a jejich uložení ve vybraném pracovním prostoru.

      Pokud už máte existující pracovní prostor Služby Log Analytics, můžete použít stejný pracovní prostor (vyžaduje oprávnění ke čtení a zápisu v pracovním prostoru). Tato možnost je užitečná, pokud používáte centralizovaný pracovní prostor ve vaší organizaci a chcete ho použít pro shromažďování dat zabezpečení. Další informace najdete v článku Správa přístupu k datům protokolů a pracovním prostorům ve službě Azure Monitor.

      Pokud už vybraný pracovní prostor obsahuje povolené řešení Security nebo SecurityCenterFree, ceny se nastaví automaticky. Pokud ne, nainstalujte do pracovního prostoru řešení Defender for Cloud:

      1. V nabídce Defenderu pro cloud otevřete nastavení prostředí.
      2. Vyberte pracovní prostor, ke kterému budete agenti připojovat.
      3. Nastavte správu stavu zabezpečení na zapnutou nebo vyberte Povolit vše , pokud chcete zapnout všechny plány Programu Microsoft Defender.
  5. V konfiguraci událostí zabezpečení systému Windows vyberte množství nezpracovaných dat událostí, která chcete uložit:

    • Žádné – Zakažte úložiště událostí zabezpečení. (Výchozí)
    • Minimální – malá sada událostí, pro které chcete minimalizovat objem událostí.
    • Běžné – sada událostí, které vyhovují většině zákazníků a poskytuje úplný záznam auditu.
    • Všechny události – pro zákazníky, kteří chtějí zajistit, aby byly všechny události uložené.

    Tip

    Pokud chcete nastavit tyto možnosti na úrovni pracovního prostoru, přečtěte si téma Nastavení možnosti události zabezpečení na úrovni pracovního prostoru.

    Další informace o těchtomožnostch

  6. V podokně konfigurace vyberte Použít .

  7. Povolení automatického zřizování jiného rozšíření než agenta Log Analytics:

    1. Přepněte stav na Zapnuto pro příslušné rozšíření.

      Přepněte na povolení automatického zřizování doplňků zásad K8s.

    2. Vyberte Uložit. Definice Azure Policy je přiřazena a vytvoří se úloha nápravy.

      Linka Zásady
      Doplněk služby Policy pro Kubernetes Nasazení doplňku Azure Policy do clusterů Azure Kubernetes Service
      Agent konfigurace hosta (Preview) Nasazení požadavků pro povolení zásad konfigurace hosta na virtuálních počítačích
  8. Vyberte Uložit. Pokud je potřeba zřídit pracovní prostor, instalace agenta může trvat až 25 minut.

  9. Zobrazí se dotaz, jestli chcete překonfigurovat monitorované virtuální počítače, které byly dříve připojené k výchozímu pracovnímu prostoru:

    Zkontrolujte možnosti pro překonfigurování monitorovaných virtuálních počítačů.

    • Ne – nové nastavení pracovního prostoru se použije jenom u nově zjištěných virtuálních počítačů, které nemají nainstalovaného agenta Log Analytics.
    • Ano – vaše nové nastavení pracovního prostoru se použije pro všechny virtuální počítače a každý virtuální počítač, který je aktuálně připojený k pracovnímu prostoru vytvořenému v defenderu pro cloud, se znovu připojí k novému cílovému pracovnímu prostoru.

    Poznámka

    Pokud vyberete Ano, neodstraňujte pracovní prostory vytvořené defenderem pro cloud, dokud se všechny virtuální počítače znovu nepřipojí k novému cílovému pracovnímu prostoru. Tato operace selže, pokud se pracovní prostor odstraní příliš brzy.

Možnosti událostí zabezpečení Windows pro agenta Log Analytics

Když vyberete úroveň shromažďování dat v Microsoft Defenderu pro cloud, události zabezpečení vybrané vrstvy se ukládají do pracovního prostoru Služby Log Analytics, abyste mohli prošetřit, prohledávat a auditovat události v pracovním prostoru. Agent Log Analytics také shromažďuje a analyzuje události zabezpečení vyžadované pro ochranu před hrozbami v Defenderu pro cloud.

Požadavky

Rozšířená ochrana zabezpečení Defenderu pro cloud se vyžaduje pro ukládání dat událostí zabezpečení Windows. Přečtěte si další informace o plánech rozšířené ochrany.

Za ukládání dat v Log Analytics se vám můžou účtovat poplatky. Další informace najdete na stránce s cenami.

Informace pro uživatele služby Microsoft Sentinel

Shromažďování událostí zabezpečení v kontextu jednoho pracovního prostoru je možné nakonfigurovat buď z Programu Microsoft Defender pro cloud, nebo z Microsoft Sentinelu, ale ne z obou. Pokud chcete přidat Microsoft Sentinel do pracovního prostoru, který už dostává upozornění z Programu Microsoft Defender pro cloud a shromažďovat události zabezpečení, můžete:

  • V Programu Microsoft Defender for Cloud ponechte kolekci událostí zabezpečení tak, jak je. Tyto události budete moct dotazovat a analyzovat v Microsoft Sentinelu i Defenderu pro cloud. Pokud chcete monitorovat stav připojení konektoru nebo změnit jeho konfiguraci v Microsoft Sentinelu, zvažte druhou možnost.
  • Zakažte kolekci událostí zabezpečení v programu Microsoft Defender for Cloud a potom přidejte konektor událostí zabezpečení v Microsoft Sentinelu. Budete moct dotazovat a analyzovat události v Microsoft Sentinelu i v programu Defender for Cloud, ale budete moct také monitorovat stav připojení konektoru nebo změnit jeho konfiguraci a jenom v Microsoft Sentinelu. Pokud chcete zakázat shromažďování událostí zabezpečení v programu Defender for Cloud, nastavte v konfiguraci agenta Log Analytics události zabezpečení systému Windows na Hodnotu None .

Jaké typy událostí se ukládají pro "Common" a "Minimum"?

Společné a minimální sady událostí byly navrženy tak, aby řešily typické scénáře založené na standardech zákazníků a odvětví pro nefiltrovanou frekvenci jednotlivých událostí a jejich použití.

  • Minimální – Tato sada je určená k pokrytí pouze událostí, které můžou znamenat úspěšné porušení zabezpečení a důležité události s nízkým objemem. Většina datového objemu této sady je úspěšná přihlášení uživatele (ID události 4625), neúspěšné události přihlášení uživatele (ID události 4624) a události vytváření procesů (ID události 4688). Události odhlášení jsou důležité jenom pro auditování a mají relativně velký svazek, takže nejsou součástí této sady událostí.
  • Běžná – Tato sada je určená k poskytnutí kompletního záznamu auditu uživatele, včetně událostí s nízkým objemem. Tato sada například obsahuje události přihlášení uživatele (ID události 4624) a události logff uživatele (ID události 4634). Zahrnujeme akce auditování, jako jsou změny skupin zabezpečení, operace kerberos řadiče klíčů a další události, které doporučují oborové organizace.

Tady je úplný rozpis ID událostí Security a App Locker pro každou sadu:

Datová vrstva Shromážděné indikátory událostí
Minimální 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Společné 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Poznámka

  • Pokud používáte objekt Zásady skupiny (objekt zásad skupiny), doporučujeme povolit zásady auditu– událost vytvoření procesu 4688 a pole příkazového řádku uvnitř události 4688. Další informace o události vytváření procesů 4688 najdete v tématu Nejčastější dotazy k programu Defender for Cloud. Další informace o těchto zásadách auditu najdete v tématu Doporučení k zásadám auditu.
  • Pokud chcete povolit shromažďování dat pro adaptivní řízení aplikací, Defender for Cloud nakonfiguruje místní zásady AppLockeru v režimu auditu tak, aby umožňovaly všechny aplikace. To způsobí, že AppLocker vygeneruje události, které pak shromažďuje a využívá Defender for Cloud. Je důležité si uvědomit, že tato zásada se nenakonfiguruje na žádných počítačích, na kterých už jsou nakonfigurované zásady AppLockeru.
  • Pokud chcete shromáždit ID události platformy filtrování Windows 5156, musíte povolit připojení platformy filtrování auditu (Auditpol /set /subcategory:"Filtrování připojení platformy" /Success:Enable)

Nastavení možnosti události zabezpečení na úrovni pracovního prostoru

Můžete definovat úroveň dat událostí zabezpečení, která se mají ukládat na úrovni pracovního prostoru.

  1. V nabídce Defenderu pro cloud v Azure Portal vyberte Nastavení prostředí.

  2. Vyberte příslušný pracovní prostor. Jediné události shromažďování dat pro pracovní prostor jsou události zabezpečení Systému Windows popsané na této stránce.

    Nastavení dat událostí zabezpečení pro ukládání do pracovního prostoru

  3. Vyberte množství nezpracovaných dat událostí, která chcete uložit, a vyberte Uložit.

Ruční zřizování agentů

Ruční instalace agenta Log Analytics:

  1. Zakažte automatické zřizování.

  2. Volitelně můžete vytvořit pracovní prostor.

  3. Povolte Microsoft Defender for Cloud v pracovním prostoru, na kterém instalujete agenta Log Analytics:

    1. V nabídce programu Defender for Cloud otevřete nastavení prostředí.

    2. Nastavte pracovní prostor, na který instalujete agenta. Ujistěte se, že je pracovní prostor ve stejném předplatném, které používáte v programu Defender for Cloud, a že máte oprávnění ke čtení a zápisu pro daný pracovní prostor.

    3. Vyberte Microsoft Defender pro cloud a uložte ho.

      Poznámka

      Pokud už pracovní prostor má povolené řešení Security nebo SecurityCenterFree , ceny se nastaví automaticky.

  4. Pokud chcete nasadit agenty na nové virtuální počítače pomocí šablony Resource Manager, nainstalujte agenta Log Analytics:

  5. Pokud chcete nasadit agenty na stávající virtuální počítače, postupujte podle pokynů v tématu Shromažďování dat o službě Azure Virtual Machines (oddíl Shromažďování událostí a dat o výkonu je nepovinný).

  6. Pokud chcete k nasazení agentů použít PowerShell, postupujte podle pokynů v dokumentaci k virtuálním počítačům:

Tip

Další informace o onboardingu najdete v tématu Automatizace onboardingu programu Microsoft Defender for Cloud pomocí PowerShellu.

Automatické zřizování v případech před existující instalace agenta

Následující případy použití vysvětlují, jak funguje automatické zřizování v případech, kdy už je nainstalovaný agent nebo rozšíření.

  • Agent Log Analytics je nainstalovaný na počítači, ale ne jako rozšíření (přímý agent) – pokud je agent Log Analytics nainstalovaný přímo na virtuálním počítači (ne jako rozšíření Azure), Defender pro Cloud nainstaluje rozšíření agenta Log Analytics a může agenta Log Analytics upgradovat na nejnovější verzi. Nainstalovaný agent bude dál hlásit své již nakonfigurované pracovní prostory a pracovní prostor nakonfigurovaný v programu Defender for Cloud. (Multi-homing je podporován na počítačích s Windows.)

    Pokud je služba Log Analytics nakonfigurovaná s uživatelským pracovním prostorem a ne s výchozím pracovním prostorem Defenderu pro cloud, budete muset do něj nainstalovat řešení Security nebo SecurityCenterFree pro Defender for Cloud, abyste mohli začít zpracovávat události z virtuálních počítačů a počítačů, které se do daného pracovního prostoru hlásí.

    U počítačů s Linuxem se zatím nepodporuje vícenásobné navádání agenta. Pokud se zjistí existující instalace agenta, agent Log Analytics se automaticky nezřídí.

    U existujících počítačů na předplatných nasazených v programu Defender for Cloud před 17. březnem 2019 se při zjištění existujícího agenta rozšíření agenta Log Analytics nenainstaluje a počítač nebude ovlivněn. Informace o těchto počítačích najdete v doporučení "Řešení problémů se stavem agenta monitorování na počítačích" a vyřešte problémy s instalací agenta na těchto počítačích.

  • Agent System Center Operations Manageru se nainstaluje na počítač – Defender for Cloud nainstaluje rozšíření agenta Log Analytics vedle existujícího nástroje Operations Manager. Stávající agent nástroje Operations Manager bude nadále hlásit server Operations Manageru normálně. Agent Operations Manageru a agent Log Analytics sdílejí společné knihovny za běhu, které se během tohoto procesu aktualizují na nejnovější verzi. Pokud je nainstalovaný agent nástroje Operations Manager verze 2012, nepovolujte automatické zřizování.

  • K dispozici je existující rozšíření virtuálního počítače:

    • Když je agent monitorování nainstalovaný jako rozšíření, konfigurace rozšíření umožňuje vytváření sestav pouze do jednoho pracovního prostoru. Defender for Cloud nepřepíše stávající připojení k pracovním prostorům uživatelů. Defender for Cloud bude ukládat data zabezpečení z virtuálního počítače v již připojeném pracovním prostoru, pokud je na něm nainstalované řešení Security nebo SecurityCenterFree. Defender for Cloud může v tomto procesu upgradovat verzi rozšíření na nejnovější verzi.
    • Pokud chcete zjistit, do kterého pracovního prostoru existující rozšíření odesílá data, spusťte test a ověřte připojení k Microsoft Defenderu pro cloud. Případně můžete otevřít pracovní prostory služby Log Analytics, vybrat pracovní prostor, vybrat virtuální počítač a podívat se na připojení agenta Log Analytics.
    • Pokud máte prostředí, ve kterém je agent Log Analytics nainstalovaný na klientských pracovních stanicích a vytváření sestav do existujícího pracovního prostoru služby Log Analytics, zkontrolujte seznam operačních systémů podporovaných programem Microsoft Defender for Cloud a ujistěte se, že je váš operační systém podporovaný. Další informace najdete v tématu Stávající zákazníci log analytics.

Zakázání automatického zřizování

Když automatické zřizování zakážete, agenti se nebudou zřizovat na nových virtuálních počítačích.

Vypnutí automatického zřizování agenta:

  1. V nabídce Defenderu pro cloud na portálu vyberte Nastavení prostředí.

  2. Vyberte příslušné předplatné.

  3. Vyberte Automatické zřizování.

  4. Přepněte stav na Vypnuto pro příslušného agenta.

    Přepíná tak, aby se zakázalo automatické zřizování podle typu agenta.

  5. Vyberte Uložit. Když je automatické zřizování zakázané, výchozí oddíl konfigurace pracovního prostoru se nezobrazí:

    Při zakázání automatického zřizování je buňka konfigurace prázdná.

Poznámka

Zakázání automatického zřizování neodebere agenta Log Analytics z virtuálních počítačů Azure, ve kterých byl agent zřízen. Informace o odebrání rozšíření OMS najdete v tématu Návody odebrání rozšíření OMS nainstalovaných programem Defender for Cloud.

Řešení potíží

Další kroky

Tato stránka vysvětluje, jak povolit automatické zřizování pro agenta Log Analytics a další rozšíření Defenderu pro cloud. Popisuje také, jak definovat pracovní prostor služby Log Analytics, do kterého se mají ukládat shromážděná data. Obě operace jsou potřeba k povolení shromažďování dat. Za úložiště dat v novém nebo existujícím pracovním prostoru služby Log Analytics se můžou účtovat další poplatky. Podrobnosti o cenách v místní měně nebo oblasti najdete na stránce s cenami.