Defender for Cloud shromažďuje data z virtuálních počítačů Azure, škálovacích sad virtuálních počítačů, kontejnerů IaaS a počítačů mimo Azure (včetně místních počítačů) za účelem monitorování ohrožení zabezpečení a hrozeb. Agent Log Analytics shromažďuje data, která čtou různé konfigurace související se zabezpečením a protokoly událostí z počítače a kopíruje data do vašeho pracovního prostoru pro účely analýzy.
Shromažďování dat
Návody povolit shromažďování dat?
Shromažďování dat se automaticky zapne, když povolíte plán Defenderu, který vyžaduje monitorovací komponentu.
Co se stane, když je povolené shromažďování dat?
Když je povolené automatické zřizování, Defender for Cloud používá agenta Log Analytics na všech podporovaných virtuálních počítačích Azure a všech nově vytvořených virtuálních počítačích Azure. Automatické zřizování se doporučuje, ale k dispozici je také ruční instalace agenta. Zjistěte, jak nainstalovat rozšíření agenta Log Analytics.
Agent povolí událost vytvoření procesu 4688 a pole CommandLine uvnitř události 4688. Nové procesy vytvořené na virtuálním počítači se zaznamenávají protokolem událostí a monitorují se službou Defender for Cloud Detection Services. Další informace o podrobnostech zaznamenaných pro každý nový proces naleznete v polích popisu v 4688. Agent také shromažďuje události 4688 vytvořené na virtuálním počítači a ukládá je do vyhledávání.
Agent také umožňuje shromažďování dat pro adaptivní řízení aplikací, Defender for Cloud konfiguruje místní zásady AppLockeru v režimu auditování tak, aby umožňovaly všechny aplikace. Tato zásada způsobí, že AppLocker vygeneruje události, které pak shromažďuje a používá Defender for Cloud. Je důležité si uvědomit, že tato zásada není nakonfigurovaná na žádných počítačích, na kterých už jsou nakonfigurované zásady AppLockeru.
Když Defender for Cloud zjistí podezřelou aktivitu na virtuálním počítači, obdrží zákazník e-mailové oznámení, pokud byly poskytnuty kontaktní informace zabezpečení . Výstraha se zobrazuje také na řídicím panelu výstrah zabezpečení v programu Defender for Cloud.
Agenti
Co je agent Log Analytics?
Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Microsoft Defender pro cloud závisí na agentu Log Analytics – tento agent je stejný jako služba Azure Monitor.
Agent se někdy označuje jako Agent Microsoft Monitoring Agent (nebo MMA).
Agent shromažďuje různé podrobnosti konfigurace související se zabezpečením a protokoly událostí z připojených počítačů a potom zkopíruje data do pracovního prostoru služby Log Analytics pro další analýzu. Mezi příklady těchto dat patří: typ a verze operačního systému, protokoly operačního systému (protokoly událostí Windows), spuštěné procesy, název počítače, IP adresy a přihlášený uživatel.
Ujistěte se, že vaše počítače používají jeden z podporovaných operačních systémů pro agenta, jak je popsáno na následujících stránkách:
Agent Log Analytics pro operační systémy Podporované windows
Agent Log Analytics pro linuxové podporované operační systémy
Přečtěte si další informace o datech shromážděných agentem Log Analytics.
Co kvalifikuje virtuální počítač pro automatické zřizování instalace agenta Log Analytics?
Virtuální počítače IaaS s Windows nebo Linuxem jsou oprávněné v následujících případech:
- Rozšíření agenta Log Analytics není na virtuálním počítači aktuálně nainstalované.
- Virtuální počítač je ve spuštěném stavu.
- Nainstaluje se agent virtuálního počítače Azure s Windows nebo Linuxem.
- Virtuální počítač se nepoužívá jako zařízení, jako je firewall webových aplikací nebo brána firewall nové generace.
Jaké události zabezpečení shromažďuje agent Log Analytics?
Úplný seznam událostí zabezpečení shromážděných agentem najdete v tématu Jaké typy událostí jsou uloženy pro nastavení událostí zabezpečení Common a Minimum.
Důležité
U některých služeb, jako je Azure Firewall, se protokolování prostředků, které vytváří množství protokolů, může využívat úložiště v pracovním prostoru služby Log Analytics. Ujistěte se, že používáte podrobné protokolování pouze v případě potřeby.
Co když už byl agent Log Analytics na virtuálním počítači nainstalovaný jako rozšíření?
Když je agent monitorování nainstalovaný jako rozšíření, konfigurace rozšíření umožňuje vytváření sestav pouze do jednoho pracovního prostoru. Defender for Cloud nepřepíše stávající připojení k uživatelským pracovním prostorům. Defender for Cloud ukládá data zabezpečení z virtuálního počítače do pracovního prostoru, který je už připojený, když je na něm nainstalované řešení Security nebo SecurityCenterFree. Defender for Cloud může v tomto procesu upgradovat verzi rozšíření na nejnovější verzi.
Další informace najdete v tématu Automatické zřizování v případech před existující instalace agenta.
Co když je agent Log Analytics přímo nainstalovaný na počítači, ale ne jako rozšíření (přímý agent)?
Pokud je agent Log Analytics nainstalovaný přímo na virtuálním počítači (ne jako rozšíření Azure), Defender pro cloud nainstaluje rozšíření agenta Log Analytics a může upgradovat agenta Log Analytics na nejnovější verzi.
Nainstalovaný agent pokračuje v hlášení do svých již nakonfigurovaných pracovních prostorů a sestavy do pracovního prostoru nakonfigurovaného v programu Defender for Cloud. (Na počítačích s Windows se podporuje vícenásobné navádění.)
V případě vlastních uživatelských pracovních prostorů je potřeba do něj nainstalovat řešení Security nebo SecurityCenterFree, aby Defender for Cloud mohl zpracovávat události z virtuálních počítačů a počítačů, které se do daného pracovního prostoru hlásí.
U počítačů s Linuxem se zatím nepodporuje vícenásobné navádání agentů. Pokud se zjistí existující instalace agenta, Defender for Cloud automaticky nepoužívá agenta ani nezmění konfiguraci počítače.
U stávajících počítačů na předplatných nasazených v programu Defender for Cloud před 17. březnem 2019 se agent multi-homing zatím nepodporuje. Pokud se zjistí existující instalace agenta, Defender for Cloud automaticky nepoužívá agenta ani nezmění konfiguraci počítače. Informace o těchto počítačích najdete v doporučení Řešení problémů se stavem agenta monitorování na počítačích a vyřešte problémy s instalací agenta na těchto počítačích.
Další informace najdete v další části Co se stane, když je na mém virtuálním počítači už nainstalovaný přímý agent nástroje System Center Operations Manager nebo OMS?
Co když je na mém virtuálním počítači už nainstalovaný agent nástroje System Center Operations Manager?
Defender pro cloud implementuje službu Azure Policy, která neumožňuje instalaci agenta Log Analytics, zatímco na počítači je nainstalovaný agent system Center Operations Manageru. Agenti mají možnost používat vícedomávkové prostředí a sestavy do nástroje System Center Operations Manager a pracovního prostoru služby Log Analytics. Agent Operations Manageru a agent Log Analytics sdílejí společné knihovny za běhu. Poznámka: Pokud je nainstalovaná verze 2012 agenta Operations Manageru, nezapněte automatické zřizování (možnosti správy můžou být ztraceny, pokud je server Operations Manageru také verze 2012).
Jaký je vliv odebrání těchto rozšíření?
Pokud odeberete rozšíření Microsoft Monitoring Extension, Defender for Cloud nemůže shromažďovat data zabezpečení z virtuálního počítače a některá doporučení zabezpečení a výstrahy nejsou k dispozici. Během 24 hodin defender for Cloud zjistí, že virtuální počítač chybí rozšíření a rozšíření přeinstaluje.
Návody zastavit automatickou instalaci agenta a vytvoření pracovního prostoru?
Nasazení rozšíření pomocí Defenderu pro cloud se důrazně doporučuje, aby bylo možné dostávat výstrahy zabezpečení a doporučení týkající se aktualizací systému, ohrožení zabezpečení operačního systému a ochrany koncových bodů. Vypnutím rozšíření omezíte tato upozornění a doporučení. Automatické zřizování pro konkrétního agenta nebo rozšíření ale můžete zakázat:
Zakázání automatického zřizování pro konkrétního agenta nebo rozšíření:
Na webu Azure Portal otevřete Defender pro cloud a vyberte Nastavení prostředí.
Vyberte příslušné předplatné.
Ve sloupci Pokrytí monitorování v plánu Defender for Server vyberte Nastavení.
Vypněte rozšíření, které chcete přestat automaticky zřizovat.
Zvolte Uložit.
Mám se odhlásit z automatické instalace agenta a vytvoření pracovního prostoru?
Poznámka:
Nezapomeňte si projít části Co jsou důsledky odhlášení? a doporučené kroky při odhlášení, pokud se rozhodnete zrušit automatické zřizování.
Pokud se na vás vztahují tyto scénáře, můžete se odhlásit z automatického zřizování:
Automatická instalace agenta defenderem for Cloud se vztahuje na celé předplatné. Automatickou instalaci nemůžete použít na podmnožinu virtuálních počítačů. Pokud existují kritické virtuální počítače, které nejde nainstalovat s agentem Log Analytics, měli byste se odhlásit z automatického zřizování.
Instalace rozšíření agenta Log Analytics aktualizuje verzi agenta. To platí pro přímého agenta a agenta System Center Operations Manageru (v druhém agenta Operations Manageru a agenta Log Analytics sdílejí společné knihovny modulu runtime, které se v procesu aktualizují). Pokud je nainstalovaný agent Operations Manageru verze 2012 a upgraduje se, můžou být možnosti správy ztraceny, pokud je server Operations Manageru také verze 2012. Pokud je nainstalovaný agent Operations Manageru verze 2012, zvažte výslovný nesouhlas s automatickým zřizováním.
Pokud se chcete vyhnout vytváření více pracovních prostorů na předplatné a máte v rámci předplatného vlastní pracovní prostor, máte dvě možnosti:
Můžete se odhlásit z automatického zřizování. Po migraci nastavte výchozí nastavení pracovního prostoru, jak je popsáno v části Jak můžu použít stávající pracovní prostor služby Log Analytics?
Nebo můžete povolit dokončení migrace, instalaci agenta Log Analytics na virtuální počítače a virtuální počítače připojené k vytvořenému pracovnímu prostoru. Pak vyberte vlastní pracovní prostor nastavením výchozího nastavení pracovního prostoru s výslovným souhlasem pro překonfigurování již nainstalovaných agentů. Další informace najdete v tématu Jak můžu použít stávající pracovní prostor služby Log Analytics?
Jaké jsou důsledky odhlášení z automatického zřizování?
Po dokončení migrace nemůže Defender for Cloud shromažďovat data zabezpečení z virtuálního počítače a některá doporučení zabezpečení a výstrahy nejsou k dispozici. Pokud se odhlásíte, nainstalujte agenta Log Analytics ručně. Při odhlášení se podívejte na doporučené kroky.
Jaké jsou doporučené kroky při odhlášení z automatického zřizování?
Ručně nainstalujte rozšíření agenta Log Analytics, aby Defender for Cloud mohl shromažďovat data zabezpečení z vašich virtuálních počítačů a poskytovat doporučení a výstrahy. Pokyny k instalaci najdete v tématu Instalace virtuálního počítače s Windows nebo instalace agenta pro virtuální počítač s Linuxem.
Agenta můžete připojit k libovolnému existujícímu vlastnímu pracovnímu prostoru nebo k pracovnímu prostoru vytvořenému v programu Defender for Cloud. Pokud vlastní pracovní prostor nemá povolené řešení Security nebo SecurityCenterFree, musíte použít řešení. Pokud chcete použít, vyberte vlastní pracovní prostor a použijte cenovou úroveň prostřednictvím stránky plánů Defenderu nastavení>prostředí.
Defender for Cloud umožňuje správné řešení v pracovním prostoru na základě vybraných možností.
Návody odebrat rozšíření OMS nainstalovaná programem Defender for Cloud?
Agenta Log Analytics můžete odebrat ručně, ale nedoporučuje se. Odebrání omezení rozšíření OMS pro doporučení a upozornění v programu Defender pro cloud
Poznámka:
Pokud je shromažďování dat povolené, Defender for Cloud po odebrání agenta přeinstaluje. Před ručním odebráním agenta musíte shromažďování dat zakázat. Pokyny k zakázání shromažďování dat najdete v tématu Návody zastavení automatické instalace agenta a vytvoření pracovního prostoru?
Ruční odebrání agenta:
Na portálu otevřete Log Analytics.
Na stránce Log Analytics vyberte pracovní prostor:
Vyberte virtuální počítače, které nechcete monitorovat, a vyberte Odpojit.
Poznámka:
Pokud už virtuální počítač s Linuxem má agenta OMS bez rozšíření, odebráním rozšíření se odebere i agent a musíte ho přeinstalovat.
Bude Defender for Cloud fungovat pomocí brány OMS?
Ano. Microsoft Defender pro cloud používá Azure Monitor ke shromažďování dat z virtuálních počítačů a serverů Azure pomocí agenta Log Analytics. Pokud chcete shromažďovat data, musí se každý virtuální počítač a server připojit k internetu pomocí protokolu HTTPS. Připojení může být přímé, pomocí proxy serveru nebo prostřednictvím brány OMS.
Má agent Log Analytics vliv na výkon serverů?
Agent spotřebovává nominální množství systémových prostředků a měl by mít malý vliv na výkon. Další informace o vlivu na výkon a agent a rozšíření najdete v průvodci plánováním a provozem.
Bez agenta
Která data se shromažďují ze snímků?
Kontrola bez agentů shromažďuje data podobná datům, která agent shromažďuje, aby provedl stejnou analýzu. Nezpracovaná data, PII nebo citlivá obchodní data se neshromažďují a do Defenderu pro cloud se odesílají jenom výsledky metadat.
Jaké jsou náklady související s kontrolou bez agentů?
Kontrola stavu bez agentů je součástí plánů Defender Cloud Security Management (CSPM) a Defender for Servers P2. Při povolování se do Defenderu pro cloud neúčtují žádné další náklady.
Poznámka:
Poplatky za uchovávání snímků disků aWS. Proces prohledávání cloudu defenderu pro cloud se aktivně snaží minimalizovat dobu, během které je snímek uložený ve vašem účtu (obvykle až několik minut). AWS může účtovat režijní náklady na úložiště snímků disků. V AWS se podívejte, jaké náklady se na vás vztahují.
Jak můžu sledovat náklady na AWS vynaložené na snímky disků vytvořené programem Defender pro kontrolu bez agentů v cloudu?
Snímky disků se vytvářejí pomocí CreatedBy klíče značky a hodnoty značky Microsoft Defender for Cloud . Značka CreatedBy sleduje, kdo prostředek vytvořil.
Značky musíte aktivovat v konzole Fakturace a Správa nákladů. Aktivace značek může trvat až 24 hodin.
Jakmile značky aktivujete, AWS vygeneruje sestavu alokace nákladů jako hodnotu oddělenou čárkou (. Soubor CSV) s využitím a náklady seskupenými podle vašich aktivních značek.
Pracovní prostory
Účtuje se mi protokoly azure Monitoru v pracovních prostorech vytvořených defenderem pro cloud?
Pro každý pracovní prostor je 500 MB volného příjmu dat. Počítá se na jeden uzel, na hlášený pracovní prostor za den a je k dispozici pro každý pracovní prostor, který má nainstalované řešení Zabezpečení nebo AntiMalware. Za ingestovaná data se vám účtují přes limit 500 MB.
Za pracovní prostory vytvořené defenderem pro cloud a nakonfigurované pro protokoly služby Azure Monitor na fakturaci uzlů se neúčtují poplatky za protokoly služby Azure Monitor. Fakturace Defenderu pro cloud je vždy založená na zásadách zabezpečení cloudu Defenderu pro cloud a řešeních nainstalovaných v pracovním prostoru:
Vylepšené zabezpečení – Defender pro cloud umožňuje řešení SecurityCenterFree ve výchozím pracovním prostoru. Pokud nejsou povolené žádné plány Defenderu, nejsou účtovány žádné poplatky.
Všechny povolené plány Microsoft Defenderu pro cloud – Defender pro cloud umožňuje řešení Zabezpečení ve výchozím pracovním prostoru.
Podrobnosti o cenách v místní měně nebo oblasti najdete na stránce s cenami.
Poznámka:
Cenová úroveň služby Log Analytics pracovních prostorů vytvořených defenderem pro cloud nemá vliv na fakturaci Defenderu pro cloud.
Poznámka:
Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly služby Azure Monitor. Data protokolů jsou stále uložená v pracovním prostoru služby Log Analytics a stále se shromažďují a analyzují stejnou službou Log Analytics. Aktualizujeme terminologii tak, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor.
Kde se vytvoří výchozí pracovní prostor služby Log Analytics?
Umístění výchozího pracovního prostoru závisí na vaší oblasti Azure:
- Pro virtuální počítače v USA a Brazílii je umístěním pracovního prostoru USA
- Pro virtuální počítače v Kanadě je umístěním pracovního prostoru Kanada
- Pro virtuální počítače v Evropě je umístěním pracovního prostoru Evropa.
- Pro virtuální počítače ve Velké Británii je umístěním pracovního prostoru Velká Británie.
- Pro virtuální počítače ve východní Asii a jihovýchodní Asii je umístěním pracovního prostoru Asie
- V případě virtuálních počítačů v Koreji je umístěním pracovního prostoru Korea.
- Pro virtuální počítače v Indii je umístění pracovního prostoru Indie.
- Pro virtuální počítače v Japonsku je umístění pracovního prostoru Japonsko
- Pro virtuální počítače v Číně je umístěním pracovního prostoru Čína.
- V případě virtuálních počítačů v Austrálii je umístění pracovního prostoru Austrálie.
Můžu odstranit výchozí pracovní prostory vytvořené defenderem pro cloud?
Odstranění výchozího pracovního prostoru se nedoporučuje. Defender for Cloud používá výchozí pracovní prostory k ukládání dat zabezpečení z vašich virtuálních počítačů. Pokud odstraníte pracovní prostor, Defender for Cloud nemůže shromažďovat tato data a některá doporučení zabezpečení a výstrahy nejsou k dispozici.
Pokud chcete provést obnovení, odeberte agenta Log Analytics na virtuálních počítačích připojených k odstraněnému pracovnímu prostoru. Defender for Cloud přeinstaluje agenta a vytvoří nové výchozí pracovní prostory.
Jak mohu použít stávající pracovní prostor analytiky protokolů?
Můžete vybrat existující pracovní prostor služby Log Analytics pro ukládání dat shromážděných defenderem pro cloud. Použití existujícího pracovního prostoru služby Log Analytics:
- Pracovní prostor musí být přidružený k vybranému předplatnému Azure.
- Pro přístup k pracovnímu prostoru musíte mít minimálně oprávnění ke čtení.
Poznámka:
Pokud chcete z daného agenta získat výstrahy zabezpečení, ujistěte se, že agent Log Analytics a počítač, na kterém agent spouští obě sestavy do pracovního prostoru služby Log Analytics ve stejném tenantovi.
Výběr existujícího pracovního prostoru služby Log Analytics:
V nabídce Defenderu pro cloud otevřete nastavení prostředí.
Vyberte příslušné předplatné.
Ve sloupci Pokrytí monitorování v plánu Defender for Server vyberte Nastavení.
U agenta Log Analytics vyberte Upravit konfiguraci.
Vyberte Vlastní pracovní prostor a vyberte existující pracovní prostor.
Tip
Seznam obsahuje jenom pracovní prostory, ke kterým máte přístup a které jsou ve vašem předplatném Azure.
Vyberte Použít.
Zvolte Pokračovat.
Vyberte Uložit a potvrďte, že chcete překonfigurovat monitorované virtuální počítače.
Důležité
Tato volba je relevantní jenom v případě, že měníte konfiguraci z výchozího pracovního prostoru na vlastní pracovní prostor. Pokud měníte nastavení z jednoho vlastního pracovního prostoru na jiný nebo z vlastního pracovního prostoru na výchozí pracovní prostor, změna se nepoužije na existující počítače.
- Pokud chcete, aby se nová nastavení pracovního prostoru použila jenom na nových virtuálních počítačích, vyberte Ne. Nové nastavení pracovního prostoru platí jenom pro nové instalace agenta; nově zjištěné virtuální počítače, které nemají nainstalovaného agenta Log Analytics.
- Pokud chcete, aby se nová nastavení pracovního prostoru použila na všech virtuálních počítačích, vyberte Ano. Kromě toho se každý virtuální počítač připojený k vytvořenému pracovnímu prostoru Defenderu pro cloud znovu připojí k novému cílovému pracovnímu prostoru.
Poznámka:
Pokud vyberete Ano, neodstraňovat žádné pracovní prostory vytvořené defenderem pro cloud, dokud se všechny virtuální počítače znovu nepřipojí k novému cílovému pracovnímu prostoru. Tato operace selže, pokud se pracovní prostor odstraní příliš brzy.
Přepíše Defender for Cloud nějaká existující připojení mezi virtuálními počítači a pracovními prostory?
Pokud už má virtuální počítač nainstalovaného agenta Log Analytics jako rozšíření Azure, Defender for Cloud nepřepíše stávající připojení pracovního prostoru. Místo toho Defender for Cloud používá existující pracovní prostor. Virtuální počítač je chráněný, pokud je v pracovním prostoru, do kterého se hlásí, nainstalované řešení Security nebo SecurityCenterFree.
Řešení Defender for Cloud se nainstaluje do pracovního prostoru vybraného na obrazovce Shromažďování dat( pokud ještě není k dispozici) a řešení se použije jenom na příslušné virtuální počítače. Když přidáte řešení, automaticky se nasadí pro všechny agenty windows a Linuxu připojené k vašemu pracovnímu prostoru služby Log Analytics. Cílení na řešení umožňuje použít obor pro vaše řešení.
Tip
Pokud je agent Log Analytics nainstalovaný přímo na virtuálním počítači (ne jako rozšíření Azure), Defender pro Cloud neinstaluje agenta Log Analytics a monitorování zabezpečení je omezené.
Instaluje Defender for Cloud řešení do stávajících pracovních prostorů služby Log Analytics? Jaké jsou důsledky fakturace?
Když Defender pro cloud zjistí, že virtuální počítač už je připojený k vytvořenému pracovnímu prostoru, Defender for Cloud umožňuje řešení v tomto pracovním prostoru podle vaší konfigurace cen. Řešení se použijí jenom na relevantní prostředky prostřednictvím cílení na řešení, takže fakturace zůstane stejná.
Nejsou povolené žádné plány Defenderu – Defender for Cloud nainstaluje řešení SecurityCenterFree do pracovního prostoru a neúčtuje se vám za něj.
Povolte všechny plány Microsoft Defenderu – Defender for Cloud nainstaluje řešení Security do pracovního prostoru.
Už mám v prostředí pracovní prostory, můžu je použít ke shromažďování dat zabezpečení?
Pokud už má virtuální počítač nainstalovaného agenta Log Analytics jako rozšíření Azure, Defender for Cloud používá existující připojený pracovní prostor. Řešení Defender for Cloud se nainstaluje do pracovního prostoru, pokud ještě není k dispozici, a řešení se použije jenom na příslušné virtuální počítače prostřednictvím cílení na řešení.
Když Defender for Cloud nainstaluje agenta Log Analytics na virtuální počítače, použije výchozí pracovní prostory vytvořené programem Defender for Cloud, pokud není odkazován na existující pracovní prostor.
V pracovních prostorech už mám řešení zabezpečení. Jaké jsou důsledky fakturace?
Řešení Zabezpečení a audit se používá k povolení programu Microsoft Defender pro servery. Pokud už je řešení Zabezpečení a audit nainstalované v pracovním prostoru, defender for Cloud používá existující řešení. Fakturace se nijak nemění.