Průvodce odstraňováním potíží s Microsoft Defenderem pro cloud

  • Článek

Tato příručka je určená odborníkům na IT, analytikům zabezpečení informací a správcům cloudu, jejichž organizace potřebují řešit problémy související s Microsoft Defenderem pro cloud.

Tip

Pokud máte problém nebo potřebujete poradit od našeho týmu podpory, je vhodné najít řešení v části Diagnostika a řešení problémů na webu Azure Portal.

Snímek obrazovky webu Azure Portal zobrazující stránku pro diagnostiku a řešení problémů v defenderu pro cloud

Použití protokolu auditu ke zkoumání problémů

Prvním místem, kde hledat informace o řešení potíží, je protokol auditu pro komponentu, která selhala. V protokolu auditu můžete zobrazit podrobnosti, jako jsou:

  • Které operace byly provedeny.
  • Kdo operaci zahájil.
  • Kdy k operaci došlo.
  • Stav operace.

Protokol auditu obsahuje všechny operace zápisu (PUT, POST, DELETE) prováděné s vašimi prostředky, ale ne operace čtení (GET).

Řešení potíží s konektory

Defender for Cloud používá konektory ke shromažďování dat monitorování z účtů Amazon Web Services (AWS) a projektů GCP (Google Cloud Platform). Pokud máte problémy s konektory nebo nevidíte data z AWS nebo GCP, projděte si následující tipy pro řešení potíží.

Tipy běžných problémů s konektory

  • Ujistěte se, že je předplatné přidružené ke konektoru vybrané ve filtru předplatného umístěném v části Adresáře a předplatná na webu Azure Portal.
  • Standardy by se měly přiřazovat ke konektoru zabezpečení. Zkontrolujte to tak, že v nabídce Vlevo v Defenderu pro Cloud přejdete do nastavení prostředí, vyberete konektor a pak vyberete Nastavení. Pokud nejsou přiřazeny žádné standardy, vyberte tři tečky a zkontrolujte, jestli máte oprávnění k přiřazování standardů.
  • Prostředek konektoru by měl být v Azure Resource Graphu. Ke kontrole použijte následující dotaz Resource Graphu: resources | where ['type'] =~ "microsoft.security/securityconnectors".
  • Ujistěte se, že je odesílání protokolů auditu Kubernetes povolené v konektoru AWS nebo GCP, abyste mohli získat výstrahy detekce hrozeb pro řídicí rovinu.
  • Ujistěte se, že se senzor Microsoft Defenderu a rozšíření Kubernetes s podporou Azure Arc úspěšně nainstalovaly do clusterů Amazon Elastic Kubernetes Service (EKS) a Google Kubernetes Engine (GKE). Agenta můžete ověřit a nainstalovat pomocí následujících doporučení defenderu pro cloud:
    • Clustery EKS by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
    • Clustery GKE by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
    • Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.
    • Clustery GKE by měly mít nainstalované rozšíření Azure Policy.
  • Pokud máte potíže s odstraněním konektoru AWS nebo GCP, zkontrolujte, jestli máte zámek. Chyba v protokolu aktivit Azure může naznačovat přítomnost zámku.
  • Zkontrolujte, že úlohy existují v účtu AWS nebo projektu GCP.

Tipy problémů s konektorem AWS

  • Ujistěte se, že nasazení šablony CloudFormation bylo úspěšně dokončeno.
  • Počkejte aspoň 12 hodin po vytvoření kořenového účtu AWS.
  • Ujistěte se, že jsou clustery EKS úspěšně připojené k Kubernetes s podporou Azure Arc.
  • Pokud v programu Defender for Cloud nevidíte data AWS, ujistěte se, že v účtu AWS existují požadované prostředky AWS pro odesílání dat do Defenderu for Cloud.

Dopad nákladů na volání rozhraní API do AWS

Když nasadíte jeden účet AWS nebo účet pro správu, služba zjišťování v Defenderu pro cloud spustí okamžitou kontrolu vašeho prostředí. Služba zjišťování provádí volání rozhraní API do různých koncových bodů služby, aby načetla všechny prostředky, které Azure pomáhá zabezpečit.

Po této počáteční kontrole bude služba pravidelně kontrolovat vaše prostředí v intervalu, který jste nakonfigurovali během onboardingu. V AWS každé volání rozhraní API k účtu vygeneruje událost vyhledávání, která je zaznamenána v prostředku CloudTrail. Za prostředek CloudTrail se účtují náklady. Podrobnosti o cenách najdete na stránce ceny AWS CloudTrail na webu Amazon AWS.

Pokud jste připojili CloudTrail ke GuardDuty, zodpovídáte také za přidružené náklady. Tyto náklady najdete v dokumentaci GuardDuty na webu Amazon AWS.

Získání počtu nativních volání rozhraní API

Počet volání provedených defenderem pro cloud můžete získat dvěma způsoby:

  • Použijte existující tabulku Athena nebo vytvořte novou. Další informace najdete v tématu Dotazování protokolů AWS CloudTrail na webu Amazon AWS.
  • Použijte existující úložiště dat událostí nebo vytvořte nové. Další informace naleznete v tématu Práce s AWS CloudTrail Lake na webu Amazon AWS.

Obě metody se spoléhají na dotazování protokolů AWS CloudTrail.

Pokud chcete získat počet volání, přejděte do tabulky Athena nebo do úložiště dat události a podle svých potřeb použijte jeden z následujících předdefinovaných dotazů. Nahraďte <TABLE-NAME> ID tabulky Athena nebo úložiště dat událostí.

  • Uveďte počet celkových volání rozhraní API defenderem pro cloud:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • Uveďte počet celkových volání rozhraní API podle Defenderu pro cloud agregovaný podle dne:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • Uveďte počet celkových volání rozhraní API podle defenderu pro cloud agregovaný podle názvu události:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Uveďte počet celkových volání rozhraní API podle defenderu pro cloud agregované podle oblastí:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Tipy problémů s konektorem GCP

  • Ujistěte se, že se skript GCP Cloud Shell úspěšně dokončil.
  • Ujistěte se, že jsou clustery GKE úspěšně připojené k Kubernetes s podporou Azure Arc.
  • Ujistěte se, že koncové body Azure Arc jsou v seznamu povolených bran firewall. Konektor GCP volá rozhraní API do těchto koncových bodů, aby načítá potřebné soubory onboardingu.
  • Pokud se onboarding projektů GCP nezdaří, ujistěte se, že máte compute.regions.list oprávnění a oprávnění Microsoft Entra k vytvoření instančního objektu pro proces onboardingu. Ujistěte se, že jsou prostředky WorkloadIdentityPoolIdGCP , WorkloadIdentityProviderIda ServiceAccountEmail jsou vytvořeny v projektu GCP.

Volání rozhraní API defenderu do GCP

Když nasadíte jeden projekt nebo organizaci GCP, spustí služba zjišťování v programu Defender for Cloud okamžitou kontrolu vašeho prostředí. Služba zjišťování provádí volání rozhraní API do různých koncových bodů služby, aby načetla všechny prostředky, které Azure pomáhá zabezpečit.

Po této počáteční kontrole bude služba pravidelně kontrolovat vaše prostředí v intervalu, který jste nakonfigurovali během onboardingu.

Získání počtu nativních volání rozhraní API, která spustil Defender pro cloud:

  1. Přejděte do Průzkumníka protokolů protokolování>.

  2. Filtrujte data podle potřeby (například 1d).

  3. Spuštěním tohoto dotazu zobrazte volání rozhraní API, která spustil Defender pro cloud:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Podívejte se na histogram a podívejte se na počet volání v průběhu času.

Řešení potíží s agentem Log Analytics

Defender for Cloud používá agenta Log Analytics ke shromažďování a ukládání dat. Informace v tomto článku představují funkci Defender for Cloud po přechodu na agenta Log Analytics.

Typy výstrah jsou:

  • Analýza chování virtuálního počítače (VMBA)
  • Analýza sítě
  • Analýza Azure SQL Database a Azure Synapse Analytics
  • Kontextové informace

V závislosti na typu výstrahy můžete shromáždit potřebné informace k prošetření výstrahy pomocí následujících zdrojů informací:

  • Protokoly zabezpečení v prohlížeči událostí virtuálního počítače ve Windows
  • Démon auditu (auditd) v Linuxu
  • Protokoly aktivit Azure a povolené diagnostické protokoly prostředku útoku

Můžete sdílet zpětnou vazbu ohledně popisu a relevance upozornění. Přejděte na upozornění, vyberte tlačítko Byl tento užitečný , vyberte důvod a pak zadejte komentář, který vám názor vysvětlí. Tento kanál zpětné vazby neustále sledujeme, abychom naše výstrahy vylepšili.

Kontrola procesů a verzí agenta Log Analytics

Stejně jako Azure Monitor používá Defender pro cloud agenta Log Analytics ke shromažďování dat zabezpečení z virtuálních počítačů Azure. Po povolení shromažďování dat a správné instalaci agenta v cílovém počítači HealthService.exe by měl být proces spuštěný.

Otevřete konzolu pro správu služeb (services.msc), abyste se ujistili, že je spuštěná služba agenta Log Analytics.

Snímek obrazovky se službou agenta Log Analytics ve Správci úloh

Pokud chcete zjistit, jakou verzi agenta máte, otevřete Správce úloh. Na kartě Procesy vyhledejte službu agenta Log Analytics, klikněte na ni pravým tlačítkem myši a vyberte Vlastnosti. Na kartě Podrobnosti vyhledejte verzi souboru.

Snímek obrazovky s podrobnostmi o službě agenta Log Analytics

Kontrola scénářů instalace pro agenta Log Analytics

Existují dva scénáře instalace, které můžou způsobit různé výsledky při instalaci agenta Log Analytics do počítače. Podporované scénáře:

  • Agent nainstalovaný automaticky programem Defender for Cloud: Upozornění můžete zobrazit v programu Defender for Cloud a prohledávání protokolů. E-mailová oznámení obdržíte na e-mailovou adresu, kterou jste nakonfigurovali v zásadách zabezpečení pro předplatné, ke kterému prostředek patří.

  • Agent ručně nainstalovaný na virtuálním počítači umístěném v Azure: Pokud v tomto scénáři používáte agenty stažené a nainstalované ručně před únorem 2017, můžete upozornění zobrazit na portálu Defender pro cloud jenom v případě, že filtrujete předplatné, do kterého pracovní prostor patří. Pokud filtrujete předplatné, do kterého prostředek patří, nezobrazí se žádná upozornění. E-mailová oznámení obdržíte na e-mailovou adresu, kterou jste nakonfigurovali v zásadách zabezpečení pro předplatné, ke kterému pracovní prostor patří.

    Abyste se vyhnuli problému s filtrováním, nezapomeňte stáhnout nejnovější verzi agenta.

Monitorování problémů s připojením k síti pro agenta

Aby se agenti mohli připojit ke službě Defender for Cloud a zaregistrovat se k nim, musí mít přístup k adresě DNS a síťovým portům pro síťové prostředky Azure. Pokud chcete tento přístup povolit, proveďte tyto akce:

  • Při použití proxy serverů se ujistěte, že jsou v nastavení agenta správně nakonfigurované příslušné prostředky proxy serveru.
  • Nakonfigurujte síťové brány firewall tak, aby povolily přístup ke službě Log Analytics.

Síťové prostředky Azure jsou:

Prostředek agenta Port Obejití kontroly protokolu HTTPS
*.ods.opinsights.azure.com 443 Ano
*.oms.opinsights.azure.com 443 Ano
*.blob.core.windows.net 443 Ano
*.azure-automation.net 443 Ano

Pokud máte potíže s onboardingem agenta Log Analytics, přečtěte si článek Řešení potíží s onboardingem operations Management Suite.

Řešení potíží s nesprávnou antimalwarovou ochranou

Agent hosta je nadřazený proces všeho, co dělá rozšíření Microsoft Antimalware . Pokud proces agenta hosta selže, může dojít také k selhání ochrany Microsoft Antimalware, která běží jako podřízený proces agenta hosta.

Tady je několik tipů pro řešení potíží:

  • Pokud byl cílový virtuální počítač vytvořen z vlastní image, ujistěte se, že tvůrce virtuálního počítače nainstaloval agenta hosta.
  • Pokud je cílem virtuální počítač s Linuxem, instalace verze antimalwarového rozšíření pro Windows selže. Agent hosta Linuxu má specifické požadavky na operační systém a balíček.
  • Pokud byl virtuální počítač vytvořen pomocí staré verze agenta hosta, starý agent nemusí mít možnost automaticky aktualizovat na novější verzi. Při vytváření vlastních imagí vždy používejte nejnovější verzi agenta hosta.
  • Některý software pro správu třetích stran může zakázat agenta hosta nebo blokovat přístup k určitým umístěním souborů. Pokud je na vašem virtuálním počítači nainstalovaný software pro správu třetích stran, ujistěte se, že je v seznamu vyloučení antimalwarový agent.
  • Ujistěte se, že nastavení brány firewall a skupina zabezpečení sítě neblokují síťový provoz do a z agenta hosta.
  • Ujistěte se, že přístup k diskům nebrání žádné seznamy řízení přístupu.
  • Agent hosta potřebuje dostatek místa na disku, aby fungoval správně.

Ve výchozím nastavení je uživatelské rozhraní Microsoft Antimalware zakázané. Na virtuálních počítačích Azure Resource Manageru ale můžete povolit uživatelské rozhraní Microsoft Antimalware.

Řešení potíží s načtením řídicího panelu

Pokud máte problémy s načtením řídicího panelu ochrany úloh, ujistěte se, že uživatel, který v předplatném poprvé povolil Defender for Cloud, a uživatel, který chce zapnout shromažďování dat, má v předplatném roli Vlastník nebo Přispěvatel . Pokud ano, uživatelé s rolí Čtenář v předplatném uvidí řídicí panel, upozornění, doporučení a zásady.

Řešení potíží s konektory pro organizaci Azure DevOps

Pokud nemůžete připojit organizaci Azure DevOps, vyzkoušejte následující tipy pro řešení potíží:

  • Ujistěte se, že používáte verzi Azure Portal, která není ve verzi Preview. Krok autorizace nefunguje na portálu Azure Preview.

  • Je důležité vědět, ke kterému účtu jste přihlášení při autorizaci přístupu, protože to bude účet, který systém používá pro onboarding. Váš účet může být přidružený ke stejné e-mailové adrese, ale také přidružený k různým tenantům. Ujistěte se, že jste vybrali správnou kombinaci účtu nebo tenanta. Pokud potřebujete změnit kombinaci:

    1. Na stránce profilu Azure DevOps vyberte pomocí rozevírací nabídky jiný účet.

      Snímek obrazovky se stránkou profilu Azure DevOps, která slouží k výběru účtu

    2. Po výběru správné kombinace účtu nebo tenanta přejděte v Defenderu pro cloud do nastavení prostředí a upravte konektor Azure DevOps. Opětovným ověřením konektoru ho aktualizujte správnou kombinací účtu nebo tenanta. V rozevírací nabídce by se měl zobrazit správný seznam organizací.

  • Ujistěte se, že máte v organizaci Azure DevOps roli kolekce projektů Správa istrator, kterou chcete připojit.

  • Ujistěte se, že pro organizaci Azure DevOps je zapnutý přístup k aplikacím třetích stran prostřednictvím přepínače OAuth. Přečtěte si další informace o povolení přístupu OAuth.

Kontaktujte podporu Microsoftu.

Informace o řešení potíží pro Defender for Cloud najdete také na stránce Defender for Cloud Q&A.

Pokud potřebujete další pomoc, můžete na webu Azure Portal otevřít novou žádost o podporu. Na stránce Nápověda a podpora vyberte Vytvořit žádost o podporu.

Snímek obrazovky s výběrem pro vytvoření žádosti o podporu na webu Azure Portal

Viz také

  • Zjistěte, jak spravovat výstrahy zabezpečení v defenderu pro cloud a reagovat na ně.
  • Přečtěte si informace o ověřování výstrah v defenderu pro cloud.
  • Projděte si běžné otázky týkající se používání defenderu pro cloud.