Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když v Programu Microsoft Defender for Cloud povolíte Defender for Servers Plan 2, využijete každý den 500 MB bezplatného příjmu dat. Tady je postup, jak to funguje.
- Program Defender for Servers Plan 2 poskytuje denní limit 500 MB na uzel pro konkrétní datové typy zabezpečení shromažďované programem Defender for Cloud.
- Příjem dat se počítá na počítač, na hlášený pracovní prostor a každý den.
- Celkový denní bezplatný limit se rovná [počet počítačů] x 500 MB.
- Tento příspěvek je denní sazba průměrovaná na všech počítačích.
- Pokud celkový počet nepřekročí denní bezplatný limit, nebudete se vám účtovat ani v případě, že některé počítače odesílají 100 MB a jiné posílají 800 MB.
- Výhoda je udělena pracovnímu prostoru služby Log Analytics, kde se počítač hlásí.
- Výhoda se nemusí na faktuře zobrazovat, protože má nulové náklady. Výhoda je viditelná v produktu a v exportech ze služby Microsoft Cost Management. Zjistěte, jak zobrazit výhody přidělení dat.
Požadavky
- Každý počítač, na kterém běží agent Azure Monitoru (AMA) v předplatném s povoleným Programem Defender for Servers Plan 2, získá výhodu.
- Každý pracovní prostor, ve kterém musí mít sestava počítačů povolený Defender for Servers Plan 2.
- Každý počítač, který hlásí více než jednomu pracovnímu prostoru, získá výhodu udělenou pouze jednomu z nich.
Pro výhodu se podporují následující podmnožina datových typů zabezpečení:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- Aktualizace a updateSummary , pokud řešení Update Management není spuštěné v pracovním prostoru nebo cílení řešení je povolené.
- Události monitorování integrity souborů MDC
- WindowsEvent
- LinuxAuditLog
Vytvoření vlastního Pravidla shromažďování dat (DCR) pro bezpečnostní události s výhodou 500 MB za den
Události zabezpečení jsou zdarma, až do 500 MB na server a den, ale pouze pokud se dostanou k tabulce SecurityEvent. DCR musí proto používat stream Microsoft-SecurityEvent k zajištění souladu s požadavky na příjem dat.
Rychlé kroky k vytvoření DCR
Přejděte na Azure portal ▸ Monitor ▸ Pravidla shromažďování dat ▸ + Vytvořit.
Přidání zdroje dat
Typ: Protokoly událostí Systému Windows
Název protokolu:
SecurityStream:
Microsoft-SecurityEvent(Volitelné) filtrování pomocí XPathu, například:
*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
Cíl – Vyberte pracovní prostor služby Log Analytics, který má povolený Defender for Servers Plan 2 .
Zkontrolovat a vytvořit ▸ Přiřaďte pravidlo počítačům s Windows, na kterých běží agent Azure Monitor (AMA).
Ukázkový fragment JSON
{
"dataSources": {
"windowsEventLogs": [
{
"name": "SecurityEvents",
"streams": ["Microsoft-SecurityEvent"],
"xPathQueries": [
"*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
]
}
]
},
"destinations": {
"logAnalytics": [
{ "workspaceId": "<workspace-id>" }
]
}
}
Kontrolní seznam dodržování předpisů
| Požadavek | Proč je to důležité |
|---|---|
Microsoft-SecurityEvent stream v DCR |
Směruje data do tabulky SecurityEvent , na kterou se vztahuje povolená hodnota. |
| Řešení zabezpečení povolené v pracovním prostoru | Zajišťuje, že se použije výhoda příjmu dat (stejná jako u Defenderu pro servery – plán 2). |
| Defender for Servers Plan 2 | Uděluje denní povolenku 500 MB na uzel. |
| Nainstalovaný agent služby Azure Monitor (AMA) | Je třeba aplikovat vlastní DCRs. |
Nasazení ve velkém
Automatizujte vytváření a přiřazení kompatibilního DCR napříč předplatnými pomocí iniciativy Azure Policy Deploy AMA DCR for Security Events collection.
Konfigurace pracovního prostoru
Azure Monitor popisuje, jak vytvořit pracovní prostor služby Log Analytics.
Povolení programu Defender for Servers Plan 2 v pracovním prostoru
Na webu Azure Portal vyhledejte a vyberte Microsoft Defender for Cloud.
V nabídce Defender for Cloud vyberte Nastavení prostředí a vyberte příslušný pracovní prostor.
Vyberte příslušný pracovní prostor.
Přepněte plán serverů na Zapnuto a pak vyberte Uložit.
Poznámka:
Pokud chcete zakázat Defender for Servers Plan 2, explicitně zakážete plán v jakémkoli pracovním prostoru služby Log Analytics s povoleným plánem.