Automatizace onboardingu Microsoft Defenderu pro cloud pomocí PowerShellu

Úlohy Azure můžete zabezpečit programově pomocí modulu Microsoft Defender for Cloud PowerShell. Použití PowerShellu umožňuje automatizovat úlohy a vyhnout se lidské chybě související s ručními úlohami. To je zvlášť užitečné v rozsáhlých nasazeních, která zahrnují desítky předplatných se stovkami a tisíci prostředků, z nichž všechny musí být od začátku zabezpečené.

Onboarding Microsoft Defenderu pro cloud pomocí PowerShellu umožňuje programově automatizovat onboarding a správu prostředků Azure a přidat potřebné bezpečnostní prvky.

Tento článek obsahuje ukázkový skript PowerShellu, který je možné upravit a použít ve vašem prostředí k zavedení Defenderu pro cloud napříč předplatnými.

V tomto příkladu povolíme Defender for Cloud v předplatném s ID: d07c0080-170c-4c24-861d-9c817742786c a použijeme doporučená nastavení, která poskytují vysokou úroveň ochrany, povolením rozšířených funkcí zabezpečení v programu Microsoft Defender for Cloud, které poskytují rozšířenou ochranu před hrozbami a možnosti detekce:

1. Povolte rozšířené zabezpečení v programu Microsoft Defender for Cloud.

2. Nastavte pracovní prostor služby Log Analytics, do kterého agent Log Analytics odešle data, která shromažďuje na virtuálních počítačích přidružených k předplatnému – v tomto příkladu je to existující pracovní prostor definovaný uživatelem (myWorkspace).

3. Aktivujte automatické zřizování agenta Defenderu pro cloud, které nasadí agenta Log Analytics.

4. Nastavte ciso organizace jako kontakt zabezpečení pro výstrahy Defenderu pro cloud a události, které se dají použít.

5. Přiřaďte výchozí zásady zabezpečení Defenderu pro Cloud.

Požadavky

Před spuštěním rutin Defenderu pro cloud byste měli provést tyto kroky:

1. Spusťte PowerShell jako správce.

2. V PowerShellu spusťte následující příkazy:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned
   

   Install-Module -Name Az.Security -Force
   

Onboarding Defenderu pro cloud pomocí PowerShellu

1. Zaregistrujte svá předplatná ve službě Defender for Cloud Resource Provider:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

2. Volitelné: Nastavte úroveň pokrytí (funkce rozšířeného zabezpečení v programu Microsoft Defender for Cloud zapnuté/vypnuté) předplatných. Pokud není definováno, jsou tyto funkce vypnuté:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
   

3. Nakonfigurujte pracovní prostor služby Log Analytics, do kterého budou agenti hlásit. Musíte mít pracovní prostor služby Log Analytics, který jste už vytvořili, do kterého se budou virtuální počítače předplatného hlásit. Můžete definovat více odběrů pro sestavu do stejného pracovního prostoru. Pokud není definovaný, použije se výchozí pracovní prostor.

   Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
   

4. Automatická instalace agenta Log Analytics na virtuálních počítačích Azure:

   Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"
   

   Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
   

   Poznámka:

   Doporučujeme povolit automatické zřizování, abyste měli jistotu, že vaše virtuální počítače Azure jsou automaticky chráněné programem Microsoft Defender for Cloud.
   V rámci aktualizované strategie Defenderu pro cloud už agent Azure Monitoru (AMA) nebude pro nabídku Defenderu pro servery vyžadovat. Bude se ale dál vyžadovat pro Defender pro SQL Server na počítačích. V důsledku toho je nasazení agenta služby Azure Monitor (AMA) s portálem Defender for Cloud dostupné pro servery SQL na počítačích s novou zásadou nasazení. Přečtěte si další informace o tom, jak migrovat na proces automatického zřizování agenta AMA (Azure Monitoring Agent) cílený na SQL Server.

5. Volitelné: Důrazně doporučujeme definovat podrobnosti kontaktu zabezpečení pro předplatná, která připojíte, která se použijí jako příjemci výstrah a oznámení generovaných programem Defender for Cloud:

   Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
   

6. Přiřaďte výchozí iniciativu zásad defenderu pro cloud:

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
   

   $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
   
   New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
   

Úspěšně jste nasadili Microsoft Defender for Cloud pomocí PowerShellu.

Teď můžete tyto rutiny PowerShellu s automatizačními skripty použít k programové iteraci napříč předplatnými a prostředky. To šetří čas a snižuje pravděpodobnost lidské chyby. Tento ukázkový skript můžete použít jako referenci.

Viz také

Další informace o tom, jak pomocí PowerShellu automatizovat onboarding do Defenderu pro cloud, najdete v následujícím článku:

• Az.Security

Další informace o defenderu pro cloud najdete v následujících článcích:

• Nastavení zásad zabezpečení v Programu Microsoft Defender pro cloud Zjistěte, jak nakonfigurovat zásady zabezpečení pro předplatná Azure a skupiny prostředků.
• Správa a reakce na výstrahy zabezpečení v Programu Microsoft Defender for Cloud Zjistěte, jak spravovat a zpracovávat výstrahy zabezpečení.