Wie sammelt Defender für Cloud Daten?
Defender für Cloud erfasst Daten von Ihren Azure-VMs, VM-Skalierungsgruppen, IaaS-Containern und Nicht-Azure-Computern (auch lokal), um sie auf Sicherheitslücken und Bedrohungen zu überwachen. Einige Defender-Pläne erfordern Überwachungskomponenten, um Daten aus Ihren Workloads zu sammeln.
Die Datensammlung ist erforderlich, um einen Einblick in fehlende Updates, falsch konfigurierte Sicherheitseinstellungen des Betriebssystems, den Status des Endpunktschutzes sowie Integritäts- und Bedrohungsschutz bereitzustellen. Die Datensammlung ist nur für Computeressourcen (etwa virtuelle Computer, VM-Skalierungsgruppen, IaaS-Container und Azure-fremde Computer) erforderlich.
Sie können von Microsoft Defender für Cloud profitieren, auch wenn Sie keine Agents bereitstellen. Allerdings haben Sie dann nur eingeschränkte Sicherheit und die aufgeführten Funktionen werden nicht unterstützt.
Daten werden wie folgt gesammelt:
- Azure Monitor-Agent (AMA)
- Microsoft Defender for Endpunkt (MDE)
- Log Analytics-Agent
- Sicherheitskomponenten wie Azure Policy für Kubernetes
Gründe für die Verwendung von Defender for Cloud zum Bereitstellen von Überwachungskomponenten
Der Einblick in die Sicherheit Ihrer Workloads hängt von den Daten ab, die die Überwachungskomponenten sammeln. Die Komponenten gewährleisten die Sicherheitsabdeckung für alle unterstützten Ressourcen.
Um Ihnen die manuelle Installation der Erweiterungen zu ersparen, reduziert Defender for Cloud den Verwaltungsaufwand, indem alle erforderlichen Erweiterungen auf vorhandenen und neuen Computern installiert werden. Defender for Cloud weist den Workloads im Abonnement die entsprechende Richtlinie Bereitstellung, falls nicht vorhanden zu. Dieser Richtlinientyp stellt sicher, dass die Erweiterung für alle vorhandenen und zukünftigen Ressourcen dieses Typs bereitgestellt wird.
Tipp
Weitere Informationen zu Azure Policy-Auswirkungen, einschließlich Bereitstellung, falls nicht vorhanden, finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.
Welche Pläne verwenden Überwachungskomponenten?
Diese Pläne verwenden Überwachungskomponenten zum Sammeln von Daten:
- Defender für Server
- Azure Arc-Agent (für Multicloudserver und lokale Server)
- Microsoft Defender für den Endpunkt
- Sicherheitsrisikobewertung
- Azure Monitor-Agent oder Log Analytics-Agent
- Defender für SQL-Server auf Computern
- Azure Arc-Agent (für Multicloudserver und lokale Server)
- Azure Monitor-Agent oder Log Analytics-Agent
- Automatische Ermittlung und Registrierung von SQL-Servern
- Defender for Containers
- Azure Arc-Agent (für Multicloudserver und lokale Server)
- Defender-Sensor, Azure Policy für Kubernetes, Kubernetes-Überwachungsprotokolldaten
Verfügbarkeit von Erweiterungen
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Azure Monitor-Agent (AMA)
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemein verfügbar (Generally Available, GA) |
| Relevanter Defender-Plan: | Defender für SQL-Server auf Computern |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | Besitzer |
| Unterstützte Ziele: |  Virtuelle Azure-ComputerComputer mit Azure Arc-Unterstützung |
| Richtlinienbasiert: | Ja |
| Clouds: | Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Erfahren Sie mehr über die Verwendung des Azure Monitor-Agents mit Defender for Cloud.
Log Analytics-Agent
| Aspekt | Virtuelle Azure-Computer | Computer mit Azure Arc-Unterstützung |
|---|---|---|
| Status des Release: | Allgemein verfügbar (Generally Available, GA) | Allgemein verfügbar (Generally Available, GA) |
| Relevanter Defender-Plan: | Grundlegende Funktionen zur Verwaltung der Cloudsicherheit (Foundational Cloud Security Posture Management, CSPM) für Agent-basierte Sicherheitsempfehlungen Microsoft Defender für Server Microsoft Defender für SQL |
Grundlegende Funktionen zur Verwaltung der Cloudsicherheit (Foundational Cloud Security Posture Management, CSPM) für Agent-basierte Sicherheitsempfehlungen Microsoft Defender für Server Microsoft Defender für SQL |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | Besitzer | Besitzer |
| Unterstützte Ziele: | Virtuelle Azure-Computer |
Computer mit Azure Arc-Unterstützung |
| Richtlinienbasiert: | Nein |
Ja |
| Clouds: | Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Unterstützte Betriebssysteme für den Log Analytics-Agent
Defender für Cloud ist vom Log Analytics-Agent abhängig. Stellen Sie sicher, dass auf ihren Computern eines der unterstützten Betriebssysteme für diesen Agent ausgeführt wird, wie auf den folgenden Seiten beschrieben:
- Log Analytics-Agent für von Windows unterstützte Betriebssysteme
- Log Analytics-Agent für von Linux unterstützte Betriebssysteme
Stellen Sie außerdem sicher, dass der Log Analytics-Agent ordnungsgemäß für das Senden von Daten an Defender für Cloud konfiguriert ist.
Bereitstellen des Log Analytics-Agents bei einer bereits vorhandenen Agent-Installation
Die folgenden Anwendungsfälle erklären, wie die Bereitstellung des Log Analytics-Agents funktioniert, wenn bereits ein Agent oder eine Erweiterung installiert ist.
Der Log Analytics-Agent ist auf dem Computer installiert, aber nicht als Erweiterung (Direkt-Agent): Wenn der Log Analytics-Agent direkt auf der VM installiert ist (also nicht als Azure-Erweiterung), installiert Defender für Cloud die Log Analytics-Agent-Erweiterung und aktualisiert den Log Analytics-Agent ggf. auf die aktuelle Version. Der installierte Agent sendet weiterhin Berichte an seine bereits konfigurierten Arbeitsbereichen und den in Defender für Cloud konfigurierten Arbeitsbereich. (Multihoming wird auf Windows-Computern unterstützt.)
Wenn Log Analytics mit einem Benutzerarbeitsbereich konfiguriert ist und nicht dem Standardarbeitsbereich von Defender für Cloud, müssen Sie darin die Lösung „Security“ oder „SecurityCenterFree“ installieren, damit Defender für Cloud mit der Verarbeitung von Ereignissen von VMs und Computern beginnen kann, die ihre Berichte an diesen Arbeitsbereich senden.
Auf Linux-Computern wird das Agent-Multihoming noch nicht unterstützt. Wenn eine vorhandene Agent-Installation erkannt wird, wird der Log Analytics-Agent nicht bereitgestellt.
Wenn für vorhandene Computer in Abonnements, die vor dem 17. März 2019 in Defender für Cloud integriert wurden, ein vorhandener Agent erkannt wird, wird die Log Analytics-Agent-Erweiterung nicht installiert, und der Computer ist nicht betroffen. Für diese Computer wird die Empfehlung „Monitoring Agent-Integritätsprobleme auf Ihren Computern beheben“ angezeigt, damit Sie die Installationsprobleme des Agents auf diesen Computern beheben können.
Der System Center Operations Manager-Agent ist auf dem Computer installiert: Defender für Cloud installiert die Log Analytics-Agent-Erweiterung parallel zum vorhandenen Operations Manager. Der vorhandene Operations Manager-Agent sendet weiterhin normal Berichte an den Operations Manager-Server. Der Operations Manager-Agent und der Log Analytics-Agent nutzen gemeinsame Laufzeitbibliotheken, die bei diesem Vorgang auf die neueste Version aktualisiert werden.
Eine VM-Erweiterung ist bereits vorhanden:
- Wenn der Monitoring Agent als Erweiterung installiert ist, erlaubt die Konfiguration der Erweiterung auch Berichte an nur einen einzelnen Arbeitsbereich. Bereits vorhandene Verbindungen mit Benutzerarbeitsbereichen werden von Defender für Cloud nicht überschrieben. Defender für Cloud speichert Sicherheitsdaten der VM im bereits verbundenen Arbeitsbereich, sofern darin die Lösung „Security“ oder „SecurityCenterFree“ installiert wurde. Defender for Cloud führt möglicherweise während dieses Vorgangs ein Upgrade der Erweiterungsversion auf die neueste Version durch.
- Um zu sehen, an welchen Arbeitsbereich die vorhandene Erweiterung Daten sendet, führen Sie dasTool TestCloudConnection.exe aus, um die Konnektivität mit Microsoft Defender für Cloud zu überprüfen, wie unter Überprüfen der Konnektivität des Log Analytics-Agenten beschrieben. Alternativ können Sie Log Analytics-Arbeitsbereiche öffnen, einen Arbeitsbereich und den virtuellen Computer auswählen und sich die Log Analytics-Agent-Verbindung ansehen.
- Wenn Sie über eine Umgebung verfügen, in der der Log Analytics-Agent auf Clientarbeitsstationen installiert ist und an einen vorhandenen Log Analytics-Arbeitsbereich berichtet, überprüfen Sie die Liste der von Microsoft Defender für Cloud unterstützten Betriebssysteme, um sicherzustellen, dass Ihr Betriebssystem unterstützt wird.
Informieren Sie sich ausführlicher über die Verwendung des Log Analytics-Agents.
Microsoft Defender für den Endpunkt
| Aspekt | Linux | Windows |
|---|---|---|
| Status des Release: | Allgemein verfügbar (Generally Available, GA) | Allgemein verfügbar (Generally Available, GA) |
| Relevanter Defender-Plan: | Microsoft Defender für Server | Microsoft Defender für Server |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | - Zum Aktivieren/Deaktivieren der Integration: Sicherheitsadministrator oder Besitzer - Zum Anzeigen von Defender for Endpunkt-Warnungen in Defender for Cloud: Sicherheitsleseberechtigter, Leser, Ressourcengruppenmitwirkender, Ressourcengruppenbesitzer, Sicherheitsadministrator, Abonnementbesitzer oder Abonnementmitwirkender |
- Zum Aktivieren/Deaktivieren der Integration: Sicherheitsadministrator oder Besitzer - Zum Anzeigen von Defender for Endpunkt-Warnungen in Defender for Cloud: Sicherheitsleseberechtigter, Leser, Ressourcengruppenmitwirkender, Ressourcengruppenbesitzer, Sicherheitsadministrator, Abonnementbesitzer oder Abonnementmitwirkender |
| Unterstützte Ziele: | Computer mit Azure Arc-Unterstützung Virtuelle Azure-Computer |
Computer mit Azure Arc-Unterstützung Azure VMs mit Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise mit mehreren Sitzungen Azure-VMs unter Windows 10 |
| Richtlinienbasiert: | Nein |
Nein |
| Clouds: | Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Erfahren Sie mehr zu Microsoft Defender für Endpunkt.
Sicherheitsrisikobewertung
| Aspekt | Details |
|---|---|
| Status des Release: | Allgemein verfügbar (Generally Available, GA) |
| Relevanter Defender-Plan: | Microsoft Defender für Server |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | Besitzer |
| Unterstützte Ziele: | Virtuelle Azure-ComputerComputer mit Azure Arc-Unterstützung |
| Richtlinienbasiert: | Ja |
| Clouds: | Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Gastkonfiguration
| Aspekt | Details |
|---|---|
| Status des Release: | Vorschau |
| Relevanter Defender-Plan: | Kein Plan erforderlich |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | Besitzer |
| Unterstützte Ziele: | Virtuelle Azure-Computer |
| Clouds: | Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Erfahren Sie mehr über die Gastkonfigurationserweiterung von Azure.
Defender for Containers-Erweiterungen
Diese Tabelle zeigt die Verfügbarkeitsdetails für die Komponenten, die für die von Microsoft Defender for Containers gebotenen Schutzmaßnahmen erforderlich sind.
Standardmäßig sind die erforderlichen Erweiterungen aktiviert, wenn Sie Defender for Containers über das Azure-Portal aktivieren.
| Aspekt | Azure Kubernetes Service-Cluster | Kubernetes-Cluster mit Azure Arc-Unterstützung |
|---|---|---|
| Status des Release: | • Defender-Sensor: GA • Azure Policy für Kubernetes: Allgemein verfügbar (GA) |
• Defender-Sensor: Vorschau • Azure Policy für Kubernetes: Vorschau |
| Relevanter Defender-Plan: | Microsoft Defender für Container | Microsoft Defender für Container |
| Erforderliche Rollen und Berechtigungen (Abonnementebene): | Besitzer oder Benutzerzugriffsadministrator | Besitzer oder Benutzerzugriffsadministrator |
| Unterstützte Ziele: | Der AKS Defender-Sensor unterstützt nur AKS-Cluster, bei denen RBAC aktiviert wurde. | Siehe Kubernetes-Verteilungen, die für Kubernetes mit Arc-Unterstützung unterstützt werden |
| Richtlinienbasiert: | Ja |
Ja |
| Clouds: | Defender-Sensor: Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet Azure Policy für Kubernetes: Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Defender-Sensor: Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet Azure Policy für Kubernetes: Kommerzielle Clouds Azure Government, Microsoft Azure operated by 21Vianet |
Erfahren Sie mehr über die Rollen, die zum Bereitstellen von Defender for Containers-Erweiterungen verwendet werden.
Problembehandlung
- Informationen zum Identifizieren von Netzwerkanforderungen für den Überwachungs-Agent finden Sie unter Beheben von Problemen mit den Netzwerkanforderungen für den Überwachungs-Agent.
- Informationen zum Identifizieren von Problemen beim manuellen Onboarding finden Sie unter Behandeln von Problemen beim Operations Management Suite-Onboarding.
Nächste Schritte
Auf dieser Seite wurde erläutert, was Überwachungskomponenten sind und wie sie aktiviert werden können.
Weitere Informationen:
- Einrichten von E-Mail-Benachrichtigungen für Sicherheitswarnungen
- Schützen von Workloads mit den Defender-Plänen