Automatisieren des Onboardings von Microsoft Defender für Cloud mithilfe von PowerShell

  • Artikel

Sie können Ihre Azure-Workloads mithilfe des PowerShell-Moduls „Microsoft Defender für Cloud“ programmgesteuert schützen. Mithilfe von PowerShell können Sie Tasks automatisieren und menschliche Fehler bei manuellen Aufgaben vermeiden. Dies ist vor allem bei umfangreichen Bereitstellungen mit Dutzenden Abonnements und Hunderttausenden Ressourcen praktisch, die alle von Anfang an geschützt werden müssen.

Durch das Onboarding von Microsoft Defender für Cloud mithilfe von PowerShell können Sie das Onboarding und die Verwaltung Ihrer Azure-Ressourcen programmgesteuert automatisieren sowie die erforderlichen Sicherheitskontrollen hinzufügen.

Dieser Artikel enthält ein PowerShell-Beispielskript, das zur abonnementübergreifenden Einführung von Defender für Cloud angepasst und verwendet werden kann.

In diesem Beispiel aktivieren Sie Defender für Cloud für ein Abonnement mit der ID „d07c0080-170c-4c24-861d-9c817742786c“ und wenden die empfohlenen Einstellungen an, die ein hohes Maß an Schutz bieten. Dazu aktivieren Sie die erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud, die erweiterte Funktionen für Bedrohungsschutz und Erkennung bieten:

  1. Aktivieren Sie die erweiterte Sicherheit in Microsoft Defender für Cloud.

  2. Legen Sie den Log Analytics-Arbeitsbereich fest, an den der Log Analytics-Agent die Daten sendet, die auf den mit dem Abonnement verknüpften virtuellen Computern erfasst werden. In diesem Beispiel wird ein vorhandener benutzerdefinierter Arbeitsbereich (myWorkspace) verwendet.

  3. Aktivieren Sie die automatische Agent-Bereitstellung von Defender für Cloud, wodurch der Log Analytics-Agent bereitgestellt wird.

  4. Legen Sie den CISO der Organisation als Sicherheitskontakt für Defender für Cloud-Warnungen und relevante Ereignisse fest.

  5. Weisen Sie die Standardsicherheitsrichtlinien für Defender für Cloud zu.

Voraussetzungen

Diese Schritte sollten ausgeführt werden, bevor Sie die Defender für Cloud-Cmdlets ausführen:

  1. Führen Sie PowerShell als Administrator aus.

  2. Führen Sie die folgenden Befehle in PowerShell aus:

    Set-ExecutionPolicy -ExecutionPolicy AllSigned

    Install-Module -Name Az.Security -Force

Onboarding von Defender für Cloud mithilfe von PowerShell

  1. Registrieren Sie Ihre Abonnements beim Defender für Cloud-Ressourcenanbieter:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

  2. Optional: Legen Sie die Abdeckungsebene (erweiterte Sicherheitsfeatures von Microsoft Defender für Cloud aktiviert/deaktiviert) der Abonnements fest. Wenn diese Features nicht definiert werden, sind sie deaktiviert:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"

  3. Konfigurieren Sie einen Log Analytics-Arbeitsbereich, an den die Agents Daten melden. Sie benötigen einen bereits erstellten Log Analytics-Arbeitsbereich, an den die virtuellen Computer im Abonnement Daten melden können. Sie können mehrere Abonnements festlegen, die an den gleichen Arbeitsbereich Daten melden. Wird keine Angabe gemacht, wird der Standardarbeitsbereich verwendet.

    Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"

  4. Installation mit automatischer Bereitstellung des Log Analytics-Agents auf Ihren virtuellen Azure-Computern:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision

    Hinweis

    Es wird empfohlen, dass Sie die automatische Bereitstellung aktivieren, um sicherzustellen, dass Ihre virtuellen Azure-Computer von Microsoft Defender für Cloud automatisch geschützt werden.
    Im Rahmen der aktualisierten Strategie für Defender for Cloud wird der Azure Monitor Agent (AMA) nicht mehr für das Angebot Defender for Servers benötigt. Für Defender for SQL Server auf Rechnern ist er jedoch weiterhin erforderlich. Daher ist die Bereitstellung von Azure Monitor Agent (AMA) mit dem Defender for Cloud-Portal für SQL-Server auf Rechnern mit einer neuen Bereitstellungsrichtlinie verfügbar. Erfahren Sie mehr über das Migrieren zum automatischen Bereitstellungsprozess des Azure Monitoring-Agent (AMA) für SQL Server.

  5. Optional: Es wird dringend empfohlen, dass Sie die Sicherheitskontaktinformationen für die zu integrierenden Abonnements angeben. Die Sicherheitskontakte sind die Empfänger der von Defender für Cloud generierten Warnungen und Benachrichtigungen:

    Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert

  6. Weisen Sie die Standardrichtlinieninitiative für Defender für Cloud zu:

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

    $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 

New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'

Sie haben das Onboarding von Microsoft Defender für Cloud mit PowerShell erfolgreich durchgeführt.

Diese PowerShell-Cmdlets können nun mit Automatisierungsskripts verwendet werden, um Abonnements und Ressourcen programmgesteuert zu durchlaufen. Das spart Zeit und trägt dazu bei, menschliche Fehler zu vermeiden. Sie können dieses Beispielskript als Referenz verwenden.

Weitere Informationen

Weitere Informationen zum Automatisieren der Integration in Defender für Cloud mithilfe von PowerShell finden Sie im folgenden Artikel:

Weitere Informationen zu Defender für Cloud finden Sie in den folgenden Artikeln: