Defender for Cloud recopila datos de las máquinas virtuales (VM) de Azure, Virtual Machine Scale Sets, los contenedores de IaaS y los equipos que no son de Azure (incluidos los equipos del entorno local) para realizar una supervisión en busca de amenazas y vulnerabilidades de seguridad. El agente de Log Analytics recopila datos, lee distintas configuraciones relacionadas con la seguridad y registros de eventos de la máquina, y copia los datos en el área de trabajo para analizarlos.
datos, recopilación
¿Cómo se puede habilitar la recolección de datos?
La recopilación de datos se activa automáticamente cuando se habilita un plan de Defender que requiere un componente de supervisión.
¿Qué sucede cuando se habilita la colección de datos?
Si el aprovisionamiento automático está habilitado, Defender for Cloud usa el agente de Log Analytics en todas las máquinas virtuales de Azure compatibles y en las nuevas que se creen. Se recomienda el aprovisionamiento automático pero la instalación manual del agente también está disponible. Obtenga información acerca de cómo instalar la extensión del agente de Log Analytics.
El agente habilita el evento 4688 de creación de procesos y el campo CommandLine dentro del evento 4688. EventLog registra los nuevos procesos creados en la VM y los servicios de detección de Defender for Cloud supervisan dichos procesos. Para obtener más información sobre los detalles que se registran para cada nuevo proceso, consulte los campos de descripción en 4688. El agente también recopila los eventos 4688 creados en la máquina virtual y los almacena en la búsqueda.
El agente también permite la recopilación de datos para controles de aplicación adaptables, y Defender for Cloud configura una directiva de AppLocker local en modo de auditoría que permite todas las aplicaciones. Esta directiva hace que AppLocker genere eventos que luego Defender for Cloud recopila y utiliza. Es importante tener en cuenta que esta directiva no se configura en las máquinas en las que ya se haya configurado una directiva de AppLocker.
Cuando Defender for Cloud detecta actividad sospechosa en la máquina virtual, el cliente recibe una notificación por correo electrónico si se ha proporcionado información de contacto de seguridad. Las alertas también se pueden ver en el panel de alertas de seguridad de Defender for Cloud.
Agentes
¿Qué es el agente de Log Analytics?
Para supervisar las amenazas y vulnerabilidades de seguridad, Microsoft Defender for Cloud depende del agente de Log Analytics, que es el mismo agente que usa el servicio Azure Monitor.
A veces, el agente se denomina Microsoft Monitoring Agent (o "MMA").
El agente recopila diversos detalles de configuración relacionados con la seguridad y registros de eventos de los equipos conectados y luego copia los datos en el área de trabajo de Log Analytics para un análisis más exhaustivo. Estos son algunos ejemplos de dichos datos: tipo y versión del sistema operativo, registros del sistema operativo (registros de eventos de Windows), procesos en ejecución, nombre de la máquina, direcciones IP y usuario conectado.
Asegúrese de que las máquinas ejecutan uno de los sistemas operativos compatibles con el agente, como se describe en las siguientes páginas:
Sistemas operativos Windows compatibles con el agente de Log Analytics
Sistemas operativos Linux compatibles con el agente de Log Analytics
Más información sobre los datos recopilados por el agente de Log Analytics.
¿Qué hace que una máquina virtual sea apta para el aprovisionamiento automático de la instalación del agente de Log Analytics?
Las máquinas virtuales Linux o Windows de IaaS son aptas si:
- La extensión del agente de Log Analytics no está instalada actualmente en la VM.
- El estado de la máquina virtual es en ejecución.
- El agente de máquina virtual de Azure de Windows o Linux está instalado.
- La VM no se utiliza como dispositivo, es decir, firewall de aplicaciones web ni de próxima generación.
¿Qué eventos de seguridad recopila el agente de Log Analytics?
Para obtener una lista completa de los eventos de seguridad que recopila el agente, consulte ¿Qué tipos de eventos se almacenan en la configuración de eventos de seguridad "Común" y "Mínima"?
Importante
Para algunos servicios, como Azure Firewall, el registro de un recurso que genera una gran cantidad de registros puede consumir mucho almacenamiento en el área de trabajo de Log Analytics. Asegúrese de usar el registro detallado solo cuando sea necesario.
¿Qué ocurre si el agente de Log Analytics ya estaba instalado como una extensión en la VM?
Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes a una sola área de trabajo. Defender for Cloud no invalida las conexiones existentes con áreas de trabajo de usuario. Defender for Cloud almacena datos de seguridad de una VM en un área de trabajo que ya esté conectada, siempre que se haya instalado la solución "Security" o "SecurityCenterFree". Durante este proceso, Defender for Cloud podría actualizar la versión de la extensión a la más reciente.
Para obtener más información, consulte Aprovisionamiento automático en los casos de una instalación de agente ya existente.
¿Qué sucede si el agente de Log Analytics se instala directamente en la máquina, pero no como una extensión (agente directo)?
Si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de Azure), Defender for Cloud instala la extensión del agente de Log Analytics y es posible que la actualice a la versión más reciente.
El agente instalado continua informando a las áreas de trabajo que ya tiene configuradas y también al área de trabajo configurada en Defender for Cloud. (las máquinas Windows admiten el hospedaje múltiple).
En el caso de las áreas de trabajo de usuario personalizadas, debe instalar la solución "Security" o "SecurityCenterFree" para que Defender for Cloud pueda procesar eventos de máquinas virtuales y equipos que informan a esa área de trabajo.
En el caso de las máquinas Linux, aún no se admite el hospedaje múltiple del agente. Si se detecta una instalación de agente existente, Defender for Cloud no usa automáticamente un agente ni cambia la configuración de la máquina.
En el caso de las máquinas existentes en suscripciones incorporadas a Defender for Cloud antes del 17 de marzo de 2019, todavía no se admite el hospedaje múltiple del agente. Si se detecta una instalación de agente existente, Defender for Cloud no aprovisiona automáticamente un agente ni cambia la configuración de la máquina. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.
Para más información, consulte la sección siguiente ¿Qué ocurre si ya hay un agente directo de System Center Operations Manager o OMS instalado en mi máquina virtual?
¿Qué ocurre si ya hay un agente de System Center Operations Manager instalado en mi máquina virtual?
Defender for Cloud implementa una directiva de Azure que no permite que el agente de Log Analytics se instale mientras el agente System Center Operations Manager esté instalado en la máquina. Ambos agentes tienen la capacidad de realizar varios inicios e informar a System Center Operations Manager y al área de trabajo de Log Analytics. El agente de Operations Manager y el agente de Log Analytics comparten bibliotecas de tiempo de ejecución comunes. Nota: Si está instalada la versión 2012 del agente de Operations Manager, no active el aprovisionamiento automático (las funcionalidades de administración pueden perderse cuando el servidor de Operations Manager también es de la versión 2012).
¿Qué impacto tiene quitar estas extensiones?
Si quita la extensión de Microsoft Monitoring, Defender for Cloud no será capaz de recopilar datos de seguridad de la VM, y algunas recomendaciones de seguridad y alertas dejarán de estar disponibles. En un plazo de 24 horas, Defender for Cloud determina que la VM no tiene la extensión y vuelve a instalarla.
¿Cómo detengo la instalación automática del agente y la creación del área de trabajo?
La implementación de extensiones con Defender for Cloud es muy recomendable para poder obtener alertas de seguridad y recomendaciones sobre las actualizaciones del sistema, vulnerabilidades del sistema operativo y la protección de puntos de conexión. La desactivación de extensiones limita estas alertas y recomendaciones. Sin embargo, puede deshabilitar el aprovisionamiento automático para un agente o extensión específicos:
Para deshabilitar el aprovisionamiento automático para un agente o extensión específicos:
En Azure Portal, abra Defender for Cloud y seleccione Configuración del entorno.
Seleccione la suscripción correspondiente.
En la columna Cobertura de supervisión del plan de Defender for Server, seleccione Configuración.
Desactive la extensión que desea dejar de aprovisionar automáticamente.
Seleccione Guardar.
¿Debo rechazar la instalación del agente y la creación del área de trabajo automáticas?
Nota
Si decide rechazar el aprovisionamiento automático, no olvide revisar las secciones sobre qué implica rechazarlo y los pasos recomendados al rechazarlo.
Es posible que quiera optar por rechazar el aprovisionamiento automático si los siguientes escenarios se aplican en su caso:
La instalación automática del agente de Defender for Cloud se aplica a toda la suscripción. No se puede aplicar la instalación automática a un subconjunto de VM. Si hay VM críticas en las que no se puede instalar el agente de Log Analytics, debe rechazar el aprovisionamiento automático.
Al instalar la extensión del agente de Log Analytics, se actualiza la versión del agente. Esto se aplica a un agente directo y a un agente de System Center Operations Manager (en este último, Operations Manager y Log Analytics comparten bibliotecas de tiempo de ejecución comunes, que se actualizan en el proceso). Si el agente de Operations Manager instalado es de la versión 2012 y se actualiza, las funcionalidades de administración pueden perderse si la versión del servidor de Operations Manager es también 2012. Plantéese rechazar el aprovisionamiento automático en caso de que la versión instalada del agente de Operations Manager sea 2012.
Si desea evitar la creación de varias áreas de trabajo por suscripción y tiene su propia área de trabajo personalizada en la suscripción, tiene dos opciones:
Puede rechazar el aprovisionamiento automático. Tras la migración, establezca la configuración predeterminada del área de trabajo como se describe en ¿Cómo puedo usar mi área de trabajo de Log Analytics existente?
O bien, puede permitir que la migración se complete, que el agente de Log Analytics se instale en las máquinas virtuales y que estas se conecten al área de trabajo creada. A continuación, seleccione su propia área de trabajo personalizada; para ello, establezca la configuración predeterminada del área de trabajo con la opción de reconfigurar los agentes ya instalados activada. Para más información, consulte ¿Cómo puedo usar mi área de trabajo de Log Analytics existente?
¿Qué implica rechazar el aprovisionamiento automático?
Cuando se completa la migración, Defender for Cloud no puede recopilar datos de seguridad de la VM y algunas recomendaciones y alertas de seguridad no están disponibles. Si rechaza la opción, instale el agente de Log Analytics de forma manual. Consulte los pasos recomendados al rechazarlo.
¿Cuáles son los pasos recomendados al rechazar el aprovisionamiento automático?
Instale la extensión del agente de Log Analytics de forma manual para que Defender for Cloud pueda recopilar los datos de seguridad de las máquinas virtuales y proporcionar recomendaciones y alertas. Consulte la instalación del agente de máquina virtual Windows o la instalación del agente de máquina virtual Linux para obtener instrucciones sobre la instalación.
Puede conectar al agente a cualquier área de trabajo personalizada existente o a la que creara Defender for Cloud. Si el área de trabajo personalizada no tiene las soluciones "Security" o "SecurityCenterFree" habilitadas, es necesario aplicar una solución. Para aplicarla, seleccione el área de trabajo personalizada y aplique un plan de tarifa desde la página de Configuración del entorno> de los planes de Defender.
Defender for Cloud habilita la solución correcta en el área de trabajo en función de las opciones seleccionadas.
¿Cómo quito extensiones OMS instaladas por Defender for Cloud?
Puede quitar manualmente el agente de Log Analytics, pero no se recomienda. La desactivación de las extensiones OMS limita las recomendaciones y alertas de Defender for Cloud.
Nota
Si la recopilación de datos está habilitada, Defender for Cloud volverá a instalar el agente después de que usted lo haya quitado. Debe deshabilitar la recopilación de datos antes de quitar manualmente el agente. Consulte ¿Cómo detengo la instalación automática del agente y la creación del área de trabajo? para obtener instrucciones acerca de la deshabilitación de una colección de datos.
Para quitar manualmente el agente:
En el portal, abra Log Analytics.
En la página Log Analytics, seleccione un área de trabajo:
Seleccione las VM que no quiere supervisar y seleccione Desconectar.
Nota
Si una máquina virtual Linux ya tiene un agente OMS que no es una extensión, la eliminación de la extensión también quita el agente, con lo que es necesario volver a instalarlo.
¿Defender for Cloud funcionará mediante una puerta de enlace de OMS?
Sí. Microsoft Defender for Cloud usa Azure Monitor para recopilar datos de máquinas virtuales y servidores de Azure mediante el agente de Log Analytics. Para recopilar los datos, cada máquina virtual y servidor deben conectarse a Internet mediante HTTPS. La conexión puede ser directa, a través de un proxy o a través de la puerta de enlace de OMS.
¿Afecta el agente Log Analytics al rendimiento de mis servidores?
El agente utiliza una cantidad simbólica de recursos del sistema y apenas tiene impacto en el rendimiento. Para obtener más información sobre el impacto en el rendimiento, y el agente y la extensión, consulte la guía de planeación y las operaciones.
Sin agente
¿Qué datos se recopilan de las instantáneas?
El examen sin agente recopila datos similares a los datos que recopila un agente para realizar el mismo análisis. No se recopilan los datos sin procesar, la PII ni los datos empresariales confidenciales y solo se envían a Defender for Cloud los resultados de metadatos.
¿Cuáles son los costos relacionados con el examen sin agente?
El examen sin agente se incluye en la administración de la posición de seguridad en la nube (CSPM) de Defender y en Defender para servidores P2. No se incurrirá en ningún otro costo para Defender for Cloud al habilitarlo.
Nota
AWS cobra por la retención de instantáneas de disco. El proceso de examen de Defender for Cloud intenta minimizar activamente el período durante el cual se almacena una instantánea en la cuenta (normalmente hasta unos minutos). AWS puede cobrar un costo adicional por el almacenamiento de instantáneas de disco. Consulte con AWS para ver qué costos se aplican a usted.
¿Cómo puedo realizar un seguimiento de los costos de AWS incurridos por las instantáneas de disco creadas por el análisis sin agente de Defender for Cloud?
Las instantáneas de disco se crean con la CreatedByclave de etiqueta y el Microsoft Defender for Cloud valor de etiqueta. La etiqueta CreatedBy realiza un seguimiento de quién creó el recurso.
Debe activar las etiquetas en la consola de Facturación y administración de costos. Las etiquetas pueden tardar hasta 24 horas en activarse.
Una vez que haya activado las etiquetas, AWS genera un informe de asignación de costos como un valor separado por comas (.Archivo CSV) con el uso y el costo agrupados por las etiquetas activas.
Áreas de trabajo
¿Se me facturan los registros de Azure Monitor en las áreas de trabajo que creada Defender for Cloud?
Hay una ingesta de datos gratuita de 500 MB para cada área de trabajo. Se calcula por nodo, por área de trabajo notificada y por día, y está disponible para cada área de trabajo que tenga instaladas soluciones de seguridad o antimalware. Se le cobran los datos ingeridos por encima del límite de 500 MB.
Las áreas de trabajo que crea Defender for Cloud, si bien se configuran para los registros de Azure Monitor por facturación de nodo, no incurren en cargos de registros de Azure Monitor. La facturación de Defender for Cloud siempre se basa en la directiva de seguridad de Defender for Cloud y en las soluciones instaladas en un área de trabajo:
Seguridad avanzada desactivada: Defender for Cloud habilita la solución "SecurityCenterFree" en el área de trabajo predeterminada. No hay cargos cuando no hay ningún plan de Defender habilitado.
Todos los planes de Microsoft defender for Cloud habilitados: Defender for Cloud habilita la solución "Security" en el área de trabajo predeterminada.
Para más información sobre los precios en la moneda o región local, consulte la página de precios.
Nota
El plan de tarifa de Log Analytics de las áreas de trabajo que crea Defender for Cloud no afecta a la facturación de Defender for Cloud.
Nota:
Este artículo se ha actualizado recientemente para usar el término registros de Azure Monitor en lugar de Log Analytics. Los datos de registro siguen almacenándose en un área de trabajo de Log Analytics y siguen recopilándose y analizándose por el mismo servicio de Log Analytics. Estamos actualizando la terminología para reflejar mejor el rol de los registros de Azure Monitor. Consulte Azure Monitor terminology changes (Cambios en la terminología de Azure Monitor) para obtener más información.
¿Dónde se crea el área de trabajo Log Analytics predeterminada?
La ubicación del área de trabajo predeterminada depende de la región de Azure:
- En el caso de las VM de Estados Unidos y Brasil, la ubicación del área de trabajo es Estados Unidos
- En el caso de las máquinas virtuales de Canadá, la ubicación del área de trabajo es Canadá
- En el caso de las VM de Europa, la ubicación del área de trabajo es Europa
- En el caso de las VM del Reino Unido, la ubicación del área de trabajo es el Reino Unido
- En el caso de las VM de Asia Pacífico y Sudeste Asiático, la ubicación del área de trabajo es Asia
- En el caso de las máquinas virtuales de Corea, la ubicación del área de trabajo es Corea
- En el caso de las máquinas virtuales de la India, la ubicación del área de trabajo es la India
- En el caso de las máquinas virtuales de Japón, la ubicación del área de trabajo es Japón
- En el caso de las máquinas virtuales de China, la ubicación del área de trabajo es China
- En el caso de las máquinas virtuales de Australia, la ubicación del área de trabajo es Australia
¿Puedo eliminar las áreas de trabajo predeterminadas creadas por Defender for Cloud?
No se recomienda eliminar el área de trabajo predeterminada. Defender for Cloud utiliza las áreas de trabajo predeterminadas para almacenar los datos de seguridad de las VM. Si elimina un área de trabajo, Defender for Cloud no podrá recopilar estos datos y algunas recomendaciones de seguridad y alertas dejarán de estar disponibles.
Para realizar la recuperación, quite el agente de Log Analytics de las VM conectadas al área de trabajo eliminada. Defender for Cloud vuelve a instalar el agente y crea nuevas áreas de trabajo predeterminadas.
¿Cómo puedo usar mi área de trabajo de Log Analytics existente?
Puede seleccionar un área de trabajo de Log Analytics existente para almacenar los datos recopilados por Defender for Cloud. Para usar el área de trabajo de Log Analytics existente:
- El área de trabajo debe estar asociada con la suscripción de Azure seleccionada.
- Como mínimo, el usuario debe tener permisos de lectura para obtener acceso al área de trabajo.
Nota
Para obtener alertas de seguridad de ese agente, asegúrese de que el agente de Log Analytics y la máquina en la que se ejecuta el agente notifican a un área de trabajo de Log Analytics en el mismo inquilino.
Para seleccionar un área de trabajo de Log Analytics existente:
En el menú de Defender for Cloud, abra Parámetros del entorno.
Seleccione la suscripción correspondiente.
En la columna Cobertura de supervisión del plan de Defender for Server, seleccione Configuración.
Para el agente de Log Analytics, seleccione Editar configuración.
Seleccione Área de trabajo personalizada y seleccione el área de trabajo existente.
Sugerencia
La lista solo incluye las áreas de trabajo a las que tiene acceso y que se encuentran en su suscripción de Azure.
Seleccione Aplicar.
Seleccione Continuar.
Seleccione Guardar y confirme que desea volver a configurar las máquinas virtuales supervisadas.
Importante
Esta opción solo es relevante si va a cambiar la configuración del área de trabajo predeterminada por un área de trabajo personalizada. Si va a cambiar la configuración de un área de trabajo personalizada a otra o de un área de trabajo personalizada a la predeterminada, el cambio no se aplica a las máquinas existentes.
- Haga clic en No si quiere que la nueva configuración del área de trabajo solo se aplique a las máquinas virtuales nuevas. La nueva configuración del área de trabajo solo se aplica a las nuevas instalaciones de agente, aquellas VM recién detectadas que no tengan instalado el agente de Log Analytics.
- Haga clic en Sí si quiere que la nueva configuración del área de trabajo se aplique a todas las máquinas virtuales. Además, todas las máquinas virtuales conectadas a un área de trabajo creada de Defender for Cloud se vuelven a conectar a la nueva área de trabajo de destino.
Nota
Si selecciona Sí, no elimine las áreas de trabajo creadas por Defender for Cloud hasta que todas las máquinas virtuales se hayan vuelto a conectar a la nueva área de trabajo de destino. Esta operación no se lleva a cabo si se elimina un área de trabajo demasiado pronto.
¿Defender for Cloud invalida las conexiones existentes entre máquinas virtuales y áreas de trabajo?
Si una máquina virtual ya tiene instalado el agente de Log Analytics como una extensión de Azure, Defender for Cloud no invalida la conexión del área de trabajo existente. En su lugar, Defender for Cloud usa el área de trabajo existente. La máquina virtual está protegida siempre que se haya instalado la solución "Security" o "SecurityCenterFree" en el área de trabajo a la que está notificando.
Una solución de Defender for Cloud se instala en el área de trabajo seleccionada en la pantalla Recopilación de datos si todavía no está presente y la solución solo se aplica a las máquinas virtuales pertinentes. Cuando se agrega una solución, se implementa automáticamente de forma predeterminada en todos los agentes de Windows y Linux conectados al área de trabajo de Log Analytics. La selección de destino de solución le permite aplicar un ámbito a sus soluciones.
Sugerencia
Si el agente de Log Analytics se instala directamente en la máquina virtual (no como una extensión de Azure), Defender for Cloud no lo instala y la supervisión de seguridad estará limitada.
¿Defender for Cloud instala soluciones en mis áreas de trabajo de Log Analytics existentes? ¿Qué implica desde el punto de vista de la facturación?
Cuando Defender for Cloud identifica que una VM ya está conectada a un área de trabajo creada por el usuario, habilita las soluciones en esta área de trabajo según la configuración de precios. Las soluciones se aplican solo a los recursos pertinentes a través de la selección de destino de solución, por lo que la facturación sigue siendo la misma.
No hay planes de Defender habilitados: Defender for Cloud instala la solución "SecurityCenterFree" en el área de trabajo y no se le factura.
Habilite todos los planes de Microsoft Defender: Defender for Cloud instala la solución "Security" en el área de trabajo.
Ya tengo áreas de trabajo en mi entorno, ¿puedo utilizarlas para recopilar datos de seguridad?
Si una máquina virtual ya tiene el agente de Log Analytics instalado como una extensión de Azure, Defender for Cloud usa el área de trabajo conectada existente. Una solución de Defender for Cloud se instala en el área de trabajo si todavía no está presente y la solución solo se aplica a VM relevantes mediante la selección de destino de solución.
Cuando Defender para la nube instala el agente de Log Analytics en máquinas virtuales, usa las áreas de trabajo predeterminadas creadas por Defender para la nube si no apunta a un área de trabajo existente.
Ya tengo una solución de seguridad en mis áreas de trabajo. ¿Qué implica desde el punto de vista de la facturación?
La solución Seguridad y auditoría se usa para habilitar Microsoft Defender para servidores. Si la solución Seguridad y auditoría ya está instalada en un área de trabajo, Defender for Cloud utiliza la solución existente. No hay ningún cambio en la facturación.
Pasos siguientes
Más información sobre cómo Defender for Cloud recopila datos