¿Cómo recopila Defender for Cloud los datos?
Defender for Cloud recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas virtuales, los contenedores de IaaS y máquinas que no son de Azure (incluidas las del entorno local) para supervisar las amenazas y vulnerabilidades de seguridad. Algunos planes de Defender requieren componentes de supervisión para recopilar datos de las cargas de trabajo.
La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección contra amenazas y del mantenimiento. La recopilación de datos solo es necesaria para los recursos de proceso, como máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no son de Azure.
Puede beneficiarse de Microsoft Defender for Cloud aunque no aprovisione agentes. Sin embargo, tendrá una seguridad limitada y no se admitirán las funcionalidades indicadas.
Los datos se recopilan mediante:
- Agente de Azure Monitor (AMA)
- Microsoft Defender para punto de conexión (MDE)
- Agente de Log Analytics
- Componentes de seguridad, como el complemento de Azure Policy para Kubernetes
¿Por qué usar Defender for Cloud para implementar componentes de supervisión?
La visibilidad sobre la seguridad de las cargas de trabajo depende de los datos que recopilan los componentes de supervisión. Los componentes garantizan la cobertura de seguridad de todos los recursos admitidos.
Para evitar que tenga que hacer de forma manual el proceso de instalación de las extensiones, Defender for Cloud reduce la sobrecarga de administración mediante la instalación de todas las extensiones necesarias en máquinas nuevas y existentes. Defender for Cloud asigna la directiva de implementación adecuada si no existe a las cargas de trabajo de la suscripción. Este tipo de directiva garantiza que la extensión esté aprovisionada en todos los recursos existentes y futuros de ese tipo.
Sugerencia
Obtenga más información sobre los efectos de Azure Policy, incluida la directiva Implementar si no existe en Comprender los efectos de Azure Policy.
¿Qué planes usan los componentes de supervisión?
Estos planes usan componentes de supervisión para recopilar datos:
- Defender para servidores
- Agente de Azure Arc (para servidores multinube y locales)
- Microsoft Defender para punto de conexión
- Evaluación de vulnerabilidades
- Agente de Azure Monitor o agente de Log Analytics
- Defender para servidores SQL en máquinas
- Agente de Azure Arc (para servidores multinube y locales)
- Agente de Azure Monitor o agente de Log Analytics
- Detección y registro automáticos de SQL Server
- Defender para contenedores
- Agente de Azure Arc (para servidores multinube y locales)
- Sensor de Defender, Azure Policy para Kubernetes, datos de registro de auditoría de Kubernetes
Disponibilidad de extensiones
En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Agente de Azure Monitor (AMA)
Aspecto | Detalles |
---|---|
Estado de la versión: | Disponible con carácter general |
Plan de Defender pertinente: | Defender para servidores SQL en máquinas |
Roles y permisos necesarios (nivel de suscripción): | Propietario |
Destinos admitidos: | Máquinas virtuales de Azure Máquinas habilitadas para Azure Arc |
Basada en directivas: | Sí |
Nubes: | Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Obtenga más información sobre el uso del agente de Azure Monitor con Defender for Cloud.
Agente de Log Analytics
Aspecto | Azure Virtual Machines | Máquinas habilitadas para Azure Arc |
---|---|---|
Estado de la versión: | Disponible con carácter general | Disponible con carácter general |
Plan de Defender pertinente: | Administración de la posición de seguridad en la nube (CSPM) básica para recomendaciones de seguridad basadas en agentes Microsoft Defender para servidores Microsoft Defender para SQL |
Administración de la posición de seguridad en la nube (CSPM) básica para recomendaciones de seguridad basadas en agentes Microsoft Defender para servidores Microsoft Defender para SQL |
Roles y permisos necesarios (nivel de suscripción): | Propietario | Propietario |
Destinos admitidos: | Máquinas virtuales de Azure | Máquinas habilitadas para Azure Arc |
Basada en directivas: | No | Sí |
Nubes: | Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Sistemas operativos compatibles con el agente de Log Analytics
Defender for Cloud depende del agente de Log Analytics. Asegúrese de que las máquinas ejecutan uno de los sistemas operativos compatibles con este agente, como se describe en las siguientes páginas:
- Sistemas operativos Windows compatibles con el agente de Log Analytics
- Sistemas operativos Linux compatibles con el agente de Log Analytics
Asegúrese también de que el agente de Log Analytics esté configurado correctamente para enviar datos a Defender for Cloud.
Implementación del agente de Log Analytics en casos en los que haya una instalación de agente preexistente
Los siguientes casos de uso especifican cómo funciona la implementación del agente de Log Analytics en aquellos casos en que ya hay un agente o una extensión instalados.
El agente de Log Analytics está instalado en la máquina, pero no como una extensión (Agente directo): si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de Azure), Defender for Cloud instalará la extensión del agente de Log Analytics y puede que la actualice a la versión más reciente. El agente instalado continuará informando a las áreas de trabajo que ya tiene configuradas y, además, al área de trabajo configurada en Defender for Cloud (las máquinas Windows admiten el hospedaje múltiple).
Si Log Analytics está configurado con un área de trabajo de usuario, no el área de trabajo predeterminada de Defender for Cloud, deberá instalar la solución "Security" o "SecurityCenterFree" para que Defender for Cloud empiece a procesar eventos de las máquinas virtuales y los equipos que informan a esa área de trabajo.
En el caso de las máquinas Linux, aún no se admite el hospedaje múltiple del agente. Si se detecta la instalación de un agente existente, el agente de Log Analytics no se implementará.
En el caso de las máquinas existentes en suscripciones incorporadas a Defender for Cloud antes del 17 de marzo de 2019, cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la máquina no se modificará. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.
El agente de System Center Operations Manager está instalado en la máquina: Defender for Cloud instalará la extensión del agente de Log Analytics en paralelo a la versión existente de Operations Manager. El agente de Operations Manager existente continuará enviando informes con normalidad al servidor de Operations Manager. El agente de Operations Manager y el agente de Log Analytics comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión más reciente durante este proceso.
Está presente una extensión de máquina virtual existente:
- Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes a una sola área de trabajo. Defender for Cloud no invalida las conexiones existentes con áreas de trabajo de usuario. Defender for Cloud almacenará datos de seguridad de la máquina virtual en el área de trabajo que ya está conectada, si se ha instalado en ella la solución "Security" o "SecurityCenterFree". Durante este proceso, Defender for Cloud podría actualizar la versión de la extensión a la más reciente.
- Para ver a qué área de trabajo envía datos la extensión existente, ejecute la herramienta TestCloudConnection.exe para validar la conectividad con Microsoft Defender for Cloud, como se describe en Verificar la conectividad del agente de Log Analytics. También puede abrir las áreas de trabajo de Log Analytics, seleccionar un área de trabajo, seleccionar la máquina virtual y examinar la conexión del agente de Log Analytics.
- Si tiene un entorno donde esté instalado el agente de Log Analytics en estaciones de trabajo de cliente y esté informando a un área de trabajo de Log Analytics existente, revise la lista de sistemas operativos compatibles con Microsoft Defender for Cloud para asegurarse de que el sistema operativo es compatible.
Obtenga más información sobre el funcionamiento del agente de Log Analytics.
Microsoft Defender para punto de conexión
Aspecto | Linux | Windows |
---|---|---|
Estado de la versión: | Disponible con carácter general | Disponible con carácter general |
Plan de Defender pertinente: | Microsoft Defender para servidores | Microsoft Defender para servidores |
Roles y permisos necesarios (nivel de suscripción): | - Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario - Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción |
- Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario - Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción |
Destinos admitidos: | Máquinas habilitadas para Azure Arc Máquinas virtuales de Azure |
Máquinas habilitadas para Azure Arc Máquinas virtuales de Azure que ejecutan Windows 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, la sesión múltiple de Azure Virtual Desktop o de Windows 10 Enterprise Máquinas virtuales de Azure que ejecutan Windows 10 |
Basada en directivas: | No | No |
Nubes: | Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Obtenga más información acerca de Microsoft Defender for Endpoint.
Evaluación de vulnerabilidades
Aspecto | Detalles |
---|---|
Estado de la versión: | Disponible con carácter general |
Plan de Defender pertinente: | Microsoft Defender para servidores |
Roles y permisos necesarios (nivel de suscripción): | Propietario |
Destinos admitidos: | Máquinas virtuales de Azure Máquinas habilitadas para Azure Arc |
Basada en directivas: | Sí |
Nubes: | Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Configuración de invitado
Aspecto | Detalles |
---|---|
Estado de la versión: | Versión preliminar |
Plan de Defender pertinente: | No se requiere ningún plan |
Roles y permisos necesarios (nivel de suscripción): | Propietario |
Destinos admitidos: | Máquinas virtuales de Azure |
Nubes: | Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Obtenga más información sobre la extensión de configuración de invitado de Azure.
Extensiones de Defender para contenedores
En esta tabla se muestran los detalles de disponibilidad de los componentes necesarios para proporcionar las protecciones que ofrece Microsoft Defender para contenedores.
De forma predeterminada, las extensiones requeridas se habilitan cuando habilita Defender para contenedores desde Azure Portal.
Aspecto | Clústeres de Azure Kubernetes Service | Clústeres de Kubernetes habilitados para Azure Arc |
---|---|---|
Estado de la versión: | • Sensor de Defender: disponibilidad general • Azure Policy para Kubernetes (disponibilidad general) |
• Sensor de Defender: versión preliminar • Azure Policy para Kubernetes (versión preliminar) |
Plan de Defender pertinente: | Microsoft Defender para contenedores | Microsoft Defender para contenedores |
Roles y permisos necesarios (nivel de suscripción): | Propietario o Administrador de acceso de usuario | Propietario o Administrador de acceso de usuario |
Destinos admitidos: | El sensor de AKS Defender solo admite clústeres de AKS que tienen RBAC habilitado. | Consulte Distribuciones de Kubernetes compatibles con Kubernetes habilitado para Arc. |
Basada en directivas: | Sí | Sí |
Nubes: | Sensor de Defender: Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet Azure Policy para Kubernetes: Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Sensor de Defender: Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet Azure Policy para Kubernetes: Nubes comerciales Azure Government, Microsoft Azure operado por 21Vianet |
Obtenga más información sobre los roles que se usan para aprovisionar extensiones de Defender para contenedores.
Solución de problemas
- Para identificar los requisitos de red de agente de supervisión, consulte Solución de problemas de los requisitos de red del agente de supervisión.
- Para identificar problemas de incorporación manual, consulte Cómo solucionar problemas de incorporación de Operations Management Suite.
Pasos siguientes
En esta página se explica qué son los componentes de supervisión y cómo puede habilitarlos.
Más información sobre:
- Configuración de notificaciones de alertas de seguridad por correo electrónico
- Protección de cargas de trabajo con los planes de Defender