Automatización de la incorporación de Microsoft Defender for Cloud mediante PowerShell
Puede proteger las cargas de trabajo de Azure a través de programación mediante el módulo PowerShell de Microsoft Defender for Cloud. El uso de PowerShell le permite automatizar las tareas y evitar los errores humanos inherentes a las tareas manuales. Esto es especialmente útil en implementaciones a gran escala en las que intervienen docenas de suscripciones con cientos de miles de recursos, todos los cuales deben protegerse desde el principio.
La incorporación de Microsoft Defender for Cloud mediante PowerShell permite automatizar mediante programación la incorporación y la administración de los recursos de Azure y agregar los controles de seguridad necesarios.
En este artículo se proporciona un script de PowerShell de ejemplo que se puede modificar y usar en su entorno para implementar Defender for Cloud en sus suscripciones.
En este ejemplo, se habilitará Defender for Cloud en una suscripción con el identificador: <Subscription ID>
y se aplicará la configuración recomendada que proporciona un alto nivel de protección habilitando las características de seguridad mejoradas de Microsoft Defender for Cloud, que ofrece capacidades avanzadas de detección y protección contra amenazas:
Habilite la seguridad mejorada en Microsoft Defender for Cloud.
Establezca el área de trabajo de Log Analytics a la que el agente de Log Analytics enviará los datos que recopila de las máquinas virtuales asociadas con la suscripción; en este ejemplo, un área de trabajo definida por el usuario existente (myWorkspace).
Active el aprovisionamiento automático del agente de Defender fo Cloud que implementa el agente de Log Analytics.
Establezca el CISO de la organización como contacto de seguridad de las alertas y eventos destacados de Defender for Cloud.
Asigne las directivas de seguridad predeterminadas de Defender for Cloud.
Prerrequisitos
Estos pasos deben realizarse antes de ejecutar los cmdlets de Defender for Cloud:
Ejecute PowerShell como administrador.
Ejecute los siguientes comandos en PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Install-Module -Name Az.Security -Force
Incorporación de Defender for Cloud mediante PowerShell
Registre las suscripciones en el proveedor de recursos de Defender for Cloud:
Set-AzContext -Subscription "<Subscription ID>"
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Opcional: establezca el nivel de cobertura (características de seguridad mejoradas de Microsoft Defender for Cloud activadas/desactivadas) de las suscripciones. Si no están definidas, estas características están desactivadas:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
Configure el área de trabajo de Log Analytics a la que los agentes enviarán notificaciones. Debe tener un área de trabajo de Log Analytics ya creada a la que las máquinas virtuales de la suscripción enviarán notificaciones. Puede definir varias suscripciones para enviar notificaciones a la misma área de trabajo. Si no está definida, se usará el área de trabajo predeterminada.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
Instalación de aprovisionamiento automático del agente de Log Analytics en las máquinas virtuales de Azure:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
Nota
Recomendamos que habilite el aprovisionamiento automático para asegurarse de que las máquinas virtuales de Azure estén protegidas automáticamente por Microsoft Defender for Cloud.
Como parte de la estrategia actualizada de Defender for Cloud, el agente de Azure Monitor (AMA) ya no será necesario para la oferta de Defender para servidores. Sin embargo, seguirá siendo necesario para Defender para SQL Server en las máquinas. Como resultado, la implementación del agente de Azure Monitor (AMA) con el portal de Defender for Cloud está disponible para servidores SQL en máquinas, con una nueva directiva de implementación. Obtenga más información sobre cómo migrar al proceso de aprovisionamiento automático de Azure Monitoring Agent (AMA) con destino SQL Server.Opcional: se recomienda encarecidamente definir los detalles de contacto de seguridad para las suscripciones que incorpore, que se usarán como destinatarios de las notificaciones y alertas que genera Defender for Cloud:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
Asigne la iniciativa de directiva predeterminada de Defender for Cloud:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
Ha incorporado correctamente Microsoft Defender for Cloud con PowerShell.
Ya puede usar estos cmdlets de PowerShell con scripts de automatización para recorrer en iteración mediante programación suscripciones y recursos. Esto ahorra tiempo y reduce la probabilidad de error humano. Puede usar este script de ejemplo como referencia.
Consulte también
Para más información sobre cómo puede usar PowerShell para automatizar la incorporación a Defender for Cloud, consulte el artículo siguiente:
Para más información sobre Defender for Cloud, consulte los artículos siguientes:
- Establecimiento de directivas de seguridad en Microsoft Defender for Cloud aprenda a configurar directivas de seguridad para las suscripciones y los grupos de recursos de Azure.
- Administrar y responder a alertas de seguridad en Microsoft Defender for Cloud. Aprenda a administrar y responder a las alertas de seguridad.