Hogyan gyűjt Felhőhöz készült Defender adatokat?
Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről (virtuális gépekről), virtuálisgép-méretezési csoportokból, IaaS-tárolókból és nem Azure-beli (beleértve a helyszíni) gépeket a biztonsági rések és fenyegetések monitorozásához. Egyes Defender-csomagokhoz monitorozási összetevőkre van szükség, hogy adatokat gyűjtsenek a számítási feladatokból.
Az adatgyűjtés szükséges a hiányzó frissítések, a helytelenül konfigurált operációsrendszer-biztonsági beállítások, a végpontvédelem állapota, valamint az állapot- és fenyegetésvédelem láthatóságának biztosításához. Adatgyűjtésre csak olyan számítási erőforrások esetében van szükség, mint a virtuális gépek, a virtuálisgép-méretezési csoportok, az IaaS-tárolók és a nem Azure-beli számítógépek.
Akkor is kihasználhatja a Felhőhöz készült Microsoft Defender, ha nem épít ki ügynököket. Azonban korlátozott a biztonság, és a felsorolt képességek nem támogatottak.
Az adatok gyűjtése a következő használatával történik:
- Azure Monitor-ügynök (AMA)
- Végponthoz készült Microsoft Defender (MDE)
- Log Analytics-ügynök
- Biztonsági összetevők, például az Azure Policy for Kubernetes
Miért érdemes a Felhőhöz készült Defender használni a monitorozási összetevők üzembe helyezéséhez?
A számítási feladatok biztonságának láthatósága a monitorozási összetevők által gyűjtött adatoktól függ. Az összetevők biztosítják az összes támogatott erőforrás biztonsági lefedettségét.
A bővítmények manuális telepítésének folyamatának mentéséhez Felhőhöz készült Defender csökkenti a felügyeleti többletterhelést az összes szükséges bővítmény meglévő és új gépekre való telepítésével. Felhőhöz készült Defender hozzárendeli a megfelelőt Ha nem létezik szabályzat az előfizetés számítási feladataira, helyezze üzembe. Ez a szabályzattípus biztosítja, hogy a bővítmény ki legyen építve az adott típusú összes meglévő és jövőbeli erőforráson.
Tipp.
További információ az Azure Policy-effektusokról, beleértve az üzembe helyezést, ha nem létezik, az Azure Policy-effektusok ismertetése.
Milyen csomagok használnak monitorozási összetevőket?
Ezek a csomagok monitorozási összetevőket használnak az adatok gyűjtéséhez:
- Defender kiszolgálókhoz
- Azure Arc-ügynök (többfelhős és helyszíni kiszolgálókhoz)
- Végponthoz készült Microsoft Defender
- Sebezhetőségi felmérés
- Azure Monitor-ügynök vagy Log Analytics-ügynök
- Defender sql-kiszolgálókhoz gépeken
- Azure Arc-ügynök (többfelhős és helyszíni kiszolgálókhoz)
- Azure Monitor-ügynök vagy Log Analytics-ügynök
- Az SQL Server automatikus felderítése és regisztrálása
- Defender tárolókhoz
- Azure Arc-ügynök (többfelhős és helyszíni kiszolgálókhoz)
- Defender-érzékelő, Azure Policy for Kubernetes, Kubernetes auditnapló-adatok
Bővítmények rendelkezésre állása
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Azure Monitor-ügynök (AMA)
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Általánosan elérhető (GA) |
| Releváns Defender-csomag: | Defender for SQL Servers on Machines |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos |
| Támogatott célhelyek: |  Azure-beli virtuális gépek Azure Arc-kompatibilis gépek |
| Szabályzatalapú: | Igen |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
További információ az Azure Monitor-ügynök Felhőhöz készült Defender való használatáról.
Log Analytics-ügynök
| Szempont | Azure-beli virtuális gépek | Azure Arc-kompatibilis gépek |
|---|---|---|
| Kiadási állapot: | Általánosan elérhető (GA) | Általánosan elérhető (GA) |
| Releváns Defender-csomag: | Alapszintű felhőbiztonsági helyzetkezelés (CSPM) ügynökalapú biztonsági javaslatokhoz Microsoft Defender kiszolgálókhoz Az SQL-hez készült Microsoft Defender |
Alapszintű felhőbiztonsági helyzetkezelés (CSPM) ügynökalapú biztonsági javaslatokhoz Microsoft Defender kiszolgálókhoz Az SQL-hez készült Microsoft Defender |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos | Tulajdonos |
| Támogatott célhelyek: | Azure-beli virtuális gépek |
Azure Arc-kompatibilis gépek |
| Szabályzatalapú: | Nem |
Igen |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
A Log Analytics-ügynök által támogatott operációs rendszerek
Felhőhöz készült Defender függ a Log Analytics-ügynök. Győződjön meg arról, hogy a gépek az ügynök egyik támogatott operációs rendszerét futtatják az alábbi oldalakon ismertetett módon:
- Log Analytics-ügynök windowsos támogatott operációs rendszerekhez
- Log Analytics-ügynök linuxos támogatott operációs rendszerekhez
Győződjön meg arról is, hogy a Log Analytics-ügynök megfelelően van konfigurálva, hogy adatokat küldjön Felhőhöz készült Defender.
A Log Analytics-ügynök üzembe helyezése már meglévő ügynöktelepítés esetén
Az alábbi használati esetek bemutatják, hogyan működik a Log Analytics-ügynök üzembe helyezése olyan esetekben, amikor már telepítve van egy ügynök vagy bővítmény.
A Log Analytics-ügynök telepítve van a gépen, de nem bővítményként (Közvetlen ügynökként) – Ha a Log Analytics-ügynök közvetlenül a virtuális gépre van telepítve (nem Azure-bővítményként), Felhőhöz készült Defender telepíti a Log Analytics-ügynök bővítményt, és frissítheti a Log Analytics-ügynököt a legújabb verzióra. A telepített ügynök továbbra is jelentést tesz a már konfigurált munkaterületeken és a Felhőhöz készült Defender konfigurált munkaterületen. (Windows rendszerű gépeken a többszörös homing támogatott.)
Ha a Log Analytics felhasználói munkaterülettel van konfigurálva, és nem Felhőhöz készült Defender alapértelmezett munkaterületével, telepítenie kell a "Security" vagy a "SecurityCenterFree" megoldást, hogy Felhőhöz készült Defender megkezdhesse az események feldolgozását az adott munkaterületre jelentéssel rendelkező virtuális gépekről és számítógépekről.
Linux rendszerű gépek esetén az ügynök többutas használata még nem támogatott. Ha egy meglévő ügynöktelepítést észlel, a Log Analytics-ügynök nem lesz üzembe helyezve.
A 2019. március 17. előtt Felhőhöz készült Defender előfizetésben lévő meglévő gépek esetében, amikor egy meglévő ügynököt észlel, a Log Analytics-ügynök bővítménye nem lesz telepítve, és a gépre nem lesz hatással. Ezeknél a gépeknél tekintse meg a "Monitorozási ügynök állapotával kapcsolatos problémák megoldása a gépeken" című javaslatot az ügynök telepítésével kapcsolatos problémák megoldásához ezeken a gépeken.
A System Center Operations Manager-ügynök telepítve van a gépen – Felhőhöz készült Defender a Log Analytics-ügynök bővítményt a meglévő Operations Manager mellett telepíti. A meglévő Operations Manager-ügynök a szokásos módon továbbra is jelentést küld az Operations Manager-kiszolgálónak. Az Operations Manager-ügynök és a Log Analytics-ügynök közös futásidejű kódtárakat használ, amelyek a folyamat során a legújabb verzióra frissülnek.
Már meglévő virtuálisgép-bővítmény található:
- Ha a Monitorozási ügynök bővítményként van telepítve, a bővítménykonfiguráció lehetővé teszi, hogy csak egyetlen munkaterületen jelentsen. Felhőhöz készült Defender nem bírálja felül a felhasználói munkaterületek meglévő kapcsolatait. Felhőhöz készült Defender a virtuális gép biztonsági adatait a már csatlakoztatott munkaterületen tárolja, ha a "Security" vagy a "SecurityCenterFree" megoldás telepítve van rajta. Felhőhöz készült Defender frissítheti a bővítményverziót a folyamat legújabb verziójára.
- Annak megtekintéséhez, hogy a meglévő bővítmény melyik munkaterületre küld adatokat, futtassa a TestCloud Csatlakozás ion.exe eszközt a Felhőhöz készült Microsoft Defender való kapcsolat ellenőrzéséhez a Log Analytics-ügynök kapcsolatának ellenőrzése című cikkben leírtak szerint. Másik lehetőségként megnyithatja a Log Analytics-munkaterületeket, kijelölhet egy munkaterületet, kiválaszthatja a virtuális gépet, és megtekintheti a Log Analytics-ügynök kapcsolatát.
- Ha olyan környezettel rendelkezik, amelyben a Log Analytics-ügynök telepítve van az ügyfél-munkaállomásokon, és egy meglévő Log Analytics-munkaterületnek jelent, tekintse át a Felhőhöz készült Microsoft Defender által támogatott operációs rendszerek listáját, hogy biztosan támogatott legyen az operációs rendszer.
További információ a Log Analytics-ügynökkel való munkáról.
Microsoft Defender végponthoz
| Szempont | Linux | Windows |
|---|---|---|
| Kiadási állapot: | Általánosan elérhető (GA) | Általánosan elérhető (GA) |
| Releváns Defender-csomag: | Microsoft Defender kiszolgálókhoz | Microsoft Defender kiszolgálókhoz |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | - Az integráció engedélyezése/letiltása: Biztonsági Rendszergazda vagy Tulajdonos – A Defender for Endpoint riasztásainak megtekintése Felhőhöz készült Defender: biztonsági olvasó, olvasó, erőforráscsoport-közreműködő, erőforráscsoport-tulajdonos, biztonsági Rendszergazda, előfizetés-tulajdonos vagy előfizetés-közreműködő |
- Az integráció engedélyezése/letiltása: Biztonsági Rendszergazda vagy Tulajdonos – A Defender for Endpoint riasztásainak megtekintése Felhőhöz készült Defender: biztonsági olvasó, olvasó, erőforráscsoport-közreműködő, erőforráscsoport-tulajdonos, biztonsági Rendszergazda, előfizetés-tulajdonos vagy előfizetés-közreműködő |
| Támogatott célhelyek: | Azure Arc-kompatibilis gépek Azure-beli virtuális gépek |
Azure Arc-kompatibilis gépek Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1 , Azure Virtual Desktop, Windows 10 Enterprise több munkamenetet futtató Azure-beli virtuális gépek Windows 10-et futtató Azure-beli virtuális gépek |
| Szabályzatalapú: | Nem |
Nem |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
További információ a Végponthoz készült Microsoft Defender.
Sebezhetőségi felmérés
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Általánosan elérhető (GA) |
| Releváns Defender-csomag: | Microsoft Defender kiszolgálókhoz |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos |
| Támogatott célhelyek: | Azure-beli virtuális gépek Azure Arc-kompatibilis gépek |
| Szabályzatalapú: | Igen |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
Vendégkonfiguráció
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Előnézet |
| Releváns Defender-csomag: | Nincs szükség tervre |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos |
| Támogatott célhelyek: | Azure-beli virtuális gépek |
| Felhők: | Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
További információ az Azure vendégkonfigurációs bővítményéről.
Defender for Containers bővítmények
Ez a táblázat a Microsoft Defender for Containers által biztosított védelem által igényelt összetevők rendelkezésre állási adatait mutatja be.
Alapértelmezés szerint a szükséges bővítmények akkor lesznek engedélyezve, ha engedélyezi a Defender for Containerst az Azure Portalról.
| Szempont | Azure Kubernetes Service-fürtök | Azure Arc-kompatibilis Kubernetes-fürtök |
|---|---|---|
| Kiadási állapot: | • Defender érzékelő: GA • Azure Policy for Kubernetes: Általánosan elérhető (GA) |
• Defender érzékelő: Előzetes verzió • Azure Policy for Kubernetes: Előzetes verzió |
| Releváns Defender-csomag: | Microsoft Defender tárolókhoz | Microsoft Defender tárolókhoz |
| Szükséges szerepkörök és engedélyek (előfizetési szint): | Tulajdonos vagy felhasználói hozzáférés Rendszergazda istrator | Tulajdonos vagy felhasználói hozzáférés Rendszergazda istrator |
| Támogatott célhelyek: | Az AKS Defender-érzékelő csak az RBAC-t engedélyező AKS-fürtöket támogatja. | Az Arc-kompatibilis Kubernetes-hez támogatott Kubernetes-disztribúciók megtekintése |
| Szabályzatalapú: | Igen |
Igen |
| Felhők: | Defender érzékelő: Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett Azure Policy a Kuberneteshez: Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
Defender érzékelő: Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett Azure Policy a Kuberneteshez: Kereskedelmi felhők Azure Government, Microsoft Azure, 21Vianet által üzemeltetett |
További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.
Hibaelhárítás
- A figyelőügynök hálózati követelményeinek azonosításához lásd a figyelőügynök hálózati követelményeivel kapcsolatos hibaelhárítást ismertető szakaszt.
- A manuális előkészítési problémák azonosításához tekintse meg az Operations Management Suite előkészítési problémáinak hibaelhárítását ismertető témakört.
Következő lépések
Ez a lap a figyelési összetevőket és azok engedélyezését ismertette.
További információk:
- E-mail-értesítések beállítása biztonsági riasztásokhoz
- Számítási feladatok védelme a Defender-csomagokkal