Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről (virtuális gépekről), a virtuálisgép-méretezési csoportokról, az IaaS-tárolókról és a nem Azure-beli számítógépekről (beleértve a helyszíni gépeket) a biztonsági rések és fenyegetések monitorozásához. A Log Analytics-ügynök adatokat gyűjt, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a munkaterületre.
Adatgyűjtés
Hogyan engedélyezi az adatgyűjtést?
Az adatgyűjtés automatikusan be van kapcsolva, ha engedélyez egy monitorozási összetevőt igénylő Defender-csomagot.
Mi történik, ha az adatgyűjtés engedélyezve van?
Ha az automatikus kiépítés engedélyezve van, Felhőhöz készült Defender a Log Analytics-ügynököt használja az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. Az automatikus kiépítés ajánlott, de manuális ügynöktelepítés is elérhető. Megtudhatja, hogyan telepítheti a Log Analytics-ügynök bővítményt.
Az ügynök engedélyezi a folyamatlétrehozás 4688-at és a CommandLine mezőt a 4688-at. A virtuális gépen létrehozott új folyamatokat az EventLog rögzíti, és Felhőhöz készült Defender észlelési szolgáltatásai figyelik. Az egyes új folyamatokhoz rögzített részletekről további információt a 4688-ban található leírásmezőkben talál. Az ügynök a virtuális gépen létrehozott 4688 eseményt is összegyűjti, és keresésben tárolja őket.
Az ügynök az Adaptív alkalmazásvezérlők adatgyűjtését is lehetővé teszi, Felhőhöz készült Defender naplózási módban konfigurál egy helyi AppLocker-szabályzatot, hogy az összes alkalmazást engedélyezhesse. Ez a szabályzat miatt az AppLocker eseményeket hoz létre, amelyeket aztán a Felhőhöz készült Defender gyűjt és használ. Fontos megjegyezni, hogy ez a szabályzat nincs konfigurálva olyan gépeken, amelyeken már van konfigurált AppLocker-szabályzat.
Ha Felhőhöz készült Defender gyanús tevékenységet észlel a virtuális gépen, az ügyfél e-mailben értesítést kap, ha a biztonsági kapcsolattartási adatok meg lettek adva. A riasztások Felhőhöz készült Defender biztonsági riasztások irányítópultján is láthatók.
Ügynökök
Mi a Log Analytics-ügynök?
A biztonsági rések és fenyegetések monitorozásához Felhőhöz készült Microsoft Defender a Log Analytics-ügynöktől függ – ez az ügynök ugyanaz, amelyet az Azure Monitor szolgáltatás használ.
Az ügynököt néha Microsoft Monitoring Agentnek (vagy MMA-nak) is nevezik.
Az ügynök különböző biztonsági konfigurációs adatokat és eseménynaplókat gyűjt a csatlakoztatott gépekről, majd további elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Ilyen adatok például az operációs rendszer típusa és verziója, az operációsrendszer-naplók (Windows-eseménynaplók), a futó folyamatok, a gép neve, az IP-címek és a bejelentkezett felhasználó.
Győződjön meg arról, hogy a gépek az ügynök egyik támogatott operációs rendszerét futtatják az alábbi oldalakon ismertetett módon:
Log Analytics-ügynök windowsos támogatott operációs rendszerekhez
Log Analytics-ügynök linuxos támogatott operációs rendszerekhez
További információ a Log Analytics-ügynök által gyűjtött adatokról.
Mi minősíti a virtuális gépet a Log Analytics-ügynök telepítésének automatikus kiépítéséhez?
Windows vagy Linux IaaS rendszerű virtuális gépek akkor jogosultak, ha:
- A Log Analytics-ügynök bővítmény jelenleg nincs telepítve a virtuális gépen.
- A virtuális gép futó állapotban van.
- Telepítve van a Windows vagy Linux Rendszerű Azure-beli virtuálisgép-ügynök .
- A virtuális gépet nem használják berendezésként, például webalkalmazási tűzfalként vagy következő generációs tűzfalként.
Milyen biztonsági eseményeket gyűjt a Log Analytics-ügynök?
Az ügynök által gyűjtött biztonsági események teljes listájáért tekintse meg a "Common" és a "Minimal" (Minimális) biztonsági események beállításainak milyen eseménytípusait tárolja a rendszer.
Fontos
Egyes szolgáltatások, például az Azure Firewall esetében egy olyan erőforrás naplózása, amely számos naplót hoz létre, tárhelyet használhat a Log Analytics-munkaterületen. Ügyeljen arra, hogy csak akkor használjon részletes naplózást, ha szükséges.
Mi a teendő, ha a Log Analytics-ügynök már bővítményként lett telepítve a virtuális gépen?
Ha a Monitorozási ügynök bővítményként van telepítve, a bővítménykonfiguráció lehetővé teszi, hogy csak egyetlen munkaterületen jelentsen. Felhőhöz készült Defender nem bírálja felül a felhasználói munkaterületek meglévő kapcsolatait. Felhőhöz készült Defender egy virtuális gép biztonsági adatait egy olyan munkaterületen tárolja, amely már csatlakoztatva van a "Security" vagy a "SecurityCenterFree" megoldás telepítésekor. Felhőhöz készült Defender frissítheti a bővítményverziót a folyamat legújabb verziójára.
További információ: Automatikus kiépítés meglévő ügynöktelepítés esetén.
Mi történik, ha egy Log Analytics-ügynök közvetlenül telepítve van a gépen, de nem bővítményként (Közvetlen ügynökként)?
Ha a Log Analytics-ügynök közvetlenül a virtuális gépre van telepítve (nem Azure-bővítményként), Felhőhöz készült Defender telepíti a Log Analytics-ügynök bővítményt, és frissítheti a Log Analytics-ügynököt a legújabb verzióra.
A telepített ügynök továbbra is jelentést készít a már konfigurált munkaterületeken, és jelentéseket készít a Felhőhöz készült Defender konfigurált munkaterületre. (Windows rendszerű gépeken a többszörös homing támogatott.)
Egyéni felhasználói munkaterületek esetén telepítenie kell a "Security" vagy a "SecurityCenterFree" megoldást, hogy Felhőhöz készült Defender feldolgozhassa az adott munkaterületre jelentéssel ellátott virtuális gépek és számítógépek eseményeit.
Linux rendszerű gépek esetén az ügynök többutas használata még nem támogatott. Ha egy meglévő ügynöktelepítést észlel, Felhőhöz készült Defender nem használ automatikusan ügynököt, és nem módosítja a gép konfigurációját.
A Felhőhöz készült Defender 2019. március 17. előtt előkészített előfizetésekben lévő meglévő gépek esetében az ügynök többutas használata még nem támogatott. Ha egy meglévő ügynöktelepítést észlel, Felhőhöz készült Defender nem használ automatikusan ügynököt, és nem módosítja a gép konfigurációját. Ezekhez a gépekhez tekintse meg a "Monitorozási ügynök állapotával kapcsolatos problémák megoldása a gépeken" című javaslatot az ügynök telepítésével kapcsolatos problémák megoldásához ezeken a gépeken
További információkért lásd a következő szakaszt : Mi történik, ha már telepítve van egy System Center Operations Manager vagy OMS közvetlen ügynök a virtuális gépemen?
Mi történik, ha egy System Center Operations Manager-ügynök már telepítve van a virtuális gépemen?
Felhőhöz készült Defender olyan Azure Policyt implementál, amely nem teszi lehetővé a Log Analytics-ügynök telepítését, miközben a System Center Operations Manager-ügynök telepítve van a gépen. Mindkét ügynöknek lehetősége van több otthoni használatra, és jelentést tenni a System Center Operations Managernek és a Log Analytics-munkaterületnek. Az Operations Manager-ügynök és a Log Analytics-ügynök közös futásidejű kódtárakat használ. Megjegyzés – Ha az Operations Manager-ügynök 2012-es verziója telepítve van, ne kapcsolja be az automatikus kiépítést (a kezelhetőségi képességek elveszhetnek, ha az Operations Manager-kiszolgáló is 2012-es verziójú).
Milyen hatással van ezeknek a bővítményeknek a eltávolítására?
Ha eltávolítja a Microsoft Monitorozási bővítményt, Felhőhöz készült Defender nem tud biztonsági adatokat gyűjteni a virtuális gépről, és egyes biztonsági javaslatok és riasztások nem érhetők el. 24 órán belül Felhőhöz készült Defender megállapítja, hogy a virtuális gép hiányzik a bővítményből, és újratelepíti a bővítményt.
Hogyan állítsa le az ügynök automatikus telepítését és a munkaterület létrehozását?
A bővítmények Felhőhöz készült Defender használatával történő üzembe helyezése erősen ajánlott a rendszerfrissítésekkel, az operációs rendszer biztonsági réseivel és a végpontvédelemmel kapcsolatos biztonsági riasztások és javaslatok beszerzéséhez. A bővítmények kikapcsolása korlátozza ezeket a riasztásokat és javaslatokat. Egy adott ügynök vagy bővítmény automatikus kiépítését azonban letilthatja:
Egy adott ügynök vagy bővítmény automatikus kiépítésének letiltása:
Az Azure Portalon nyissa meg a Felhőhöz készült Defender, és válassza a Környezeti beállítások lehetőséget.
Válassza ki az adott előfizetést.
A Defender for Server csomag Figyelési lefedettség oszlopában válassza a Gépház.
Kapcsolja ki a kiépíteni kívánt bővítményt.
Válassza a Mentés lehetőséget.
Le kell tiltani az ügynök automatikus telepítését és a munkaterület létrehozását?
Feljegyzés
Mindenképpen tekintse át a szakaszokat : Mik a kimaradás következményei? és a letiltáskor javasolt lépések, ha kikapcsolja az automatikus kiépítést.
Ha az alábbi forgatókönyvek vonatkoznak Önre, érdemes lehet kikapcsolni az automatikus kiépítést:
A Felhőhöz készült Defender automatikus ügynöktelepítés a teljes előfizetésre vonatkozik. Az automatikus telepítés nem alkalmazható a virtuális gépek egy részhalmazára. Ha vannak kritikus fontosságú virtuális gépek, amelyeket nem lehet telepíteni a Log Analytics-ügynökkel, akkor le kell tiltani az automatikus üzembe helyezést.
A Log Analytics-ügynök bővítmény telepítése frissíti az ügynök verzióját. Ez egy közvetlen ügynökre és egy System Center Operations Manager-ügynökre vonatkozik (az utóbbiban az Operations Manager és a Log Analytics-ügynök közös futtatókörnyezeti kódtárakat használ , amelyek a folyamatban frissülnek). Ha a telepített Operations Manager-ügynök 2012-es verziójú, és frissítve van, a kezelhetőségi képességek elveszhetnek, ha az Operations Manager-kiszolgáló is 2012-es verziójú. Érdemes lehet kikapcsolni az automatikus kiépítést, ha a telepített Operations Manager-ügynök 2012-es verziójú.
Ha el szeretné kerülni, hogy előfizetésenként több munkaterületet hoz létre, és saját egyéni munkaterülete van az előfizetésen belül, akkor két lehetősége van:
Kikapcsolhatja az automatikus kiépítést. A migrálás után állítsa be az alapértelmezett munkaterület-beállításokat a Hogyan használhatom a meglévő Log Analytics-munkaterületet?
Vagy engedélyezheti a migrálás befejezését, a Log Analytics-ügynök telepítését a virtuális gépekre, valamint a létrehozott munkaterülethez csatlakoztatott virtuális gépeket. Ezután válassza ki saját egyéni munkaterületét úgy, hogy beállítja az alapértelmezett munkaterület-beállítást a már telepített ügynökök újrakonfigurálásának beállításával. További információ: Hogyan használhatom a meglévő Log Analytics-munkaterületemet?
Milyen következményekkel jár az automatikus kiépítés letiltása?
Ha a migrálás befejeződött, Felhőhöz készült Defender nem tud biztonsági adatokat gyűjteni a virtuális gépről, és egyes biztonsági javaslatok és riasztások nem érhetők el. Ha letiltja, telepítse manuálisan a Log Analytics-ügynököt. A letiltás javasolt lépéseinek megtekintése.
Milyen lépések ajánlottak az automatikus kiépítés letiltásakor?
Manuálisan telepítse a Log Analytics-ügynök bővítményt, hogy Felhőhöz készült Defender biztonsági adatokat gyűjthessenek a virtuális gépekről, és javaslatokat és riasztásokat nyújtsanak. A telepítéssel kapcsolatos útmutatásért tekintse meg a Windows rendszerű virtuális gépek ügynöktelepítését vagy a Linux rendszerű virtuális gépek ügynöktelepítését.
Az ügynököt bármely meglévő egyéni munkaterülethez csatlakoztathatja, vagy Felhőhöz készült Defender létrehozott munkaterülethez. Ha egy egyéni munkaterületen nincs engedélyezve a "Security" vagy a "SecurityCenterFree" megoldás, akkor megoldást kell alkalmaznia. Az alkalmazáshoz válassza ki az egyéni munkaterületet, és alkalmazzon egy tarifacsomagot a Környezeti beállítások>Defender-csomagok lapján.
Felhőhöz készült Defender a megfelelő megoldást teszi lehetővé a munkaterületen a kiválasztott beállítások alapján.
Hogyan eltávolítja a Felhőhöz készült Defender által telepített OMS-bővítményeket?
Manuálisan is eltávolíthatja a Log Analytics-ügynököt, de ez nem ajánlott. Az OMS-bővítmények eltávolítása korlátozza Felhőhöz készült Defender javaslatait és riasztásait.
Feljegyzés
Ha az adatgyűjtés engedélyezve van, Felhőhöz készült Defender az eltávolítás után újratelepíti az ügynököt. Az ügynök manuális eltávolítása előtt le kell tiltania az adatgyűjtést. Az adatgyűjtés letiltásával kapcsolatos útmutatásért tekintse meg Hogyan az automatikus ügynök telepítésének és a munkaterület létrehozásának leállítását.
Az ügynök manuális eltávolítása:
Nyissa meg a Log Analyticst a portálon.
A Log Analytics lapon válasszon egy munkaterületet:
Jelölje ki azokat a virtuális gépeket, amelyeket nem szeretne figyelni, és válassza a Leválasztás lehetőséget.
Feljegyzés
Ha egy Linux rendszerű virtuális gép már rendelkezik nem kiterjesztésű OMS-ügynökkel, a bővítmény eltávolítása az ügynököt is eltávolítja, és újra kell telepítenie.
OMS-átjáróval Felhőhöz készült Defender működni?
Igen. Felhőhöz készült Microsoft Defender az Azure Monitor használatával gyűjt adatokat az Azure-beli virtuális gépekről és kiszolgálókról a Log Analytics-ügynök használatával. Az adatok gyűjtéséhez minden virtuális gépnek és kiszolgálónak HTTPS használatával kell csatlakoznia az internethez. A kapcsolat lehet közvetlen, proxy használatával vagy az OMS-átjárón keresztül.
Befolyásolja a Log Analytics-ügynök a kiszolgálók teljesítményét?
Az ügynök névleges mennyiségű rendszererőforrást használ fel, és kevés hatással van a teljesítményre. A teljesítményhatásról, valamint az ügynökről és a bővítményről a tervezési és üzemeltetési útmutatóban talál további információt.
Ügynök nélküli
Mely adatokat gyűjti a pillanatképekből?
Az ügynök nélküli vizsgálat az ügynök által gyűjtött adatokhoz hasonló adatokat gyűjt ugyanazon elemzés elvégzéséhez. A rendszer nem gyűjt nyers adatokat, PII-kat vagy bizalmas üzleti adatokat, és csak metaadat-eredményeket küld a rendszer Felhőhöz készült Defender.
Milyen költségekkel jár az ügynök nélküli vizsgálat?
Az ügynök nélküli vizsgálat a Defender Cloud Security Posture Management (CSPM) és a Defender for Servers P2 csomag része. A Felhőhöz készült Defender az engedélyezés során semmilyen más költség nem merül fel.
Feljegyzés
AWS-díjak a lemez pillanatképeinek megőrzéséért. A Felhőhöz készült Defender vizsgálati folyamat aktívan megpróbálja minimalizálni azt az időszakot, amely alatt a rendszer pillanatképet tárol a fiókjában (általában néhány percig). Az AWS többletköltséget számíthat fel a lemez pillanatkép-tárolója számára. Ellenőrizze az AWS-t, hogy milyen költségek vonatkoznak Önre.
Hogyan követhetim nyomon a Felhőhöz készült Defender ügynök nélküli vizsgálat által létrehozott lemezpillanatképek AWS-költségeit?
A lemez pillanatképei a CreatedBy címke kulccsal és a Microsoft Defender for Cloud címke értékével jönnek létre. A CreatedBy címke nyomon követi, hogy ki hozta létre az erőforrást.
Aktiválnia kell a címkéket a Számlázási és Költségkezelési konzolon. A címkék aktiválása akár 24 órát is igénybe vehet.
Miután aktiválta a címkéket, az AWS létrehoz egy költségfelosztási jelentést vesszővel tagolt értékként (. CSV-fájl) az aktív címkék szerint csoportosított használattal és költséggel.
Munkaterületek
Kiszámláznak az Azure Monitor-naplókért a Felhőhöz készült Defender által létrehozott munkaterületeken?
Minden munkaterülethez 500 MB ingyenes adatbetöltés tartozik. A számítás csomópontonként, jelentett munkaterületenként, naponta történik, és minden olyan munkaterületen elérhető, amely rendelkezik telepített "Security" vagy "AntiMalware" megoldással. Az 500 MB-os korláton túl betöltött adatokért díjat számítunk fel.
A Felhőhöz készült Defender által létrehozott munkaterületek, miközben az Azure Monitor-naplókhoz van konfigurálva csomópontonkénti számlázásonként, nem járnak Azure Monitor-naplókkal kapcsolatos díjak. Felhőhöz készült Defender számlázás mindig a Felhőhöz készült Defender biztonsági szabályzatán és a munkaterületen telepített megoldásokon alapul:
Fokozott biztonság kikapcsolva – Felhőhöz készült Defender engedélyezi a "SecurityCenterFree" megoldást az alapértelmezett munkaterületen. Nincsenek díjak, ha nincsenek engedélyezve a Defender-csomagok.
Minden Felhőhöz készült Microsoft Defender csomag engedélyezve van – Felhőhöz készült Defender engedélyezi a "Biztonság" megoldást az alapértelmezett munkaterületen.
A helyi pénznemben vagy régióban található díjszabási részletekért tekintse meg a díjszabási oldalt.
Feljegyzés
A Felhőhöz készült Defender által létrehozott munkaterületek log analytics tarifacsomagja nem befolyásolja Felhőhöz készült Defender számlázást.
Feljegyzés
Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen lesznek tárolva, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi őket. Frissítjük a terminológiát, hogy jobban tükrözzük a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiájának változásait .
Hol van létrehozva az alapértelmezett Log Analytics-munkaterület?
Az alapértelmezett munkaterület helye az Azure-régiótól függ:
- A Egyesült Államok és Brazíliában lévő virtuális gépek esetében a munkaterület helye a Egyesült Államok
- Kanadában lévő virtuális gépek esetén a munkaterület helye Kanada
- Az európai virtuális gépek esetében a munkaterület helye Európa
- Az Egyesült Királyságban lévő virtuális gépek esetében a munkaterület helye az Egyesült Királyság
- A kelet-ázsiai és délkelet-ázsiai virtuális gépek esetében a munkaterület helye Ázsia
- A koreai virtuális gépek esetében a munkaterület helye Korea
- Az indiai virtuális gépek esetében a munkaterület helye India
- A japán virtuális gépek esetében a munkaterület helye Japán
- Kínában lévő virtuális gépek esetén a munkaterület helye Kína
- Az Ausztráliában lévő virtuális gépek esetében a munkaterület helye Ausztrália
Törölhetem a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket?
Az alapértelmezett munkaterület törlése nem ajánlott. Felhőhöz készült Defender az alapértelmezett munkaterületeket használja a virtuális gépek biztonsági adatainak tárolására. Ha töröl egy munkaterületet, Felhőhöz készült Defender nem tudja összegyűjteni ezeket az adatokat, és egyes biztonsági javaslatok és riasztások nem érhetők el.
A helyreállításhoz távolítsa el a Log Analytics-ügynököt a törölt munkaterülethez csatlakoztatott virtuális gépeken. Felhőhöz készült Defender újratelepíti az ügynököt, és új alapértelmezett munkaterületeket hoz létre.
Hogyan használhatom a meglévő Log Analytics munkaterületemet?
Kiválaszthat egy meglévő Log Analytics-munkaterületet a Felhőhöz készült Defender által gyűjtött adatok tárolásához. A meglévő Log Analytics-munkaterület használata:
- A munkaterületet a kiválasztott Azure-előfizetéshez kell társítani.
- Legalább olvasási engedélyekkel kell rendelkeznie a munkaterület eléréséhez.
Feljegyzés
Ha biztonsági riasztásokat szeretne kapni az ügynöktől, győződjön meg arról, hogy a Log Analytics-ügynök és az a gép, amelyen az ügynök fut, mindkét jelentést ugyanabban a bérlőben lévő Log Analytics-munkaterületen futtatja.
Meglévő Log Analytics-munkaterület kiválasztása:
A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.
Válassza ki az adott előfizetést.
A Defender for Server csomag Figyelési lefedettség oszlopában válassza a Gépház.
A Log Analytics-ügynök esetében válassza a Konfiguráció szerkesztése lehetőséget.
Válassza az Egyéni munkaterület lehetőséget , és válassza ki a meglévő munkaterületet.
Tipp.
A lista csak azokat a munkaterületeket tartalmazza, amelyekhez hozzáféréssel rendelkezik, és amelyek az Azure-előfizetésben találhatók.
Válassza az Alkalmazás lehetőséget.
Válassza a Folytatás lehetőséget.
Válassza a Mentés lehetőséget, és győződjön meg arról, hogy újra szeretné konfigurálni a figyelt virtuális gépeket.
Fontos
Ez a választás csak akkor releváns, ha a konfigurációt az alapértelmezett munkaterületről egy egyéni munkaterületre módosítja. Ha a beállítást egy egyéni munkaterületről egy másikra vagy egy egyéni munkaterületről az alapértelmezett munkaterületre módosítja, a módosítás nem lesz alkalmazva a meglévő gépekre.
- Válassza a Nem lehetőséget, ha azt szeretné, hogy az új munkaterület beállításai csak az új virtuális gépekre vonatkozzanak. Az új munkaterület beállításai csak az új ügynöktelepítésekre vonatkoznak; újonnan felfedezett virtuális gépek, amelyeken nincs telepítve a Log Analytics-ügynök.
- Válassza az Igen lehetőséget, ha azt szeretné, hogy az új munkaterület-beállítások az összes virtuális gépre vonatkozzanak. Emellett minden, Felhőhöz készült Defender létrehozott munkaterülethez csatlakoztatott virtuális gép újra csatlakozik az új cél-munkaterülethez.
Feljegyzés
Ha az Igen lehetőséget választja, ne törölje a Felhőhöz készült Defender által létrehozott munkaterületeket, amíg az összes virtuális gép újra nem csatlakozik az új cél-munkaterülethez. Ez a művelet meghiúsul, ha egy munkaterületet túl korán törölnek.
Felülírja Felhőhöz készült Defender a virtuális gépek és munkaterületek közötti meglévő kapcsolatokat?
Ha egy virtuális gépen már telepítve van a Log Analytics-ügynök Azure-bővítményként, Felhőhöz készült Defender nem bírálja felül a meglévő munkaterület-kapcsolatot. Ehelyett Felhőhöz készült Defender a meglévő munkaterületet használja. A virtuális gép akkor védett, ha a "Security" vagy a "SecurityCenterFree" megoldás telepítve van azon a munkaterületen, amelyre jelentést készít.
Az adatgyűjtési képernyőn kiválasztott munkaterületen Felhőhöz készült Defender megoldás van telepítve, ha még nincs jelen, és a megoldás csak a megfelelő virtuális gépekre lesz alkalmazva. Ha hozzáad egy megoldást, az alapértelmezés szerint automatikusan üzembe lesz helyezve a Log Analytics-munkaterülethez csatlakoztatott összes Windows- és Linux-ügynökre. A megoldáscélzás lehetővé teszi, hogy hatókört alkalmazzon a megoldásokra.
Tipp.
Ha a Log Analytics-ügynök közvetlenül a virtuális gépre van telepítve (nem Azure-bővítményként), Felhőhöz készült Defender nem telepíti a Log Analytics-ügynököt, és a biztonsági figyelés korlátozott.
A meglévő Log Analytics-munkaterületeken Felhőhöz készült Defender telepít megoldásokat? Mik a számlázási következmények?
Ha Felhőhöz készült Defender megállapítja, hogy egy virtuális gép már csatlakozik egy ön által létrehozott munkaterülethez, Felhőhöz készült Defender a díjszabási konfigurációnak megfelelően engedélyezi a munkaterület megoldásait. A megoldások csak a megfelelő erőforrásokra vonatkoznak a megoldáscélzáson keresztül, így a számlázás változatlan marad.
Nincs engedélyezve Defender-csomag – Felhőhöz készült Defender telepíti a "SecurityCenterFree" megoldást a munkaterületre, és nem kell fizetnie érte.
Engedélyezze az összes Microsoft Defender-csomagot – Felhőhöz készült Defender telepíti a "Security" megoldást a munkaterületen.
Már vannak munkaterületek a környezetemben, használhatom őket biztonsági adatok gyűjtésére?
Ha egy virtuális gépen már telepítve van a Log Analytics-ügynök Azure-bővítményként, Felhőhöz készült Defender a meglévő csatlakoztatott munkaterületet használja. Ha még nincs telepítve egy Felhőhöz készült Defender megoldás a munkaterületen, a megoldás csak a megfelelő virtuális gépekre lesz alkalmazva a megoldás célzásán keresztül.
Amikor Felhőhöz készült Defender telepíti a Log Analytics-ügynököt virtuális gépekre, akkor a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket használja, ha nem egy meglévő munkaterületre mutat.
Már rendelkezem biztonsági megoldásokkal a munkaterületeken. Mik a számlázási következmények?
A Biztonsági és naplózási megoldás a Microsoft Defender for Servers engedélyezésére szolgál. Ha a Biztonsági és naplózási megoldás már telepítve van egy munkaterületen, Felhőhöz készült Defender a meglévő megoldást használja. Nincs változás a számlázásban.
Következő lépések
Ismerje meg, hogyan gyűjti Felhőhöz készült Defender az adatokat