Megosztás a következőn keresztül:


Hogyan gyűjt Felhőhöz készült Defender adatokat?

Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről (virtuális gépekről), virtuálisgép-méretezési csoportokból, IaaS-tárolókból és nem Azure-beli (beleértve a helyszíni) gépeket a biztonsági rések és fenyegetések monitorozásához. Egyes Defender-csomagokhoz monitorozási összetevőkre van szükség, hogy adatokat gyűjtsenek a számítási feladatokból.

Az adatgyűjtés szükséges a hiányzó frissítések, a helytelenül konfigurált operációsrendszer-biztonsági beállítások, a végpontvédelem állapota, valamint az állapot- és fenyegetésvédelem láthatóságának biztosításához. Adatgyűjtésre csak olyan számítási erőforrások esetében van szükség, mint a virtuális gépek, a virtuálisgép-méretezési csoportok, az IaaS-tárolók és a nem Azure-beli számítógépek.

Akkor is kihasználhatja a Felhőhöz készült Microsoft Defender, ha nem épít ki ügynököket. Azonban korlátozott a biztonság, és a felsorolt képességek nem támogatottak.

Az adatok gyűjtése a következő használatával történik:

Miért érdemes a Felhőhöz készült Defender használni a monitorozási összetevők üzembe helyezéséhez?

A számítási feladatok biztonságának láthatósága a monitorozási összetevők által gyűjtött adatoktól függ. Az összetevők biztosítják az összes támogatott erőforrás biztonsági lefedettségét.

A bővítmények manuális telepítésének folyamatának mentéséhez Felhőhöz készült Defender csökkenti a felügyeleti többletterhelést az összes szükséges bővítmény meglévő és új gépekre való telepítésével. Felhőhöz készült Defender hozzárendeli a megfelelőt Ha nem létezik szabályzat az előfizetés számítási feladataira, helyezze üzembe. Ez a szabályzattípus biztosítja, hogy a bővítmény ki legyen építve az adott típusú összes meglévő és jövőbeli erőforráson.

Tipp.

További információ az Azure Policy-effektusokról, beleértve az üzembe helyezést, ha nem létezik, az Azure Policy-effektusok ismertetése.

Milyen csomagok használnak monitorozási összetevőket?

Ezek a csomagok monitorozási összetevőket használnak az adatok gyűjtéséhez:

Bővítmények rendelkezésre állása

Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Azure Monitor-ügynök (AMA)

Szempont Részletek
Kiadási állapot: Általánosan elérhető (GA)
Releváns Defender-csomag: Defender for SQL Servers on Machines
Szükséges szerepkörök és engedélyek (előfizetési szint): Tulajdonos
Támogatott célhelyek: Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Szabályzatalapú: Igen
Felhők: Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

További információ az Azure Monitor-ügynök Felhőhöz készült Defender való használatáról.

Log Analytics-ügynök

Szempont Azure-beli virtuális gépek Azure Arc-kompatibilis gépek
Kiadási állapot: Általánosan elérhető (GA) Általánosan elérhető (GA)
Releváns Defender-csomag: Alapszintű felhőbiztonsági helyzetkezelés (CSPM) ügynökalapú biztonsági javaslatokhoz
Microsoft Defender kiszolgálókhoz
Az SQL-hez készült Microsoft Defender
Alapszintű felhőbiztonsági helyzetkezelés (CSPM) ügynökalapú biztonsági javaslatokhoz
Microsoft Defender kiszolgálókhoz
Az SQL-hez készült Microsoft Defender
Szükséges szerepkörök és engedélyek (előfizetési szint): Tulajdonos Tulajdonos
Támogatott célhelyek: Azure-beli virtuális gépek Azure Arc-kompatibilis gépek
Szabályzatalapú: Nem Igen
Felhők: Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

A Log Analytics-ügynök által támogatott operációs rendszerek

Felhőhöz készült Defender függ a Log Analytics-ügynök. Győződjön meg arról, hogy a gépek az ügynök egyik támogatott operációs rendszerét futtatják az alábbi oldalakon ismertetett módon:

Győződjön meg arról is, hogy a Log Analytics-ügynök megfelelően van konfigurálva, hogy adatokat küldjön Felhőhöz készült Defender.

A Log Analytics-ügynök üzembe helyezése már meglévő ügynöktelepítés esetén

Az alábbi használati esetek bemutatják, hogyan működik a Log Analytics-ügynök üzembe helyezése olyan esetekben, amikor már telepítve van egy ügynök vagy bővítmény.

  • A Log Analytics-ügynök telepítve van a gépen, de nem bővítményként (Közvetlen ügynökként) – Ha a Log Analytics-ügynök közvetlenül a virtuális gépre van telepítve (nem Azure-bővítményként), Felhőhöz készült Defender telepíti a Log Analytics-ügynök bővítményt, és frissítheti a Log Analytics-ügynököt a legújabb verzióra. A telepített ügynök továbbra is jelentést tesz a már konfigurált munkaterületeken és a Felhőhöz készült Defender konfigurált munkaterületen. (Windows rendszerű gépeken a többszörös homing támogatott.)

    Ha a Log Analytics felhasználói munkaterülettel van konfigurálva, és nem Felhőhöz készült Defender alapértelmezett munkaterületével, telepítenie kell a "Security" vagy a "SecurityCenterFree" megoldást, hogy Felhőhöz készült Defender megkezdhesse az események feldolgozását az adott munkaterületre jelentéssel rendelkező virtuális gépekről és számítógépekről.

    Linux rendszerű gépek esetén az ügynök többutas használata még nem támogatott. Ha egy meglévő ügynöktelepítést észlel, a Log Analytics-ügynök nem lesz üzembe helyezve.

    A 2019. március 17. előtt Felhőhöz készült Defender előfizetésben lévő meglévő gépek esetében, amikor egy meglévő ügynököt észlel, a Log Analytics-ügynök bővítménye nem lesz telepítve, és a gépre nem lesz hatással. Ezeknél a gépeknél tekintse meg a "Monitorozási ügynök állapotával kapcsolatos problémák megoldása a gépeken" című javaslatot az ügynök telepítésével kapcsolatos problémák megoldásához ezeken a gépeken.

  • A System Center Operations Manager-ügynök telepítve van a gépen – Felhőhöz készült Defender a Log Analytics-ügynök bővítményt a meglévő Operations Manager mellett telepíti. A meglévő Operations Manager-ügynök a szokásos módon továbbra is jelentést küld az Operations Manager-kiszolgálónak. Az Operations Manager-ügynök és a Log Analytics-ügynök közös futásidejű kódtárakat használ, amelyek a folyamat során a legújabb verzióra frissülnek.

  • Már meglévő virtuálisgép-bővítmény található:

    • Ha a Monitorozási ügynök bővítményként van telepítve, a bővítménykonfiguráció lehetővé teszi, hogy csak egyetlen munkaterületen jelentsen. Felhőhöz készült Defender nem bírálja felül a felhasználói munkaterületek meglévő kapcsolatait. Felhőhöz készült Defender a virtuális gép biztonsági adatait a már csatlakoztatott munkaterületen tárolja, ha a "Security" vagy a "SecurityCenterFree" megoldás telepítve van rajta. Felhőhöz készült Defender frissítheti a bővítményverziót a folyamat legújabb verziójára.
    • Annak megtekintéséhez, hogy a meglévő bővítmény melyik munkaterületre küld adatokat, futtassa a TestCloudConnection.exe eszközt a Felhőhöz készült Microsoft Defender való kapcsolat ellenőrzéséhez, a Log Analytics-ügynök kapcsolatának ellenőrzése című szakaszban leírtak szerint. Másik lehetőségként megnyithatja a Log Analytics-munkaterületeket, kijelölhet egy munkaterületet, kiválaszthatja a virtuális gépet, és megtekintheti a Log Analytics-ügynök kapcsolatát.
    • Ha olyan környezettel rendelkezik, amelyben a Log Analytics-ügynök telepítve van az ügyfél-munkaállomásokon, és egy meglévő Log Analytics-munkaterületnek jelent, tekintse át a Felhőhöz készült Microsoft Defender által támogatott operációs rendszerek listáját, hogy biztosan támogatott legyen az operációs rendszer.

További információ a Log Analytics-ügynökkel való munkáról.

Microsoft Defender végponthoz

Szempont Linux Windows
Kiadási állapot: Általánosan elérhető (GA) Általánosan elérhető (GA)
Releváns Defender-csomag: Microsoft Defender kiszolgálókhoz Microsoft Defender kiszolgálókhoz
Szükséges szerepkörök és engedélyek (előfizetési szint): – Az integráció engedélyezése/letiltása: biztonsági rendszergazda vagy tulajdonos
– A Defender for Endpoint riasztásainak megtekintése Felhőhöz készült Defender: Biztonsági olvasó, olvasó, erőforráscsoport-közreműködő, erőforráscsoport-tulajdonos, biztonsági rendszergazda, előfizetés-tulajdonos vagy előfizetés-közreműködő
– Az integráció engedélyezése/letiltása: biztonsági rendszergazda vagy tulajdonos
– A Defender for Endpoint riasztásainak megtekintése Felhőhöz készült Defender: Biztonsági olvasó, olvasó, erőforráscsoport-közreműködő, erőforráscsoport-tulajdonos, biztonsági rendszergazda, előfizetés-tulajdonos vagy előfizetés-közreműködő
Támogatott célhelyek: Azure Arc-kompatibilis gépek
Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1 , Azure Virtual Desktop, Windows 10 Enterprise több munkamenetet futtató Azure-beli virtuális gépek
Windows 10-et futtató Azure-beli virtuális gépek
Szabályzatalapú: Nem Nem
Felhők: Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

További információ a Végponthoz készült Microsoft Defender.

Sebezhetőségi felmérés

Szempont Részletek
Kiadási állapot: Általánosan elérhető (GA)
Releváns Defender-csomag: Microsoft Defender kiszolgálókhoz
Szükséges szerepkörök és engedélyek (előfizetési szint): Tulajdonos
Támogatott célhelyek: Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Szabályzatalapú: Igen
Felhők: Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

Vendégkonfiguráció

Szempont Részletek
Kiadási állapot: Előnézet
Releváns Defender-csomag: Nincs szükség tervre
Szükséges szerepkörök és engedélyek (előfizetési szint): Tulajdonos
Támogatott célhelyek: Azure-beli virtuális gépek
Felhők: Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

További információ az Azure vendégkonfigurációs bővítményéről.

Defender for Containers bővítmények

Ez a táblázat a Microsoft Defender for Containers által biztosított védelem által igényelt összetevők rendelkezésre állási adatait mutatja be.

Alapértelmezés szerint a szükséges bővítmények akkor lesznek engedélyezve, ha engedélyezi a Defender for Containerst az Azure Portalról.

Szempont Azure Kubernetes Service-fürtök Azure Arc-kompatibilis Kubernetes-fürtök
Kiadási állapot: • Defender érzékelő: GA
• Azure Policy for Kubernetes: Általánosan elérhető (GA)
• Defender érzékelő: Előzetes verzió
• Azure Policy for Kubernetes: Előzetes verzió
Releváns Defender-csomag: Microsoft Defender tárolókhoz Microsoft Defender tárolókhoz
Szükséges szerepkörök és engedélyek (előfizetési szint): Tulajdonos vagy felhasználói hozzáférés rendszergazdája Tulajdonos vagy felhasználói hozzáférés rendszergazdája
Támogatott célhelyek: Az AKS Defender-érzékelő csak az RBAC-t engedélyező AKS-fürtöket támogatja. Az Arc-kompatibilis Kubernetes-hez támogatott Kubernetes-disztribúciók megtekintése
Szabályzatalapú: Igen Igen
Felhők: Defender érzékelő:
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett
Azure Policy a Kuberneteshez:
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett
Defender érzékelő:
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett
Azure Policy a Kuberneteshez:
Kereskedelmi felhők
Azure Government, Microsoft Azure, 21Vianet által üzemeltetett

További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.

Hibaelhárítás

Következő lépések

Ez a lap a figyelési összetevőket és azok engedélyezését ismertette.

További információk:

  • E-mail-értesítések beállítása biztonsági riasztásokhoz
  • Számítási feladatok védelme a Defender-csomagokkal