Felkészülés a Log Analytics-ügynök kivonására

A Log Analytics-ügynök, más néven a Microsoft Monitoring Agent (MMA) 2024 novemberében nyugdíjba vonul. Ennek eredményeképpen a Defender for Servers és a Defender for SQL a Felhőhöz készült Microsoft Defender-beli gépcsomagokon frissül, és a Log Analytics-ügynökre támaszkodó funkciók újra lesznek tervezve.

Ez a cikk az ügynök kivonási terveit foglalja össze.

A Defender előkészítése kiszolgálókhoz

A Defender for Servers csomag a Log Analytics-ügynököt használja általánosan elérhető (GA) és az AMA-ban bizonyos funkciókhoz (előzetes verzióban). A következő dolgok történnek a következő funkciókkal:

Az előkészítés egyszerűsítése érdekében a Defender for Servers összes biztonsági funkciója és képessége egyetlen ügynökkel (Végponthoz készült Microsoft Defender) lesz ellátva, amelyet ügynök nélküli gépvizsgálat egészít ki, anélkül, hogy a Log Analytics-ügynök vagy az AMA függősége lenne.

• Az AMA-n alapuló Defender for Servers-funkciók jelenleg előzetes verzióban érhetők el, és nem jelennek meg a GA-ban. 
• Az előzetes verzióban az AMA-ra támaszkodó funkciók mindaddig támogatottak maradnak, amíg meg nem ad egy másik verziót a szolgáltatásnak, amely a Defender for Endpoint integrációjára vagy az ügynök nélküli gép vizsgálatára fog támaszkodni.
• Ha engedélyezi a Defender for Endpoint integrációját és az ügynök nélküli gép vizsgálatát az elavulás előtt, a Defender for Servers üzembe helyezése naprakész és támogatott lesz.

Funkciófunkciók

Az alábbi táblázat összefoglalja a Defender for Servers funkcióinak használatát. A legtöbb funkció már általánosan elérhető a Defender végpontintegrációhoz vagy az ügynök nélküli gép vizsgálatához. A többi funkció vagy elérhető lesz a ga-ban az MMA kivonásának idejére, vagy elavult lesz.

Szolgáltatás	Aktuális támogatás	Új támogatás	Új felhasználói élmény állapota
Defender végpontintegráció alacsonyabb szintű Windows-gépekhez (Windows Server 2016/2012 R2)	Legacy Defender for Endpoint sensor, a Log Analytics-ügynök alapján	Egyesített ügynökintegráció	– Az egyesített MDE-ügynökkel a ga funkció használható. – Az örökölt Defender for Endpoint-érzékelővel a Log Analytics-ügynökkel való működése 2024 augusztusában megszűnik.
Operációsrendszer-szintű fenyegetésészlelés	Log Analytics-ügynök	A Defender for Endpoint-ügynök integrációja	A Defender for Endpoint-ügynökkel a ga funkció működik.
Adaptív alkalmazásvezérlés	Log Analytics-ügynök (GA), AMA (előzetes verzió)	---	Az adaptív alkalmazásvezérlési funkció 2024 augusztusában elavultra van állítva.
Végpontvédelmi felderítési javaslatok	Az alapszintű felhőbeli biztonsági helyzetkezelés (CSPM) és a Defender for Servers szolgáltatáson keresztül elérhető javaslatok a Log Analytics-ügynök (GA), az AMA (előzetes verzió) használatával	Ügynök nélküli gép vizsgálata	– Az ügynök nélküli gépvizsgálattal rendelkező funkciók 2024 elején jelentek meg előzetes verzióban a Defender for Servers 2. csomagja és a Defender CSPM-csomag részeként. – Az Azure-beli virtuális gépek, a Google Cloud Platform (GCP) és az Amazon Web Services (AWS) példányok támogatottak. A helyszíni gépek nem támogatottak.
Hiányzó operációsrendszer-frissítési javaslat	Az alapszintű CSPM-ben és a Defender for Servers-csomagokban elérhető javaslatok a Log Analytics-ügynök használatával.	Integráció az Update Managerrel, Microsoft	Az Azure Update Manager-integráción alapuló új javaslatok a GA, ügynökfüggőségek nélkül.
Operációsrendszer-konfigurációk (Microsoft Cloud Security Benchmark)	Az alapszintű CSPM és a Defender for Servers csomagon keresztül elérhető javaslatok a Log Analytics-ügynök vendégkonfigurációs bővítmény (előzetes verzió) használatával.	Vendégkonfigurációs bővítmény a Defender for Servers 2. csomagjának részeként.	- A vendégkonfigurációs bővítményen alapuló funkciók 2024 szeptemberében jelennek meg a GA-ban - Csak Felhőhöz készült Defender ügyfelek számára: a Log Analytics-ügynökkel kapcsolatos funkciók 2024 novemberében megszűnnek. – A Docker-Hub és az Azure Virtuálisgép-méretezési csoportok szolgáltatás támogatása 2024 augusztusában megszűnik.
Fájlintegritás monitorozása	Log Analytics-ügynök, AMA (előzetes verzió)	A Defender for Endpoint-ügynök integrációja	A Defender for Endpoint-ügynökkel kapcsolatos funkciók 2024 augusztusában lesznek elérhetők. - Csak Felhőhöz készült Defender ügyfelek számára: a Log Analytics-ügynökkel kapcsolatos funkciók 2024 novemberében megszűnnek. – Az AMA funkciói elavultak lesznek a Defender for Endpoint-integráció megjelenésekor.

Az adatbetöltés 500 MB-os előnye

A támogatott adattípusok 500 MB-os ingyenes adatbetöltési juttatásának megőrzéséhez mma-ról AMA-ra kell áttelepítenie.

Feljegyzés

• Az előnyt minden olyan AMA-gép megkapja, amely a Defender for Servers 2. csomaggal rendelkező előfizetés részét képezi.

• Az előny annak a munkaterületnek adható, amelyről a gép jelentést készít.

• A biztonsági megoldást telepíteni kell a kapcsolódó munkaterületre. További információ a végrehajtásáról itt.

• Ha a gép több munkaterületnek is jelent, az előny csak az egyiknek lesz megadva.

További információ az AMA üzembe helyezéséről.

A gépeken futó SQL-kiszolgálók esetében javasoljuk, hogy migráljon az SQL Server által célzott Azure Monitoring Agent (AMA) automatikus fejlesztési folyamatára.

Az örökölt Defender for Servers 2. csomagjának módosítása a Log Analytics-ügynökön keresztül történő előkészítéshez

A Kiszolgálók Defender 2. csomagjának a Log Analytics-ügynökön és a Log Analytics-munkaterületek használatával történő előkészítésének régi megközelítése a kivonáshoz is be van állítva:

• Az új, nem Azure-beli gépekNek a Log Analytics-ügynököket és -munkaterületeket használó Defender for Serversbe való előkészítésének felületét a Felhőhöz készült Defender portál Leltár és első lépések paneljei eltávolítják.

• A Log Analytics-munkaterülethez csatlakoztatott érintett gépek biztonsági lefedettségének elvesztése érdekében az ügynök kivonásával:

• Ha nem Azure-kiszolgálókat (helyszíni és többfelhős) is előkészített az örökölt megközelítéssel, most ezeket a gépeket Azure Arc-kompatibilis kiszolgálókon keresztül kell csatlakoztatnia a Defender for Servers 2 Azure-előfizetésekhez és -összekötőkhöz. További információ az Arc-gépek nagy léptékű üzembe helyezéséről.

  • Ha az örökölt megközelítést használta a Defender for Servers 2. csomagjának engedélyezéséhez a kiválasztott Azure-beli virtuális gépeken, javasoljuk, hogy engedélyezze a Defender for Servers 2. csomagját ezeknek a gépeknek az Azure-előfizetésein. Ezután kizárhatja az egyes gépeket a Defender for Servers lefedettségéből az erőforrásonkénti Defender for Servers konfigurációval.

Ez a 2. csomagban a Defender for Servers plan 2-be előkészített kiszolgálókhoz szükséges művelet összefoglalása az örökölt megközelítéssel:

Gép típusa	A biztonsági lefedettség megőrzéséhez szükséges művelet
Helyszíni kiszolgálók	Bevezetés az Arcba , és csatlakozik egy előfizetéshez a Defender for Servers 2 csomaggal
Azure-beli virtuális gépek	Csatlakozás előfizetéshez a Defender for Servers 2. csomagjával
Többfelhős kiszolgálók	Csatlakozás többfelhős összekötőhöz az Azure Arc kiépítésével és a Defender for Servers 2. csomagjával

Végpontvédelmi javaslatok – változások és migrálási útmutató

A végpontfelderítést és -javaslatokat jelenleg az Felhőhöz készült Defender alapszintű CSPM és a Defender for Servers csomag biztosítja a Log Analytics-ügynök használatával a GA-ban, vagy előzetes verzióban az AMA-n keresztül. Ezt a felhasználói élményt az ügynök nélküli gépvizsgálattal összegyűjtött biztonsági javaslatok váltják fel.

A végpontvédelmi javaslatok két szakaszból állnak. Az első lépés egy végponti észlelés és reagálás megoldás felderítése. A második a megoldás konfigurációjának értékelése . Az alábbi táblázatok az egyes szakaszok aktuális és új felületeinek részleteit tartalmazzák.

Megtudhatja, hogyan kezelheti az új (ügynök nélküli) végponti észlelés és reagálás javaslatokat.

Végpontészlelés és válaszmegoldás – felderítés

Terület	Jelenlegi tapasztalat (az AMA/MMA alapján)	Új felület (ügynök nélküli gépi vizsgálat alapján)
Mi szükséges egy erőforrás kifogástalan állapotúként való besorolásához?	Egy vírusirtó van a helyén.	Egy végponti észlelés és reagálás megoldás van érvényben.
Mire van szükség a javaslat beszerzéséhez?	Log Analytics-ügynök	Ügynök nélküli gép vizsgálata
Milyen csomagok támogatottak?	- Alapszintű CSPM (ingyenes) - Defender for Servers Plan 1 és Plan 2	- Defender CSPM - Defender for Servers Plan 2
Milyen javítás érhető el?	Telepítse a Microsoft kártevőirtót.	Telepítse a Defender for Endpointt a kiválasztott gépekre/előfizetésekre.

Végpontészlelés és válaszmegoldás – konfigurációértékelés

Terület	Jelenlegi tapasztalat (az AMA/MMA alapján)	Új felület (ügynök nélküli gépi vizsgálat alapján)
Az erőforrások akkor minősülnek kifogástalan állapotúnak, ha egy vagy több biztonsági ellenőrzés nem kifogástalan.	Három biztonsági ellenőrzés: - A valós idejű védelem ki van kapcsolva - Az aláírások elavultak. - A gyors és a teljes vizsgálat sem hét napig fut.	Három biztonsági ellenőrzés: - A vírusirtó ki van kapcsolva vagy részben konfigurálva van - Az aláírások elavultak - A gyors és a teljes vizsgálat sem hét napig fut.
A javaslat beszerzésének előfeltételei	Kártevőirtó megoldás a helyén	Egy végponti észlelés és reagálás megoldás.

Mely javaslatok elavultak?

Az alábbi táblázat az elavult és lecserélt javaslatok ütemezését foglalja össze.

Ajánlás	Ügynök	Támogatott erőforrások	Elavulási dátum	Cserejavaslat
A végpontvédelmet telepíteni kell a gépekre (nyilvános)	MMA/AMA	Azure > nem Azure (Windows > Linux)	2024. július	Új ügynök nélküli javaslat
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken (nyilvános)	MMA/AMA	Azure (Windows)	2024. július	Új ügynök nélküli javaslat
A virtuálisgép-méretezési csoportok végpontvédelmi állapotának hibáit meg kell oldani	MMA	Azure Virtual Machine Scale Sets	2024. augusztus	Nincs csere
A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra	MMA	Azure Virtual Machine Scale Sets	2024. augusztus	Nincs csere
A végpontvédelmi megoldásnak gépeken kell lennie	MMA	Nem Azure-erőforrások (Windows)	2024. augusztus	Nincs csere
Végpontvédelmi megoldás telepítése a gépekre	MMA	Azure és nem Azure (Windows)	2024. augusztus	Új ügynök nélküli javaslat
Meg kell oldani a végpontvédelmi állapottal kapcsolatos problémákat a gépeken	MMA	Azure és nem Azure (Windows és Linux)	2024. augusztus	Új ügynök nélküli javaslat.

Az ügynök nélküli gépvizsgálaton alapuló új javaslatok mind a Windows, mind a Linux operációs rendszert támogatják a többfelhős gépeken.

Hogyan működik a csere?

• A Log Analytics-ügynök vagy az AMA által megadott aktuális javaslatok idővel elavultak lesznek.
• Ezen meglévő javaslatok némelyikét az ügynök nélküli gépi vizsgálaton alapuló új javaslatok váltják fel.
• A ga-ban jelenleg elérhető javaslatok mindaddig érvényben maradnak, amíg a Log Analytics-ügynök ki nem vonul.
• A jelenleg előzetes verzióban lévő javaslatok akkor lépnek helyébe, ha az új javaslat előzetes verzióban érhető el.

Mi történik a biztonságos pontszámmal?

• A jelenleg a ga-ban lévő javaslatok továbbra is hatással lesznek a biztonságos pontszámra. 
• Az aktuális és a közelgő új javaslatok ugyanabban a Microsoft Cloud Security Benchmark-vezérlőben találhatók, így biztosítva, hogy a biztonsági pontszám ne legyen ismétlődő hatással.

Hogyan felkészülni az új javaslatokra?

• Győződjön meg arról, hogy az ügynök nélküli gép vizsgálata engedélyezve van a Defender 2. csomagjának vagy a Defender CSPM-nek a részeként.
• Ha megfelelő a környezetéhez, a legjobb élmény érdekében azt javasoljuk, hogy távolítsa el az elavult javaslatokat, amikor a helyettesítő GA-javaslat elérhetővé válik. Ehhez tiltsa le a javaslatot az Azure Policy beépített Felhőhöz készült Defender kezdeményezésében.

Fájlintegritási monitorozási élmény – változások és migrálási útmutató

A Microsoft Defender for Servers Plan 2 mostantól egy új, Végponthoz készült Microsoft Defender (MDE) integráción alapuló fájlintegritási monitorozási (FIM) megoldást kínál. Ha az MDE által üzemeltetett FIM nyilvános, a Felhőhöz készült Defender portálon az AMA-felülettel rendelkező FIM el lesz távolítva. Novemberben megszűnik az MMA által üzemeltetett FIM.

Migrálás FIM-ből az AMA-ból

Ha jelenleg a FIM-et használja az AMA-en keresztül:

• Az AMA alapján új előfizetések vagy kiszolgálók előkészítése a FIM-be és a változáskövetési bővítmény, valamint a módosítások megtekintése nem lesz elérhető a Felhőhöz készült Defender portálon május 30-tól.

• Ha folytatni szeretné az AMA által gyűjtött FIM-eseményeket, manuálisan csatlakozhat a megfelelő munkaterülethez, és megtekintheti a változáskövetési táblában lévő változásokat az alábbi lekérdezéssel:

  ConfigurationChange
  
  | where TimeGenerated > ago(14d)
  
  | where ConfigChangeType in ('Registry', 'Files') 
  
  | summarize count() by Computer, ConfigChangeType
  

• Ha folytatni szeretné az új hatókörök előkészítését vagy a figyelési szabályok konfigurálását, manuálisan is konfigurálhatja vagy testre szabhatja az adatgyűjtés különböző aspektusait az adatkapcsolati szabályok használatával.

• Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az AMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az AMA-ra

Ha le szeretné tiltani a FIM-et az AMA-on keresztül, távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

Másik lehetőségként eltávolíthatja a kapcsolódó fájlmódosítás-követési adatgyűjtési szabályokat (DCR). További információ: Remove-AzDataCollectionRuleAssociation vagy Remove-AzDataCollectionRule.

Miután letiltotta a fájlesemények gyűjteményét a fenti módszerek egyikével:

• Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
• A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

Migrálás a FIM-ből a Log Analytics-ügynökön keresztül (MMA)

Ha jelenleg a FIM-et használja a Log Analytics-ügynökön (MMA) keresztül:

• A Log Analytics-ügynökön (MMA) alapuló fájlintegritási monitorozás 2024. november végén megszűnik.

• Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az MMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az MMA-ról

A FIM MMA-on keresztüli letiltásához távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

A fájlesemények gyűjteményének letiltása után:

• Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
• A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

Alapkonfigurációs felület

A virtuális gépek alapkonfigurációs helytelen konfigurációs funkciója úgy lett kialakítva, hogy a virtuális gépek betartsák a biztonsági ajánlott eljárásokat és a szervezeti szabályzatokat. Az alaptervek helytelen konfigurációja kiértékeli a virtuális gépek konfigurációját az előre definiált biztonsági alapkonfigurációkkal, és azonosítja azokat az eltéréseket vagy helytelen konfigurációkat, amelyek kockázatot jelenthetnek a környezet számára.

A rendszer a Log Analytics-ügynök (más néven a Microsoft Monitoring Agent (MMA) használatával gyűjti össze a gépi adatokat az értékeléshez. Az MMA 2024 novemberében megszűnik, és a következő változások történnek:

• A gép adatai az Azure Policy vendégkonfigurációjának használatával lesznek összegyűjtve.

• Az Azure Policy vendégkonfigurációjával a következő Azure-szabályzatok engedélyezve vannak:

  • "A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek"
  • "A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek"

  Feljegyzés

  Ha eltávolítja ezeket a szabályzatokat, nem fogja tudni elérni az Azure Policy vendégkonfigurációs bővítményének előnyeit.

• A számítási biztonsági alapkonfigurációkon alapuló operációsrendszer-javaslatok már nem szerepelnek Felhőhöz készült Defender alapszintű CSPM-ben. Ezek a javaslatok a Defender for Servers 2. csomagjának engedélyezésekor lesznek elérhetők.

A Defender Servers 2. csomagjának díjszabási információiért tekintse át a Felhőhöz készült Defender díjszabási oldalát.

Fontos

Vegye figyelembe, hogy a Felhőhöz készült Defender portálon kívül található Azure Policy-vendégkonfiguráció által biztosított további funkciók nem tartoznak a Felhőhöz készült Defender közé, és az Azure Policy vendégkonfigurációira vonatkozó díjszabási szabályzatok vonatkoznak gombra. Például szervizelési és egyéni szabályzatok. További információt az Azure Policy vendégkonfigurációs díjszabási oldalán talál.

Az MCSB által biztosított javaslatok, amelyek nem részei a Windows és a Linux számítási biztonsági alapkonfigurációinak, továbbra is az ingyenes alapszintű CSPM részét képezik.

Az Azure Policy vendégkonfigurációjának telepítése

Ahhoz, hogy továbbra is megkapja az alapkonfigurációt, engedélyeznie kell a Defender for Servers 2. csomagját, és telepítenie kell az Azure Policy vendégkonfigurációját. Ez biztosítja, hogy továbbra is ugyanazokat a javaslatokat és keményítési útmutatást kapja, amelyeket az alapszintű felületen kapott.

A környezettől függően előfordulhat, hogy a következő lépéseket kell elvégeznie:

1. Tekintse át az Azure Policy vendégkonfigurációjának támogatási mátrixát.

2. Telepítse az Azure Policy vendégkonfigurációját a gépekre.

   • Azure-gépek: A Felhőhöz készült Defender portál javaslatok lapján keresse meg és válassza ki a Vendégkonfiguráció bővítményt a gépeken, és orvosolja a javaslatot.

   • (Csak Azure-beli virtuális gépek esetében) Felügyelt identitást kell hozzárendelnie.

     • A Felhőhöz készült Defender portál javaslatok lapján keresse meg és válassza ki a virtuális gépek vendégkonfigurációs bővítményét a rendszer által hozzárendelt felügyelt identitással, és orvosolja a javaslatot.

   • (Csak Azure-beli virtuális gépek esetén) Nem kötelező: Az Azure Policy vendégkonfigurációjának a teljes előfizetésben való automatikus létrehozásához engedélyezheti a vendégkonfigurációs ügynököt (előzetes verzió).

     • A vendégkonfigurációs ügynök engedélyezése:
       1. Jelentkezzen be az Azure Portalra.
       2. Lépjen a környezeti beállításokhoz >Az előfizetés>beállításai és figyelése elemre.
       3. Válassza a Vendégkonfiguráció lehetőséget.
       4. Kapcsolja be a vendégkonfigurációs ügynököt (előzetes verzió) Be állásba.
       5. Válassza a Folytatás lehetőséget.

   • GCP és AWS: Az Azure Policy vendégkonfigurációja automatikusan telepítve lesz a GCP-projekt csatlakoztatásakor, vagy ha az AWS-fiókokat engedélyezve van az Azure Arc automatikus üzembe helyezése, Felhőhöz készült Defender.

   • Helyszíni gépek: Az Azure Policy vendégkonfigurációja alapértelmezés szerint engedélyezve van, amikor a helyszíni gépeket Azure Arc-kompatibilis gépként vagy virtuális gépként irányítja.

Miután elvégezte az Azure Policy vendégkonfiguráció telepítéséhez szükséges lépéseket, automatikusan hozzáférést kap az alapszolgáltatásokhoz az Azure Policy vendégkonfigurációja alapján. Ez biztosítja, hogy továbbra is ugyanazokat a javaslatokat és keményítési útmutatást kapja, amelyeket az alapszintű felületen kapott.

Javaslatok módosítása

Az MMA elavulása esetén a következő MMA-alapú javaslatok elavultnak vannak beállítva:

• A gépeket biztonságosan kell konfigurálni
• A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésekben

Az elavult javaslatok helyébe a következő Azure Policy-vendégkonfigurációs alapjavaslatok lépnek:

• A Windows rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)
• A Linux rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)
• A vendégkonfigurációs bővítményt telepíteni kell a gépekre

Ismétlődő javaslatok

Ha engedélyezi a Felhőhöz készült Defender egy Azure-előfizetésen, a Microsoft felhőbiztonsági benchmarkja (MCSB) alapértelmezett megfelelőségi szabványként van engedélyezve, beleértve a számítógép operációs rendszerének megfelelőségét értékelő számítási biztonsági alapkonfigurációkat is. Az ingyenes alapszintű felhőbeli biztonsági helyzetkezelés (CSPM) Felhőhöz készült Defender biztonsági javaslatokat tesz az MCSB alapján.

Ha egy gép az MMA-t és az Azure Policy-vendégkonfigurációt is futtatja, ismétlődő javaslatokat fog látni. A javaslatok duplikálása azért fordul elő, mert mindkét módszer egyszerre fut, és ugyanazokat a javaslatokat készíti el. Ezek az ismétlődések hatással lesznek a megfelelőségre és a biztonságos pontszámra.

Megkerülő megoldásként letilthatja az MMA-javaslatokat, "A gépeket biztonságosan kell konfigurálni", és "a Log Analytics-ügynök automatikus üzembe helyezését engedélyezni kell az előfizetéseken", ha a szabályozási megfelelőségi oldalra navigál a Felhőhöz készült Defender.

Miután megtalálta a javaslatot, ki kell választania a megfelelő gépeket, és fel kell mentesítenie őket.

Az Azure Policy vendégkonfigurációs eszközén alapuló alapkonfigurációs szabályok némelyike aktuálisabb, és szélesebb körű lefedettséget biztosít. Ennek eredményeképpen az Azure Policy vendégkonfigurációja által az Alaptervek szolgáltatásra való áttérés hatással lehet a megfelelőségi állapotra, mivel olyan ellenőrzéseket tartalmaznak, amelyeket korábban nem hajtottak végre.

Lekérdezési javaslatok

Az MMA kivonásával Felhőhöz készült Defender a továbbiakban nem lekérdezési javaslatokat a Napló elemzési munkaterület adatain keresztül. Ehelyett Felhőhöz készült Defender mostantól az Azure Resource Graphot használja API-hoz és portál-lekérdezésekhez a javaslatok adatainak lekérdezéséhez.

Az alábbi 2 minta lekérdezés használható:

• Adott erőforrás összes nem megfelelő szabályának lekérdezése

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Az összes nem kifogástalan szabály és az az összeg, ha az egyes gépek nem megfelelőek

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

A Defender előkészítése gépeken futó SQL-hez

További információ a Defender for SQL Serverről a Log Analytics-ügynök elavulásos tervén.

Ha az aktuális Log Analytics-ügynök/Azure Monitor-ügynök automatikus kiépítési folyamatát használja, az sql serverhez készült új Azure Monitoring Agentre kell migrálnia az automatikusan kiépítési folyamaton futó gépeken. A migrálási folyamat zökkenőmentes, és folyamatos védelmet biztosít minden gép számára.

Migrálás az SQL Server által megcélzott AMA automatikus leépítési folyamatba

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

4. Válassza ki az adott előfizetést.

5. Az Adatbázisok csomagban válassza a Szükséges művelet lehetőséget.

   

6. Az előugró ablakban válassza az Engedélyezés lehetőséget.

   

7. Válassza a Mentés lehetőséget.

Ha engedélyezve van az SQL Server által célzott AMA automatikus leépítési folyamat, tiltsa le a Log Analytics-ügynök/Azure Monitor-ügynök automatikus leépítési folyamatát, és távolítsa el az MMA-t az összes SQL-kiszolgálón:

A Log Analytics-ügynök letiltása:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

4. Válassza ki az adott előfizetést.

5. Az Adatbázis-csomag alatt válassza a Beállítások lehetőséget.

6. Kapcsolja ki a Log Analytics-ügynököt.

   

7. Válassza a Folytatás lehetőséget.

8. Válassza a Mentés lehetőséget.

A migrálás megtervezése

Javasoljuk, hogy az üzleti követelményeknek megfelelően tervezze meg az ügynökök migrálását. A táblázat összefoglalja útmutatónkat.

A Defender for Servers szolgáltatást használja?	Szükség van ezekre a Defender for Servers-funkciókra a ga-ban: fájlintegritási monitorozás, végpontvédelmi javaslatok, biztonsági alapkonfiguráció-javaslatok?	A Defendert sql-kiszolgálókhoz használja gépeken vagy AMA-naplógyűjteményben?	Migrálási terv
Igen	Igen	Nem	1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. Várja meg a ga-t az alternatív platform összes funkciójával (az előzetes verziót használhatja korábban). 3. Ha a funkciók ga-ra vannak skálázva, tiltsa le a Log Analytics-ügynököt.
Nem	---	Nem	Most már eltávolíthatja a Log Analytics-ügynököt.
Nem	---	Igen	1. Most már migrálhat az AMA-hoz készült SQL automatikus üzembe helyezésére. 2. Tiltsa le a Log Analytics/Azure Monitor-ügynököt.
Igen	Igen	Igen	1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. A Log Analytics-ügynökkel és az AMA-sel egymás mellett szerezheti be az összes funkciót a ga-ban. További információ az ügynökök egymás melletti futtatásáról. 3. Migrálás az AMA sql-alapú automatikus sql-alapú üzembe helyezésére a gépeken futó Defenderben. Másik lehetőségként 2024 áprilisában indítsa el a Log Analytics-ügynökről az AMA-ra való migrálást. 4. Az áttelepítés befejezése után tiltsa le a Log Analytics-ügynököt.
Igen	Nem	Igen	1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához. 2. Most már migrálhat az AMA sql-alapú automatikus sql-telepítésére a Defender for SQL-ben a gépeken. 3. Tiltsa le a Log Analytics-ügynököt.

Következő lépés

A Log Analytics-ügynök elavulása Felhőhöz készült Defender tervének és stratégiájának közelgő változásai