Megosztás a következőn keresztül:


Felkészülés a Naplóelemzés ügynök kivonására

A Log Analytics-ügynök, más néven a Microsoft Monitoring Agent (MMA) 2024 novemberében nyugdíjba vonul. Ennek eredményeképpen a Defender for Servers és a Defender for SQL a Felhőhöz készült Microsoft Defender-beli gépcsomagokon frissül, és a Log Analytics-ügynökre támaszkodó funkciók újra lesznek tervezve.

Ez a cikk az ügynök kivonási terveit foglalja össze.

A Defender előkészítése kiszolgálókhoz

A Defender for Servers csomag a Log Analytics-ügynököt használja általánosan elérhető (GA) és az AMA-ban bizonyos funkciókhoz (előzetes verzióban). A következő dolgok történnek a következő funkciókkal:

Az előkészítés egyszerűsítése érdekében a Defender for Servers összes biztonsági funkciója és képessége egyetlen ügynökkel (Végponthoz készült Microsoft Defender) lesz ellátva, amelyet ügynök nélküli gépvizsgálat egészít ki, anélkül, hogy a Log Analytics-ügynök vagy az AMA függősége lenne.

  • Az AMA-n alapuló Defender for Servers-funkciók jelenleg előzetes verzióban érhetők el, és nem jelennek meg a GA-ban. 
  • Az előzetes verzióban az AMA-ra támaszkodó funkciók mindaddig támogatottak maradnak, amíg meg nem ad egy másik verziót a szolgáltatásnak, amely a Defender for Endpoint integrációjára vagy az ügynök nélküli gép vizsgálatára fog támaszkodni.
  • Ha engedélyezi a Defender for Endpoint integrációját és az ügynök nélküli gép vizsgálatát az elavulás előtt, a Defender for Servers üzembe helyezése naprakész és támogatott lesz.

Funkciófunkciók

Az alábbi táblázat összefoglalja a Defender for Servers funkcióinak használatát. A legtöbb funkció már általánosan elérhető a Defender végpontintegrációhoz vagy az ügynök nélküli gép vizsgálatához. A többi funkció vagy elérhető lesz a ga-ban az MMA kivonásának idejére, vagy elavult lesz.

Szolgáltatás Aktuális támogatás Új támogatás Új felhasználói élmény állapota
Defender végpontintegráció alacsonyabb szintű Windows-gépekhez (Windows Server 2016/2012 R2) Legacy Defender for Endpoint sensor, a Log Analytics-ügynök alapján Egyesített ügynökintegráció – Az egyesített MDE-ügynökkel a ga funkció használható.
– Az örökölt Defender for Endpoint-érzékelővel a Log Analytics-ügynökkel való működése 2024 augusztusában megszűnik.
Operációsrendszer-szintű fenyegetésészlelés Log Analytics-ügynök A Defender for Endpoint-ügynök integrációja A Defender for Endpoint-ügynökkel a ga funkció működik.
Adaptív alkalmazásvezérlés Log Analytics-ügynök (GA), AMA (előzetes verzió) --- Az adaptív alkalmazásvezérlési funkció 2024 augusztusában elavultra van állítva.
Végpontvédelmi felderítési javaslatok Az alapszintű felhőbeli biztonsági helyzetkezelés (CSPM) és a Defender for Servers szolgáltatáson keresztül elérhető javaslatok a Log Analytics-ügynök (GA), az AMA (előzetes verzió) használatával Ügynök nélküli gép vizsgálata – Az ügynök nélküli gépvizsgálattal rendelkező funkciók 2024 elején jelentek meg előzetes verzióban a Defender for Servers 2. csomagja és a Defender CSPM-csomag részeként.
– Az Azure-beli virtuális gépek, a Google Cloud Platform (GCP) és az Amazon Web Services (AWS) példányok támogatottak. A helyszíni gépek nem támogatottak.
Hiányzó operációsrendszer-frissítési javaslat Az alapszintű CSPM-ben és a Defender for Servers-csomagokban elérhető javaslatok a Log Analytics-ügynök használatával. Integráció az Update Managerrel, Microsoft Az Azure Update Manager-integráción alapuló új javaslatok a GA, ügynökfüggőségek nélkül.
Operációsrendszer-konfigurációk (Microsoft Cloud Security Benchmark) Az alapszintű CSPM és a Defender for Servers csomagon keresztül elérhető javaslatok a Log Analytics-ügynök vendégkonfigurációs bővítmény (előzetes verzió) használatával. Vendégkonfigurációs bővítmény a Defender for Servers 2. csomagjának részeként. - A vendégkonfigurációs bővítményen alapuló funkciók 2024 szeptemberében jelennek meg a GA-ban
- Csak Felhőhöz készült Defender ügyfelek számára: a Log Analytics-ügynökkel kapcsolatos funkciók 2024 novemberében megszűnnek.
– A Docker-Hub és az Azure Virtuálisgép-méretezési csoportok szolgáltatás támogatása 2024 augusztusában megszűnik.
Fájlintegritás monitorozása Log Analytics-ügynök, AMA (előzetes verzió) A Defender for Endpoint-ügynök integrációja A Defender for Endpoint-ügynökkel kapcsolatos funkciók 2024 augusztusában lesznek elérhetők.
- Csak Felhőhöz készült Defender ügyfelek számára: a Log Analytics-ügynökkel kapcsolatos funkciók 2024 novemberében megszűnnek.
– Az AMA funkciói elavultak lesznek a Defender for Endpoint-integráció megjelenésekor.

Log Analytics-ügynök automatikus leépítési élménye – elavulási terv

Az MMA-ügynök kivonásának részeként az ügynök telepítését és konfigurálását biztosító automatikus kiépítési képesség az MDC-ügyfelek számára is megszűnik, és két szakaszban is megszűnik:

  1. 2024 . szeptember végéig az MMA automatikus kiépítése le lesz tiltva a funkciót már nem használó ügyfelek, valamint az újonnan létrehozott előfizetések esetében:

    • Azok a meglévő előfizetések , amelyek szeptember vége után kikapcsolják az MMA automatikus kiépítését, később már nem fogják tudni engedélyezni a funkciót.
  • Az újonnan létrehozott előfizetéseken az automatikus kiépítés már nem engedélyezhető, és automatikusan ki van kapcsolva.
  1. 2024 . november vége – a funkció le lesz tiltva azon előfizetéseken, amelyek még nem kapcsolták ki. Ettől a ponttól kezdve már nem lehet engedélyezni a képességet a meglévő előfizetéseken.

Az adatbetöltés 500 MB-os előnye

A támogatott adattípusok 500 MB-os ingyenes adatbetöltési juttatásának megőrzéséhez mma-ról AMA-ra kell áttelepítenie.

Feljegyzés

  • Az előnyt minden olyan AMA-gép megkapja, amely a Defender for Servers 2. csomaggal rendelkező előfizetés részét képezi.

  • Az előny annak a munkaterületnek adható, amelyről a gép jelentést készít.

  • A biztonsági megoldást telepíteni kell a kapcsolódó munkaterületre. További információ a végrehajtásáról itt.

  • Ha a gép több munkaterületnek is jelent, az előny csak az egyiknek lesz megadva.

További információ az AMA üzembe helyezéséről.

A gépeken futó SQL-kiszolgálók esetében javasoljuk, hogy migráljon az SQL Server által célzott Azure Monitoring Agent (AMA) automatikus fejlesztési folyamatára.

Az örökölt Defender for Servers 2. csomagjának módosítása a Log Analytics-ügynökön keresztül történő előkészítéshez

A Kiszolgálók Defender 2. csomagjának a Log Analytics-ügynökön és a Log Analytics-munkaterületek használatával történő előkészítésének régi megközelítése a kivonáshoz is be van állítva:

  • Az új, nem Azure-beli gépekNek a Log Analytics-ügynököket és -munkaterületeket használó Defender for Serversbe való előkészítésének felületét a Felhőhöz készült Defender portál Leltár és első lépések paneljei eltávolítják.

  • A Log Analytics-munkaterülethez csatlakoztatott érintett gépek biztonsági lefedettségének elvesztése érdekében az ügynök kivonásával:

  • Ha nem Azure-kiszolgálókat (helyszíni és többfelhős) is előkészített az örökölt megközelítéssel, most ezeket a gépeket Azure Arc-kompatibilis kiszolgálókon keresztül kell csatlakoztatnia a Defender for Servers 2 Azure-előfizetésekhez és -összekötőkhöz. További információ az Arc-gépek nagy léptékű üzembe helyezéséről.

    • Ha az örökölt megközelítést használta a Defender for Servers 2. csomagjának engedélyezéséhez a kiválasztott Azure-beli virtuális gépeken, javasoljuk, hogy engedélyezze a Defender for Servers 2. csomagját ezeknek a gépeknek az Azure-előfizetésein. Ezután kizárhatja az egyes gépeket a Defender for Servers lefedettségéből az erőforrásonkénti Defender for Servers konfigurációval.

Ez a 2. csomagban a Defender for Servers plan 2-be előkészített kiszolgálókhoz szükséges művelet összefoglalása az örökölt megközelítéssel:

Gép típusa A biztonsági lefedettség megőrzéséhez szükséges művelet
Helyszíni kiszolgálók Bevezetés az Arcba , és csatlakozik egy előfizetéshez a Defender for Servers 2 csomaggal
Azure-beli virtuális gépek Csatlakozás előfizetéshez a Defender for Servers 2. csomagjával
Többfelhős kiszolgálók Csatlakozás többfelhős összekötőhöz az Azure Arc kiépítésével és a Defender for Servers 2. csomagjával

Rendszerfrissítési és javítási javaslatok – változások és migrálási útmutató

A rendszerfrissítések és javítások kulcsfontosságúak a gépek biztonságának és állapotának megőrzéséhez. A frissítések gyakran tartalmaznak biztonsági javításokat az olyan biztonsági rések esetében, amelyeket ha a támadók nem javítanak, kihasználhatók.

A rendszerfrissítési javaslatokat korábban a Felhőhöz készült Defender Alapszintű CSPM és a Defender for Servers csomag biztosította a Log Analytics-ügynökkel. Ezt a felületet felváltották az Azure Update Managerrel összegyűjtött és 2 új javaslatból összeállított biztonsági javaslatok:

  1. A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket

  2. A rendszerfrissítéseket telepíteni kell a gépekre (az Azure Update Manager működteti)

Megtudhatja, hogyan javíthatja a rendszerfrissítéseket és javításokat a gépeken.

Mely javaslatok kerülnek lecserélésre?

Az alábbi táblázat az elavult és lecserélt javaslatok ütemezését foglalja össze.

Ajánlás Ügynök Támogatott erőforrások Elavulási dátum Cserejavaslat
A rendszerfrissítéseket telepíteni kell a gépekre MMA Azure > nem Azure (Windows > Linux) 2024. augusztus Új javaslat az Azure Update Managerrel
A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell MMA Azure Virtual Machine Scale Sets 2024. augusztus Nincs csere

Hogyan felkészülni az új javaslatokra?

  • Nem Azure-beli gépek csatlakoztatása az Archoz

  • Győződjön meg arról, hogy az időszakos értékelés frissítési beállítása engedélyezve van a gépeken. Ezt kétféleképpen teheti meg:

  1. Javítsa ki a javaslatot: A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket (az Azure Update Managerrel).
  2. Rendszeres felmérés engedélyezése nagy méretekben az Azure Policy használatával.
  • A dome után az Update Manager lekérheti a legújabb frissítéseket a gépekre, és megtekintheti a legújabb gépmegfelelőségi állapotot.

Feljegyzés

A Defender for Servers 2. csomagban nem engedélyezett Arc-kompatibilis gépek időszakos értékelésének engedélyezése a kapcsolódó előfizetésen vagy összekötőn az Azure Update Manager díjszabása szerint történik. Az Arc-kompatibilis gépek, amelyeket a Defender for Servers Plan 2 engedélyez a kapcsolódó előfizetésükön vagy összekötőiken, vagy bármely Azure-beli virtuális gépen, további költségek nélkül jogosultak erre a képességre.

Végpontvédelmi javaslatok – változások és migrálási útmutató

A végpontfelderítést és a javaslatokat korábban az Felhőhöz készült Defender alapszintű CSPM és a Defender for Servers csomag biztosította a Log Analytics-ügynök használatával a GA-ban, vagy előzetes verzióban az AMA-n keresztül. Ezeket a tapasztalatokat felváltották az ügynök nélküli gépvizsgálattal összegyűjtött biztonsági javaslatok.

A végpontvédelmi javaslatok két szakaszból állnak. Az első lépés egy végponti észlelés és reagálás megoldás felderítése. A második a megoldás konfigurációjának értékelése . Az alábbi táblázatok az egyes szakaszok aktuális és új felületeinek részleteit tartalmazzák.

Megtudhatja, hogyan kezelheti az új (ügynök nélküli) végponti észlelés és reagálás javaslatokat.

Végpontészlelés és válaszmegoldás – felderítés

Terület Jelenlegi tapasztalat (az AMA/MMA alapján) Új felület (ügynök nélküli gépi vizsgálat alapján)
Mi szükséges egy erőforrás kifogástalan állapotúként való besorolásához? Egy vírusirtó van a helyén. Egy végponti észlelés és reagálás megoldás van érvényben.
Mire van szükség a javaslat beszerzéséhez? Log Analytics-ügynök Ügynök nélküli gép vizsgálata
Milyen csomagok támogatottak? - Alapszintű CSPM (ingyenes)
- Defender for Servers Plan 1 és Plan 2
- Defender CSPM
- Defender for Servers Plan 2
Milyen javítás érhető el? Telepítse a Microsoft kártevőirtót. Telepítse a Defender for Endpointt a kiválasztott gépekre/előfizetésekre.

Végpontészlelés és válaszmegoldás – konfigurációértékelés

Terület Jelenlegi tapasztalat (az AMA/MMA alapján) Új felület (ügynök nélküli gépi vizsgálat alapján)
Az erőforrások akkor minősülnek kifogástalan állapotúnak, ha egy vagy több biztonsági ellenőrzés nem kifogástalan. Három biztonsági ellenőrzés:
- A valós idejű védelem ki van kapcsolva
- Az aláírások elavultak.
- A gyors és a teljes vizsgálat sem hét napig fut.
Három biztonsági ellenőrzés:
- A vírusirtó ki van kapcsolva vagy részben konfigurálva van
- Az aláírások elavultak
- A gyors és a teljes vizsgálat sem hét napig fut.
A javaslat beszerzésének előfeltételei Kártevőirtó megoldás a helyén Egy végponti észlelés és reagálás megoldás.

Mely javaslatok elavultak?

Az alábbi táblázat az elavult és lecserélt javaslatok ütemezését foglalja össze.

Ajánlás Ügynök Támogatott erőforrások Elavulási dátum Cserejavaslat
A végpontvédelmet telepíteni kell a gépekre (nyilvános) MMA/AMA Azure > nem Azure (Windows > Linux) 2024. július Új ügynök nélküli javaslat
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken (nyilvános) MMA/AMA Azure (Windows) 2024. július Új ügynök nélküli javaslat
A virtuálisgép-méretezési csoportok végpontvédelmi állapotának hibáit meg kell oldani MMA Azure Virtual Machine Scale Sets 2024. augusztus Nincs csere
A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra MMA Azure Virtual Machine Scale Sets 2024. augusztus Nincs csere
A végpontvédelmi megoldásnak gépeken kell lennie MMA Nem Azure-erőforrások (Windows) 2024. augusztus Nincs csere
Végpontvédelmi megoldás telepítése a gépekre MMA Azure és nem Azure (Windows) 2024. augusztus Új ügynök nélküli javaslat
Meg kell oldani a végpontvédelmi állapottal kapcsolatos problémákat a gépeken MMA Azure és nem Azure (Windows és Linux) 2024. augusztus Új ügynök nélküli javaslat.

Az ügynök nélküli gépvizsgálaton alapuló új javaslatok mind a Windows, mind a Linux operációs rendszert támogatják a többfelhős gépeken.

Hogyan működik a csere?

  • A Log Analytics-ügynök vagy az AMA által megadott aktuális javaslatok idővel elavultak lesznek.
  • Ezen meglévő javaslatok némelyikét az ügynök nélküli gépi vizsgálaton alapuló új javaslatok váltják fel.
  • A ga-ban jelenleg elérhető javaslatok mindaddig érvényben maradnak, amíg a Log Analytics-ügynök ki nem vonul.
  • A jelenleg előzetes verzióban lévő javaslatok akkor lépnek helyébe, ha az új javaslat előzetes verzióban érhető el.

Mi történik a biztonságos pontszámmal?

  • A jelenleg a ga-ban lévő javaslatok továbbra is hatással lesznek a biztonságos pontszámra. 
  • Az aktuális és a közelgő új javaslatok ugyanabban a Microsoft Cloud Security Benchmark-vezérlőben találhatók, így biztosítva, hogy a biztonsági pontszám ne legyen ismétlődő hatással.

Hogyan felkészülni az új javaslatokra?

  • Győződjön meg arról, hogy az ügynök nélküli gép vizsgálata engedélyezve van a Defender 2. csomagjának vagy a Defender CSPM-nek a részeként.
  • Ha megfelelő a környezetéhez, a legjobb élmény érdekében azt javasoljuk, hogy távolítsa el az elavult javaslatokat, amikor a helyettesítő GA-javaslat elérhetővé válik. Ehhez tiltsa le a javaslatot az Azure Policy beépített Felhőhöz készült Defender kezdeményezésében.

Fájlintegritási monitorozási élmény – változások és migrálási útmutató

A Microsoft Defender for Servers Plan 2 mostantól egy új, Végponthoz készült Microsoft Defender (MDE) integráción alapuló fájlintegritási monitorozási (FIM) megoldást kínál. Ha az MDE által üzemeltetett FIM nyilvános, a Felhőhöz készült Defender portálon az AMA-felülettel rendelkező FIM el lesz távolítva. Novemberben megszűnik az MMA által üzemeltetett FIM.

Migrálás FIM-ből az AMA-ból

Ha jelenleg a FIM-et használja az AMA-en keresztül:

  • Az AMA alapján új előfizetések vagy kiszolgálók előkészítése a FIM-be és a változáskövetési bővítmény, valamint a módosítások megtekintése nem lesz elérhető a Felhőhöz készült Defender portálon május 30-tól.

  • Ha folytatni szeretné az AMA által gyűjtött FIM-eseményeket, manuálisan csatlakozhat a megfelelő munkaterülethez, és megtekintheti a változáskövetési táblában lévő változásokat az alábbi lekérdezéssel:

    ConfigurationChange
    
    | where TimeGenerated > ago(14d)
    
    | where ConfigChangeType in ('Registry', 'Files') 
    
    | summarize count() by Computer, ConfigChangeType
    
  • Ha folytatni szeretné az új hatókörök előkészítését vagy a figyelési szabályok konfigurálását, manuálisan is konfigurálhatja vagy testre szabhatja az adatgyűjtés különböző aspektusait az adatkapcsolati szabályok használatával.

  • Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az AMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az AMA-ra

Ha le szeretné tiltani a FIM-et az AMA-on keresztül, távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

Másik lehetőségként eltávolíthatja a kapcsolódó fájlmódosítás-követési adatgyűjtési szabályokat (DCR). További információ: Remove-AzDataCollectionRuleAssociation vagy Remove-AzDataCollectionRule.

Miután letiltotta a fájlesemények gyűjteményét a fenti módszerek egyikével:

  • Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
  • A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

Migrálás a FIM-ből a Log Analytics-ügynökön keresztül (MMA)

Ha jelenleg a FIM-et használja a Log Analytics-ügynökön (MMA) keresztül:

  • A Log Analytics-ügynökön (MMA) alapuló fájlintegritási monitorozás 2024. november végén megszűnik.

  • Felhőhöz készült Microsoft Defender azt javasolja, hogy tiltsa le a FIM-et az MMA-n keresztül, és a környezetét a kiadáskor a Defender for Endpoint alapján az új FIM-verzióba irányítja.

A FIM letiltása az MMA-ról

A FIM MMA-on keresztüli letiltásához távolítsa el az Azure Change Tracking megoldást. További információ: ChangeTracking-megoldás eltávolítása.

A fájlesemények gyűjteményének letiltása után:

  • Az új események nem lesznek összegyűjtve a kijelölt hatókörben.
  • A már összegyűjtött előzményesemények a megfelelő munkaterületen, a Változáskövetés szakaszban található ConfigurationChange tábla alatt maradnak tárolva. Ezek az események a munkaterületen meghatározott megőrzési időnek megfelelően továbbra is elérhetők maradnak a megfelelő munkaterületen. További információ: A megőrzés és az archiválás működése.

Alapkonfigurációs felület

A virtuális gépek alapkonfigurációs helytelen konfigurációs funkciója úgy lett kialakítva, hogy a virtuális gépek betartsák a biztonsági ajánlott eljárásokat és a szervezeti szabályzatokat. Az alaptervek helytelen konfigurációja kiértékeli a virtuális gépek konfigurációját az előre definiált biztonsági alapkonfigurációkkal, és azonosítja azokat az eltéréseket vagy helytelen konfigurációkat, amelyek kockázatot jelenthetnek a környezet számára.

A rendszer a Log Analytics-ügynök (más néven a Microsoft Monitoring Agent (MMA) használatával gyűjti össze a gépi adatokat az értékeléshez. Az MMA 2024 novemberében megszűnik, és a következő változások történnek:

  • A gép adatai az Azure Policy vendégkonfigurációjának használatával lesznek összegyűjtve.

  • Az Azure Policy vendégkonfigurációjával a következő Azure-szabályzatok engedélyezve vannak:

    • "A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek"

    • "A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek"

      Feljegyzés

      Ha eltávolítja ezeket a szabályzatokat, nem fogja tudni elérni az Azure Policy vendégkonfigurációs bővítményének előnyeit.

  • A számítási biztonsági alapkonfigurációkon alapuló operációsrendszer-javaslatok már nem szerepelnek Felhőhöz készült Defender alapszintű CSPM-ben. Ezek a javaslatok a Defender for Servers 2. csomagjának engedélyezésekor lesznek elérhetők.

A Defender Servers 2. csomagjának díjszabási információiért tekintse át a Felhőhöz készült Defender díjszabási oldalát.

Fontos

Vegye figyelembe, hogy a Felhőhöz készült Defender portálon kívül található Azure Policy-vendégkonfiguráció által biztosított további funkciók nem tartoznak a Felhőhöz készült Defender közé, és az Azure Policy vendégkonfigurációira vonatkozó díjszabási szabályzatok vonatkoznak gombra. Például szervizelési és egyéni szabályzatok. További információt az Azure Policy vendégkonfigurációs díjszabási oldalán talál.

Az MCSB által biztosított javaslatok, amelyek nem részei a Windows és a Linux számítási biztonsági alapkonfigurációinak, továbbra is az ingyenes alapszintű CSPM részét képezik.

Az Azure Policy vendégkonfigurációjának telepítése

Ahhoz, hogy továbbra is megkapja az alapkonfigurációt, engedélyeznie kell a Defender for Servers 2. csomagját, és telepítenie kell az Azure Policy vendégkonfigurációját. Ez biztosítja, hogy továbbra is ugyanazokat a javaslatokat és keményítési útmutatást kapja, amelyeket az alapszintű felületen kapott.

A környezettől függően előfordulhat, hogy a következő lépéseket kell elvégeznie:

  1. Tekintse át az Azure Policy vendégkonfigurációjának támogatási mátrixát.

  2. Telepítse az Azure Policy vendégkonfigurációját a gépekre.

Miután elvégezte az Azure Policy vendégkonfiguráció telepítéséhez szükséges lépéseket, automatikusan hozzáférést kap az alapszolgáltatásokhoz az Azure Policy vendégkonfigurációja alapján. Ez biztosítja, hogy továbbra is ugyanazokat a javaslatokat és keményítési útmutatást kapja, amelyeket az alapszintű felületen kapott.

Javaslatok módosítása

Az MMA elavulása esetén a következő MMA-alapú javaslatok elavultnak vannak beállítva:

Az elavult javaslatok helyébe a következő Azure Policy-vendégkonfigurációs alapjavaslatok lépnek:

Ismétlődő javaslatok

Ha engedélyezi a Felhőhöz készült Defender egy Azure-előfizetésen, a Microsoft felhőbiztonsági benchmarkja (MCSB) alapértelmezett megfelelőségi szabványként van engedélyezve, beleértve a számítógép operációs rendszerének megfelelőségét értékelő számítási biztonsági alapkonfigurációkat is. Az ingyenes alapszintű felhőbeli biztonsági helyzetkezelés (CSPM) Felhőhöz készült Defender biztonsági javaslatokat tesz az MCSB alapján.

Ha egy gép az MMA-t és az Azure Policy-vendégkonfigurációt is futtatja, ismétlődő javaslatokat fog látni. A javaslatok duplikálása azért fordul elő, mert mindkét módszer egyszerre fut, és ugyanazokat a javaslatokat készíti el. Ezek az ismétlődések hatással lesznek a megfelelőségre és a biztonságos pontszámra.

Megkerülő megoldásként letilthatja az MMA-javaslatokat, a "Gépek biztonságosan konfigurálhatók" és "A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetéseken", ha a szabályozási megfelelőségi lapra navigál a Felhőhöz készült Defender.

Képernyőkép a szabályozási megfelelőségi irányítópultról, amely bemutatja, hogy hol található az MMA-javaslatok egyike.

Miután megtalálta a javaslatot, ki kell választania a megfelelő gépeket, és fel kell mentesítenie őket.

Képernyőkép a gépek kiválasztásáról és kivételéről.

Az Azure Policy vendégkonfigurációs eszközén alapuló alapkonfigurációs szabályok némelyike aktuálisabb, és szélesebb körű lefedettséget biztosít. Ennek eredményeképpen az Azure Policy vendégkonfigurációja által az Alaptervek szolgáltatásra való áttérés hatással lehet a megfelelőségi állapotra, mivel olyan ellenőrzéseket tartalmaznak, amelyeket korábban nem hajtottak végre.

Lekérdezési javaslatok

Az MMA kivonásával Felhőhöz készült Defender a továbbiakban nem lekérdezési javaslatokat a Napló elemzési munkaterület adatain keresztül. Ehelyett Felhőhöz készült Defender mostantól az Azure Resource Graphot használja API-hoz és portál-lekérdezésekhez a javaslatok adatainak lekérdezéséhez.

Az alábbi 2 minta lekérdezés használható:

  • Adott erőforrás összes nem megfelelő szabályának lekérdezése

    Securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | where machineId  == '{machineId}'
    
  • Az összes nem kifogástalan szabály és az az összeg, ha az egyes gépek nem megfelelőek

    securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with * '/subassessments/' subAssessmentId:string 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | extend status = tostring(properties.status.code) 
    | summarize count() by subAssessmentId, status
    

A Defender előkészítése gépeken futó SQL-hez

További információ a Defender for SQL Serverről a Log Analytics-ügynök elavulásos tervén.

Ha az aktuális Log Analytics-ügynök/Azure Monitor-ügynök automatikus kiépítési folyamatát használja, az sql serverhez készült új Azure Monitoring Agentre kell migrálnia az automatikusan kiépítési folyamaton futó gépeken. A migrálási folyamat zökkenőmentes, és folyamatos védelmet biztosít minden gép számára.

Migrálás az SQL Server által megcélzott AMA automatikus leépítési folyamatba

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Az Adatbázisok csomagban válassza a Szükséges művelet lehetőséget.

    Képernyőkép arról, hogy hol kell kiválasztani a szükséges műveletet.

  6. Az előugró ablakban válassza az Engedélyezés lehetőséget.

    Képernyőkép az engedélyezés előugró ablakból való kiválasztásáról.

  7. Válassza a Mentés lehetőséget.

Ha engedélyezve van az SQL Server által célzott AMA automatikus leépítési folyamat, tiltsa le a Log Analytics-ügynök/Azure Monitor-ügynök automatikus leépítési folyamatát, és távolítsa el az MMA-t az összes SQL-kiszolgálón:

A Log Analytics-ügynök letiltása:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Felhőhöz készült Defender programot.

  3. A Felhőhöz készült Defender menüben válassza a Környezeti beállítások lehetőséget.

  4. Válassza ki az adott előfizetést.

  5. Az Adatbázis-csomag alatt válassza a Beállítások lehetőséget.

  6. Kapcsolja ki a Log Analytics-ügynököt.

    A Log Analytics kikapcsolva állapotba kapcsolását bemutató képernyőkép.

  7. Válassza a Folytatás lehetőséget.

  8. Válassza a Mentés lehetőséget.

A migrálás megtervezése

Javasoljuk, hogy az üzleti követelményeknek megfelelően tervezze meg az ügynökök migrálását. A táblázat összefoglalja útmutatónkat.

A Defender for Servers szolgáltatást használja? Szükség van ezekre a Defender for Servers-funkciókra a ga-ban: fájlintegritási monitorozás, végpontvédelmi javaslatok, biztonsági alapkonfiguráció-javaslatok? A Defendert sql-kiszolgálókhoz használja gépeken vagy AMA-naplógyűjteményben? Migrálási terv
Igen Igen Nem 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. Várja meg a ga-t az alternatív platform összes funkciójával (az előzetes verziót használhatja korábban).
3. Ha a funkciók ga-ra vannak skálázva, tiltsa le a Log Analytics-ügynököt.
Nem --- Nem Most már eltávolíthatja a Log Analytics-ügynököt.
Nem --- Igen 1. Most már migrálhat az AMA-hoz készült SQL automatikus üzembe helyezésére.
2. Tiltsa le a Log Analytics/Azure Monitor-ügynököt.
Igen Igen Igen 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. A Log Analytics-ügynökkel és az AMA-sel egymás mellett szerezheti be az összes funkciót a ga-ban. További információ az ügynökök egymás melletti futtatásáról.
3. Migrálás az AMA sql-alapú automatikus sql-alapú üzembe helyezésére a gépeken futó Defenderben. Másik lehetőségként 2024 áprilisában indítsa el a Log Analytics-ügynökről az AMA-ra való migrálást.
4. Az áttelepítés befejezése után tiltsa le a Log Analytics-ügynököt.
Igen Nem Igen 1. Engedélyezze a Defendert a végpontintegrációhoz és az ügynök nélküli gép vizsgálatához.
2. Most már migrálhat az AMA sql-alapú automatikus sql-telepítésére a Defender for SQL-ben a gépeken.
3. Tiltsa le a Log Analytics-ügynököt.

MMA migrálási élmény

Az MMA migrálási felülete olyan eszköz, amely segít az MMA-ból az AMA-ba való migrálásban. A felület részletes útmutatót nyújt a gépek MMA-ból az AMA-ba való migrálásához.

Ezzel az eszközzel a következőt teheti:

  • Kiszolgálók áttelepítése az örökölt előkészítésből a Log analitikus munkaterületen keresztül.
  • Győződjön meg arról, hogy az előfizetések megfelelnek a Defender for Servers 2 csomag összes előnyének igénybevételéhez szükséges összes előfeltételnek.
  • Migrálás a FIM új verziójára az MDE-en keresztül.
  1. Jelentkezzen be az Azure Portalra.

  2. Lépjen a Felhőhöz készült Microsoft Defender> Környezet beállításaihoz.

  3. Válassza az MMA-áttelepítést.

    Képernyőkép az MMA migrálási gombjának helyével.

  4. Válassza a Művelet végrehajtása lehetőséget az elérhető műveletek egyikéhez:

    Képernyőkép arról, hogy hol található a Művelet végrehajtása gomb az összes beállításhoz.

Engedélyezze a felhasználói élmény betöltését, és kövesse az áttelepítés végrehajtásához szükséges lépéseket.

Következő lépés