Mengumpulkan data dari beban kerja Anda dengan agen Analitik Log

  • Artikel

Konfigurasikan agen dan ruang kerja Analitik Log

Saat agen Analitik Log aktif, Defender untuk Cloud menyebarkan agen di semua Azure VM yang didukung dan yang baru dibuat. Untuk daftar platform yang didukung, lihat Platform yang didukung di Microsoft Defender untuk Cloud.

Untuk mengonfigurasi integrasi dengan agen Analitik Log:

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Di kolom Cakupan Pemantauan paket Defender, pilih Pengaturan.

  4. Dari panel opsi konfigurasi, tentukan ruang kerja yang akan digunakan.

    Screenshot of configuration options for Log Analytics agents for VMs.

    • Koneksi Azure VM ke ruang kerja default yang dibuat oleh Defender untuk Cloud - Defender untuk Cloud membuat grup sumber daya baru dan ruang kerja default di geolokasi yang sama, dan menghubungkan agen ke ruang kerja tersebut. Jika langganan berisi mesin virtual dari beberapa geolokasi, Defender untuk Cloud membuat beberapa ruang kerja untuk memastikan kepatuhan terhadap persyaratan privasi data.

      Konvensi penamaan untuk ruang kerja dan grup sumber daya adalah:

      • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
      • Grup Sumber Daya: DefaultResourceGroup-[geo]

      Solusi Defender untuk Cloud diaktifkan secara otomatis di ruang kerja per tingkat harga yang ditetapkan untuk langganan.

      Tip

      Untuk pertanyaan mengenai ruang kerja default, lihat:

    • Menyambungkan Azure VM ke ruang kerja yang berbeda - Dari daftar dropdown, pilih ruang kerja untuk menyimpan data yang dikumpulkan. Daftar dropdown mencakup semua ruang kerja di semua langganan Anda. Anda dapat menggunakan opsi ini untuk mengumpulkan data dari komputer virtual yang berjalan di langganan yang berbeda dan menyimpan semuanya di ruang kerja yang Anda pilih.

      Jika Anda sudah memiliki ruang kerja Log Analytics yang sudah ada, Anda mungkin ingin menggunakan ruang kerja yang sama (memerlukan izin membaca dan menulis di ruang kerja). Opsi ini berguna jika Anda menggunakan ruang kerja terpusat di organisasi Anda dan ingin menggunakannya untuk pengumpulan data keamanan. Pelajari selengkapnmya di Mengelola akses untuk log data dan ruang kerja di Azure Monitor.

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi "Keamanan" atau "SecurityCenterFree", harga akan diatur secara otomatis. Jika tidak, instal solusi Defender untuk Cloud di ruang kerja:

      1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.
      2. Pilih ruang kerja tempat Anda akan menyambungkan agen.
      3. Atur Manajemen postur keamanan ke aktif atau pilih Aktifkan semua untuk mengaktifkan semua paket Microsoft Defender.

  5. Dari konfigurasi Peristiwa keamanan Windows, pilih jumlah data kejadian mentah untuk disimpan:

    • Tidak Ada - Nonaktifkan penyimpanan peristiwa keamanan. (Default)
    • Minimal - Sekumpulan kecil peristiwa ketika Anda ingin meminimalkan volume acara.
    • Umum - Serangkaian peristiwa yang memuaskan sebagian besar pelanggan dan menyediakan jejak audit penuh.
    • Semua acara - Untuk pelanggan yang ingin memastikan semua acara disimpan.

    Tip

    Untuk mengatur opsi ini di tingkat ruang kerja, lihat Mengatur opsi acara keamanan di tingkat ruang kerja.

    Untuk informasi selengkapnya tentang opsi ini, lihat Opsi kejadian keamanan Windows untuk agen Log Analytics.

  6. Pilih Terapkan di panel konfigurasi.

Opsi peristiwa keamanan Windows untuk agen Log Analytics

Saat Anda memilih tingkat pengumpulan data di Microsoft Defender untuk Cloud, peristiwa keamanan tingkat yang dipilih disimpan di ruang kerja Analitik Log sehingga Anda dapat menyelidiki, mencari, dan mengaudit peristiwa di ruang kerja Anda. Agen Analitik Log juga mengumpulkan dan menganalisis peristiwa keamanan yang diperlukan untuk perlindungan ancaman Defender untuk Cloud.

Persyaratan

Perlindungan keamanan yang ditingkatkan dari Defender untuk Cloud diperlukan untuk menyimpan data peristiwa keamanan Windows. Pelajari selengkapnya tentang rencana perlindungan yang ditingkatkan.

Anda mungkin dikenakan biaya untuk menyimpan data di Analitik Log. Untuk informasi lebih lanjut, lihat halaman harga.

Informasi untuk pengguna Microsoft Sentinel

Pengumpulan peristiwa keamanan dalam konteks satu ruang kerja dapat dikonfigurasi dari Microsoft Defender untuk Cloud atau Microsoft Sentinel, tetapi tidak keduanya. Jika Anda berencana untuk menambahkan Microsoft Sentinel ke ruang kerja yang sudah mendapatkan pemberitahuan dari Microsoft Defender untuk Cloud, dan diatur untuk mengumpulkan Peristiwa Keamanan, Anda memiliki dua opsi:

  • Biarkan koleksi Peristiwa Keamanan di Microsoft Defender untuk Cloud apa adanya. Anda akan dapat membuat kueri dan menganalisis peristiwa ini di Microsoft Sentinel dan Defender untuk Cloud. Jika Anda ingin memantau status konektivitas konektor atau mengubah konfigurasinya di Microsoft Sentinel, pertimbangkan opsi kedua.
  • Nonaktifkan pengumpulan Peristiwa Keamanan di Microsoft Defender untuk Cloud lalu tambahkan konektor Peristiwa Keamanan di Microsoft Sentinel. Anda akan dapat membuat kueri dan menganalisis peristiwa di Microsoft Sentinel dan Defender untuk Cloud, tetapi Anda juga dapat memantau status konektivitas konektor atau mengubah konfigurasinya di - dan hanya di - Microsoft Sentinel. Untuk menonaktifkan pengumpulan Peristiwa Keamanan di Defender untuk Cloud, atur peristiwa keamanan Windows ke Tidak Ada dalam konfigurasi agen Analitik Log Anda.

Jenis acara apa yang disimpan untuk "Umum" dan "Minimal"?

Set peristiwa Umum dan Minimal dirancang untuk mengatasi skenario umum berdasarkan standar pelanggan dan industri untuk frekuensi yang tidak difilter dari setiap peristiwa dan penggunaannya.

  • Minimal - Set ini dimaksudkan untuk hanya mencakup peristiwa yang mungkin menunjukkan pelanggaran yang berhasil dan peristiwa penting dengan volume rendah. Sebagian besar volume data dari set ini berhasil masuk pengguna (ID peristiwa 4624), peristiwa masuk pengguna yang gagal (ID peristiwa 4625), dan peristiwa pembuatan proses (ID peristiwa 4688). Peristiwa keluar hanya penting untuk audit dan memiliki volume yang relatif tinggi, sehingga tidak disertakan dalam set peristiwa ini.
  • Umum - Set ini dimaksudkan untuk menyediakan jejak audit pengguna penuh, termasuk peristiwa dengan volume rendah. Misalnya, set ini berisi peristiwa masuk pengguna (ID peristiwa 4624) dan peristiwa keluar pengguna (ID peristiwa 4634). Kami menyertakan tindakan audit seperti perubahan kelompok keamanan, operasi Kerberos pengontrol domain utama, dan acara lain yang direkomendasikan oleh organisasi industri.

Berikut rincian lengkap ID peristiwa Keamanan dan Pengunci Aplikasi untuk setiap set:

Tingkat data Indikator peristiwa yang dikumpulkan
Minimal 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Biasa 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Catatan

  • Jika Anda menggunakan Group Policy Object (GPO), disarankan agar Anda mengaktifkan kebijakan audit Peristiwa Pembuatan Proses 4688 dan bidang CommandLine di dalam peristiwa 4688. Untuk informasi selengkapnya tentang Peristiwa Pembuatan Proses 4688, lihat pertanyaan umum Defender untuk Cloud. Untuk informasi selengkapnya tentang kebijakan audit ini, lihat Rekomendasi Kebijakan Audit.
  • Untuk mengaktifkan pengumpulan data untuk Kontrol aplikasi adaptif, Defender untuk Cloud mengonfigurasi kebijakan AppLocker lokal dalam mode Audit untuk mengizinkan semua aplikasi. Hal ini akan menyebabkan AppLocker menghasilkan peristiwa yang kemudian dikumpulkan dan dimanfaatkan oleh Defender untuk Cloud. Penting untuk dicatat bahwa kebijakan ini tidak akan dikonfigurasi pada mesin mana pun yang sudah ada kebijakan AppLocker yang dikonfigurasi.
  • Untuk mengumpulkan Windows Filtering Platform ID Peristiwa 5156, Anda perlu mengaktifkan Koneksi Platform Pemfilteran Audit (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Mengatur opsi peristiwa keamanan di tingkat ruang kerja

Anda dapat menentukan tingkat data peristiwa keamanan untuk disimpan di tingkat ruang kerja.

  1. Dari menu Defender untuk Cloud di portal Microsoft Azure, pilih Pengaturan lingkungan.

  2. Pilih ruang kerja yang relevan. Satu-satunya peristiwa pengumpulan data untuk ruang kerja adalah peristiwa keamanan Windows yang dijelaskan di halaman ini.

    Screenshot of setting the security event data to store in a workspace.

  3. Pilih jumlah data peristiwa mentah untuk disimpan dan pilih Simpan.

Provisi agen manual

Untuk menginstal agen Log Analytics secara manual:

  1. Di portal Azure, navigasikan ke halaman Pengaturan Lingkungan Defender untuk Cloud.

  2. Pilih langganan yang relevan lalu pilih Pengaturan &pemantauan.

  3. Nonaktifkan agen Analitik Log/Agen Azure Monitor.

    Screenshot of turning off the Log Analytics setting.

  4. Secara opsional, buat ruang kerja.

  5. Aktifkan Microsoft Defender untuk Cloud di ruang kerja tempat Anda menginstal agen Analitik Log:

    1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

    2. Atur ruang kerja tempat Anda menginstal agen. Pastikan ruang kerja berada dalam langganan yang sama dengan yang Anda gunakan di Defender untuk Cloud dan Anda memiliki izin baca/tulis untuk ruang kerja tersebut.

    3. Pilih satu atau kedua "Server" atau "Server SQL pada komputer"(CSPM Dasar adalah default gratis), lalu pilih Simpan.

      Screenshot that shows where to set the workspace on which you're installing the agent.

      Catatan

      Jika ruang kerja yang Anda pilih sudah mengaktifkan solusi Keamanan atau SecurityCenterFree, harga akan diatur secara otomatis.

  6. Untuk menyebarkanagen di VM baru menggunakan templat Resource Manager, instal agen Log Analytics:

  7. Untuk menyebarkan agen pada VM Yang sudah ada, ikuti instruksi dalam Mengumpulkan data tentang Azure Virtual Machines (bagian Mengumpulkan data peristiwa dan kinerja bersifat opsional).

  8. Untuk menggunakan PowerShell untuk menyebarkan agen, gunakan instruksi dari dokumentasi komputer virtual:

Tip

Untuk informasi selengkapnya tentang onboarding, lihat Mengotomatiskan onboarding Microsoft Defender untuk Cloud menggunakan PowerShell.

Untuk menonaktifkan komponen pemantauan:

  • Buka paket Defender dan nonaktifkan paket yang menggunakan ekstensi dan pilih Simpan.
  • Untuk paket Defender yang memiliki pengaturan pemantauan, buka pengaturan paket Defender, nonaktifkan ekstensi, dan pilih Simpan.

Catatan