Bersiap untuk penghentian agen Analitik Log
Agen Analitik Log, juga dikenal sebagai Microsoft Monitoring Agent (MMA), pensiun pada November 2024. Akibatnya, Defender untuk Server dan Defender untuk SQL pada paket komputer di Microsoft Defender untuk Cloud akan diperbarui, dan fitur yang mengandalkan agen Log Analytics akan dirancang ulang.
Artikel ini merangkum rencana untuk penghentian agen.
Menyiapkan Defender untuk Server
Paket Defender for Servers menggunakan agen Analitik Log dalam ketersediaan umum (GA) dan di AMA untuk beberapa fitur (dalam pratinjau). Berikut adalah apa yang terjadi dengan fitur-fitur ini ke depannya:
Untuk menyederhanakan onboarding, semua fitur dan kemampuan keamanan Defender for Server akan disediakan dengan satu agen (Microsoft Defender untuk Titik Akhir), dilengkapi dengan pemindaian mesin tanpa agen, tanpa dependensi apa pun pada agen Log Analytics atau AMA.
- Fitur Defender untuk Server, yang didasarkan pada AMA, saat ini dalam pratinjau dan tidak akan dirilis di GA.
- Fitur dalam pratinjau yang mengandalkan AMA tetap didukung hingga versi alternatif fitur disediakan, yang akan mengandalkan integrasi Defender for Endpoint atau fitur pemindaian mesin tanpa agen.
- Dengan mengaktifkan fitur integrasi Defender for Endpoint dan pemindaian mesin tanpa agen sebelum penghentian terjadi, penyebaran Defender for Server Anda akan diperbarui dan didukung.
Fungsionalitas fitur
Tabel berikut ini meringkas bagaimana fitur Defender for Servers akan disediakan. Sebagian besar fitur sudah tersedia secara umum menggunakan integrasi Defender for Endpoint atau pemindaian mesin tanpa agen. Fitur lainnya akan tersedia di GA pada saat MMA dihentikan, atau tidak akan digunakan lagi.
| Fitur | Dukungan saat ini | Dukungan baru | Status pengalaman baru |
|---|---|---|---|
| Integrasi Defender for Endpoint untuk komputer Windows tingkat bawah (Windows Server 2016/2012 R2) | Sensor Pertahanan Lama untuk Titik Akhir, berdasarkan agen Analitik Log | Integrasi agen terpadu | - Fungsionalitas dengan agen terpadu MDE adalah GA. - Fungsionalitas dengan sensor Defender for Endpoint warisan menggunakan agen Analitik Log akan ditolak pada Agustus 2024. |
| Deteksi ancaman tingkat OS | Agen Analitik Log | Integrasi agen Defender for Endpoint | Fungsionalitas dengan agen Defender for Endpoint adalah GA. |
| Kontrol aplikasi adaptif | Agen Analitik Log (GA), AMA (Pratinjau) | --- | Fitur kontrol aplikasi adaptif diatur agar tidak digunakan lagi pada Agustus 2024. |
| Rekomendasi penemuan perlindungan titik akhir | Rekomendasi yang tersedia melalui paket Foundational Cloud Security Posture Management (CSPM) dan Defender for Servers, menggunakan agen Log Analytics (GA), AMA (Pratinjau) | Pemindaian komputer tanpa agen | - Fungsionalitas dengan pemindaian mesin tanpa agen telah dirilis untuk pratinjau pada awal 2024 sebagai bagian dari paket Defender for Servers Paket 2 dan Defender CSPM. - Azure VM, instans Google Cloud Platform (GCP), dan instans Amazon Web Services (AWS) didukung. Komputer lokal tidak didukung. |
| Rekomendasi pembaruan OS yang hilang | Rekomendasi tersedia dalam paket CSPM dan Defender for Server Dasar menggunakan agen Analitik Log. | Integrasi dengan Update Manager, Microsoft | Rekomendasi baru berdasarkan integrasi Azure Update Manager adalah GA, tanpa dependensi agen. |
| Kesalahan konfigurasi OS (Microsoft Cloud Security Benchmark) | Rekomendasi yang tersedia melalui paket Foundational CSPM dan Defender for Servers menggunakan agen Analitik Log, ekstensi Konfigurasi Tamu (Pratinjau). | Ekstensi Konfigurasi Tamu, sebagai bagian dari Defender untuk Server Paket 2. | - Fungsionalitas berdasarkan ekstensi Konfigurasi Tamu akan dirilis ke GA pada bulan September 2024 - Hanya untuk pelanggan Defender untuk Cloud: fungsionalitas dengan agen Analitik Log akan ditolak pada Bulan November 2024. - Dukungan fitur ini untuk Docker-hub dan Azure Virtual Machine Scale Sets akan ditolak pada Agustus 2024. |
| Pemantauan integritas file | Agen Analitik Log, AMA (Pratinjau) | Integrasi agen Defender for Endpoint | Fungsionalitas dengan agen Defender for Endpoint akan tersedia pada Agustus 2024. - Hanya untuk pelanggan Defender untuk Cloud: fungsionalitas dengan agen Analitik Log akan ditolak pada Bulan November 2024. - Fungsionalitas dengan AMA akan dihentikan ketika integrasi Defender for Endpoint dirilis. |
Pengalaman penyediaan otomatis agen analitik log - rencana penghentian
Sebagai bagian dari penghentian agen MMA, kemampuan provisi otomatis yang menyediakan instalasi dan konfigurasi agen untuk pelanggan MDC, akan ditolak serta dalam 2 tahap:
Pada akhir September 2024 - provisi otomatis MMA akan dinonaktifkan untuk pelanggan yang tidak lagi menggunakan kemampuan, serta untuk langganan yang baru dibuat:
- Langganan yang ada yang menonaktifkan provisi otomatis MMA setelah akhir September tidak akan lagi dapat mengaktifkan kemampuan setelahnya.
- Pada provisi otomatis langganan yang baru dibuat tidak dapat lagi diaktifkan dan dinonaktifkan secara otomatis.
- Akhir November 2024 - kemampuan akan dinonaktifkan pada langganan yang belum menonaktifkannya. Sejak saat itu, tidak mungkin lagi mengaktifkan kemampuan pada langganan yang ada.
Manfaat 500 MB untuk penyerapan data
Untuk mempertahankan 500 MB jatah penyerapan data gratis untuk jenis data yang didukung, Anda perlu bermigrasi dari MMA ke AMA.
Catatan
Manfaat diberikan kepada setiap komputer AMA yang merupakan bagian dari langganan dengan Defender untuk Server paket 2 diaktifkan.
Manfaat diberikan ke ruang kerja yang dilaporkan mesin.
Solusi keamanan harus diinstal pada Ruang Kerja terkait. Pelajari selengkapnya tentang cara melakukannya di sini.
Jika mesin melaporkan ke lebih dari satu ruang kerja, manfaatnya hanya akan diberikan kepada salah satunya.
Pelajari selengkapnya tentang cara menyebarkan AMA.
Untuk server SQL pada komputer, sebaiknya migrasikan ke proses provisi otomatis Azure Monitoring Agent (AMA) yang ditargetkan server SQL.
Perubahan pada orientasi Defender for Servers Plan 2 warisan melalui agen Analitik Log
Pendekatan warisan untuk server onboarding ke Defender untuk Server Paket 2 berdasarkan agen Analitik Log dan menggunakan ruang kerja analitik Log diatur untuk penghentian juga:
Pengalaman onboarding untuk onboarding komputer non-Azure baru ke Defender untuk Server menggunakan agen log Analytics dan ruang kerja dihapus dari bilah Inventori dan Memulai di portal Defender untuk Cloud.
Untuk menghindari kehilangan cakupan keamanan pada komputer yang terpengaruh yang terhubung ke Ruang Kerja Analitik Log, dengan penghentian Agen:
Jika Anda melakukan onboarding server non-Azure (baik lokal maupun multicloud) menggunakan pendekatan warisan, Anda sekarang harus menyambungkan komputer ini melalui server berkemampuan Azure Arc ke langganan dan konektor Azure Paket Defender for Server 2. Pelajari selengkapnya tentang menyebarkan komputer Arc dalam skala besar.
- Jika Anda menggunakan pendekatan warisan untuk mengaktifkan Defender untuk Server Paket 2 pada Azure VM yang dipilih, sebaiknya aktifkan Defender untuk Server Paket 2 pada langganan Azure untuk komputer ini. Anda kemudian dapat mengecualikan masing-masing komputer dari cakupan Defender for Server menggunakan konfigurasi Pertahanan untuk Server per sumber daya.
Ini adalah ringkasan tindakan yang diperlukan untuk setiap server yang di-onboarding ke Defender untuk Server Paket 2 melalui pendekatan warisan:
| Jenis komputer | Tindakan yang diperlukan untuk mempertahankan cakupan keamanan |
|---|---|
| Server lokal | Onboarding ke Arc dan tersambung ke langganan dengan Defender untuk Server Paket 2 |
| Azure Virtual Machines | Menyambungkan ke langganan dengan Defender untuk Server Paket 2 |
| Server Multicloud | Menyambungkan ke konektor multicloud dengan provisi Azure Arc dan Defender untuk Server paket 2 |
Pengalaman rekomendasi pembaruan dan patch sistem - perubahan dan panduan migrasi
Pembaruan dan patch sistem sangat penting untuk menjaga keamanan dan kesehatan komputer Anda. Pembaruan sering berisi patch keamanan untuk kerentanan yang, jika dibiarkan tidak dikosongkan, dapat dieksploitasi oleh penyerang.
Rekomendasi pembaruan sistem sebelumnya diberikan oleh Defender untuk Cloud Foundational CSPM dan paket Defender for Servers menggunakan agen Analitik Log. Pengalaman ini telah digantikan oleh rekomendasi keamanan yang dikumpulkan menggunakan Azure Update Manager dan dibangun dari 2 rekomendasi baru:
Komputer harus dikonfigurasi untuk memeriksa pembaruan sistem yang hilang secara berkala
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Azure Update Manager)
Pelajari cara Memulihkan pembaruan sistem dan rekomendasi patch pada komputer Anda.
Rekomendasi mana yang diganti?
Tabel berikut ini meringkas jadwal untuk rekomendasi yang tidak digunakan lagi dan diganti.
| Rekomendasi | Agen | Sumber daya yang didukung | Tanggal penghentian | Rekomendasi penggantian |
|---|---|---|---|---|
| Pembaruan sistem harus dipasang di komputer Anda | MMA | Azure & non-Azure (Windows & Linux) | Agustus 2024 | Rekomendasi baru yang didukung oleh Azure Update Manager |
| Pembaruan sistem pada set skala komputer virtual harus diinstal | MMA | Kumpulan Skala Komputer Virtual Azure | Agustus 2024 | Tidak ada penggantian |
Bagaimana cara mempersiapkan rekomendasi baru?
Menyambungkan komputer non-Azure Anda ke Arc
Pastikan pengaturan pembaruan penilaian berkala diaktifkan di komputer Anda. Anda dapat melakukannya dengan 2 cara:
- Perbaiki rekomendasi: Komputer harus dikonfigurasi untuk secara berkala memeriksa pembaruan sistem yang hilang (didukung oleh Azure Update Manager).
- Aktifkan penilaian Berkala dalam skala besar dengan Azure Policy.
- Setelah kubah, Update Manager dapat mengambil pembaruan terbaru untuk komputer, dan Anda dapat melihat status kepatuhan komputer terbaru.
Catatan
Mengaktifkan penilaian berkala untuk komputer yang diaktifkan Arc bahwa Defender untuk Server Paket 2 tidak diaktifkan pada Langganan atau Konektor terkait, tunduk pada harga Azure Update Manager. Komputer berkemampuan Arc bahwa Defender untuk Server Paket 2 diaktifkan pada Langganan atau Konektor terkait, atau Azure VM apa pun, memenuhi syarat untuk kemampuan ini tanpa biaya tambahan.
Pengalaman rekomendasi perlindungan titik akhir - perubahan dan panduan migrasi
Penemuan dan rekomendasi titik akhir sebelumnya diberikan oleh Defender untuk Cloud Foundational CSPM dan paket Defender for Servers menggunakan agen Analitik Log di GA, atau dalam pratinjau melalui AMA. Pengalaman ini telah digantikan oleh rekomendasi keamanan yang dikumpulkan menggunakan pemindaian mesin tanpa agen.
Rekomendasi perlindungan titik akhir dibangun dalam dua tahap. Tahap pertama adalah penemuan solusi deteksi dan respons titik akhir. Yang kedua adalah penilaian konfigurasi solusi. Tabel berikut ini menyediakan detail pengalaman saat ini dan baru untuk setiap tahap.
Pelajari cara mengelola rekomendasi deteksi dan respons titik akhir baru (tanpa agen).
Deteksi titik akhir dan solusi respons - penemuan
| Luas | Pengalaman saat ini (berdasarkan AMA/MMA) | Pengalaman baru (berdasarkan pemindaian mesin tanpa agen) |
|---|---|---|
| Apa yang diperlukan untuk mengklasifikasikan sumber daya sebagai sehat? | Anti-virus ada di tempatnya. | Solusi deteksi dan respons titik akhir ada di tempat. |
| Apa yang diperlukan untuk mendapatkan rekomendasi? | Agen Analitik Log | Pemindaian komputer tanpa agen |
| Paket apa yang didukung? | - CSPM dasar (gratis) - Defender untuk Server Paket 1 dan Paket 2 |
- Defender CSPM - Defender untuk Server Paket 2 |
| Perbaikan apa yang tersedia? | Instal anti-malware Microsoft. | Instal Pertahanan untuk Titik Akhir pada komputer/langganan yang dipilih. |
Deteksi titik akhir dan solusi respons - penilaian konfigurasi
| Luas | Pengalaman saat ini (berdasarkan AMA/MMA) | Pengalaman baru (berdasarkan pemindaian mesin tanpa agen) |
|---|---|---|
| Sumber daya diklasifikasikan sebagai tidak sehat jika satu atau beberapa pemeriksaan keamanan tidak sehat. | Tiga pemeriksaan keamanan: - Perlindungan real time nonaktif - Tanda tangan sudah kedaluarsa. - Pemindaian cepat dan pemindaian penuh tidak berjalan selama tujuh hari. |
Tiga pemeriksaan keamanan: - Anti-virus nonaktif atau sebagian dikonfigurasi - Tanda tangan sudah kedaluarsa - Pemindaian cepat dan pemindaian penuh tidak berjalan selama tujuh hari. |
| Prasyarat untuk mendapatkan rekomendasi | Solusi anti-malware di tempat | Solusi deteksi dan respons titik akhir di tempat. |
Rekomendasi mana yang tidak digunakan lagi?
Tabel berikut ini meringkas jadwal untuk rekomendasi yang tidak digunakan lagi dan diganti.
Pengalaman rekomendasi baru berdasarkan pemindaian mesin tanpa agen mendukung OS Windows dan Linux di seluruh komputer multicloud.
Bagaimana cara kerja penggantian?
- Rekomendasi saat ini yang diberikan oleh Agen Analitik Log atau AMA akan ditolak dari waktu ke waktu.
- Beberapa rekomendasi yang ada ini akan digantikan oleh rekomendasi baru berdasarkan pemindaian mesin tanpa agen.
- Rekomendasi saat ini di GA tetap ada sampai agen Analitik Log berhenti.
- Rekomendasi yang saat ini sedang dalam pratinjau akan diganti ketika rekomendasi baru tersedia dalam pratinjau.
Apa yang terjadi dengan skor aman?
- Rekomendasi yang saat ini berada di GA akan terus memengaruhi skor aman.
- Rekomendasi baru saat ini dan yang akan datang terletak di bawah kontrol Microsoft Cloud Security Benchmark yang sama, memastikan bahwa tidak ada dampak duplikat pada skor aman.
Bagaimana cara mempersiapkan rekomendasi baru?
- Pastikan pemindaian mesin tanpa agen diaktifkan sebagai bagian dari Defender untuk Server Paket 2 atau Defender CSPM.
- Jika cocok untuk lingkungan Anda, untuk pengalaman terbaik, kami sarankan Anda menghapus rekomendasi yang tidak digunakan lagi saat rekomendasi GA pengganti tersedia. Untuk melakukannya, nonaktifkan rekomendasi dalam inisiatif Defender untuk Cloud bawaan di Azure Policy.
Pengalaman Pemantauan Integritas File - perubahan dan panduan migrasi
Pertahanan Microsoft untuk Server Paket 2 sekarang menawarkan solusi Pemantauan Integritas File (FIM) baru yang didukung oleh integrasi Microsoft Defender untuk Titik Akhir (MDE). Setelah FIM yang didukung oleh MDE bersifat publik, FIM yang didukung oleh pengalaman AMA di portal Defender untuk Cloud akan dihapus. Pada bulan November, FIM yang didukung oleh MMA tidak akan digunakan lagi.
Migrasi dari FIM melalui AMA
Jika saat ini Anda menggunakan FIM melalui AMA:
Onboarding langganan atau server baru ke FIM berdasarkan AMA dan ekstensi pelacakan perubahan, serta melihat perubahan, tidak akan lagi tersedia melalui portal Defender untuk Cloud mulai 30 Mei.
Jika Anda ingin terus menggunakan peristiwa FIM yang dikumpulkan oleh AMA, Anda dapat menyambungkan secara manual ke ruang kerja yang relevan dan melihat perubahan dalam tabel Pelacakan Perubahan dengan kueri berikut:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeJika Anda ingin melanjutkan orientasi cakupan baru atau mengonfigurasi aturan pemantauan, Anda dapat menggunakan Aturan Koneksi Data secara manual untuk mengonfigurasi atau menyesuaikan berbagai aspek pengumpulan data.
Microsoft Defender untuk Cloud merekomendasikan penonaktifan FIM melalui AMA, dan onboarding lingkungan Anda ke versi FIM baru berdasarkan Defender for Endpoint setelah rilis.
Menonaktifkan FIM melalui AMA
Untuk menonaktifkan FIM melalui AMA, hapus solusi Pelacakan Perubahan Azure. Untuk informasi selengkapnya, lihat Menghapus solusi ChangeTracking.
Atau, Anda dapat menghapus aturan pengumpulan data pelacakan perubahan file terkait (DCR). Untuk informasi selengkapnya, lihat Remove-AzDataCollectionRuleAssociation atau Remove-AzDataCollectionRule.
Setelah Anda menonaktifkan kumpulan peristiwa file menggunakan salah satu metode di atas:
- Peristiwa baru akan berhenti dikumpulkan pada cakupan yang dipilih.
- Peristiwa historis yang sudah dikumpulkan tetap disimpan di ruang kerja yang relevan di bawah tabel ConfigurationChange di bagian Pelacakan Perubahan. Peristiwa ini akan tetap tersedia di ruang kerja yang relevan sesuai dengan periode retensi yang ditentukan di ruang kerja ini. Untuk informasi selengkapnya, lihat Cara kerja retensi dan pengarsipan.
Migrasi dari FIM melalui Agen Analitik Log (MMA)
Jika saat ini Anda menggunakan FIM melalui Agen Analitik Log (MMA):
Pemantauan Integritas File berdasarkan Agen Analitik Log (MMA) akan ditolak pada akhir November 2024.
Microsoft Defender untuk Cloud merekomendasikan penonaktifan FIM melalui MMA, dan onboarding lingkungan Anda ke versi FIM baru berdasarkan Defender for Endpoint setelah rilis.
Menonaktifkan FIM melalui MMA
Untuk menonaktifkan FIM melalui MMA, hapus solusi Pelacakan Perubahan Azure. Untuk informasi selengkapnya, lihat Menghapus solusi ChangeTracking.
Setelah Anda menonaktifkan koleksi peristiwa file:
- Peristiwa baru akan berhenti dikumpulkan pada cakupan yang dipilih.
- Peristiwa historis yang sudah dikumpulkan tetap disimpan di ruang kerja yang relevan di bawah tabel ConfigurationChange di bagian Pelacakan Perubahan. Peristiwa ini akan tetap tersedia di ruang kerja yang relevan sesuai dengan periode retensi yang ditentukan di ruang kerja ini. Untuk informasi selengkapnya, lihat Cara kerja retensi dan pengarsipan.
Pengalaman garis besar
Fitur kesalahan konfigurasi garis besar pada VM dirancang untuk memastikan bahwa VM Anda mematuhi praktik terbaik keamanan dan kebijakan organisasi. Kesalahan konfigurasi garis besar mengevaluasi konfigurasi VM Anda terhadap garis besar keamanan yang telah ditentukan sebelumnya, dan mengidentifikasi penyimpangan, atau kesalahan konfigurasi yang dapat menimbulkan risiko terhadap lingkungan Anda.
Informasi komputer dikumpulkan untuk penilaian menggunakan agen Analitik Log (juga dikenal sebagai agen Pemantauan Microsoft (MMA)). MMA diatur untuk tidak digunakan lagi pada Bulan November 2024, dan perubahan berikut akan terjadi:
Informasi komputer akan dikumpulkan menggunakan konfigurasi tamu Azure Policy.
Kebijakan Azure berikut diaktifkan dengan konfigurasi tamu Azure Policy:
"Komputer Windows harus memenuhi persyaratan garis besar keamanan komputasi Azure"
"Komputer Linux harus memenuhi persyaratan untuk garis besar keamanan komputasi Azure"
Catatan
Jika Anda menghapus kebijakan ini, Anda tidak akan dapat mengakses manfaat ekstensi konfigurasi tamu Azure Policy.
Rekomendasi OS berdasarkan garis besar keamanan komputasi tidak akan lagi disertakan dalam CSPM dasar Defender untuk Cloud. Rekomendasi ini akan tersedia saat Anda mengaktifkan Defender untuk Server Paket 2.
Tinjau halaman harga Defender untuk Cloud untuk mempelajari informasi harga Defender Server Paket 2.
Penting
Ketahuilah bahwa fitur tambahan yang disediakan oleh konfigurasi tamu Azure Policy yang ada di luar portal Defender untuk Cloud tidak disertakan dengan Defender untuk Cloud, dan tunduk pada kebijakan harga konfigurasi tamu Azure Policy. Misalnya remediasi dan kebijakan kustom. Untuk informasi selengkapnya, lihat halaman harga konfigurasi tamu Azure Policy.
Rekomendasi yang disediakan oleh MCSB yang bukan bagian dari garis besar keamanan komputasi Windows dan Linux, akan terus menjadi bagian dari CSPM dasar gratis.
Menginstal konfigurasi tamu Azure Policy
Untuk terus menerima pengalaman dasar, Anda perlu mengaktifkan Defender untuk Server Paket 2 dan menginstal konfigurasi tamu Azure Policy. Ini akan memastikan bahwa Anda terus menerima rekomendasi dan panduan penguatan yang sama yang telah Anda terima melalui pengalaman garis besar.
Bergantung pada lingkungan Anda, Anda mungkin perlu mengambil langkah-langkah berikut:
Tinjau matriks dukungan untuk konfigurasi tamu Azure Policy.
Instal konfigurasi tamu Azure Policy di komputer Anda.
Komputer Azure: Di portal Defender untuk Cloud, pada halaman rekomendasi, cari dan pilih Ekstensi Konfigurasi Tamu harus diinstal pada komputer, dan remediasi rekomendasi.
(Hanya Azure VM) Anda harus Menetapkan Identitas terkelola.
- Di portal Defender untuk Cloud, pada halaman rekomendasi, cari dan pilih Ekstensi Konfigurasi Tamu komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem, dan remediasi rekomendasi.
(Hanya Azure VM) Opsional: Untuk memprovisikan otomatis konfigurasi tamu Azure Policy di seluruh langganan, Anda dapat mengaktifkan agen Konfigurasi Tamu (pratinjau).
- Untuk mengaktifkan agen Konfigurasi Tamu:
- Masuk ke portal Azure.
- Navigasi ke Pengaturan>lingkungan Pengaturan langganan>& Pemantauan Anda.
- Pilih Konfigurasi Tamu.
- Alihkan agen Konfigurasi Tamu (pratinjau) ke Aktif.
- Pilih Lanjutkan.
- Untuk mengaktifkan agen Konfigurasi Tamu:
GCP dan AWS: Konfigurasi tamu Azure Policy diinstal secara otomatis saat Anda menyambungkan proyek GCP, atau Anda menghubungkan akun AWS dengan provisi otomatis Azure Arc diaktifkan, ke Defender untuk Cloud.
Komputer lokal: Konfigurasi tamu Azure Policy diaktifkan secara default saat Anda melakukan onboarding komputer lokal sebagai komputer atau VM yang diaktifkan Azure Arc.
Setelah Anda menyelesaikan langkah-langkah yang diperlukan untuk menginstal konfigurasi tamu Azure Policy, Anda akan secara otomatis mendapatkan akses ke fitur dasar berdasarkan konfigurasi tamu Azure Policy. Ini akan memastikan bahwa Anda terus menerima rekomendasi dan panduan penguatan yang sama yang telah Anda terima melalui pengalaman garis besar.
Perubahan pada rekomendasi
Dengan penghentian MMA, rekomendasi berbasis MMA berikut diatur agar tidak digunakan lagi:
- Mesin harus dikonfigurasi dengan aman
- Provisi otomatis agen Analitik Log harus diaktifkan pada langganan
Rekomendasi yang tidak digunakan lagi akan digantikan oleh rekomendasi dasar konfigurasi tamu Azure Policy berikut:
- Kerentanan dalam konfigurasi keamanan pada komputer Windows Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
- Kerentanan dalam konfigurasi keamanan di komputer Linux Anda harus diremediasi (didukung oleh Konfigurasi Tamu)
- Ekstensi Konfigurasi Tamu harus diinstal di mesin
Rekomendasi duplikat
Saat Anda mengaktifkan Defender untuk Cloud pada langganan Azure, tolok ukur keamanan cloud Microsoft (MCSB), termasuk garis besar keamanan komputasi yang menilai kepatuhan OS mesin, diaktifkan sebagai standar kepatuhan default. Manajemen postur keamanan cloud dasar (CSPM) gratis di Defender untuk Cloud membuat rekomendasi keamanan berdasarkan MCSB.
Jika komputer menjalankan konfigurasi tamu MMA dan Azure Policy, Anda akan melihat rekomendasi duplikat. Duplikasi rekomendasi terjadi karena kedua metode berjalan pada saat yang sama dan menghasilkan rekomendasi yang sama. Duplikat ini akan memengaruhi Kepatuhan dan Skor Aman Anda.
Sebagai solusinya, Anda dapat menonaktifkan rekomendasi MMA, "Mesin harus dikonfigurasi dengan aman", dan "Provisi otomatis agen Analitik Log harus diaktifkan pada langganan", dengan menavigasi ke halaman Kepatuhan peraturan di Defender untuk Cloud.
Setelah Anda menemukan rekomendasi, Anda harus memilih komputer yang relevan dan mengecualikannya.
Beberapa aturan konfigurasi dasar yang didukung oleh alat konfigurasi tamu Azure Policy lebih terkini dan menawarkan cakupan yang lebih luas. Akibatnya, transisi ke daya fitur Garis Besar oleh konfigurasi tamu Azure Policy dapat memengaruhi status kepatuhan Anda karena mereka menyertakan pemeriksaan yang mungkin belum dilakukan sebelumnya.
Rekomendasi kueri
Dengan penghentian MMA, Defender untuk Cloud tidak lagi meminta rekomendasi melalui informasi ruang kerja Analitik Log. Sebagai gantinya, Defender untuk Cloud sekarang menggunakan Azure Resource Graph untuk API, dan kueri portal, untuk mengkueri informasi rekomendasi.
Berikut adalah 2 kueri sampel yang dapat Anda gunakan:
Mengkueri semua aturan yang tidak sehat untuk sumber daya tertentu
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'Semua Aturan Tidak Sehat dan jumlah jika Mesin tidak sehat untuk masing-masing
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Menyiapkan Defender untuk SQL di Komputer
Anda dapat mempelajari selengkapnya tentang Defender untuk SQL Server pada rencana penghentian agen Analitik Log komputer.
Jika Anda menggunakan agen Log Analytics saat ini/proses provisi otomatis agen Azure Monitor, Anda harus bermigrasi ke Azure Monitoring Agent for SQL Server baru pada proses provisi otomatis komputer. Proses migrasi mulus dan memberikan perlindungan berkelanjutan untuk semua komputer.
Bermigrasi ke proses provisi otomatis AMA yang ditargetkan server SQL
Masuk ke portal Azure.
Cari dan pilih Microsoft Defender untuk Cloud.
Di menu Defender untuk Cloud, pilih Pengaturan lingkungan.
Pilih langganan yang relevan.
Di bawah paket Database, pilih Tindakan yang diperlukan.
Di jendela pop-up, pilih Aktifkan.
Pilih Simpan.
Setelah proses provisi otomatis AMA yang ditargetkan server SQL diaktifkan, Anda harus menonaktifkan proses provisi otomatis agen Log Analytics/agen Azure Monitor dan menghapus instalan MMA di semua server SQL:
Untuk menonaktifkan agen Analitik Log:
Masuk ke portal Azure.
Cari dan pilih Microsoft Defender untuk Cloud.
Di menu Defender untuk Cloud, pilih Pengaturan lingkungan.
Pilih langganan yang relevan.
Di bawah Paket database, pilih Pengaturan.
Alihkan agen Analitik Log ke Nonaktif.
Pilih Lanjutkan.
Pilih Simpan.
Perencanaan migrasi
Kami menyarankan Anda merencanakan migrasi agen sesuai dengan persyaratan bisnis Anda. Tabel ini meringkas panduan kami.
| Apakah Anda menggunakan Defender untuk Server? | Apakah fitur Defender untuk Server ini diperlukan dalam GA: pemantauan integritas file, rekomendasi perlindungan titik akhir, rekomendasi garis besar keamanan? | Apakah Anda menggunakan Defender untuk server SQL pada komputer atau koleksi log AMA? | Rencana migrasi |
|---|---|---|---|
| Ya | Ya | Tidak | 1. Aktifkan integrasi Defender for Endpoint dan pemindaian mesin tanpa agen. 2. Tunggu GA dari semua fitur dengan platform alternatif (Anda dapat menggunakan versi pratinjau sebelumnya). 3. Setelah fitur adalah GA, nonaktifkan agen Analitik Log. |
| Tidak | --- | Tidak | Anda dapat menghapus agen Analitik Log sekarang. |
| Tidak | --- | Ya | 1. Anda dapat bermigrasi ke provisi otomatis SQL untuk AMA sekarang. 2. Nonaktifkan Log Analytics/Azure Monitor Agent. |
| Ya | Ya | Ya | 1. Aktifkan integrasi Defender for Endpoint dan pemindaian mesin tanpa agen. 2. Anda dapat menggunakan agen Log Analytics dan AMA secara berdampingan untuk mendapatkan semua fitur di GA. Pelajari selengkapnya tentang menjalankan agen secara berdampingan. 3. Migrasikan ke provisi otomatis SQL untuk AMA di Defender untuk SQL pada mesin. Atau, mulai migrasi dari agen Analitik Log ke AMA pada Bulan April 2024. 4. Setelah migrasi selesai, nonaktifkan agen Analitik Log. |
| Ya | No | Ya | 1. Aktifkan integrasi Defender for Endpoint dan pemindaian mesin tanpa agen. 2. Anda dapat bermigrasi ke provisi otomatis SQL untuk AMA di Defender untuk SQL pada komputer sekarang. 3. Nonaktifkan agen Analitik Log. |
Pengalaman migrasi MMA
Pengalaman migrasi MMA adalah alat yang membantu Anda bermigrasi dari MMA ke AMA. Pengalaman ini memberikan panduan langkah demi langkah untuk membantu Anda memigrasikan komputer Anda dari MMA ke AMA.
Dengan alat ini, Anda dapat:
- Migrasikan server dari onboarding warisan melalui ruang kerja analitik Log.
- Pastikan langganan memenuhi semua prasyarat untuk menerima semua manfaat Defender for Server Paket 2.
- Migrasi ke versi baru FIM melalui MDE.
Masuk ke portal Azure.
Navigasikan ke pengaturan Microsoft Defender untuk Cloud> Environment.
Pilih migrasi MMA.
Pilih Ambil tindakan untuk salah satu tindakan yang tersedia:
Izinkan pengalaman untuk memuat dan mengikuti langkah-langkah untuk menyelesaikan migrasi.