Memulihkan rekomendasi konfigurasi tamu

Artikel
09/04/2024

Catatan

Karena agen Analitik Log (juga dikenal sebagai MMA) diatur untuk dihentikan pada November 2024, semua fitur Defender untuk Server yang saat ini bergantung padanya, termasuk yang dijelaskan di halaman ini, akan tersedia melalui integrasi Microsoft Defender untuk Titik Akhir atau pemindaian tanpa agen, sebelum tanggal pensiun. Untuk informasi selengkapnya tentang peta strategi untuk setiap fitur yang saat ini mengandalkan Agen Analitik Log, lihat pengumuman ini.

Defender untuk Cloud mengevaluasi kesalahan konfigurasi garis besar untuk komputer virtual (VM) yang terhubung ke langganan Anda. Evaluasi menilai VM Anda terhadap garis besar keamanan yang telah ditentukan sebelumnya, mengidentifikasi penyimpangan atau kesalahan konfigurasi yang dapat menimbulkan potensi risiko. Dengan menyelaraskan VM Anda dengan praktik terbaik keamanan dan kebijakan organisasi, Anda dapat mempertahankan lingkungan komputasi yang kuat dan aman.

Informasi komputer dikumpulkan melalui konfigurasi tamu Azure Policy dan evaluasi didasarkan pada tolok ukur Microsoft yang mencakup berbagai tolok ukur dan peraturan kepatuhan. Misalnya, CIS, STIG, dan lainnya. Konfigurasi tamu Azure Policy memungkinkan kebijakan berikut pada langganan Anda:

Catatan

Jika Anda menghapus kebijakan ini, Anda tidak akan dapat mengakses manfaat ekstensi konfigurasi tamu Azure Policy.

Prasyarat

Aktifkan Defender untuk Server Paket 2 pada langganan Anda.
Tinjau halaman harga Defender untuk Cloud untuk mempelajari informasi harga Defender Server Paket 2.

Penting

Ketahuilah bahwa fitur tambahan yang disediakan oleh konfigurasi tamu Azure Policy yang ada di luar portal Defender untuk Cloud tidak disertakan dengan Defender untuk Cloud, dan tunduk pada kebijakan harga konfigurasi tamu Azure Policy. Misalnya remediasi dan kebijakan kustom. Untuk informasi selengkapnya, lihat halaman harga konfigurasi tamu Azure Policy.

Tinjau matriks dukungan untuk konfigurasi tamu Azure Policy.
Instal konfigurasi tamu Azure Policy di komputer Anda:
- Komputer Azure: Di portal Defender untuk Cloud, pada halaman rekomendasi, cari dan pilih Ekstensi Konfigurasi Tamu harus diinstal pada komputer, dan remediasi rekomendasi.
- Azure VM hanya Anda harus Menetapkan Identitas terkelola di portal Defender untuk Cloud. Navigasikan ke halaman rekomendasi. Cari dan pilih Ekstensi Konfigurasi Tamu komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem. Kemudian remediasi rekomendasi.
- (Opsional) Azure VM saja: Aktifkan konfigurasi tamu Azure Policy di seluruh langganan Anda.
- Aktifkan ekstensi konfigurasi tamu Azure Policy di komputer Azure Anda di seluruh langganan Anda:
  1. Masuk ke portal Azure.
  2. Cari dan pilih Microsoft Defender untuk Cloud.
  3. Navigasi ke Pengaturan>lingkungan Pengaturan langganan>& Pemantauan Anda.
  4. Alihkan agen Konfigurasi Tamu (pratinjau) ke Aktif.
  5. Pilih Lanjutkan.
- GCP dan AWS: Konfigurasi tamu Azure Policy diinstal secara otomatis saat Anda menyambungkan proyek GCP, atau Anda menghubungkan akun AWS dengan provisi otomatis Azure Arc diaktifkan, ke Defender untuk Cloud.
- Komputer lokal: Konfigurasi tamu Azure Policy diaktifkan secara default saat Anda melakukan onboarding komputer lokal sebagai komputer atau VM yang diaktifkan Azure Arc.

Meninjau dan memulihkan rekomendasi konfigurasi tamu

Setelah konfigurasi tamu Azure Policy di-onboarding ke langganan Anda, Defender untuk Cloud mulai mengevaluasi VM Anda terhadap garis besar keamanan. Berdasarkan lingkungan Anda, jika kesalahan konfigurasi ditemukan, rekomendasi berikut mungkin muncul di halaman rekomendasi Anda:

Untuk meninjau dan memulihkan ini:

Masuk ke portal Azure.
Navigasi ke Rekomendasi Defender untuk Cloud>**.
Cari dan pilih salah satu rekomendasi.
Tinjau rekomendasi.
Remediasi rekomendasi.

Catatan

Selama proses penghentian agen Log Analytics, juga dikenal sebagai Microsoft Monitoring Agent (MMA), Anda mungkin menerima rekomendasi duplikat untuk komputer yang sama. Hal ini disebabkan oleh fakta bahwa konfigurasi tamu MMA dan Azure Policy keduanya mengevaluasi komputer yang sama. Untuk menghindari hal ini, Anda dapat menonaktifkan MMA pada komputer.

Rekomendasi kueri dengan API

penggunaan Defender untuk CloudAzure Resource Graph untuk API, dan kueri portal, untuk mengkueri informasi rekomendasi. Anda dapat menggunakan sumber daya ini untuk membuat kueri Anda sendiri untuk mengambil informasi.

Anda dapat mempelajari cara meninjau rekomendasi di Azure Resource Graph.

Berikut adalah dua kueri sampel yang bisa Anda gunakan:

Mengkueri semua aturan yang tidak sehat untuk sumber daya tertentu

Securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| where machineId  == '{machineId}'

Semua Aturan Tidak Sehat dan jumlah jika Mesin tidak sehat untuk masing-masing

securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with * '/subassessments/' subAssessmentId:string 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| extend status = tostring(properties.status.code) 
| summarize count() by subAssessmentId, status

Anda dapat mempelajari cara membuat kueri yang lebih mendalam dengan mempelajari selengkapnya tentang bahasa kueri Azure Resource Graph.

Catatan

Langkah selanjutnya

Tinjau rekomendasi penguatan host Docker

Bagikan melalui

Memulihkan rekomendasi konfigurasi tamu

Prasyarat

Meninjau dan memulihkan rekomendasi konfigurasi tamu

Rekomendasi kueri dengan API

Langkah selanjutnya

Saran dan Komentar

Sumber Daya Tambahan: