Mengotomatiskan orientasi Microsoft Defender untuk Cloud menggunakan PowerShell
Anda dapat mengamankan beban kerja Azure Anda secara terprogram, menggunakan modul Microsoft Defender untuk Cloud PowerShell. Menggunakan PowerShell memungkinkan Anda mengotomatisasi tugas dan menghindari kesalahan manusia yang melekat dalam tugas manual. Ini sangat berguna dalam penyebaran skala besar yang melibatkan puluhan langganan dengan ratusan dan ribuan sumber daya, yang semuanya harus diamankan dari awal.
Orientasi Microsoft Defender untuk Cloud menggunakan PowerShell memungkinkan Anda mengotomatisasi orientasi dan pengelolaan sumber daya Azure Anda secara terprogram dan menambahkan kontrol keamanan yang diperlukan.
Artikel ini memberikan contoh skrip PowerShell yang dapat dimodifikasi dan digunakan di lingkungan Anda untuk meluncurkan Defender untuk Cloud di seluruh langganan Anda.
Dalam contoh ini, kita akan mengaktifkan Defender untuk Cloud pada langganan dengan ID: d07c0080-170c-4c24-861d-9c817742786c dan menerapkan pengaturan yang direkomendasikan yang memberikan tingkat perlindungan tinggi, dengan mengaktifkan fitur keamanan Microsoft Defender untuk Cloud yang ditingkatkan, yang menyediakan kemampuan perlindungan dan deteksi ancaman tingkat lanjut:
Aktifkan keamanan yang ditingkatkan di Microsoft Defender untuk Cloud.
Tetapkan ruang kerja Analisis Log tempat agen Analisis Log akan mengirim data yang dikumpulkannya pada VM yang terkait dengan langganan – dalam contoh ini, ruang kerja yang ditentukan pengguna yang ada (myWorkspace).
Aktifkan provisi agen otomatis Defender untuk Cloud, yang menyebarkan agen Analitik Log.
Tetapkan CISO organisasi sebagai kontak keamanan untuk peringatan Defender untuk Cloud dan peristiwa penting.
Tetapkan kebijakan keamanan default Defender untuk Cloud.
Prasyarat
Langkah-langkah ini harus dilakukan sebelum Anda menjalankan cmdlet Defender untuk Cloud:
Jalankan PowerShell sebagai admin.
Jalankan perintah berikut ini di PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSignedInstall-Module -Name Az.Security -Force
Defender Onboard untuk Cloud menggunakan PowerShell
Daftarkan langganan Anda ke Defender untuk Cloud Resource Provider:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'Opsional: Setel tingkat cakupan (fitur keamanan yang disempurnakan Microsoft Defender untuk Cloud on/off) dari langganan. Jika tidak ditentukan, fitur ini tidak aktif:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"Konfigurasikan ruang kerja Analitik Log yang akan dilaporkan oleh agen. Anda harus memiliki ruang kerja Analitik Log yang sudah Anda buat, yang akan dilaporkan oleh VM langganan. Anda bisa menentukan beberapa langganan untuk dilaporkan ke ruang kerja yang sama. Jika tidak didefinisikan, ruang kerja default akan digunakan.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"Lakukan penginstalan provisi otomatis agen Analitik Log di Azure VM Anda:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvisionCatatan
Sebaiknya Anda mengaktifkan provisi otomatis untuk memastikan bahwa mesin virtual Azure Anda secara otomatis dilindungi oleh Microsoft Defender untuk Cloud.
Sebagai bagian dari strategi Defender untuk Cloud diperbarui, Azure Monitor Agent (AMA) tidak akan lagi diperlukan untuk penawaran Defender for Servers. Namun, itu masih akan diperlukan untuk Defender untuk server SQL pada komputer. Akibatnya, menyebarkan Azure Monitor Agent (AMA) dengan portal Defender untuk Cloud tersedia untuk server SQL pada komputer, dengan kebijakan penyebaran baru. Pelajari selengkapnya tentang cara bermigrasi ke proses provisi otomatis Azure Monitoring Agent (AMA) yang ditargetkan server SQL.Opsional: Sangat disarankan agar Anda menentukan detail kontak keamanan untuk langganan yang Anda onboarding, yang akan digunakan sebagai penerima pemberitahuan dan pemberitahuan yang dihasilkan oleh Defender untuk Cloud:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlertTetapkan inisiatif kebijakan Defender untuk Cloud default:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
Anda telah berhasil mengaktifkan Microsoft Defender untuk Cloud dengan PowerShell.
Sekarang Anda dapat menggunakan cmdlet PowerShell ini dengan skrip otomatisasi untuk melakukan iterasi secara terprogram di seluruh langganan dan sumber daya. Ini menghemat waktu dan mengurangi kemungkinan kesalahan manusia. Anda dapat menggunakan contoh skrip ini sebagai referensi.
Baca juga
Untuk mempelajari lebih lanjut tentang bagaimana Anda dapat menggunakan PowerShell untuk mengotomatiskan orientasi ke Defender untuk Cloud, lihat artikel berikut:
Untuk mempelajari lebih lanjut tentang Defender untuk Cloud, lihat artikel berikut:
- Mengatur kebijakan keamanan di Microsoft Defender untuk Cloud. Pelajari cara mengonfigurasi kebijakan keamanan untuk langganan Azure dan grup sumber daya Anda.
- Mengelola dan menanggapi pemberitahuan keamanan di Microsoft Defender untuk Cloud. Pelajari cara mengelola dan merespons pemberitahuan keamanan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk