Bagikan melalui

Panduan Memecahkan Masalah Konektor

Defender for Cloud menyediakan sistem manajemen keamanan terpadu yang membantu Anda melindungi sumber daya cloud Anda. Ini mendukung berbagai penyedia cloud, termasuk Amazon Web Services (AWS) dan Google Cloud Platform (GCP). Panduan ini untuk profesional TI, analis keamanan, dan admin cloud yang perlu memecahkan masalah yang terkait dengan konektor Microsoft Defender for Cloud.

Pemecahan masalah konektor

Defender untuk Cloud menggunakan konektor untuk mengumpulkan data pemantauan dari akun Amazon Web Services (AWS) dan proyek Google Cloud Platform (GCP). Jika Anda mengalami masalah dengan konektor atau Anda tidak melihat data dari AWS atau GCP, tinjau tips pemecahan masalah berikut.

Tips untuk masalah konektor umum

  • Pastikan langganan yang terkait dengan konektor dipilih di filter langganan yang terletak di bagian Direktori + langganan di portal Azure.
  • Standar harus ditetapkan pada konektor keamanan. Untuk memeriksa, buka Pengaturan lingkungan pada menu Defender untuk Cloud kiri, pilih konektor, lalu pilih Pengaturan. Jika tidak ada standar yang ditetapkan, pilih tiga titik untuk memeriksa apakah Anda memiliki izin untuk menetapkan standar.
  • Sumber daya konektor harus ada di Azure Resource Graph. Gunakan kueri Resource Graph berikut untuk memeriksa: resources | where ['type'] =~ "microsoft.security/securityconnectors".
  • Pastikan bahwa mengirim log audit Kubernetes diaktifkan pada konektor AWS atau GCP sehingga Anda bisa mendapatkan pemberitahuan deteksi ancaman untuk sarana kontrol.
  • Pastikan bahwa sensor Microsoft Defender dan Azure Policy untuk ekstensi Kubernetes dengan dukungan Azure Arc berhasil diinstal ke kluster Amazon Elastic Kubernetes Service (EKS) dan Google Kubernetes Engine (GKE). Anda dapat memverifikasi dan menginstal agen dengan rekomendasi Defender untuk Cloud berikut:
    • Kluster EKS harus menginstal ekstensi Microsoft Defender untuk Azure Arc
    • Kluster GKE harus menginstal ekstensi Pertahanan Microsoft untuk Azure Arc
    • Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy
    • Kluster GKE harus menginstal ekstensi Azure Policy
  • Jika Anda mengalami masalah saat menghapus konektor AWS atau GCP, periksa apakah Anda memiliki kunci. Kesalahan dalam log aktivitas Azure mungkin mengisyaratkan adanya kunci.
  • Periksa apakah beban kerja ditemukan dalam akun AWS atau proyek GCP.

Tips untuk masalah konektor AWS

  • Pastikan penyebaran templat CloudFormation berhasil diselesaikan.
  • Tunggu setidaknya 12 jam setelah pembuatan akun akar AWS.
  • Pastikan kluster EKS berhasil terhubung ke Kubernetes dengan dukungan Azure Arc.
  • Jika Anda tidak melihat data AWS di Defender untuk Cloud, pastikan sumber daya AWS yang diperlukan untuk mengirim data ke Defender untuk Cloud ada di akun AWS.

Tersambung ke Sentinel terlebih dahulu

Jika Anda menyambungkan akun AWS Anda ke Microsoft Sentinel terlebih dahulu, konektor Defender for Cloud tidak akan berfungsi. Untuk memperbaiki masalah ini, Anda perlu mengedit templat CloudFormation dan menerapkan langkah-langkah remediasi dalam akun AWS Anda.

Pelajari cara Menyambungkan akun AWS yang terhubung dengan Microsoft Sentinel ke Defender for Cloud.

Dampak biaya panggilan API ke AWS

Saat Anda melakukan onboarding akun tunggal atau manajemen AWS, layanan penemuan di Defender untuk Cloud memulai pemindaian langsung lingkungan Anda. Layanan penemuan menjalankan panggilan API ke berbagai titik akhir layanan untuk mengambil semua sumber daya yang membantu diamankan Azure.

Setelah pemindaian awal ini, layanan terus memindai lingkungan Anda secara berkala pada interval yang Anda konfigurasi selama onboarding. Di AWS, setiap panggilan API ke akun menghasilkan peristiwa pencarian yang direkam di sumber daya CloudTrail. Sumber daya CloudTrail dikenakan biaya. Untuk detail harga, lihat halaman Harga AWS CloudTrail di situs Amazon AWS.

Jika Anda menghubungkan CloudTrail ke GuardDuty, Anda juga bertanggung jawab atas biaya terkait. Anda dapat menemukan biaya ini dalam dokumentasi GuardDuty di situs Amazon AWS.

Mendapatkan jumlah panggilan API asli

Ada dua cara untuk mendapatkan jumlah panggilan yang Defender untuk Cloud lakukan:

  • Gunakan tabel Athena yang sudah ada atau buat tabel baru. Untuk informasi selengkapnya, lihat Mengkueri log AWS CloudTrail di situs Amazon AWS.
  • Gunakan penyimpanan data peristiwa yang sudah ada atau buat yang baru. Untuk informasi selengkapnya, lihat Bekerja dengan AWS CloudTrail Lake di situs Amazon AWS.

Kedua metode mengandalkan kueri log AWS CloudTrail.

Untuk mendapatkan jumlah panggilan, buka tabel Athena atau penyimpanan data peristiwa dan gunakan salah satu kueri yang telah ditentukan sebelumnya berikut, sesuai dengan kebutuhan Anda. Ganti <TABLE-NAME> dengan ID tabel Athena atau penyimpanan data peristiwa.

  • Cantumkan jumlah keseluruhan panggilan API menurut Defender untuk Cloud:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • Cantumkan jumlah panggilan API keseluruhan menurut Defender untuk Cloud dikumpulkan berdasarkan hari:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • Cantumkan jumlah panggilan API keseluruhan menurut Defender untuk Cloud diagregasi berdasarkan nama peristiwa:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Cantumkan jumlah panggilan API keseluruhan menurut Defender untuk Cloud diagregasi menurut wilayah:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Tips untuk masalah konektor GCP

  • Pastikan skrip GCP Cloud Shell berhasil diselesaikan.
  • Pastikan kluster GKE berhasil terhubung ke Kubernetes dengan dukungan Azure Arc.
  • Pastikan bahwa titik akhir Azure Arc berada dalam daftar izin firewall. Konektor GCP melakukan panggilan API ke titik akhir ini untuk mengambil file onboarding yang diperlukan.
  • Jika onboarding proyek GCP gagal, pastikan Anda memiliki compute.regions.list izin dan izin Microsoft Entra untuk membuat perwakilan layanan untuk proses onboarding. Pastikan bahwa sumber daya GCP WorkloadIdentityPoolId, WorkloadIdentityProviderId, dan ServiceAccountEmail dibuat dalam proyek GCP.

Defender API memanggil ke GCP

Saat Anda melakukan onboarding proyek atau organisasi tunggal GCP, layanan penemuan di Defender untuk Cloud memulai pemindaian langsung lingkungan Anda. Layanan penemuan menjalankan panggilan API ke berbagai titik akhir layanan untuk mengambil semua sumber daya yang membantu diamankan Azure.

Setelah pemindaian awal ini, layanan terus memindai lingkungan Anda secara berkala pada interval yang Anda konfigurasi selama onboarding.

Untuk mendapatkan jumlah panggilan API asli yang Defender untuk Cloud dijalankan:

  1. Buka Penjelajah Log Pengelogan>

  2. Filter tanggal seperti yang Anda inginkan (misalnya, 1d).

  3. Untuk menampilkan panggilan API yang Defender untuk Cloud dijalankan, jalankan kueri ini:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Lihat histogram untuk melihat jumlah panggilan dari waktu ke waktu.

Lihat juga