Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Panduan ini untuk profesional TI, analis keamanan informasi, dan administrator cloud yang organisasinya perlu memecahkan masalah yang terkait dengan Microsoft Defender untuk Cloud.
Petunjuk / Saran
Ketika Anda menghadapi masalah atau memerlukan saran dari tim dukungan kami, bagian Mendiagnosis dan memecahkan masalah portal Azure adalah tempat yang baik untuk mencari solusi.
Gunakan log audit untuk menyelidiki masalah
Tempat pertama untuk mencari informasi pemecahan masalah adalah log audit untuk komponen yang gagal. Di log audit, Anda dapat melihat detail seperti:
- Operasi mana yang dilakukan.
- Orang yang memulai operasi.
- Ketika operasi terjadi.
- Status operasi.
Log audit berisi semua operasi tulis (PUT, , POSTDELETE) yang dilakukan pada sumber daya Anda, tetapi tidak membaca operasi (GET).
Memecahkan masalah agen Analitik Log
Defender untuk Cloud menggunakan agen Log Analytics untuk mengumpulkan dan menyimpan data. Informasi dalam artikel ini mewakili fungsi Defender untuk Cloud setelah transisi ke agen Log Analytics.
Jenis pemberitahuannya adalah:
- Analisis Perilaku Komputer Virtual (VMBA)
- Analisis jaringan
- Analisis Azure SQL Database dan Azure Synapse Analytics
- Informasi kontekstual
Bergantung pada jenis pemberitahuan, Anda dapat mengumpulkan informasi yang diperlukan untuk menyelidiki pemberitahuan dengan menggunakan sumber daya berikut:
- Log keamanan di penampil peristiwa komputer virtual (VM) di Windows
- Daemon audit (
auditd) di Linux - Log aktivitas Azure dan log diagnostik yang diaktifkan pada sumber daya serangan
Anda dapat membagikan umpan balik untuk deskripsi dan relevansi peringatan. Buka pemberitahuan, pilih tombol Apakah Ini Berguna , pilih alasannya, lalu masukkan komentar untuk menjelaskan umpan balik. Kami terus memantau saluran umpan balik ini untuk meningkatkan pemberitahuan kami.
Periksa proses dan versi agen Log Analytics
Sama seperti Azure Monitor, Defender untuk Cloud menggunakan agen Log Analytics untuk mengumpulkan data keamanan dari komputer virtual Azure Anda. Setelah Anda mengaktifkan pengumpulan data dan menginstal agen dengan benar di komputer target, HealthService.exe prosesnya harus berjalan.
Buka konsol manajemen layanan (services.msc) untuk memastikan bahwa layanan agen Analitik Log berjalan.
Untuk melihat versi agen mana yang Anda miliki, buka Task Manager. Pada tab Proses , temukan layanan agen Analitik Log, klik kanan, lalu pilih Properti. Pada tab Detail , cari versi file.
Memeriksa skenario penginstalan untuk agen Analitik Log
Ada dua skenario penginstalan yang dapat menghasilkan hasil yang berbeda saat Anda menginstal agen Analitik Log di komputer Anda. Skenario yang didukung adalah:
Agen diinstal secara otomatis oleh Defender untuk Cloud: Anda dapat melihat pemberitahuan di Defender untuk Cloud dan pencarian log. Anda menerima pemberitahuan email di alamat email yang Anda konfigurasikan dalam kebijakan keamanan untuk langganan tempat sumber daya berada.
Agen yang diinstal secara manual pada VM yang terletak di Azure: Dalam skenario ini, jika Anda menggunakan agen yang diunduh dan diinstal secara manual sebelum Februari 2017, Anda dapat melihat pemberitahuan di portal Defender untuk Cloud hanya jika Anda memfilter langganan tempat ruang kerja berada. Jika Anda memfilter langganan tempat sumber daya berada, Anda tidak akan melihat pemberitahuan apa pun. Anda menerima pemberitahuan email di alamat email yang Anda konfigurasikan dalam kebijakan keamanan untuk langganan tempat ruang kerja berada.
Untuk menghindari masalah pemfilteran, pastikan untuk mengunduh versi terbaru agen.
Memantau masalah konektivitas jaringan untuk agen
Agar tersambung ke dan mendaftar pada Defender untuk Cloud, agen harus memiliki akses ke alamat DNS dan port jaringan untuk sumber daya jaringan Azure. Untuk mengaktifkan akses ini, lakukan tindakan berikut:
- Saat Anda menggunakan server proksi, pastikan bahwa sumber daya server proksi yang sesuai dikonfigurasi dengan benar di pengaturan agen.
- Konfigurasikan firewall jaringan Anda untuk mengizinkan akses ke Analitik Log.
Sumber daya jaringan Azure adalah:
| Sumber daya agen | Pelabuhan | Melewati inspeksi HTTPS |
|---|---|---|
*.ods.opinsights.azure.com |
443 | Ya |
*.oms.opinsights.azure.com |
443 | Ya |
*.blob.core.windows.net |
443 | Ya |
*.azure-automation.net |
443 | Ya |
Jika Anda mengalami masalah saat onboarding agen Analitik Log, baca Memecahkan Masalah onboarding Operations Management Suite.
Memecahkan masalah perlindungan antimalware yang tidak berfungsi dengan benar
Agen tamu adalah proses induk dari semua yang dilakukan ekstensi Microsoft Antimalware . Ketika proses agen tamu gagal, perlindungan Microsoft Antimalware yang berjalan sebagai proses turunan agen tamu mungkin juga gagal.
Berikut adalah beberapa tips pemecahan masalah:
- Jika VM target dibuat dari gambar kustom, pastikan pembuat VM menginstal agen tamu.
- Jika targetnya adalah VM Linux, menginstal versi Windows dari ekstensi antimalware akan gagal. Agen tamu Linux memiliki OS dan persyaratan paket tertentu.
- Jika VM dibuat dengan versi lama agen tamu, agen lama mungkin tidak memiliki kemampuan untuk memperbarui secara otomatis ke versi yang lebih baru. Selalu gunakan versi terbaru agen tamu saat Anda membuat gambar Anda sendiri.
- Beberapa perangkat lunak administrasi pihak ketiga mungkin menonaktifkan agen tamu atau memblokir akses ke lokasi file tertentu. Jika perangkat lunak administrasi pihak ketiga diinstal pada mesin virtual Anda, pastikan agen antimalware ada dalam daftar pengecualian.
- Pastikan bahwa pengaturan firewall dan grup keamanan jaringan tidak memblokir lalu lintas jaringan ke dan dari agen tamu.
- Pastikan tidak ada daftar kontrol akses yang mencegah akses disk.
- Agen tamu membutuhkan ruang disk yang cukup untuk berfungsi dengan baik.
Secara default, antarmuka pengguna Microsoft Antimalware dinonaktifkan. Tetapi Anda dapat mengaktifkan antarmuka pengguna Microsoft Antimalware di VM Azure Resource Manager.
Memecahkan masalah dengan memuat dasbor
Jika Anda mengalami masalah saat memuat dasbor perlindungan beban kerja, pastikan bahwa pengguna yang pertama kali mengaktifkan Defender untuk Cloud pada langganan dan pengguna yang ingin mengaktifkan pengumpulan data memiliki peran Pemilik atau Kontributor pada langganan. Jika demikian, pengguna dengan peran Pembaca pada langganan dapat melihat dasbor, pemberitahuan, rekomendasi, dan kebijakan.
Memecahkan masalah konektor untuk organisasi Azure DevOps
Jika Anda tidak dapat onboarding organisasi Azure DevOps Anda, coba tips pemecahan masalah berikut:
Pastikan Anda menggunakan versi non-pratinjau portal Azure; langkah otorisasi tidak berfungsi di portal pratinjau Azure.
Penting untuk mengetahui akun mana Anda masuk ketika Anda mengotorisasi akses, karena itu akan menjadi akun yang digunakan sistem untuk onboarding. Akun Anda dapat dikaitkan dengan alamat email yang sama tetapi juga terkait dengan penyewa yang berbeda. Pastikan Anda memilih kombinasi akun/penyewa yang tepat. Jika Anda perlu mengubah kombinasi:
Di halaman profil Azure DevOps Anda, gunakan menu dropdown untuk memilih akun lain.
Setelah Anda memilih kombinasi akun/penyewa yang benar, buka Pengaturan lingkungan di Defender untuk Cloud dan edit konektor Azure DevOps Anda. Otorisasi ulang konektor untuk memperbaruinya dengan kombinasi akun/penyewa yang benar. Anda kemudian akan melihat daftar organisasi yang benar di menu dropdown.
Pastikan Anda memiliki peran Administrator Koleksi Proyek di organisasi Azure DevOps yang ingin Anda onboarding.
Pastikan bahwa akses aplikasi pihak ketiga melalui tombol OAuth Aktif untuk organisasi Azure DevOps. Pelajari selengkapnya tentang mengaktifkan akses OAuth.
Hubungi dukungan Microsoft
Anda juga dapat menemukan informasi pemecahan masalah untuk Defender untuk Cloud di halaman tanya jawab Defender untuk Cloud.
Jika Anda memerlukan bantuan lebih lanjut, Anda dapat membuka permintaan dukungan baru pada portal Azure. Pada halaman Bantuan + dukungan , pilih Buat permintaan dukungan.
Lihat juga
- Pelajari cara mengelola dan merespons pemberitahuan keamanan di Defender untuk Cloud.
- Pelajari tentang validasi pemberitahuan di Defender untuk Cloud.
- Tinjau pertanyaan umum tentang menggunakan Defender untuk Cloud.