Condividi tramite


In che modo Defender per il cloud raccoglie i dati?

Defender per il cloud raccoglie i dati dalle macchine virtuali di Azure, dai set di scalabilità di macchine virtuali, dai contenitori IaaS e dai computer non Azure (inclusi quelli locali) per monitorare le vulnerabilità e le minacce per la sicurezza. Alcuni piani di Defender richiedono componenti di monitoraggio per raccogliere dati dai carichi di lavoro.

La raccolta dei dati è fondamentale per ottenere visibilità sugli aggiornamenti mancanti, le impostazioni di sicurezza del sistema operativo non configurate correttamente, lo stato della protezione degli endpoint e la protezione dell'integrità e dalle minacce. La raccolta di dati è necessaria solo per le risorse di calcolo, ad esempio macchine virtuali, set di scalabilità di macchine virtuali, contenitori IaaS e computer non Azure.

Microsoft Defender per il cloud offre vantaggi anche se non si effettua il provisioning di agenti. Tuttavia, si avrà una sicurezza limitata e le funzionalità elencate non sono supportate.

I dati vengono raccolti tramite:

Perché usare Defender per il cloud per distribuire i componenti di monitoraggio?

La visibilità sulla sicurezza dei carichi di lavoro dipende dai dati raccolti dai componenti di monitoraggio. I componenti garantiscono la copertura della sicurezza per tutte le risorse supportate.

Per evitare di dover installare manualmente le estensioni, Defender per il cloud riduce il sovraccarico di gestione installando tutte le estensioni necessarie nei computer nuovi ed esistenti. Defender per il cloud assegna l'oggetto appropriato Distribuire se non esistono criteri nei carichi di lavoro nella sottoscrizione. Questo tipo di criterio garantisce che venga effettuato il provisioning dell'estensione in tutte le risorse esistenti e future di quel tipo.

Suggerimento

Altre informazioni sugli effetti Criteri di Azure, tra cui Deploy if not exists, in Informazioni sugli effetti Criteri di Azure.

Quali piani usano i componenti di monitoraggio?

Questi piani usano i componenti di monitoraggio per raccogliere i dati:

Disponibilità delle estensioni

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Agente di Monitoraggio di Azure (AMA)

Aspetto Dettagli
Stato della versione: Disponibilità Generale
Piano di Defender pertinente: Defender per i server SQL nei computer
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): Proprietario
Destinazioni supportate: Macchine virtuali di Azure
Computer abilitati per Azure Arc
Basato su criteri:
Cloud: Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Altre informazioni sull'uso dell'agente di Monitoraggio di Azure con Defender per il cloud.

Agente di Log Analytics

Aspetto Macchine virtuali di Azure Computer abilitati per Azure Arc
Stato della versione: Disponibilità Generale Disponibilità Generale
Piano di Defender pertinente: Foundational Cloud Security Posture Management (CSPM) per le raccomandazioni sulla sicurezza basate su agenti
Microsoft Defender per server
Microsoft Defender per SQL
Foundational Cloud Security Posture Management (CSPM) per le raccomandazioni sulla sicurezza basate su agenti
Microsoft Defender per server
Microsoft Defender per SQL
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): Proprietario Proprietario
Destinazioni supportate: Macchine virtuali di Azure Computer abilitati per Azure Arc
Basato su criteri: No
Cloud: Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Sistemi operativi supportati per l'agente di Log Analytics

Defender per il cloud dipende dall'agente di Log Analytics. Verificare che nei computer sia in esecuzione uno dei sistemi operativi supportati per questo agente, come descritto nelle pagine seguenti:

Assicurarsi inoltre che l'agente di Log Analytics sia correttamente configurato per l'invio di dati a Defender per il cloud.

Distribuzione dell'agente di Log Analytics in caso di installazione di un agente preesistente

I casi d'uso seguenti illustrano il funzionamento della distribuzione dell'agente di Log Analytics nei casi in cui è già installato un agente o un'estensione.

  • L'agente di Log Analytics è installato nel computer, ma non come estensione (agente diretto): se l'agente di Log Analytics viene installato direttamente nella macchina virtuale e non come estensione di Azure, Defender per il cloud installerà l'estensione dell'agente di Log Analytics e potrebbe aggiornare l'agente all'ultima versione. L'agente installato continuerà a inviare report alle aree di lavoro già configurate e all'area di lavoro configurata in Defender per il cloud. Il multihosting è supportato nei computer Windows.

    Se Log Analytics è configurato con un'area di lavoro dell'utente e non con l'area di lavoro predefinita di Defender per il cloud, sarà necessario installarvi la soluzione "Security" o "SecurityCenterFree" per consentire a Defender per il cloud di avviare l'elaborazione di eventi da macchine virtuali e computer che inviano report a tale area di lavoro.

    Per i computer Linux, il multihosting degli agenti non è ancora supportato. Se viene rilevata un'installazione esistente di un agente, l'agente di Log Analytics non verrà distribuito.

    Per i computer esistenti in sottoscrizioni di cui è stato eseguito l'onboarding in Defender per il cloud prima del 17 marzo 2019, quando verrà rilevato un agente esistente, l'estensione dell'agente di Log Analytics non verrà installata e il computer non verrà modificato. Per questi computer, vedere la raccomandazione "Risolvere i problemi di integrità dell'agente di monitoraggio nei computer" per risolvere i problemi di installazione dell'agente.

  • L'agente di System Center Operations Manager è installato nel computer: Defender per il cloud installerà l'estensione dell'agente di Log Analytics in modalità affiancata con l'istanza esistente di Operations Manager. L'agente di Operations Manager esistente continuerà a inviare report normalmente al server Operations Manager. L'agente di Operations Manager e l'agente di Log Analytics condividono librerie di runtime comuni, che durante questo processo verranno aggiornate all'ultima versione.

  • È presente un'estensione di macchina virtuale preesistente:

    • Quando l'agente di monitoraggio viene installato come estensione, la configurazione dell'estensione consente il reporting a una sola area di lavoro. Defender per il cloud non esegue l'override delle connessioni esistenti alle aree di lavoro dell'utente. Defender per il cloud archivierà i dati di sicurezza dalla macchina virtuale nell'area di lavoro già connessa, se è stata installata la soluzione "Security" o "SecurityCenterFree". Defender per il cloud potrebbe aggiornare la versione dell'estensione alla versione più recente in questo processo.
    • Per visualizzare l'area di lavoro a cui l'estensione esistente invia dati, eseguire lo strumento TestCloudConnection.exe per convalidare la connettività con Microsoft Defender per il cloud, come descritto in Verificare la connettività dell'agente di Log Analytics. In alternativa, è possibile aprire le aree di lavoro Log Analytics, selezionare un'area di lavoro, selezionare la macchina virtuale ed esaminare la connessione dell'agente di Log Analytics.
    • Se si dispone di un ambiente in cui l'agente di Log Analytics è installato in workstation client e invia report a un'area di lavoro Log Analytics esistente, esaminare l'elenco di sistemi operativi supportati da Defender per il cloud per assicurarsi che il sistema operativo in uso sia supportato.

Altre informazioni sull'uso dell'agente di log Analitica.

Microsoft Defender for Endpoint

Aspetto Linux Windows
Stato della versione: Disponibilità Generale Disponibilità Generale
Piano di Defender pertinente: Microsoft Defender per server Microsoft Defender per server
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): - Per abilitare/disabilitare l'integrazione: Amministratore o proprietario della sicurezza
- Per visualizzare gli avvisi di Defender per endpoint in Defender per il cloud: lettore, lettore, collaboratore gruppo di risorse, proprietario del gruppo di risorse, amministratore della sicurezza, proprietario della sottoscrizione o Collaboratore sottoscrizione
- Per abilitare/disabilitare l'integrazione: Amministratore o proprietario della sicurezza
- Per visualizzare gli avvisi di Defender per endpoint in Defender per il cloud: lettore, lettore, collaboratore gruppo di risorse, proprietario del gruppo di risorse, amministratore della sicurezza, proprietario della sottoscrizione o Collaboratore sottoscrizione
Destinazioni supportate: Computer abilitati per Azure Arc
Macchine virtuali di Azure
Computer abilitati per Azure Arc
Macchine virtuali di Azure che eseguono Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Desktop virtuale Azure, Windows 10 Enterprise multisessione
Macchine virtuali di Azure che eseguono Windows 10
Basato su criteri: No No
Cloud: Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Altre informazioni su Microsoft Defender per endpoint.

Valutazione della vulnerabilità

Aspetto Dettagli
Stato della versione: Disponibilità Generale
Piano di Defender pertinente: Microsoft Defender per server
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): Proprietario
Destinazioni supportate: Macchine virtuali di Azure
Computer abilitati per Azure Arc
Basato su criteri:
Cloud: Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Configurazione guest

Aspetto Dettagli
Stato della versione: Anteprima
Piano di Defender pertinente: Nessun piano necessario
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): Proprietario
Destinazioni supportate: Macchine virtuali di Azure
Cloud: Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Altre informazioni sull'estensione configurazione guest di Azure.

Estensioni di Defender per contenitori

Questa tabella mostra i dettagli di disponibilità per i componenti richiesti dalle protezioni offerte da Microsoft Defender per contenitori.

Per impostazione predefinita, le estensioni necessarie vengono abilitate quando si abilita Defender per contenitori dal portale di Azure.

Aspetto Cluster del servizio Azure Kubernetes Cluster Kubernetes abilitati per Azure Arc
Stato della versione: • Sensore defender: GA
• Criteri di Azure per Kubernetes: Disponibile a livello generale (GA)
• Sensore defender: Anteprima
• Criteri di Azure per Kubernetes: Anteprima
Piano di Defender pertinente: Microsoft Defender per contenitori Microsoft Defender per contenitori
Ruoli e autorizzazioni necessari (a livello di sottoscrizione): Proprietario o Amministratore accesso utenti Proprietario o Amministratore accesso utenti
Destinazioni supportate: Il sensore di Azure Kubernetes Defender supporta solo i cluster del servizio Azure Kubernetes con controllo degli accessi in base al ruolo abilitato. Vedere Distribuzioni di Kubernetes supportate per Kubernetes con abilitazione di Arc
Basato su criteri:
Cloud: Sensore defender:
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet
Criteri di Azure per Kubernetes:
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet
Sensore defender:
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet
Criteri di Azure per Kubernetes:
Cloud commerciali
Azure per enti pubblici, Microsoft Azure gestito da 21Vianet

Altre informazioni sui ruoli usati per effettuare il provisioning delle estensioni di Defender per contenitori.

Risoluzione dei problemi

Passaggi successivi

In questa pagina sono illustrati i componenti di monitoraggio e come abilitarli.

Altre informazioni su: