Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente di Log Analytics, noto anche come Microsoft Monitoring Agent (MMA), è stato ritirato a novembre 2024. Di conseguenza, i piani Defender per server e Defender per SQL nei computer in Microsoft Defender per il cloud verranno aggiornati e le funzionalità che si basano sull'agente di Log Analytics verranno riprogettate.
Questo articolo riepiloga i piani per il ritiro dell'agente.
Preparare Defender per server
Il piano Defender per server usa l'agente di Log Analytics nella disponibilità generale (GA) e in AMA per alcune funzionalità (in anteprima). Di seguito sono indicate le implicazioni di queste funzionalità in futuro:
Per semplificare l'onboarding, tutte le funzionalità di sicurezza di Defender per server verranno fornite con un singolo agente (Microsoft Defender per endpoint) insieme all'analisi dei computer senza agente, senza alcuna dipendenza dall'agente di Log Analytics o da AMA.
- Le funzionalità di Defender per server, basate su AMA, attualmente sono in anteprima e non verranno rilasciate per la disponibilità generale.
- Le funzionalità in anteprima che si basano su AMA rimangono supportate fino a quando non viene fornita una versione alternativa della funzionalità che si baserà sull'integrazione di Defender per endpoint o sulla funzionalità di analisi dei computer senza agente.
- Abilitando l'integrazione di Defender per endpoint e la funzionalità di analisi dei computer senza agente prima che avvenga la deprecazione, la distribuzione di Defender per server sarà aggiornata e supportata.
Funzionalità
La tabella seguente riepiloga il modo in cui verranno fornite le funzionalità di Defender per server. La maggior parte delle funzionalità è già disponibile a livello generale usando l'integrazione di Defender per endpoint o l'analisi dei computer senza agente. Il resto delle funzionalità sarà disponibile a livello generale al momento del ritiro di MMA o sarà deprecato.
Funzionalità | Supporto corrente | Nuovo supporto | Nuovo stato dell'esperienza |
---|---|---|---|
Integrazione di Defender per endpoint per computer Windows di livello inferiore (Windows Server 2016/2012 R2) | Sensore Defender per endpoint legacy, basato sull'agente di Log Analytics | Integrazione dell'agente unificata | - La funzionalità con l'agente unificato di MDE è disponibile a livello generale. - La funzionalità con il sensore Defender per endpoint legacy che usa l'agente di Log Analytics sarà deprecata ad agosto 2024. |
Rilevamento delle minacce a livello di sistema operativo | Agente di Log Analytics | Integrazione dell'agente di Defender per endpoint | La funzionalità con l'agente di Defender per endpoint è disponibile a livello generale. |
Controlli delle applicazioni adattivi | Agente di Log Analytics (disponibilità generale), AMA (anteprima) | --- | La funzionalità di controllo adattivo delle applicazioni è impostata per la deprecazione ad agosto 2024. |
Consigli per l'individuazione di Endpoint Protection | Consigli disponibili tramite il piano CSPM (Cloud Security Posture Management) di base e Defender per server, usando l'agente di Log Analytics (disponibilità generale), AMA (anteprima) | Analisi automatica senza agente | - La funzionalità con l'analisi dei computer senza agente è stata rilasciata in anteprima all'inizio del 2024 come parte del piano Defender per server 2 e del piano Defender CSPM. - Le VM di Azure, le istanze di Google Cloud Platform (GCP) e le istanze di Amazon Web Services (AWS) sono supportate. I computer locali non sono supportati. |
Consiglio per l'aggiornamento del sistema operativo mancante | Consigli disponibili nei piani CSPM di base e Defender per server che usano l'agente di Log Analytics. | Integrazione con Gestore aggiornamenti, Microsoft | Nuovi consigli basati sull'integrazione di Gestore aggiornamenti di Azure sono disponibili a livello generale e non hanno dipendenze dall'agente. |
Configurazioni errate del sistema operativo (Microsoft Cloud Security Benchmark) | Consigli disponibili tramite i piani CSPM di base e Defender per server usando l'agente di Log Analytics, estensione Configurazione guest (anteprima). | Estensione configurazione guest, come parte del piano Defender per server 2. | - La funzionalità basata sull'estensione Configurazione guest verrà rilasciata a livello generale a settembre 2024 - Solo per i clienti di Defender per il cloud: la funzionalità con l'agente di Log Analytics sarà deprecata a novembre 2024. - Il supporto di questa funzionalità per hub Docker e set di scalabilità di macchine virtuali di Azure sarà deprecato ad agosto 2024. |
Monitoraggio dell'integrità dei file | Agente di Log Analytics, AMA (anteprima) | Integrazione dell'agente di Defender per endpoint | La funzionalità con l'agente di Defender per endpoint sarà disponibile intorno ad agosto 2024. - Solo per i clienti di Defender per il cloud: la funzionalità con l'agente di Log Analytics sarà deprecata a novembre 2024. - La funzionalità con AMA verrà deprecata quando viene rilasciata l'integrazione di Defender per endpoint. |
Esperienza di provisioning automatico dell'agente di Log Analytics - Piano di deprecazione
Nell'ambito del ritiro dell'agente MMA, anche la funzionalità di provisioning automatico, che consente l'installazione e la configurazione dell'agente per i clienti di Microsoft Defender per il cloud, verrà gradualmente deprecata in due fasi:
Entro la fine di settembre 2024, il provisioning automatico di MMA verrà disabilitato per i clienti che non usano più la funzionalità, nonché per nuove sottoscrizioni create:
- Le sottoscrizioni esistenti che disattivano il provisioning automatico MMA dopo la fine di settembre non saranno più in grado di abilitare la funzionalità in seguito.
- Nelle nuove sottoscrizioni create, il provisioning automatico non può più essere abilitato e viene disattivato automaticamente.
- Fine di novembre 2024: la funzionalità verrà disabilitata nelle sottoscrizioni che non la hanno ancora disattivata. Da quel momento in poi, non è più possibile abilitare la funzionalità nelle sottoscrizioni esistenti.
Vantaggio di 500 MB per l'inserimento dati
Per mantenere i 500 MB di abbuono di inserimento dati gratuito per i tipi di dati supportati, è necessario eseguire la migrazione da MMA ad AMA.
Note
Il vantaggio è concesso a ogni computer AMA che fa parte di una sottoscrizione con il piano Defender per server 2 abilitato.
Il vantaggio è concesso all'area di lavoro in cui sta segnalando il computer.
La soluzione di sicurezza deve essere installata nell'area di lavoro correlata. Per altre informazioni su come eseguire questa operazione, vedere qui.
Se il computer segnala più di un'area di lavoro, il vantaggio verrà concesso solo a uno di essi.
Altre informazioni su come distribuire AMA.
Per i server SQL nei computer è consigliabile eseguire la migrazione al processo di provisioning automatico dell'agente di Monitoraggio di Azure (AMA) SQL server-targeted.
Modifiche all'onboarding legacy di Defender per server piano 2 tramite l'agente di log Analitica
L'approccio legacy per eseguire l'onboarding dei server in Defender per server piano 2 in base all'agente di log Analitica e l'uso delle aree di lavoro log analitica è impostato anche per il ritiro:
L'esperienza di onboarding per l'onboarding di nuovi computer non Azure a Defender per server tramite agenti e aree di lavoro log Analitica viene rimossa dai pannelli inventario e Introduzione nel portale di Defender per il cloud.
Per evitare di perdere la copertura di sicurezza nei computer interessati connessi a un'area di lavoro Log Analytics, al ritiro dell'agente:
Se è stato eseguito l'onboarding di server non Azure (sia locali che multicloud) usando l'approccio legacy, è ora necessario connettere questi computer tramite server abilitati per Azure Arc alle sottoscrizioni e ai connettori di Azure di Defender per server piano 2. Altre informazioni sulla distribuzione di computer Arc su larga scala.
- Se è stato usato l'approccio legacy per abilitare Defender per server Piano 2 nelle macchine virtuali di Azure selezionate, è consigliabile abilitare Defender per server Piano 2 nelle sottoscrizioni di Azure per questi computer. È quindi possibile escludere singoli computer dalla copertura di Defender per server usando la configurazione per risorsa di Defender per server.
Questo è un riepilogo delle azioni necessarie per ognuno dei server di cui è stato eseguito l'onboarding in Defender per server Piano 2 tramite l'approccio legacy:
Tipo di computer | Azione necessaria per mantenere la copertura di sicurezza |
---|---|
Server locali | Eseguito l'onboarding ad Arc e connesso a una sottoscrizione con Defender per server piano 2 |
Macchine virtuali di Azure | Connettersi alla sottoscrizione con Defender per server piano 2 |
Server multicloud | Connettersi al connettore multicloud con il provisioning di Azure Arc e Defender per server piano 2 |
Esperienza consigli di aggiornamento e patch di sistema - Linee guida per modifiche e migrazione
Gli aggiornamenti e le patch di sistema sono fondamentali per mantenere la sicurezza e l'integrità dei computer. Gli aggiornamenti contengono spesso patch di sicurezza per le vulnerabilità che, se non corrette, sono sfruttabili dagli utenti malintenzionati.
I consigli per gli aggiornamenti di sistema erano precedentemente fornite dal CSPM di base di Defender per il cloud e dai piani di Defender per server usando l'agente di Log Analytics. Questa esperienza è stata sostituita da consigli sulla sicurezza raccolti con Gestione aggiornamenti di Azure e costituiti da 2 nuovi consigli:
Informazioni su come correggere i consigli su aggiornamenti di sistema e patch nei computer.
Quali consigli sono in via di sostituzione?
La tabella seguente riepiloga il calendario dei consigli deprecati e sostituiti.
Consiglio | Agente | Risorse supportate | Data di deprecazione | Consiglio di sostituzione |
---|---|---|---|---|
Gli aggiornamenti di sistema devono essere installati nelle macchine | MMA | Azure e non Azure (Windows e Linux) | Agosto 2024 | Nuovo consiglio basato su Azure Update Manager |
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | MMA | Set di scalabilità di macchine virtuali di Azure | Agosto 2024 | Nessuna sostituzione |
Come prepararsi per i nuovi consigli?
Connettere i computer non Azure ad Arc
Assicurarsi che l'impostazione di aggiornamento della valutazione periodica sia abilitata nei computer. È possibile farlo in 2 modi:
- Correzione del consiglio: i computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti di sistema mancanti (con tecnologia Azure Update Manager).
- Abilitare la valutazione periodica su larga scala con Criteri di Azure.
- Al termine dell'operazione, Gestione aggiornamenti può recuperare gli aggiornamenti più recenti nei computer ed è possibile visualizzare lo stato di conformità del computer più recente.
Note
L’abilitazione delle valutazioni periodiche per le macchine abilitate ad Arc, su cui il piano Defender per Server Piano 2 non è attivato nella relativa sottoscrizione o connettore, è soggetta alla tariffazione di Azure Update Manager. I computer abilitati ad Arc per cui Defender per server piano 2 è abilitato nella sottoscrizione o nei connettori correlati, o in qualsiasi macchina virtuale di Azure sono idonei per questa funzionalità senza costi aggiuntivi.
Esperienza di consigli di Endpoint Protection - indicazioni per le modifiche e la migrazione
L'individuazione degli endpoint e i consigli erano precedentemente forniti da CSPM di base di Defender per il cloud e dai piani Defender per server usando l'agente di Log Analytics in disponibilità generale o in anteprima tramite l'AMA. Questa esperienza è stata sostituita da consigli sulla sicurezza raccolti tramite l'analisi dei computer senza agente.
I consigli di Endpoint Protection vengono costruiti in due stadi. Il primo stadio è l'individuazione di una soluzione di rilevamento e reazione dagli endpoint. Il secondo è la valutazione della configurazione della soluzione. Le tabelle seguenti forniscono informazioni dettagliate sulle esperienze correnti e nuove per ogni stadio.
Informazioni su come gestire i nuovi consigli sul rilevamento e reazione dagli endpoint (senza agente).
Soluzione di rilevamento e reazione dagli endpoint - Individuazione
Zona | Esperienza corrente (basata su AMA/MMA) | Nuova esperienza (basata sull'analisi dei computer senza agente) |
---|---|---|
Cosa serve per classificare una risorsa come integra? | Un antivirus. | Una soluzione di rilevamento e reazione dagli endpoint. |
Cosa serve per ottenere il consiglio? | Agente di Log Analytics | Analisi automatica senza agente |
Quali piani sono supportati? | - CSPM di base (gratuito) - Piani Defender per server 1 e 2 |
- Defender CSPM - Piano Defender per server 2 |
Quale correzione è disponibile? | Installare antimalware Microsoft. | Installare Defender per endpoint in sottoscrizioni/computer selezionati. |
Soluzione di rilevamento e reazione dagli endpoint - Valutazione della configurazione
Zona | Esperienza corrente (basata su AMA/MMA) | Nuova esperienza (basata sull'analisi dei computer senza agente) |
---|---|---|
Le risorse vengono classificate come non integre se uno o più controlli di sicurezza non sono integri. | Tre controlli di sicurezza: - La protezione in tempo reale è disattivata - Le firme non sono aggiornate. - Sia l'analisi rapida che l'analisi completa non vengono eseguite per sette giorni. |
Tre controlli di sicurezza: - L'antivirus è disattivato o configurato parzialmente - Le firme non sono aggiornate - Sia l'analisi rapida che l'analisi completa non vengono eseguite per sette giorni. |
Prerequisiti per ottenere il consiglio | Una soluzione antimalware | Una soluzione di rilevamento e reazione dagli endpoint. |
Quali consigli vengono deprecati?
La tabella seguente riepiloga il calendario dei consigli deprecati e sostituiti.
I nuovi consigli basati sull'esperienza nel supporto dell'analisi dei computer senza agente supportano il sistema operativo sia Windows che Linux nei computer multi-cloud.
Come funzionerà la sostituzione?
- I consigli correnti forniti dall'agente di Log Analytics o dall'AMA verranno deprecati nel tempo.
- Alcuni di questi consigli esistenti verranno sostituiti da nuovi consigli basati sull'analisi dei computer senza agente.
- I consigli attualmente in disponibilità generale rimangono invariati fino al ritiro dell'agente di Log Analytics.
- I consigli attualmente in anteprima verranno sostituiti quando il nuovo consiglio sarà disponibile in anteprima.
Cosa accade con il punteggio di sicurezza?
- I consigli attualmente in disponibilità generale continueranno a influire sul punteggio di sicurezza.
- I nuovi consigli attuali e futuri si trovano nello stesso controllo di Microsoft Cloud Security Benchmark, garantendo l'assenza di impatti duplicati sul punteggio di sicurezza.
Come prepararsi per i nuovi consigli?
- Assicurarsi che l'analisi dei computer senza agente sia abilitata come parte del piano Defender per server 2 o Defender CSPM.
- Se adatto all'ambiente, per un'esperienza ottimale è consigliabile rimuovere i consigli deprecati quando diventa disponibile il consiglio in disponibilità generale sostitutivo. A tale scopo, disabilitare il consiglio nell'iniziativa predefinita Defender per il cloud in Criteri di Azure.
Esperienza FIM (File Integrity Monitoring) - Indicazioni per le modifiche e la migrazione
Il piano Microsoft Defender per server 2 ora offre una nuova soluzione FIM (File Integrity Monitoring) basata sull'integrazione di Microsoft Defender per endpoint (MDE). Una volta che FIM basato su MDE è pubblico, l'esperienza FIM basata su AMA nel portale di Defender per il cloud verrà rimossa. A novembre, FIM basato su MMA sarà deprecato.
Migrazione da FIM su AMA
Se attualmente si usa FIM su AMA:
L'onboarding di nuove sottoscrizioni o server in FIM basato su AMA e all'estensione di rilevamento modifiche, oltre alla visualizzazione delle modifiche, non sarà più disponibile tramite il portale di Defender per il cloud a partire dal 30 maggio.
Se si desidera continuare a usare gli eventi FIM raccolti da AMA, è possibile connettersi manualmente all'area di lavoro pertinente e visualizzare le modifiche nella tabella Rilevamento modifiche con la query seguente:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType
Se si desidera continuare l'onboarding di nuovi ambiti o configurare regole di monitoraggio, è possibile usare manualmente le Regole di connessione dati per configurare o personalizzare vari aspetti della raccolta dati.
Microsoft Defender per il cloud consiglia di disabilitare FIM su AMA ed eseguire l'onboarding dell'ambiente nella nuova versione FIM basata su Defender per endpoint al rilascio.
Disabilitare FIM su AMA
Per disabilitare FIM su AMA, rimuovere la soluzione Rilevamento modifiche di Azure. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.
In alternativa, è possibile rimuovere le regole di raccolta dati (DCR) di rilevamento modifiche file correlate. Per altre informazioni, vedere Remove-AzDataCollectionRuleAssociation o Remove-AzDataCollectionRule.
Dopo aver disabilitato la raccolta di eventi di file usando uno dei metodi precedenti:
- I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
- Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange nella sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.
Eseguire la migrazione da FIM tramite l'agente di Log Analytics (MMA)
Se attualmente si usa FIM sull'agente di Log Analytics (MMA):
FIM (File Integrity Monitoring) basato sull'agente di Log Analytics (MMA) verrà deprecato alla fine di novembre 2024.
Microsoft Defender per il cloud consiglia di disabilitare FIM su MMA ed eseguire l'onboarding dell'ambiente nella nuova versione FIM basata su Defender per endpoint al momento del rilascio.
Disabilitare FIM su MMA
Per disabilitare FIM su MMA, rimuovere la soluzione Rilevamento modifiche di Azure. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.
Dopo aver disabilitato la raccolta di eventi di file:
- I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
- Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange nella sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.
Esperienza di base
La funzionalità di configurazione errata delle baseline nelle macchine virtuali è progettata per garantire che le macchine virtuali rispettino le procedure consigliate per la sicurezza e i criteri dell'organizzazione. La configurazione errata delle baseline valuta la configurazione delle macchine virtuali rispetto alle baseline di sicurezza predefinite e identifica eventuali deviazioni o configurazioni errate che potrebbero rappresentare un rischio per l'ambiente.
Le informazioni sul computer vengono raccolte per la valutazione tramite l'agente di Log Analytics (noto anche come Microsoft Monitoring Agent). L'MMA sarà deprecata a novembre 2024 e si verificheranno le modifiche seguenti:
Le informazioni sul computer verranno raccolte usando la configurazione guest di Criteri di Azure.
I criteri di Azure seguenti sono abilitati con la configurazione guest di Criteri di Azure:
"I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure"
"I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure"
Note
Se si rimuovono questi criteri, non sarà possibile accedere ai vantaggi dell'estensione di configurazione guest di Criteri di Azure.
I consigli del sistema operativo basati sulle baseline di sicurezza di calcolo non verranno più inclusi nel CSPM di base in Defender per il cloud. Questi consigli saranno disponibili con l'abilitazione di Defender per server piano 2.
Per informazioni sui prezzi di server Defender Piano 2, vedere la pagina dei prezzi di Defender per il cloud. È anche possibile stimare i costi con il calcolatore dei costi di Defender for Cloud.
Importante
Tenere presente che le funzionalità aggiuntive fornite dalla configurazione guest di Criteri di Azure esistenti all'esterno del portale di Defender per il cloud non sono incluse in Defender per il cloud e sono soggette ai criteri tariffari delle configurazioni guest di Criteri di Azure. Ad esempio correzione e criteri personalizzati. Per altre informazioni, vedere la pagina dei prezzi della configurazione guest di Criteri di Azure.
I consigli forniti dal McSB che non fanno parte delle baseline di sicurezza di calcolo windows e Linux continueranno a far parte di CSPM di base gratuito.
Installare la configurazione guest di Criteri di Azure
Per continuare ad usufruire dell'esperienza di base, è necessario abilitare Defender per server piano 2 e installare la configurazione guest di Criteri di Azure. In questo modo si continueranno a ricevere gli stessi consigli e linee guida per la protezione avanzata ricevuti tramite l'esperienza di base.
A seconda dell'ambiente, potrebbe essere necessario eseguire i passaggi seguenti:
Esaminare la matrice di supporto per la configurazione guest di Criteri di Azure.
Installare la configurazione guest di Criteri di Azure nei computer.
Computer Azure: nella pagina consigli del portale di Defender per il cloud, cercare e selezionare L'estensione configurazione guest deve essere installata nei computer e correggere il consiglio.
(Solo macchine virtuali di Azure) È necessario assegnare un'identità gestita.
- Nella pagina consigli del portale di Defender per il cloud, cercare e selezionare L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema e correggere il consiglio.
(Solo macchine virtuali di Azure) Facoltativo: per effettuare il provisioning automatico della configurazione guest di Criteri di Azure nell'intera sottoscrizione, è possibile abilitare l'agente di configurazione guest (anteprima).
- Per abilitare l'agente di configurazione guest:
- Accedere al portale di Azure.
- Passare a Impostazioni ambiente>Sottoscrizione>Impostazioni e monitoraggio.
- Selezionare Configurazione guest.
- Impostare l'agente di configurazione guest (anteprima) su On.
- Selezionare Continua.
- Per abilitare l'agente di configurazione guest:
GCP e AWS: la configurazione guest di Criteri di Azure viene installata automaticamente quando si connette il progetto GCP oppure si connettono gli account AWS con provisioning automatico di Azure Arc abilitato a Defender per il cloud.
Computer locali: la configurazione guest di Criteri di Azure è abilitata per impostazione predefinita quando si esegue l'onboarding di computer locali come macchine virtuali o computer abilitati per Azure Arc.
Dopo aver completato i passaggi necessari per installare la configurazione guest di Criteri di Azure, si otterrà automaticamente l'accesso alle funzionalità di base a seconda della configurazione guest di Criteri di Azure. In questo modo si continueranno a ricevere gli stessi consigli e linee guida per la protezione avanzata ricevuti tramite l'esperienza di base.
Modifiche ai consigli
Con la deprecazione di MMA, i consigli basati su MMA seguenti saranno deprecate:
- I computer devono essere configurati in modo sicuro
- È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni
I consigli deprecate verranno sostituiti dai consigli di base sulla configurazione guest di Criteri di Azure seguenti:
- È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Windows (con Configurazione guest)
- È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Linux (con Configurazione guest).
- L'estensione Configurazione guest deve essere installata nelle macchine virtuali
Consigli duplicati
Quando si abilita Defender per il cloud in una sottoscrizione di Azure, il Benchmark di sicurezza di Microsoft Cloud (MCSB), che include le baseline di sicurezza di calcolo che valutano la conformità del sistema operativo del computer, è abilitato come standard di conformità predefinito. Cloud Security Posture Management (CSPM) in Defender per il cloud offre consigli sulla sicurezza basati su MCSB.
Se un computer esegue sia MMA che la configurazione guest di Criteri di Azure, verranno visualizzati consigli duplicati. La duplicazione dei consigli si verifica perché entrambi i metodi vengono eseguiti contemporaneamente e producono gli stessi consigli. Questi duplicati influiranno sulla conformità e sul punteggio di sicurezza.
Come soluzione alternativa, è possibile disabilitare i consigli MMA, "I computer devono essere configurati in modo sicuro" e "Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nelle sottoscrizioni", passando alla pagina Conformità alle normative in Defender per il cloud.
Dopo aver individuato il consiglio, è necessario selezionare i computer pertinenti ed esentarli.
Alcune delle regole di configurazione di base basate sullo strumento di configurazione guest di Criteri di Azure sono più aggiornate e offrono una copertura più ampia. Di conseguenza, la transizione alla funzionalità Baselines, basata sulla configurazione guest di Criteri di Azure, può influire sullo stato di conformità, in quanto include controlli che potrebbero non essere stati eseguiti in precedenza.
Elementi consigliati per le query
Con il ritiro di MMA, Defender per il cloud non esegue più query su consigli tramite le informazioni dell'area di lavoro Log Analytics. Defender per il cloud ora usa Azure Resource Graph per API e query di portale per eseguire query sui consigli.
Di seguito sono riportate 2 query di esempio che è possibile usare:
Eseguire query su tutte le regole non integre per una risorsa specifica
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'
Tutte le regole non integre e l'importo se i computer non integri per ogni
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Pianificazione della migrazione
È consigliabile pianificare la migrazione dell'agente in base ai requisiti aziendali. La tabella riepiloga le indicazioni di Microsoft.
Si usa Defender per server? | Queste funzionalità di Defender per server sono necessarie in disponibilità generale: monitoraggio dell'integrità dei file, consigli sulla protezione degli endpoint, consigli sulla baseline di sicurezza? | Si usa Defender per server SQL nei computer o nella raccolta di log AMA? | Piano di migrazione |
---|---|---|---|
Sì | Sì | NO | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. Attendere la disponibilità generale di tutte le funzionalità con la piattaforma alternativa (è possibile usare la versione di anteprima precedente). 3. Quando le funzionalità sono disponibili a livello generale, disabilitare l'agente di Log Analytics. |
NO | --- | NO | A questo punto, è possibile rimuovere l'agente di Log Analytics. |
NO | --- | Sì | 1. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA. 2. Disabilitare l'agente di Log Analytics/Monitoraggio di Azure. |
Sì | Sì | Sì | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. È possibile usare l'agente di Log Analytics e AMA affiancato per ottenere tutte le funzionalità nella disponibilità generale. Altre informazioni sull'esecuzione affiancata di agenti. 3. Eseguire la migrazione al provisioning automatico SQL per AMA in Defender per SQL nei computer. In alternativa, avviare la migrazione dall'agente di Log Analytics ad AMA ad aprile 2024. 4. Al termine della migrazione, disabilitare l'agente di Log Analytics. |
Sì | NO | Sì | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA in Defender per SQL nei computer. 3. Disabilitare l'agente di Log Analytics. |
Esperienza di migrazione MMA
L'esperienza di migrazione MMA è uno strumento che consente di eseguire la migrazione da MMA ad AMA. L'esperienza offre una guida dettagliata che consente di eseguire la migrazione dei computer dall'MMA all'AMA.
Questo strumento consente di:
- Eseguire la migrazione dei server dall'onboarding legacy tramite l'area di lavoro Analisi log.
- Assicurarsi che le sottoscrizioni soddisfino tutti i prerequisiti per ricevere tutti i vantaggi di Defender per server piano 2.
- Eseguire la migrazione alla nuova versione di FIM tramite MDE.
Accedere al portale di Azure.
Passare a Microsoft Defender per il cloud>Impostazioni di ambiente.
Selezionare Migrazione MMA.
Selezionare Esegui azione per una delle azioni disponibili:
Consentire all'esperienza di caricare e seguire la procedura per completare la migrazione.