Onboarding van Microsoft Defender voor Cloud automatiseren met behulp van PowerShell
U kunt uw Azure-workloads programmatisch beveiligen met behulp van de Microsoft Defender voor Cloud PowerShell-module. Met behulp van PowerShell kunt u taken automatiseren en menselijke fouten die inherent zijn aan handmatige taken voorkomen. Dit is vooral handig in grootschalige implementaties waarbij tientallen abonnementen met honderden en duizenden resources zijn betrokken, die allemaal vanaf het begin moeten worden beveiligd.
Door onboarding Microsoft Defender voor Cloud met Behulp van PowerShell kunt u de onboarding en het beheer van uw Azure-resources programmatisch automatiseren en de benodigde beveiligingsmechanismen toevoegen.
Dit artikel bevat een powerShell-voorbeeldscript dat kan worden gewijzigd en gebruikt in uw omgeving om Defender voor Cloud uit te rollen in uw abonnementen.
In dit voorbeeld schakelen we Defender voor Cloud in voor een abonnement met id: <Subscription ID>
en passen we de aanbevolen instellingen toe die een hoog beveiligingsniveau bieden, door de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud in te schakelen, die geavanceerde mogelijkheden voor bedreigingsbeveiliging en detectie biedt:
Schakel de verbeterde beveiliging in Microsoft Defender voor Cloud in.
Stel de Log Analytics-werkruimte in waarnaar de Log Analytics-agent de verzamelde gegevens gaat verzenden op de virtuele machines die zijn gekoppeld aan het abonnement. In dit voorbeeld is dit een bestaande, door de gebruiker gedefinieerde werkruimte (myWorkspace).
Activeer Defender voor Cloud automatische inrichting van agents, waarmee de Log Analytics-agent wordt geïmplementeerd.
Stel ciso van de organisatie in als de beveiligingscontactpersoon voor Defender voor Cloud waarschuwingen en belangrijke gebeurtenissen.
Wijs het standaardbeveiligingsbeleid van Defender voor Cloud toe.
Vereisten
Deze stappen moeten worden uitgevoerd voordat u de Defender voor Cloud cmdlets uitvoert:
Voer PowerShell uit als beheerder.
Voer de volgende opdrachten uit in PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Install-Module -Name Az.Security -Force
Onboarding van Defender voor Cloud met Behulp van PowerShell
Registreer uw abonnementen bij de Defender voor Cloud resourceprovider:
Set-AzContext -Subscription "<Subscription ID>"
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
Optioneel: stel het dekkingsniveau (verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud in/uit) van de abonnementen in. Als dit niet is gedefinieerd, zijn deze functies uitgeschakeld:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
Configureer een Log Analytics-werkruimte waaraan de agents rapporteren. U moet een Log Analytics-werkruimte hebben die u al hebt gemaakt, waaraan de VM's van het abonnement rapporteren. U kunt meerdere abonnementen definiëren om aan dezelfde werkruimte te rapporteren. Als dit niet is gedefinieerd, wordt de standaardwerkruimte gebruikt.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
Richt de installatie van de Log Analytics-agent op uw Azure-VM's automatisch in:
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
Notitie
U wordt aangeraden automatische inrichting in te schakelen om ervoor te zorgen dat uw virtuele Azure-machines automatisch worden beveiligd door Microsoft Defender voor Cloud.
Als onderdeel van de Defender voor Cloud bijgewerkte strategie is Azure Monitor Agent (AMA) niet meer vereist voor de aanbieding Defender for Servers. Het is echter nog steeds vereist voor Defender voor SQL Server op computers. Als gevolg hiervan is het implementeren van Azure Monitor Agent (AMA) met de Defender voor Cloud-portal beschikbaar voor SQL-servers op computers, met een nieuw implementatiebeleid. Meer informatie over het migreren naar het automatische inrichtingsproces van de Azure Monitoring Agent (AMA) op sql-servers.Optioneel: het wordt ten zeerste aanbevolen dat u de contactgegevens voor beveiliging definieert voor de abonnementen die u onboardt, die wordt gebruikt als de geadresseerden van waarschuwingen en meldingen die worden gegenereerd door Defender voor Cloud:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
Wijs het standaardinitiatief voor Defender voor Cloud beleid toe:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
U hebt Microsoft Defender voor Cloud onboarding uitgevoerd met PowerShell.
U kunt deze PowerShell-cmdlets nu gebruiken met automatiseringsscripts om de onboarding op een programmatische manier te herhalen voor abonnementen en resources. Dit bespaart tijd en vermindert de kans op menselijke fouten. U kunt dit voorbeeldscript als referentie gebruiken.
Zie ook
Zie het volgende artikel voor meer informatie over hoe u PowerShell kunt gebruiken om onboarding voor Defender voor Cloud te automatiseren:
Zie de volgende artikelen voor meer informatie over Defender voor Cloud:
- Beveiligingsbeleid instellen in Microsoft Defender voor Cloud. Meer informatie over het configureren van beveiligingsbeleid voor uw Azure-abonnementen en -resourcegroepen.
- Beveiligingswaarschuwingen beheren en erop reageren in Microsoft Defender voor Cloud. Informatie over het beheren van en reageren op beveiligingswaarschuwingen.