Aanbevelingen voor gastconfiguratie herstellen

Notitie

Omdat de Log Analytics-agent (ook wel bekend als MMA) is ingesteld op buiten gebruik stellen in november 2024, zijn alle functies van Defender for Servers die er momenteel van afhankelijk zijn, inclusief de functies die op deze pagina worden beschreven, beschikbaar via Microsoft Defender voor Eindpunt integratie of scannen zonder agent, vóór de buitengebruikstellingsdatum. Zie deze aankondiging voor meer informatie over de roadmap voor elk van de functies die momenteel afhankelijk zijn van de Log Analytics-agent.

Defender voor Cloud evalueert onjuiste configuratie van basislijnen voor virtuele machines (VM's) die zijn verbonden met uw abonnement. De evaluatie evalueert uw VM's op basis van vooraf gedefinieerde beveiligingsbasislijnen, waarbij eventuele afwijkingen of onjuiste configuraties worden geïdentificeerd die potentiële risico's kunnen vormen. Door uw VM's af te stemmen op aanbevolen beveiligingsprocedures en organisatiebeleid, kunt u een robuuste en veilige computeromgeving onderhouden.

Machinegegevens worden verzameld via de Gastconfiguratie van Azure Policy en de evaluatie is gebaseerd op Microsoft-benchmarks die betrekking hebben op verschillende nalevingsbenchmarks en -regelgeving. Bijvoorbeeld CIS, STIG en meer. De gastconfiguratie van Azure Policy maakt het volgende beleid voor uw abonnement mogelijk:

• Basislijn voor gastconfiguratie van Azure Policy voor Windows

• Basislijn voor gastconfiguratie van Azure Policy voor Linux

Notitie

Als u deze beleidsregels verwijdert, hebt u geen toegang tot de voordelen van de Azure Policy-gastconfiguratie-extensie.

Vereisten

• Schakel Defender for Servers Plan 2 in voor uw abonnement.

• Bekijk de pagina met prijzen van Defender voor Cloud voor meer informatie over prijzen van Defender Servers Plan 2.

Belangrijk

Houd er rekening mee dat aanvullende functies die worden geleverd door de Gastconfiguratie van Azure Policy die buiten de Defender voor Cloud-portal bestaan, niet zijn opgenomen in Defender voor Cloud en onderhevig zijn aan het prijsbeleid voor gastconfiguraties van Azure Policy. Bijvoorbeeld herstel en aangepast beleid. Zie de pagina met prijzen voor gastconfiguratie van Azure Policy voor meer informatie.

• Bekijk de ondersteuningsmatrix voor de Gastconfiguratie van Azure Policy.

• Installeer de Azure Policy-gastconfiguratie op uw computers:

  • Azure-machines: Zoek en selecteer in de Defender voor Cloud-portal op de pagina met aanbevelingen de extensie Voor gastconfiguratie op computers en herstel de aanbeveling.

  • Alleen Azure-VM's u moet beheerde identiteit toewijzen in de Defender voor Cloud-portal. Navigeer naar de pagina met aanbevelingen. De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met een door het systeem toegewezen beheerde identiteit. Herstel vervolgens de aanbeveling.

  • (Optioneel) Alleen Azure-VM's: Schakel de gastconfiguratie van Azure Policy in voor uw hele abonnement.

  • Schakel de gastconfiguratie-extensie van Azure Policy in op uw Azure-machines in uw hele abonnement:

    1. Meld u aan bij het Azure-portaal.

    2. Zoek en selecteer Microsoft Defender voor Cloud.

    3. Navigeer naar Omgevingsinstellingen>Uw abonnementsinstellingen>& Bewaking.

       

    4. Schakel de gastconfiguratieagent (preview) in op Aan.

       

    5. Selecteer Doorgaan.

  • GCP en AWS: Azure Policy-gastconfiguratie wordt automatisch geïnstalleerd wanneer u uw GCP-project verbindt of als u uw AWS-accounts verbindt met automatische inrichting van Azure Arc ingeschakeld, om Defender voor Cloud.

  • On-premises machines: Azure Policy-gastconfiguratie is standaard ingeschakeld wanneer u on-premises machines onboardt als azure Arc-machine of VM's.

Aanbevelingen voor gastconfiguratie controleren en herstellen

Zodra de Gastconfiguratie van Azure Policy is toegevoegd aan uw abonnement, Defender voor Cloud begint met het evalueren van uw VM's op basis van de beveiligingsbasislijnen. Als er onjuiste configuraties worden gevonden, worden de volgende aanbevelingen mogelijk weergegeven op de pagina met aanbevelingen, op basis van uw omgevingen:

• Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)

Ga als volgt te werk om deze te controleren en op te heffen:

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar Defender voor Cloud> Aanbevelingen**.

3. Zoek en selecteer een van de aanbevelingen.

4. Bekijk de aanbeveling.

5. Herstel de aanbeveling.

Notitie

Tijdens het afschaffingsproces van de Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA), ontvangt u mogelijk dubbele aanbevelingen voor dezelfde computer. Dit komt doordat de MMA en de Azure Policy-gastconfiguratie beide dezelfde computer evalueren. U kunt dit voorkomen door de MMA op de computer uit te schakelen.

Aanbevelingen voor query's met API

Defender voor Cloud gebruikt Azure Resource Graph voor API- en portalquery's om informatie over aanbevelingen op te vragen. U kunt deze resources gebruiken om uw eigen query's te maken om informatie op te halen.

U kunt leren hoe u aanbevelingen kunt bekijken in Azure Resource Graph.

Hier volgen twee voorbeeldquery's die u kunt gebruiken:

• Query's uitvoeren op alle beschadigde regels voor een specifieke resource

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Alle beschadigde regels en de hoeveelheid als beschadigde machines voor elk

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

U kunt meer gedetailleerde query's maken door meer te leren over de querytaal van Azure Resource Graph.

Notitie

Tijdens het afschaffingsproces van de Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA), ontvangt u mogelijk dubbele aanbevelingen voor dezelfde computer. Dit komt doordat de MMA en de Azure Policy-gastconfiguratie beide dezelfde computer evalueren. U kunt dit voorkomen door de MMA op de computer uit te schakelen.

Volgende stap

Aanbevelingen voor beveiliging van Docker-hosts bekijken