Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's), Virtuele-machineschaalsets, IaaS-containers en niet-Azure-computers (inclusief on-premises machines) om te controleren op beveiligingsproblemen en bedreigingen. De Log Analytics-agent verzamelt gegevens, die verschillende beveiligingsconfiguraties en gebeurtenislogboeken van de computer leest en de gegevens kopieert naar uw werkruimte voor analyse.
Gegevens verzamelen
Hoe kan ik gegevensverzameling inschakelen?
Gegevensverzameling wordt automatisch ingeschakeld wanneer u een Defender-plan inschakelt waarvoor een bewakingsonderdeel is vereist.
Wat gebeurt er wanneer gegevensverzameling is ingeschakeld?
Wanneer automatische inrichting is ingeschakeld, gebruikt Defender voor Cloud de Log Analytics-agent op alle ondersteunde Azure-VM's en nieuwe vm's die worden gemaakt. Automatische inrichting wordt aanbevolen, maar handmatige agentinstallatie is ook beschikbaar. Meer informatie over het installeren van de Log Analytics-agentextensie.
De agent schakelt de gebeurtenis voor het maken van processen 4688 en het veld CommandLine in gebeurtenis 4688 in. Nieuwe processen die op de VIRTUELE machine zijn gemaakt, worden vastgelegd door eventlog en bewaakt door de detectieservices van Defender voor Cloud. Zie beschrijvingsvelden in 4688 voor meer informatie over de details die voor elk nieuw proces zijn vastgelegd. De agent verzamelt ook de 4688 gebeurtenissen die zijn gemaakt op de virtuele machine en slaat deze op in de zoekfunctie.
De agent maakt het verzamelen van gegevens ook mogelijk voor adaptieve toepassingsbesturingselementen, Defender voor Cloud configureert een lokaal AppLocker-beleid in de controlemodus om alle toepassingen toe te staan. Dit beleid zorgt ervoor dat AppLocker gebeurtenissen genereert die vervolgens worden verzameld en gebruikt door Defender voor Cloud. Het is belangrijk te weten dat dit beleid niet is geconfigureerd op computers waarop al een geconfigureerd AppLocker-beleid is.
Wanneer Defender voor Cloud verdachte activiteiten op de virtuele machine detecteert, ontvangt de klant een e-mailmelding als er contactgegevens voor beveiliging zijn opgegeven. Een waarschuwing is ook zichtbaar in het dashboard met beveiligingswaarschuwingen van Defender voor Cloud.
Agents
Wat is de Log Analytics-agent?
Als u wilt controleren op beveiligingsproblemen en bedreigingen, is Microsoft Defender voor Cloud afhankelijk van de Log Analytics-agent. Deze agent is hetzelfde dat wordt gebruikt door de Azure Monitor-service.
De agent wordt soms aangeduid als de Microsoft Monitoring Agent (of 'MMA').
De agent verzamelt verschillende beveiligingsdetails en gebeurtenislogboeken van verbonden machines en kopieert vervolgens de gegevens naar uw Log Analytics-werkruimte voor verdere analyse. Voorbeelden van dergelijke gegevens zijn: besturingssysteemtype en -versie, besturingssysteemlogboeken (Windows-gebeurtenislogboeken), actieve processen, computernaam, IP-adressen en aangemelde gebruiker.
Zorg ervoor dat op uw computers een van de ondersteunde besturingssystemen voor de agent wordt uitgevoerd, zoals wordt beschreven op de volgende pagina's:
Log Analytics-agent voor door Windows ondersteunde besturingssystemen
Log Analytics-agent voor door Linux ondersteunde besturingssystemen
Meer informatie over de gegevens die worden verzameld door de Log Analytics-agent.
Wat is de kwalificatie van een VM voor het automatisch inrichten van de Log Analytics-agentinstallatie?
Windows- of Linux IaaS-VM's komen in aanmerking als:
- De Log Analytics-agentextensie is momenteel niet geïnstalleerd op de virtuele machine.
- De VM heeft de status Actief.
- De Windows- of Linux Azure Virtual Machine Agent is geïnstalleerd.
- De VIRTUELE machine wordt niet gebruikt als een apparaat, zoals web application firewall of firewall van de volgende generatie.
Welke beveiligingsevenementen verzamelt de Log Analytics-agent?
Zie Welke gebeurtenistypen worden opgeslagen voor de instellingen voor algemene en minimale beveiligingsevenementen voor een volledige lijst van de beveiligingsevenementen die door de agent worden verzameld.
Belangrijk
Voor sommige services, zoals Azure Firewall, kan logboekregistratie voor een resource die talloze logboeken produceert opslag in uw Log Analytics-werkruimte verbruiken. Zorg ervoor dat u uitgebreide logboekregistratie alleen gebruikt wanneer dat nodig is.
Wat gebeurt er als de Log Analytics-agent al is geïnstalleerd als een extensie op de virtuele machine?
Wanneer de bewakingsagent is geïnstalleerd als een extensie, staat de extensieconfiguratie slechts rapportage aan één werkruimte toe. Defender voor Cloud overschrijft bestaande verbindingen met gebruikerswerkruimten niet. Defender voor Cloud slaat beveiligingsgegevens op van een virtuele machine in een werkruimte die al is verbonden wanneer de oplossing Security of SecurityCenterFree is geïnstalleerd. Defender voor Cloud kan de extensieversie upgraden naar de nieuwste versie in dit proces.
Zie Automatische inrichting in gevallen van een bestaande agentinstallatie voor meer informatie.
Wat gebeurt er als een Log Analytics-agent rechtstreeks op de computer is geïnstalleerd, maar niet als een extensie (Direct Agent)?
Als de Log Analytics-agent rechtstreeks op de virtuele machine is geïnstalleerd (niet als een Azure-extensie), installeert Defender voor Cloud de Log Analytics-agentextensie en kan de Log Analytics-agent worden bijgewerkt naar de nieuwste versie.
De geïnstalleerde agent blijft rapporteren aan de reeds geconfigureerde werkruimten en rapporten aan de werkruimte die is geconfigureerd in Defender voor Cloud. (Multihoming wordt ondersteund op Windows-computers.)
Voor aangepaste gebruikerswerkruimten moet u de oplossing Beveiliging of SecurityCenterFree installeren, zodat Defender voor Cloud gebeurtenissen van VM's en computers die rapporteren aan die werkruimte kan verwerken.
Voor Linux-machines wordt agent multihoming nog niet ondersteund. Als er een bestaande agentinstallatie wordt gedetecteerd, gebruikt Defender voor Cloud niet automatisch een agent of wijzigt u de configuratie van de machine.
Voor bestaande machines op abonnementen die vóór 17 maart 2019 aan Defender voor Cloud zijn toegevoegd, wordt agent multihoming nog niet ondersteund. Als er een bestaande agentinstallatie wordt gedetecteerd, gebruikt Defender voor Cloud niet automatisch een agent of wijzigt u de configuratie van de machine. Zie voor deze computers de aanbeveling 'Problemen met de status van de agent op uw computers oplossen' om de installatieproblemen van de agent op deze computers op te lossen
Zie de volgende sectie Wat gebeurt er als er al een System Center Operations Manager- of OMS-directe agent op mijn VM is geïnstalleerd voor meer informatie?
Wat gebeurt er als een System Center Operations Manager-agent al op mijn VM is geïnstalleerd?
Defender voor Cloud implementeert een Azure Policy waarmee de Log Analytics-agent niet kan worden geïnstalleerd terwijl de System Center Operations Manager-agent op de computer is geïnstalleerd. Beide agents hebben de mogelijkheid om meerdere startpagina's te rapporteren en te rapporteren aan System Center Operations Manager en de Log Analytics-werkruimte. De Operations Manager-agent en Log Analytics-agent delen algemene runtimebibliotheken. Opmerking: als versie 2012 van de Operations Manager-agent is geïnstalleerd, schakelt u automatische inrichting niet in (beheermogelijkheden kunnen verloren gaan wanneer de Operations Manager-server ook versie 2012 is).
Wat is het effect van het verwijderen van deze extensies?
Als u de Microsoft Monitoring-extensie verwijdert, kunt Defender voor Cloud geen beveiligingsgegevens van de VIRTUELE machine verzamelen en zijn sommige aanbevelingen en waarschuwingen voor beveiliging niet beschikbaar. Binnen 24 uur bepaalt Defender voor Cloud dat de extensie ontbreekt op de VM en de extensie opnieuw installeert.
Hoe kan ik de automatische installatie van de agent en het maken van werkruimten stoppen?
Het implementeren van extensies met Defender voor Cloud wordt ten zeerste aanbevolen om beveiligingswaarschuwingen en aanbevelingen te krijgen over systeemupdates, beveiligingsproblemen in het besturingssysteem en endpoint protection. Als u extensies uitschakelt, worden deze waarschuwingen en aanbevelingen beperkt. U kunt automatische inrichting echter uitschakelen voor een specifieke agent of extensie:
Automatische inrichting uitschakelen voor een specifieke agent of extensie:
Open Defender voor Cloud in Azure Portal en selecteer Omgevingsinstellingen.
Selecteer het betreffende abonnement.
Selecteer Instellingen in de kolom Bewakingsdekking van het Defender for Server-plan.
Schakel de extensie uit die u niet meer automatisch wilt inrichten.
Selecteer Opslaan.
Moet ik me afmelden voor de automatische installatie van de agent en het maken van werkruimten?
Notitie
Zorg ervoor dat u secties bekijkt wat de gevolgen zijn van het afmelden? en aanbevolen stappen wanneer u zich afmeldt als u ervoor kiest om automatische inrichting uit te schakelen.
U kunt zich afmelden voor automatische inrichting als deze scenario's voor u van toepassing zijn:
Automatische agentinstallatie door Defender voor Cloud is van toepassing op het hele abonnement. U kunt automatische installatie niet toepassen op een subset van VM's. Als er kritieke VM's zijn die niet kunnen worden geïnstalleerd met de Log Analytics-agent, moet u zich afmelden voor automatische inrichting.
De installatie van de Log Analytics-agentextensie werkt de versie van de agent bij. Dit geldt voor een directe agent en een System Center Operations Manager-agent (in het laatste geval delen de Operations Manager- en Log Analytics-agent algemene runtimebibliotheken, die in het proces worden bijgewerkt). Als de geïnstalleerde Operations Manager-agent versie 2012 is en wordt bijgewerkt, kunnen beheermogelijkheden verloren gaan wanneer de Operations Manager-server ook versie 2012 is. Overweeg om automatische inrichting uit te sluiten als de geïnstalleerde Operations Manager-agent versie 2012 is.
Als u het maken van meerdere werkruimten per abonnement wilt voorkomen en u uw eigen aangepaste werkruimte in het abonnement hebt, hebt u twee opties:
U kunt zich afmelden voor automatische inrichting. Stel na de migratie de standaardinstellingen voor werkruimten in zoals beschreven in Hoe kan ik mijn bestaande Log Analytics-werkruimte gebruiken?
U kunt ook toestaan dat de migratie is voltooid, dat de Log Analytics-agent wordt geïnstalleerd op de VM's en de VM's die zijn verbonden met de gemaakte werkruimte. Selecteer vervolgens uw eigen aangepaste werkruimte door de standaardwerkruimte-instelling in te stellen om de reeds geïnstalleerde agents opnieuw te configureren. Zie Hoe kan ik mijn bestaande Log Analytics-werkruimte gebruiken voor meer informatie?
Wat zijn de gevolgen van het afmelden voor automatische inrichting?
Wanneer de migratie is voltooid, kunnen Defender voor Cloud geen beveiligingsgegevens van de VIRTUELE machine verzamelen en zijn sommige aanbevelingen en waarschuwingen voor beveiliging niet beschikbaar. Als u zich afmeldt, installeert u de Log Analytics-agent handmatig. Bekijk de aanbevolen stappen wanneer u zich afmeldt.
Wat zijn de aanbevolen stappen wanneer u zich afmeldt voor automatische inrichting?
Installeer de Log Analytics-agentextensie handmatig, zodat Defender voor Cloud beveiligingsgegevens van uw VM's kan verzamelen en aanbevelingen en waarschuwingen kan geven. Zie agentinstallatie voor Windows-VM of agentinstallatie voor Linux-VM voor hulp bij de installatie.
U kunt de agent verbinden met een bestaande aangepaste werkruimte of Defender voor Cloud gemaakte werkruimte. Als voor een aangepaste werkruimte geen beveiligings- of SecurityCenterFree-oplossingen zijn ingeschakeld, moet u een oplossing toepassen. Als u wilt toepassen, selecteert u de aangepaste werkruimte en past u een prijscategorie toe via de pagina Defender-abonnementen voor omgevingsinstellingen>.
Defender voor Cloud de juiste oplossing voor de werkruimte inschakelt op basis van de geselecteerde opties.
Hoe kan ik OMS-extensies verwijderen die zijn geïnstalleerd door Defender voor Cloud?
U kunt de Log Analytics-agent handmatig verwijderen, maar dit wordt niet aanbevolen. Het verwijderen van OMS-extensies beperkt Defender voor Cloud aanbevelingen en waarschuwingen.
Notitie
Als gegevensverzameling is ingeschakeld, installeert Defender voor Cloud de agent opnieuw nadat u deze hebt verwijderd. U moet het verzamelen van gegevens uitschakelen voordat u de agent handmatig verwijdert. Zie Hoe kan ik de automatische installatie van de agent en het maken van werkruimten stoppen? voor instructies over het uitschakelen van gegevensverzameling.
De agent handmatig verwijderen:
Open Log Analytics in de portal.
Selecteer een werkruimte op de pagina Log Analytics:
Selecteer de VM's die u niet wilt bewaken en selecteer Verbinding verbreken.
Notitie
Als een Linux-VM al een OMS-agent zonder extensie heeft, wordt de agent ook verwijderd door de extensie te verwijderen en moet u deze opnieuw installeren.
Werkt Defender voor Cloud met een OMS-gateway?
Ja. Microsoft Defender voor Cloud Azure Monitor gebruikt om gegevens te verzamelen van Azure-VM's en -servers met behulp van de Log Analytics-agent. Als u de gegevens wilt verzamelen, moeten elke VIRTUELE machine en server verbinding maken met internet via HTTPS. De verbinding kan rechtstreeks zijn, met behulp van een proxy of via de OMS-gateway.
Heeft de Log Analytics-agent invloed op de prestaties van mijn servers?
De agent verbruikt een nominale hoeveelheid systeembronnen en heeft weinig invloed op de prestaties. Zie de plannings- en bedieningshandleiding voor meer informatie over het prestatie-effect en de agent en extensie.
Zonder agent
Scant scannen zonder agent de toewijzing van VM's ongedaan?
Nee Scannen zonder agent scant de toewijzing van vm's niet ongedaan.
Scant het scannen van besturingssysteemschijf en gegevensschijven zonder agent?
Ja. Scannen zonder agent scant zowel besturingssysteemschijf als gegevensschijven.
Op welk tijdstip wordt mijn VM gescand, inclusief de begin- en eindtijd?
Het tijdstip van de dag is dynamisch en kan worden gewijzigd in verschillende accounts en abonnementen.
Is er telemetrie met betrekking tot de gekopieerde momentopname?
In AWS zijn de bewerkingen op het klantaccount traceerbaar via CloudTrail.
Welke gegevens worden verzameld uit momentopnamen?
Scannen zonder agent verzamelt gegevens die vergelijkbaar zijn met de gegevens die een agent verzamelt om dezelfde analyse uit te voeren. Onbewerkte gegevens, PI's of gevoelige bedrijfsgegevens worden niet verzameld en alleen metagegevensresultaten worden verzonden naar Defender voor Cloud.
Waar worden de momentopnamen van de schijf gekopieerd?
Zonder agent De analyse van de momentopnamen vindt plaats in beveiligde omgevingen die worden beheerd door Defender voor Cloud.
De omgevingen zijn regionaal in meerdere clouds, zodat momentopnamen zich in dezelfde cloudregio bevinden als de VM waaruit ze afkomstig zijn (bijvoorbeeld: een momentopname van een EC2-exemplaar in US - west wordt in dezelfde regio geanalyseerd, zonder te worden gekopieerd naar een andere regio of cloud).
De scanomgeving waar schijven worden geanalyseerd, is vluchtig, geïsoleerd en zeer veilig.
Hoe wordt de momentopname van de schijf verwerkt in het Microsoft-account? Kan Microsoft het scannen van platformbeveiliging en privacyprincipes zonder agent delen?
Het scanplatform zonder agent wordt gecontroleerd en voldoet aan de strenge beveiligings- en privacystandaarden van Microsoft. Sommige van de genomen maatregelen zijn (geen uitgebreide lijst):
- Fysieke isolatie per regio, extra isolatie per klant en abonnement
- E2E-versleuteling at rest en transit
- Momentopnamen van schijven onmiddellijk opgeschoond na scan
- Alleen metagegevens (bijvoorbeeld beveiligingsresultaten) verlaten de geïsoleerde scanomgeving
- De scanomgeving is autonoom
- Alle bewerkingen worden intern gecontroleerd
Wat zijn de kosten met betrekking tot scannen zonder agent?
Scannen zonder agent is opgenomen in de abonnementen Defender Cloud Security Posture Management (CSPM) en Defender for Servers P2. Er worden geen andere kosten in rekening gebracht voor Defender voor Cloud wanneer u deze inschakelt.
Notitie
AWS-kosten voor het bewaren van momentopnamen van schijven. Het Defender voor Cloud scanproces probeert de periode waarin een momentopname wordt opgeslagen in uw account actief te minimaliseren (meestal maximaal een paar minuten). AWS kan kosten in rekening brengen voor overheadkosten voor de opslag van schijfmomentopnamen. Neem contact op met AWS om te zien welke kosten voor u van toepassing zijn.
Hoe kan ik AWS-kosten bijhouden die zijn gemaakt voor de momentopnamen van de schijf die zijn gemaakt door Defender voor Cloud zonder agent te scannen?
Momentopnamen van schijven worden gemaakt met de CreatedBy tagsleutel en de Microsoft Defender for Cloud tagwaarde. Met CreatedBy de tag wordt bijgehouden wie de resource heeft gemaakt.
U moet de tags activeren in de console Facturering en Cost Management. Het kan tot 24 uur duren voordat tags zijn geactiveerd.
Nadat u de tags hebt geactiveerd, genereert AWS een kostentoewijzingsrapport als een door komma's gescheiden waarde (. CSV-bestand) met uw gebruik en kosten gegroepeerd op uw actieve tags.
Workspaces
Word ik gefactureerd voor Azure Monitor-logboeken in de werkruimten die zijn gemaakt door Defender voor Cloud?
Er is een gratis gegevensopname van 500 MB voor elke werkruimte. Dit wordt berekend per knooppunt, per gerapporteerde werkruimte, per dag en beschikbaar voor elke werkruimte waarop een oplossing 'Beveiliging' of 'AntiMalware' is geïnstalleerd. Er worden kosten in rekening gebracht voor gegevens die zijn opgenomen boven de limiet van 500 MB.
Voor werkruimten die zijn gemaakt door Defender voor Cloud, terwijl deze zijn geconfigureerd voor Azure Monitor-logboeken per knooppuntfacturering, worden er geen kosten in rekening gebracht voor Azure Monitor-logboeken. Defender voor Cloud facturering is altijd gebaseerd op uw Defender voor Cloud beveiligingsbeleid en de oplossingen die zijn geïnstalleerd in een werkruimte:
Verbeterde beveiliging uitgeschakeld: Defender voor Cloud schakelt de oplossing SecurityCenterFree in op de standaardwerkruimte. Er worden geen kosten in rekening gebracht wanneer er geen Defender-abonnementen zijn ingeschakeld.
Alle Microsoft Defender voor Cloud abonnementen ingeschakeld: Defender voor Cloud schakelt de oplossing Beveiliging in de standaardwerkruimte in.
Zie de pagina met prijzen voor prijsgegevens in uw lokale valuta of regio.
Notitie
De log Analytics-prijscategorie van werkruimten die zijn gemaakt door Defender voor Cloud heeft geen invloed op Defender voor Cloud facturering.
Notitie
Dit artikel is onlangs bijgewerkt waarbij Log Analytics is vervangen door de term Azure Monitor-logboeken. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.
Waar wordt de standaard Log Analytics-werkruimte gemaakt?
De locatie van de standaardwerkruimte is afhankelijk van uw Azure-regio:
- Voor VM's in de Verenigde Staten en Brazilië is de locatie van de werkruimte de Verenigde Staten
- Voor VM's in Canada is de locatie van de werkruimte Canada
- Voor VM's in Europa is de locatie van de werkruimte Europa
- Voor VM's in het VERENIGD Koninkrijk is de locatie van de werkruimte het VERENIGD Koninkrijk
- Voor VM's in Azië - oost en Azië - zuidoost is de werkruimtelocatie Azië
- Voor VM's in Korea is de locatie van de werkruimte Korea
- Voor VM's in India is de locatie van de werkruimte India
- Voor VM's in Japan is de locatie van de werkruimte Japan
- Voor VM's in China is de locatie van de werkruimte China
- Voor VM's in Australië is de locatie van de werkruimte Australië
Kan ik de standaardwerkruimten verwijderen die zijn gemaakt door Defender voor Cloud?
Het verwijderen van de standaardwerkruimte wordt niet aanbevolen. Defender voor Cloud gebruikt de standaardwerkruimten om beveiligingsgegevens van uw VM's op te slaan. Als u een werkruimte verwijdert, kunnen Defender voor Cloud deze gegevens niet verzamelen en zijn sommige aanbevelingen en waarschuwingen voor beveiliging niet beschikbaar.
Als u wilt herstellen, verwijdert u de Log Analytics-agent op de VM's die zijn verbonden met de verwijderde werkruimte. Defender voor Cloud de agent opnieuw installeert en nieuwe standaardwerkruimten maakt.
Hoe kan ik mijn bestaande logboekanalysewerkruimte gebruiken?
U kunt een bestaande Log Analytics-werkruimte selecteren om gegevens op te slaan die zijn verzameld door Defender voor Cloud. Uw bestaande Log Analytics-werkruimte gebruiken:
- De werkruimte moet zijn gekoppeld aan uw geselecteerde Azure-abonnement.
- U moet minimaal leesmachtigingen hebben om toegang te krijgen tot de werkruimte.
Notitie
Als u beveiligingswaarschuwingen van die agent wilt ontvangen, moet u ervoor zorgen dat de Log Analytics-agent en de computer waarop de agent beide rapporten uitvoert naar een Log Analytics-werkruimte in dezelfde tenant.
Een bestaande Log Analytics-werkruimte selecteren:
Open de omgevingsinstellingen in het menu van Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer Instellingen in de kolom Bewakingsdekking van het Defender for Server-plan.
Selecteer Configuratie bewerken voor de Log Analytics-agent.
Selecteer Aangepaste werkruimte en selecteer uw bestaande werkruimte.
Tip
De lijst bevat alleen werkruimten waartoe u toegang hebt en die zich in uw Azure-abonnement bevinden.
Selecteer Toepassen.
Selecteer Doorgaan.
Selecteer Opslaan en bevestig dat u bewaakte VM's opnieuw wilt configureren.
Belangrijk
Deze keuze is alleen relevant als u de configuratie van de standaardwerkruimte wijzigt in een aangepaste werkruimte. Als u de instelling wijzigt van de ene aangepaste werkruimte in een andere of van een aangepaste werkruimte in de standaardwerkruimte, wordt de wijziging niet toegepast op bestaande computers.
- Selecteer Nee als u de nieuwe werkruimte-instellingen alleen wilt toepassen op nieuwe VM's. De nieuwe werkruimte-instellingen zijn alleen van toepassing op nieuwe agentinstallaties; zojuist gedetecteerde VM's waarop de Log Analytics-agent niet is geïnstalleerd.
- Selecteer Ja als u wilt dat de nieuwe werkruimte-instellingen op alle VM's worden toegepast. Bovendien wordt elke virtuele machine die is verbonden met een Defender voor Cloud werkruimte opnieuw verbonden met de nieuwe doelwerkruimte.
Notitie
Als u Ja selecteert, verwijdert u geen werkruimten die zijn gemaakt door Defender voor Cloud totdat alle virtuele machines opnieuw zijn verbonden met de nieuwe doelwerkruimte. Deze bewerking mislukt als een werkruimte te vroeg wordt verwijderd.
Overschrijft Defender voor Cloud bestaande verbindingen tussen VM's en werkruimten?
Als op een VIRTUELE machine de Log Analytics-agent al is geïnstalleerd als een Azure-extensie, overschrijft Defender voor Cloud de bestaande werkruimteverbinding niet. In plaats daarvan gebruikt Defender voor Cloud de bestaande werkruimte. De VIRTUELE machine wordt beveiligd als de oplossing 'Security' of 'SecurityCenterFree' is geïnstalleerd in de werkruimte waaraan deze rapporteert.
Er wordt een Defender voor Cloud-oplossing geïnstalleerd in de werkruimte die is geselecteerd in het scherm Gegevensverzameling als deze nog niet aanwezig is, en de oplossing wordt alleen toegepast op de relevante VM's. Wanneer u een oplossing toevoegt, wordt deze automatisch geïmplementeerd voor alle Windows- en Linux-agents die zijn verbonden met uw Log Analytics-werkruimte. Met doeloplossingen kunt u een bereik toepassen op uw oplossingen.
Tip
Als de Log Analytics-agent rechtstreeks op de VIRTUELE machine is geïnstalleerd (niet als een Azure-extensie), installeert Defender voor Cloud de Log Analytics-agent niet en is de beveiligingsbewaking beperkt.
Installeert Defender voor Cloud oplossingen in mijn bestaande Log Analytics-werkruimten? Wat zijn de gevolgen voor de facturering?
Wanneer Defender voor Cloud identificeert dat een virtuele machine al is verbonden met een werkruimte die u hebt gemaakt, Defender voor Cloud oplossingen voor deze werkruimte mogelijk maakt op basis van uw prijsconfiguratie. De oplossingen worden alleen toegepast op de relevante resources, via oplossingsdoel, zodat de facturering hetzelfde blijft.
Er zijn geen Defender-abonnementen ingeschakeld. Defender voor Cloud installeert de oplossing SecurityCenterFree in de werkruimte en u wordt hiervoor niet gefactureerd.
Schakel alle Microsoft Defender-abonnementen in: Defender voor Cloud de oplossing Beveiliging in de werkruimte installeert.
Ik heb al werkruimten in mijn omgeving, kan ik deze gebruiken om beveiligingsgegevens te verzamelen?
Als op een VM de Log Analytics-agent al is geïnstalleerd als een Azure-extensie, gebruikt Defender voor Cloud de bestaande verbonden werkruimte. Er wordt een Defender voor Cloud-oplossing geïnstalleerd in de werkruimte als deze nog niet aanwezig is en de oplossing wordt alleen toegepast op de relevante VM's via oplossingsdoel.
Wanneer Defender voor Cloud de Log Analytics-agent op VM's installeert, worden de standaardwerkruimten gebruikt die zijn gemaakt door Defender voor Cloud als deze niet naar een bestaande werkruimte wordt verwezen.
Ik heb al een beveiligingsoplossing voor mijn werkruimten. Wat zijn de gevolgen voor de facturering?
De oplossing Beveiliging en controle wordt gebruikt om Microsoft Defender for Servers in te schakelen. Als de beveiligings- en controleoplossing al in een werkruimte is geïnstalleerd, Defender voor Cloud de bestaande oplossing gebruikt. Er is geen wijziging in de facturering.
Volgende stappen
Meer informatie over hoe Defender voor Cloud gegevens verzamelt