Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt uw Azure-workloads programmatisch beveiligen met behulp van de Microsoft Defender voor Cloud PowerShell-module. Met Behulp van PowerShell kunt u taken automatiseren en de menselijke fout voorkomen die inherent is aan handmatige taken. Dit is vooral handig in grootschalige implementaties waarbij tientallen abonnementen met honderden en duizenden resources zijn betrokken, die allemaal vanaf het begin moeten worden beveiligd.
Door Microsoft Defender for Cloud te onboarden met behulp van PowerShell, kunt u programmatisch onboarding en beheer van uw Azure-resources automatiseren en de benodigde beveiligingscontroles toevoegen.
Dit artikel bevat een voorbeeld van een PowerShell-script dat kan worden gewijzigd en gebruikt in uw omgeving om Defender for Cloud uit te rollen in uw abonnementen.
In dit voorbeeld schakelen we Defender for Cloud in voor een abonnement met id: <Subscription ID> en passen we de aanbevolen instellingen toe die een hoog beveiligingsniveau bieden door de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud in te schakelen, die geavanceerde mogelijkheden voor bedreigingsbeveiliging en detectie biedt:
Schakel de verbeterde beveiliging in Microsoft Defender voor Cloud in.
Stel de CISO van de organisatie in als de beveiligingscontactpersoon voor Defender for Cloud-waarschuwingen en belangrijke gebeurtenissen.
Wijs het standaardbeveiligingsbeleid van Defender for Cloud toe.
Vereiste voorwaarden
Deze stappen moeten worden uitgevoerd voordat u de Defender for Cloud-cmdlets uitvoert:
Voer PowerShell uit als beheerder.
Voer de volgende opdrachten uit in PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSignedInstall-Module -Name Az.Security -Force
Defender for Cloud onboarden met Behulp van PowerShell
Registreer uw abonnementen bij de Defender for Cloud Resource Provider:
Set-AzContext -Subscription "<Subscription ID>"Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'Optioneel: stel het dekkingsniveau (de verbeterde beveiligingsfuncties van Microsoft Defender for Cloud in/uit) van de abonnementen in. Als dit niet is gedefinieerd, zijn deze functies uitgeschakeld:
Set-AzContext -Subscription "<Subscription ID>"Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"Optioneel: het wordt ten zeerste aanbevolen om de contactgegevens voor beveiliging te definiƫren voor de abonnementen die u onboardt, die worden gebruikt als ontvangers van waarschuwingen en meldingen die worden gegenereerd door Defender for Cloud:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlertWijs het standaard Defender for Cloud beleidsinitiatief toe:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
Je hebt Microsoft Defender for Cloud aangemeld met PowerShell.
U kunt deze PowerShell-cmdlets nu gebruiken met automatiseringsscripts om programmatisch over abonnementen en resources te itereren. Dit bespaart tijd en vermindert de kans op menselijke fouten. U kunt dit voorbeeldscript gebruiken als referentie.
Zie ook
Zie het volgende artikel voor meer informatie over hoe u PowerShell kunt gebruiken om onboarding naar Defender for Cloud te automatiseren:
Zie de volgende artikelen voor meer informatie over Defender for Cloud:
- Beveiligingsbeleid instellen in Microsoft Defender voor Cloud. Meer informatie over het configureren van beveiligingsbeleid voor uw Azure-abonnementen en -resourcegroepen.
- Beveiligingswaarschuwingen beheren en erop reageren in Microsoft Defender voor Cloud. Meer informatie over het beheren en reageren op beveiligingswaarschuwingen.