Voorbereiden op buitengebruikstelling van de Log Analytics-agent

Artikel
09/04/2024

De Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA), wordt in november 2024 buiten gebruik gesteld. Als gevolg hiervan worden de abonnementen Defender voor Servers en Defender voor SQL op machines in Microsoft Defender voor Cloud bijgewerkt en worden functies die afhankelijk zijn van de Log Analytics-agent opnieuw ontworpen.

In dit artikel vindt u een overzicht van de plannen voor buitengebruikstelling van agents.

Defender voorbereiden voor servers

Het Defender for Servers-plan maakt gebruik van de Log Analytics-agent in algemene beschikbaarheid (GA) en in AMA voor sommige functies (in preview). Dit gebeurt er in de toekomst met deze functies:

Ter vereenvoudiging van de onboarding worden alle beveiligingsfuncties en -mogelijkheden van Defender for Servers geleverd met één agent (Microsoft Defender voor Eindpunt), aangevuld met machinescans zonder agent, zonder enige afhankelijkheid van de Log Analytics-agent of AMA.

Defender for Servers-functies, die zijn gebaseerd op AMA, zijn momenteel in preview en worden niet uitgebracht in algemene beschikbaarheid. 
Functies in preview die afhankelijk zijn van AMA blijven ondersteund totdat er een alternatieve versie van de functie is opgegeven, die afhankelijk is van de integratie van Defender voor Eindpunt of de functie voor het scannen van machines zonder agent.
Door de functie defender voor eindpuntintegratie en het scannen van machines zonder agent in te schakelen voordat de afschaffing plaatsvindt, wordt de implementatie van Defender for Servers bijgewerkt en ondersteund.

Functiefunctionaliteit

De volgende tabel bevat een overzicht van de wijze waarop defender voor servers-functies worden geleverd. De meeste functies zijn al algemeen beschikbaar met behulp van Defender for Endpoint-integratie of het scannen van machines zonder agent. De rest van de functies is beschikbaar in algemene beschikbaarheid op het moment dat de MMA buiten gebruik wordt gesteld of wordt afgeschaft.

Functie	Huidige ondersteuning	Nieuwe ondersteuning	Nieuwe ervaringsstatus
Integratie van Defender voor Eindpunt voor Windows-machines op lager niveau (Windows Server 2016/2012 R2)	Verouderde Defender voor Eindpunt-sensor, op basis van de Log Analytics-agent	Geïntegreerde agentintegratie	- Functionaliteit met de geïntegreerde MDE-agent is ALGEMEEN beschikbaar. - Functionaliteit met de verouderde Defender voor Eindpunt-sensor met behulp van de Log Analytics-agent wordt in augustus 2024 afgeschaft.
Detectie van bedreigingen op besturingssysteemniveau	Log Analytics-agent	Integratie van Defender for Endpoint-agent	Functionaliteit met de Defender for Endpoint-agent is algemeen beschikbaar.
Adaptieve toepassingsregelaars	Log Analytics-agent (GA), AMA (preview)	---	De functie voor adaptief toepassingsbeheer wordt in augustus 2024 afgeschaft.
Aanbevelingen voor eindpuntbeveiligingsdetectie	Aanbevelingen die beschikbaar zijn via het CSPM-plan (Foundational Cloud Security Posture Management) en Defender for Servers, met behulp van de Log Analytics-agent (GA), AMA (preview)	Scannen van machines zonder agent	- Functionaliteit met scannen van machines zonder agent is begin 2024 uitgebracht voor preview als onderdeel van Defender voor Servers-abonnement 2 en het Defender CSPM-plan. - Azure-VM's, GCP-exemplaren (Google Cloud Platform) en AWS-exemplaren (Amazon Web Services) worden ondersteund. On-premises machines worden niet ondersteund.
Aanbeveling voor ontbrekende update van besturingssysteem	Aanbevelingen die beschikbaar zijn in de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent.	Integratie met Update Manager, Microsoft	Nieuwe aanbevelingen op basis van Azure Update Manager-integratie zijn algemeen beschikbaar, zonder agentafhankelijkheden.
Onjuiste configuraties van het besturingssysteem (Microsoft Cloud Security Benchmark)	Aanbevelingen die beschikbaar zijn via de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent, de extensie Voor gastconfiguratie (preview).	Extensie voor gastconfiguratie, als onderdeel van Defender for Servers Plan 2.	- Functionaliteit op basis van de extensie voor gastconfiguratie wordt in september 2024 uitgebracht voor algemene beschikbaarheid - Alleen voor Defender voor Cloud klanten: de functionaliteit met de Log Analytics-agent wordt in november 2024 afgeschaft. - Ondersteuning van deze functie voor Docker-hub en Virtuele-machineschaalsets van Azure wordt in aug 2024 afgeschaft.
Bestandsintegriteit controleren	Log Analytics-agent, AMA (preview)	Integratie van Defender for Endpoint-agent	Functionaliteit met de Defender for Endpoint-agent is beschikbaar in augustus 2024. - Alleen voor Defender voor Cloud klanten: de functionaliteit met de Log Analytics-agent wordt in november 2024 afgeschaft. - Functionaliteit met AMA wordt afgeschaft wanneer de Integratie van Defender voor Eindpunt wordt uitgebracht.

Het voordeel van 500 MB voor gegevensopname

Als u de 500 MB gratis toegestane gegevensopname voor de ondersteunde gegevenstypen wilt behouden, moet u migreren van MMA naar AMA.

Notitie

Het voordeel wordt verleend aan elke AMA-computer die deel uitmaakt van een abonnement waarvoor Defender for Servers abonnement 2 is ingeschakeld.
Het voordeel wordt verleend aan de werkruimte waaraan de machine rapporteert.
De beveiligingsoplossing moet worden geïnstalleerd in de gerelateerde werkruimte. Meer informatie over hoe u deze hier kunt uitvoeren.
Als de machine rapporteert aan meer dan één werkruimte, wordt het voordeel aan slechts één werkruimte verleend.

Meer informatie over het implementeren van AMA.

Voor SQL-servers op machines raden we u aan om te migreren naar het automatische inrichtingsproces van azure Monitoring Agent (AMA) van SQL Server.

Wijzigingen in verouderde Defender for Servers Plan 2-onboarding via De Log Analytics-agent

De verouderde benadering voor het onboarden van servers naar Defender for Servers Plan 2 op basis van de Log Analytics-agent en het gebruik van Log Analytics-werkruimten is ook ingesteld voor buitengebruikstelling:

De onboarding-ervaring voor het onboarden van nieuwe niet-Azure-machines naar Defender for Servers met behulp van Log Analytics-agents en werkruimten wordt verwijderd uit de blade Inventaris en Aan de slag in de Defender voor Cloud-portal.
Om te voorkomen dat de beveiligingsdekking verloren gaat op de betrokken computers die zijn verbonden met een Log Analytics-werkruimte, wordt de agent buiten gebruik gesteld:
Als u niet-Azure-servers (zowel on-premises als multicloud) hebt onboardd met behulp van de verouderde benadering, moet u deze machines nu verbinden via servers met Azure Arc met Defender for Servers Plan 2 Azure-abonnementen en -connectors. Meer informatie over het implementeren van Arc-machines op schaal.
- Als u de verouderde methode hebt gebruikt om Defender for Servers Plan 2 in te schakelen op geselecteerde Azure-VM's, raden we u aan Defender for Servers Plan 2 in te schakelen voor de Azure-abonnementen voor deze machines. U kunt vervolgens afzonderlijke computers uitsluiten van de dekking van Defender for Servers met behulp van de configuratie van Defender for Servers per resource.

Dit is een samenvatting van de vereiste actie voor elk van de servers die zijn toegevoegd aan Defender for Servers Plan 2 via de verouderde aanpak:

Type computer	Actie vereist om de beveiligingsdekking te behouden
On-premises servers	Onboarding naar Arc en verbonden met een abonnement met Defender for Servers Plan 2
Virtuele Azure-machines	Verbinding maken met een abonnement met Defender for Servers Plan 2
Servers met meerdere clouds	Verbinding maken met een connector voor meerdere clouds met Azure Arc-inrichting en Defender for Servers-abonnement 2

Ervaring met aanbevelingen voor Endpoint Protection - wijzigingen en migratierichtlijnen

Eindpuntdetectie en -aanbevelingen worden momenteel geleverd door de Defender voor Cloud Foundational CSPM en de Defender for Servers-plannen met behulp van de Log Analytics-agent in algemene beschikbaarheid of in preview via de AMA. Deze ervaring wordt vervangen door beveiligingsaankopen die worden verzameld met behulp van machinescans zonder agent.

Aanbevelingen voor Endpoint Protection worden in twee fasen samengesteld. De eerste fase is het ontdekken van een eindpuntdetectie en -respons oplossing. De tweede is de evaluatie van de configuratie van de oplossing. De volgende tabellen bevatten details van de huidige en nieuwe ervaringen voor elke fase.

Meer informatie over het beheren van de nieuwe eindpuntdetectie en -respons aanbevelingen (zonder agent).

Oplossing voor eindpuntdetectie en -respons - detectie

Gebied	Huidige ervaring (op basis van AMA/MMA)	Nieuwe ervaring (op basis van het scannen van machines zonder agent)
Wat is er nodig om een resource als in orde te classificeren?	Er is een antivirusprogramma aanwezig.	Er is een eindpuntdetectie en -respons oplossing aanwezig.
Wat is er nodig om de aanbeveling te krijgen?	Log Analytics-agent	Scannen van machines zonder agent
Welke abonnementen worden ondersteund?	- Foundational CSPM (gratis) - Defender for Servers Plan 1 en Plan 2	- Defender CSPM - Defender for Servers Plan 2
Welke oplossing is beschikbaar?	Installeer Microsoft antimalware.	Installeer Defender voor Eindpunt op geselecteerde machines/abonnementen.

Oplossing voor eindpuntdetectie en -respons - configuratie-evaluatie

Gebied	Huidige ervaring (op basis van AMA/MMA)	Nieuwe ervaring (op basis van het scannen van machines zonder agent)
Resources worden geclassificeerd als beschadigd als een of meer van de beveiligingscontroles niet in orde zijn.	Drie beveiligingscontroles: - Realtime-beveiliging is uitgeschakeld - Handtekeningen zijn verouderd. - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd.	Drie beveiligingscontroles: - Antivirus is uitgeschakeld of gedeeltelijk geconfigureerd - Handtekeningen zijn verouderd - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd.
Vereisten voor het ophalen van de aanbeveling	Er is een antimalwareoplossing aanwezig	Er is een eindpuntdetectie en -respons oplossing aanwezig.

Welke aanbevelingen worden afgeschaft?

De volgende tabel bevat een overzicht van het tijdschema voor de afgeschafte en vervangen aanbevelingen.

Aanbeveling	Agent	Ondersteunde resources	Datum van afschaffing	Vervangingsaanaanveling
Endpoint Protection moet worden geïnstalleerd op uw computers (openbaar)	MMA/AMA	Azure & niet-Azure (Windows en Linux)	Juli 2024	Nieuwe aanbeveling zonder agent
Statusproblemen met Endpoint Protection moeten worden opgelost op uw computers (openbaar)	MMA/AMA	Azure (Windows)	Juli 2024	Nieuwe aanbeveling zonder agent
Eindpuntbeveiligingsstatusfouten in virtuele-machineschaalsets moeten worden opgelost	MMA	Azure-schaalvergrotingssets voor virtuele machines	Augustus 2024	Geen vervanging
De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets	MMA	Azure-schaalvergrotingssets voor virtuele machines	Augustus 2024	Geen vervanging
Endpoint Protection-oplossing moet zich op computers bevinden	MMA	Niet-Azure-resources (Windows)	Augustus 2024	Geen vervanging
Oplossing voor eindpuntbeveiliging installeren op uw machines	MMA	Azure en niet-Azure (Windows)	Augustus 2024	Nieuwe aanbeveling zonder agent
Statusproblemen met Endpoint Protection op computers moeten worden opgelost	MMA	Azure en niet-Azure (Windows en Linux)	Augustus 2024	Nieuwe aanbeveling zonder agent.

De nieuwe aanbevelingen op basis van het scannen van machines zonder agent ondersteunen zowel Windows- als Linux-besturingssysteem op meerdere cloudcomputers.

Hoe werkt de vervanging?

Huidige aanbevelingen van de Log Analytics-agent of de AMA worden in de loop van de tijd afgeschaft.
Sommige van deze bestaande aanbevelingen worden vervangen door nieuwe aanbevelingen op basis van het scannen van machines zonder agent.
Aanbevelingen die momenteel in algemene beschikbaarheid zijn opgenomen, blijven aanwezig totdat de Log Analytics-agent buiten gebruik wordt gesteld.
Aanbevelingen die momenteel in preview zijn, worden vervangen wanneer de nieuwe aanbeveling beschikbaar is in preview.

Wat gebeurt er met een beveiligingsscore?

Aanbevelingen die momenteel in algemene beschikbaarheid zijn, blijven van invloed op de beveiligingsscore. 
Huidige en toekomstige nieuwe aanbevelingen bevinden zich onder hetzelfde besturingselement voor Microsoft Cloud Security Benchmark, zodat er geen dubbele impact is op de beveiligingsscore.

Hoe kan ik voorbereiden op de nieuwe aanbevelingen?

Zorg ervoor dat scannen van machines zonder agent is ingeschakeld als onderdeel van Defender for Servers Plan 2 of Defender CSPM.
Als dit geschikt is voor uw omgeving, raden we u aan afgeschafte aanbevelingen te verwijderen wanneer de vervangende GA-aanbeveling beschikbaar komt. Hiervoor schakelt u de aanbeveling uit in het ingebouwde Defender voor Cloud-initiatief in Azure Policy.

Ervaring voor bewaking van bestandsintegriteit - wijzigingen en migratierichtlijnen

Microsoft Defender voor Servers Plan 2 biedt nu een nieuwe FIM-oplossing (File Integrity Monitoring), mogelijk gemaakt door Microsoft Defender voor Eindpunt (MDE)-integratie. Zodra FIM mogelijk gemaakt door MDE openbaar is, wordt de FIM mogelijk gemaakt door AMA in de Defender voor Cloud-portal. In november wordt FIM mogelijk gemaakt door MMA.

Migratie van FIM via AMA

Als u momenteel FIM via AMA gebruikt:

Onboarding van nieuwe abonnementen of servers naar FIM op basis van AMA en de extensie voor het bijhouden van wijzigingen, evenals het weergeven van wijzigingen, is vanaf 30 mei niet meer beschikbaar via de Defender voor Cloud-portal.
Als u FIM-gebeurtenissen wilt blijven gebruiken die door AMA zijn verzameld, kunt u handmatig verbinding maken met de relevante werkruimte en wijzigingen in de Wijzigingen bijhouden tabel weergeven met de volgende query:
```
ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType
```
Als u wilt doorgaan met onboarden van nieuwe bereiken of bewakingsregels wilt configureren, kunt u gegevensverbindingsregels handmatig gebruiken om verschillende aspecten van gegevensverzameling te configureren of aan te passen.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via AMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt bij de release.

FIM uitschakelen via AMA

Als u FIM via AMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.

U kunt ook de gerelateerde regels voor het bijhouden van wijzigingen bijhouden van gegevens (DCR) verwijderen. Zie Remove-AzDataCollectionRuleAssociation of Remove-AzDataCollectionRule voor meer informatie.

Nadat u de verzameling bestandsevenementen hebt uitgeschakeld met behulp van een van de bovenstaande methoden:

Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.

Migratie van FIM via Log Analytics Agent (MMA)

Als u momenteel FIM gebruikt via de Log Analytics Agent (MMA):

Bewaking van bestandsintegriteit op basis van MMA (Log Analytics Agent) wordt eind november 2024 afgeschaft.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via MMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt na de release.

FIM uitschakelen via MMA

Als u FIM via MMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.

Nadat u de verzameling bestandsevenementen hebt uitgeschakeld:

Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.

Basislijnervaring

De functie voor onjuiste configuratie van basislijnen op VM's is ontworpen om ervoor te zorgen dat uw VM's voldoen aan aanbevolen beveiligingsprocedures en organisatiebeleid. Onjuiste configuratie van basislijnen evalueert de configuratie van uw VM's op basis van de vooraf gedefinieerde beveiligingsbasislijnen en identificeert eventuele afwijkingen of onjuiste configuraties die een risico voor uw omgeving kunnen vormen.

Machinegegevens worden verzameld voor evaluatie met behulp van de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)). De MMA is in november 2024 afgeschaft en de volgende wijzigingen treden op:

Machinegegevens worden verzameld met behulp van de Gastconfiguratie van Azure Policy.
De volgende Azure-beleidsregels zijn ingeschakeld met de gastconfiguratie van Azure Policy:
- 'Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn'
- 'Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn'
Notitie

Als u deze beleidsregels verwijdert, hebt u geen toegang tot de voordelen van de Azure Policy-gastconfiguratie-extensie.
Aanbevelingen voor het besturingssysteem op basis van rekenbeveiligingsbasislijnen worden niet meer opgenomen in Defender voor Cloud fundamentele CSPM. Deze aanbevelingen zijn beschikbaar wanneer u Defender for Servers Plan 2 inschakelt.

Bekijk de pagina met prijzen van Defender voor Cloud voor meer informatie over prijzen van Defender Servers Plan 2.

Belangrijk

Houd er rekening mee dat aanvullende functies die worden geleverd door de Gastconfiguratie van Azure Policy die buiten de Defender voor Cloud-portal bestaan, niet zijn opgenomen in Defender voor Cloud en onderhevig zijn aan het prijsbeleid voor gastconfiguraties van Azure Policy. Bijvoorbeeld herstel en aangepast beleid. Zie de pagina met prijzen voor gastconfiguratie van Azure Policy voor meer informatie.

Aanbevelingen die worden geleverd door de MCSB die geen deel uitmaken van windows- en Linux-rekenbeveiligingsbasislijnen, blijven deel uitmaken van gratis basis-CSPM.

Azure Policy-gastconfiguratie installeren

Als u de basislijnervaring wilt blijven ontvangen, moet u Defender for Servers Plan 2 inschakelen en de Gastconfiguratie van Azure Policy installeren. Dit zorgt ervoor dat u dezelfde aanbevelingen en beveiligingsrichtlijnen blijft ontvangen die u hebt ontvangen via de basislijnervaring.

Afhankelijk van uw omgeving moet u mogelijk de volgende stappen uitvoeren:

Bekijk de ondersteuningsmatrix voor de Gastconfiguratie van Azure Policy.
Installeer de Gastconfiguratie van Azure Policy op uw computers.
- Azure-machines: Zoek en selecteer in de Defender voor Cloud-portal op de pagina met aanbevelingen de extensie Voor gastconfiguratie op computers en herstel de aanbeveling.
- (Alleen Azure-VM's) U moet beheerde identiteit toewijzen.
  - Zoek en selecteer in de Defender voor Cloud-portal op de pagina met aanbevelingen de gastconfiguratie-extensie van virtuele machines met een door het systeem toegewezen beheerde identiteit en herstel de aanbeveling.
- (Alleen Azure-VM's) Optioneel: als u de Azure Policy-gastconfiguratie automatisch wilt inrichten voor uw hele abonnement, kunt u de gastconfiguratieagent (preview) inschakelen.
  - Ga als volgende te werk om de gastconfiguratieagent in te schakelen:
    1. Meld u aan bij het Azure-portaal.
    2. Navigeer naar Omgevingsinstellingen>Uw abonnementsinstellingen>& Bewaking.
    3. Selecteer Gastconfiguratie.
    4. Schakel de gastconfiguratieagent (preview) in op Aan.
    5. Selecteer Doorgaan.
- GCP en AWS: Azure Policy-gastconfiguratie wordt automatisch geïnstalleerd wanneer u uw GCP-project verbindt of als u uw AWS-accounts verbindt met automatische inrichting van Azure Arc ingeschakeld, om Defender voor Cloud.
- On-premises machines: de Gastconfiguratie van Azure Policy is standaard ingeschakeld wanneer u on-premises machines onboardt als azure Arc-machine of VM's.

Zodra u de benodigde stappen voor het installeren van de Azure Policy-gastconfiguratie hebt voltooid, krijgt u automatisch toegang tot de basislijnfuncties op basis van de gastconfiguratie van Azure Policy. Dit zorgt ervoor dat u dezelfde aanbevelingen en beveiligingsrichtlijnen blijft ontvangen die u hebt ontvangen via de basislijnervaring.

Wijzigingen in aanbevelingen

Met de afschaffing van de MMA worden de volgende aanbevelingen op basis van MMA afgeschaft:

De afgeschafte aanbevelingen worden vervangen door de volgende aanbevelingen voor gastconfiguratie van Azure Policy:

Dubbele aanbevelingen

Wanneer u Defender voor Cloud inschakelt voor een Azure-abonnement, wordt de Microsoft-cloudbeveiligingsbenchmark (MCSB) , inclusief rekenbeveiligingsbasislijnen waarmee de naleving van het besturingssysteem wordt beoordeeld, ingeschakeld als standaardnalevingsstandaard. Gratis basisbeveiligingspostuurbeheer (CSPM) in Defender voor Cloud aanbevelingen voor beveiliging doet op basis van de MCSB.

Als op een computer zowel de MMA als de Gastconfiguratie van Azure Policy wordt uitgevoerd, ziet u dubbele aanbevelingen. De duplicatie van aanbevelingen treedt op omdat beide methoden tegelijkertijd worden uitgevoerd en dezelfde aanbevelingen produceren. Deze duplicaten zijn van invloed op uw nalevings- en beveiligingsscore.

Als tijdelijke oplossing kunt u de MMA-aanbevelingen uitschakelen, 'Machines moeten veilig worden geconfigureerd' en 'Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen', door te navigeren naar de pagina Naleving van regelgeving in Defender voor Cloud.

Zodra u de aanbeveling hebt gevonden, moet u de relevante machines selecteren en deze uitsluiten.

Sommige basislijnconfiguratieregels die worden mogelijk gemaakt door het hulpprogramma voor gastconfiguratie van Azure Policy, zijn actueler en bieden een bredere dekking. Als gevolg hiervan kan de overgang naar de functie Basislijnfunctie door azure Policy-gastconfiguratie van invloed zijn op uw nalevingsstatus, omdat deze controles bevatten die mogelijk niet eerder zijn uitgevoerd.

Aanbevelingen voor query's

Met de buitengebruikstelling van de MMA Defender voor Cloud geen aanbevelingen meer opvragen via de loganalysewerkruimtegegevens. In plaats daarvan gebruikt Defender voor Cloud nu Azure Resource Graph voor API- en portalquery's om aanbevelingsgegevens op te vragen.

Hier volgen twee voorbeeldquery's die u kunt gebruiken:

Query's uitvoeren op alle beschadigde regels voor een specifieke resource

Securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| where machineId  == '{machineId}'

Alle beschadigde regels en de hoeveelheid als beschadigde machines voor elk

securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with * '/subassessments/' subAssessmentId:string 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| extend status = tostring(properties.status.code) 
| summarize count() by subAssessmentId, status

Defender voorbereiden voor SQL op machines

Meer informatie over defender voor SQL Server vindt u in het afschaffingsplan van de Log Analytics-agent op computers.

Als u het huidige automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent gebruikt, moet u migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines die automatisch inrichten. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.

Migreren naar het automatische inrichtingsproces van AMA op de SQL-server gericht

Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer onder het plan Databases de optie Actie vereist.
Selecteer In het pop-upvenster Inschakelen.
Selecteer Opslaan.

Zodra het automatische inrichtingsproces van de SQL-server is ingeschakeld, moet u het automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent uitschakelen en de MMA verwijderen op alle SQL-servers:

De Log Analytics-agent uitschakelen:

Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer Instellingen onder het databaseplan.
Schakel de Log Analytics-agent in op Uit.
Selecteer Doorgaan.
Selecteer Opslaan.

Migratieplanning

We raden u aan om agentmigratie te plannen in overeenstemming met uw bedrijfsvereisten. De tabel bevat een overzicht van onze richtlijnen.

Gebruikt u Defender for Servers?	Zijn deze Defender for Servers-functies vereist in ga: bewaking van bestandsintegriteit, aanbevelingen voor eindpuntbeveiliging, aanbevelingen voor beveiligingsbasislijn?	Gebruikt u Defender voor SQL-servers op computers of AMA-logboekverzameling?	Migratieplan
Ja	Ja	Nr.	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. Wacht op algemene beschikbaarheid van alle functies met het platform van het alternatief (u kunt de preview-versie eerder gebruiken). 3. Zodra functies algemeen beschikbaar zijn, schakelt u de Log Analytics-agent uit.
Nee	---	Nr.	U kunt de Log Analytics-agent nu verwijderen.
Nr.	---	Ja	1. U kunt nu migreren naar automatische inrichting van SQL voor AMA . 2. Schakel Log Analytics/Azure Monitor Agent uit.
Ja	Ja	Ja	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt de Log Analytics-agent en AMA naast elkaar gebruiken om alle functies in algemene beschikbaarheid op te halen. Meer informatie over het naast elkaar uitvoeren van agents. 3. Migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. U kunt ook de migratie van de Log Analytics-agent naar AMA in april 2024 starten. 4. Zodra de migratie is voltooid, schakelt u de Log Analytics-agent uit .
Ja	No	Ja	1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt nu migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. 3. Schakel de Log Analytics-agent uit.

Volgende stap

Geplande wijzigingen in het Defender voor Cloud-plan en -strategie voor de afschaffing van de Log Analytics-agent

Delen via