Voorbereiden op buitengebruikstelling van de Log Analytics-agent
De Log Analytics-agent, ook wel bekend als de Microsoft Monitoring Agent (MMA), wordt in november 2024 buiten gebruik gesteld. Als gevolg hiervan worden de abonnementen Defender voor Servers en Defender voor SQL op machines in Microsoft Defender voor Cloud bijgewerkt en worden functies die afhankelijk zijn van de Log Analytics-agent opnieuw ontworpen.
In dit artikel vindt u een overzicht van de plannen voor buitengebruikstelling van agents.
Defender voorbereiden voor servers
Het Defender for Servers-plan maakt gebruik van de Log Analytics-agent in algemene beschikbaarheid (GA) en in AMA voor sommige functies (in preview). Dit gebeurt er in de toekomst met deze functies:
Ter vereenvoudiging van de onboarding worden alle beveiligingsfuncties en -mogelijkheden van Defender for Servers geleverd met één agent (Microsoft Defender voor Eindpunt), aangevuld met machinescans zonder agent, zonder enige afhankelijkheid van de Log Analytics-agent of AMA.
- Defender for Servers-functies, die zijn gebaseerd op AMA, zijn momenteel in preview en worden niet uitgebracht in algemene beschikbaarheid.
- Functies in preview die afhankelijk zijn van AMA blijven ondersteund totdat er een alternatieve versie van de functie is opgegeven, die afhankelijk is van de integratie van Defender voor Eindpunt of de functie voor het scannen van machines zonder agent.
- Door de functie defender voor eindpuntintegratie en het scannen van machines zonder agent in te schakelen voordat de afschaffing plaatsvindt, wordt de implementatie van Defender for Servers bijgewerkt en ondersteund.
Functiefunctionaliteit
De volgende tabel bevat een overzicht van de wijze waarop defender voor servers-functies worden geleverd. De meeste functies zijn al algemeen beschikbaar met behulp van Defender for Endpoint-integratie of het scannen van machines zonder agent. De rest van de functies is beschikbaar in algemene beschikbaarheid op het moment dat de MMA buiten gebruik wordt gesteld of wordt afgeschaft.
| Functie | Huidige ondersteuning | Nieuwe ondersteuning | Nieuwe ervaringsstatus |
|---|---|---|---|
| Integratie van Defender voor Eindpunt voor Windows-machines op lager niveau (Windows Server 2016/2012 R2) | Verouderde Defender voor Eindpunt-sensor, op basis van de Log Analytics-agent | Geïntegreerde agentintegratie | - Functionaliteit met de geïntegreerde MDE-agent is ALGEMEEN beschikbaar. - Functionaliteit met de verouderde Defender voor Eindpunt-sensor met behulp van de Log Analytics-agent wordt in augustus 2024 afgeschaft. |
| Detectie van bedreigingen op besturingssysteemniveau | Log Analytics-agent | Integratie van Defender for Endpoint-agent | Functionaliteit met de Defender for Endpoint-agent is algemeen beschikbaar. |
| Adaptieve toepassingsregelaars | Log Analytics-agent (GA), AMA (preview) | --- | De functie voor adaptief toepassingsbeheer wordt in augustus 2024 afgeschaft. |
| Aanbevelingen voor eindpuntbeveiligingsdetectie | Aanbevelingen die beschikbaar zijn via het CSPM-plan (Foundational Cloud Security Posture Management) en Defender for Servers, met behulp van de Log Analytics-agent (GA), AMA (preview) | Scannen van machines zonder agent | - Functionaliteit met scannen van machines zonder agent is begin 2024 uitgebracht voor preview als onderdeel van Defender voor Servers-abonnement 2 en het Defender CSPM-plan. - Azure-VM's, GCP-exemplaren (Google Cloud Platform) en AWS-exemplaren (Amazon Web Services) worden ondersteund. On-premises machines worden niet ondersteund. |
| Aanbeveling voor ontbrekende update van besturingssysteem | Aanbevelingen die beschikbaar zijn in de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent. | Integratie met Update Manager, Microsoft | Nieuwe aanbevelingen op basis van Azure Update Manager-integratie zijn algemeen beschikbaar, zonder agentafhankelijkheden. |
| Onjuiste configuraties van het besturingssysteem (Microsoft Cloud Security Benchmark) | Aanbevelingen die beschikbaar zijn via de Foundational CSPM- en Defender for Servers-abonnementen met behulp van de Log Analytics-agent, de extensie Voor gastconfiguratie (preview). | Extensie voor gastconfiguratie, als onderdeel van Defender for Servers Plan 2. | - Functionaliteit op basis van de extensie voor gastconfiguratie wordt in september 2024 uitgebracht voor algemene beschikbaarheid - Alleen voor Defender voor Cloud klanten: de functionaliteit met de Log Analytics-agent wordt in november 2024 afgeschaft. - Ondersteuning van deze functie voor Docker-hub en Virtuele-machineschaalsets van Azure wordt in aug 2024 afgeschaft. |
| Bestandsintegriteit controleren | Log Analytics-agent, AMA (preview) | Integratie van Defender for Endpoint-agent | Functionaliteit met de Defender for Endpoint-agent is beschikbaar in augustus 2024. - Alleen voor Defender voor Cloud klanten: de functionaliteit met de Log Analytics-agent wordt in november 2024 afgeschaft. - Functionaliteit met AMA wordt afgeschaft wanneer de Integratie van Defender voor Eindpunt wordt uitgebracht. |
Ervaring voor automatisch inrichten van Log Analytics-agent - afschaffingsplan
Als onderdeel van de buitengebruikstelling van de MMA-agent wordt de functie voor automatische inrichting die de installatie en configuratie van de agent voor MDC-klanten biedt, in twee fasen afgeschaft:
Eind september 2024 wordt automatische inrichting van MMA uitgeschakeld voor klanten die de mogelijkheid niet meer gebruiken, evenals voor nieuw gemaakte abonnementen:
- Bestaande abonnementen die na eind september automatische inrichting van MMA uitschakelen, kunnen de mogelijkheid daarna niet meer inschakelen.
- Automatische inrichting van nieuw gemaakte abonnementen kan niet meer worden ingeschakeld en wordt automatisch uitgeschakeld.
- Eind november 2024 - de mogelijkheid wordt uitgeschakeld voor abonnementen die deze nog niet hebben uitgeschakeld. Vanaf dat moment is het niet meer mogelijk om de mogelijkheid voor bestaande abonnementen in te schakelen.
Het voordeel van 500 MB voor gegevensopname
Als u de 500 MB gratis toegestane gegevensopname voor de ondersteunde gegevenstypen wilt behouden, moet u migreren van MMA naar AMA.
Notitie
Het voordeel wordt verleend aan elke AMA-computer die deel uitmaakt van een abonnement waarvoor Defender for Servers abonnement 2 is ingeschakeld.
Het voordeel wordt verleend aan de werkruimte waaraan de machine rapporteert.
De beveiligingsoplossing moet worden geïnstalleerd in de gerelateerde werkruimte. Meer informatie over hoe u deze hier kunt uitvoeren.
Als de machine rapporteert aan meer dan één werkruimte, wordt het voordeel aan slechts één werkruimte verleend.
Meer informatie over het implementeren van AMA.
Voor SQL-servers op machines raden we u aan om te migreren naar het automatische inrichtingsproces van azure Monitoring Agent (AMA) van SQL Server.
Wijzigingen in verouderde Defender for Servers Plan 2-onboarding via De Log Analytics-agent
De verouderde benadering voor het onboarden van servers naar Defender for Servers Plan 2 op basis van de Log Analytics-agent en het gebruik van Log Analytics-werkruimten is ook ingesteld voor buitengebruikstelling:
De onboarding-ervaring voor het onboarden van nieuwe niet-Azure-machines naar Defender for Servers met behulp van Log Analytics-agents en werkruimten wordt verwijderd uit de blade Inventaris en Aan de slag in de Defender voor Cloud-portal.
Om te voorkomen dat de beveiligingsdekking verloren gaat op de betrokken computers die zijn verbonden met een Log Analytics-werkruimte, wordt de agent buiten gebruik gesteld:
Als u niet-Azure-servers (zowel on-premises als multicloud) hebt onboardd met behulp van de verouderde benadering, moet u deze machines nu verbinden via servers met Azure Arc met Defender for Servers Plan 2 Azure-abonnementen en -connectors. Meer informatie over het implementeren van Arc-machines op schaal.
- Als u de verouderde methode hebt gebruikt om Defender for Servers Plan 2 in te schakelen op geselecteerde Azure-VM's, raden we u aan Defender for Servers Plan 2 in te schakelen voor de Azure-abonnementen voor deze machines. U kunt vervolgens afzonderlijke computers uitsluiten van de dekking van Defender for Servers met behulp van de configuratie van Defender for Servers per resource.
Dit is een samenvatting van de vereiste actie voor elk van de servers die zijn toegevoegd aan Defender for Servers Plan 2 via de verouderde aanpak:
| Type computer | Actie vereist om de beveiligingsdekking te behouden |
|---|---|
| On-premises servers | Onboarding naar Arc en verbonden met een abonnement met Defender for Servers Plan 2 |
| Virtuele Azure-machines | Verbinding maken met een abonnement met Defender for Servers Plan 2 |
| Servers met meerdere clouds | Verbinding maken met een connector voor meerdere clouds met Azure Arc-inrichting en Defender for Servers-abonnement 2 |
Aanbevelingen voor systeemupdates en patches - wijzigingen en migratierichtlijnen
Systeemupdates en patches zijn van cruciaal belang voor het behouden van de beveiliging en status van uw computers. Updates bevatten vaak beveiligingspatches voor beveiligingsproblemen die, indien ongefixeerd, kunnen worden misbruikt door aanvallers.
Aanbevelingen voor systeemupdates werden eerder geleverd door de Defender voor Cloud Foundational CSPM en de Defender for Servers-plannen met behulp van de Log Analytics-agent. Deze ervaring is vervangen door beveiligingsaan aanbevelingen die worden verzameld met behulp van Azure Update Manager en samengesteld uit 2 nieuwe aanbevelingen:
Meer informatie over het herstellen van systeemupdates en aanbevelingen voor patches op uw computers.
Welke aanbevelingen worden vervangen?
De volgende tabel bevat een overzicht van het tijdschema voor de afgeschafte en vervangen aanbevelingen.
| Aanbeveling | Agent | Ondersteunde resources | Datum van afschaffing | Vervangingsaanaanveling |
|---|---|---|---|---|
| Systeemupdates moeten op uw computers worden geïnstalleerd | MMA | Azure & niet-Azure (Windows en Linux) | Augustus 2024 | Nieuwe aanbeveling mogelijk gemaakt door Azure Update Manager |
| Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd | MMA | Azure-schaalvergrotingssets voor virtuele machines | Augustus 2024 | Geen vervanging |
Hoe kan ik voorbereiden op de nieuwe aanbevelingen?
Uw niet-Azure-machines verbinden met Arc
Zorg ervoor dat de instelling voor periodieke evaluatie-updates is ingeschakeld op uw computers. U kunt dit op twee manieren doen:
- Oplossing voor de aanbeveling: Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates (mogelijk gemaakt door Azure Update Manager).
- Schakel periodieke evaluatie op schaal in met Azure Policy.
- Zodra updatebeheer de meest recente updates op de machines heeft opgehaald, kunt u de meest recente nalevingsstatus van de machine bekijken.
Notitie
Het inschakelen van periodieke evaluaties voor machines met Arc waarvoor Defender voor Servers Abonnement 2 niet is ingeschakeld voor hun gerelateerde abonnement of connector, is onderhevig aan de prijzen van Azure Update Manager. Arc-machines waarvoor Defender for Servers Plan 2 is ingeschakeld op hun gerelateerde abonnement of connectors, of een azure-VM, komen zonder extra kosten in aanmerking voor deze mogelijkheid.
Ervaring met aanbevelingen voor Endpoint Protection - wijzigingen en migratierichtlijnen
Eindpuntdetectie en -aanbevelingen werden eerder geleverd door de Defender voor Cloud Foundational CSPM en de Defender for Servers-plannen met behulp van de Log Analytics-agent in ALGEMENE beschikbaarheid of in preview via de AMA. Deze ervaring is vervangen door beveiligingsaankopen die worden verzameld met behulp van machinescans zonder agent.
Aanbevelingen voor Endpoint Protection worden in twee fasen samengesteld. De eerste fase is het ontdekken van een eindpuntdetectie en -respons oplossing. De tweede is de evaluatie van de configuratie van de oplossing. De volgende tabellen bevatten details van de huidige en nieuwe ervaringen voor elke fase.
Oplossing voor eindpuntdetectie en -respons - detectie
| Gebied | Huidige ervaring (op basis van AMA/MMA) | Nieuwe ervaring (op basis van het scannen van machines zonder agent) |
|---|---|---|
| Wat is er nodig om een resource als in orde te classificeren? | Er is een antivirusprogramma aanwezig. | Er is een eindpuntdetectie en -respons oplossing aanwezig. |
| Wat is er nodig om de aanbeveling te krijgen? | Log Analytics-agent | Scannen van machines zonder agent |
| Welke abonnementen worden ondersteund? | - Foundational CSPM (gratis) - Defender for Servers Plan 1 en Plan 2 |
- Defender CSPM - Defender for Servers Plan 2 |
| Welke oplossing is beschikbaar? | Installeer Microsoft antimalware. | Installeer Defender voor Eindpunt op geselecteerde machines/abonnementen. |
Oplossing voor eindpuntdetectie en -respons - configuratie-evaluatie
| Gebied | Huidige ervaring (op basis van AMA/MMA) | Nieuwe ervaring (op basis van het scannen van machines zonder agent) |
|---|---|---|
| Resources worden geclassificeerd als beschadigd als een of meer van de beveiligingscontroles niet in orde zijn. | Drie beveiligingscontroles: - Realtime-beveiliging is uitgeschakeld - Handtekeningen zijn verouderd. - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd. |
Drie beveiligingscontroles: - Antivirus is uitgeschakeld of gedeeltelijk geconfigureerd - Handtekeningen zijn verouderd - Zowel snelle scan als volledige scan worden zeven dagen niet uitgevoerd. |
| Vereisten voor het ophalen van de aanbeveling | Er is een antimalwareoplossing aanwezig | Er is een eindpuntdetectie en -respons oplossing aanwezig. |
Welke aanbevelingen worden afgeschaft?
De volgende tabel bevat een overzicht van het tijdschema voor de afgeschafte en vervangen aanbevelingen.
De nieuwe aanbevelingen op basis van het scannen van machines zonder agent ondersteunen zowel Windows- als Linux-besturingssysteem op meerdere cloudcomputers.
Hoe werkt de vervanging?
- Huidige aanbevelingen van de Log Analytics-agent of de AMA worden in de loop van de tijd afgeschaft.
- Sommige van deze bestaande aanbevelingen worden vervangen door nieuwe aanbevelingen op basis van het scannen van machines zonder agent.
- Aanbevelingen die momenteel in algemene beschikbaarheid zijn opgenomen, blijven aanwezig totdat de Log Analytics-agent buiten gebruik wordt gesteld.
- Aanbevelingen die momenteel in preview zijn, worden vervangen wanneer de nieuwe aanbeveling beschikbaar is in preview.
Wat gebeurt er met een beveiligingsscore?
- Aanbevelingen die momenteel in algemene beschikbaarheid zijn, blijven van invloed op de beveiligingsscore.
- Huidige en toekomstige nieuwe aanbevelingen bevinden zich onder hetzelfde besturingselement voor Microsoft Cloud Security Benchmark, zodat er geen dubbele impact is op de beveiligingsscore.
Hoe kan ik voorbereiden op de nieuwe aanbevelingen?
- Zorg ervoor dat scannen van machines zonder agent is ingeschakeld als onderdeel van Defender for Servers Plan 2 of Defender CSPM.
- Als dit geschikt is voor uw omgeving, raden we u aan afgeschafte aanbevelingen te verwijderen wanneer de vervangende GA-aanbeveling beschikbaar komt. Hiervoor schakelt u de aanbeveling uit in het ingebouwde Defender voor Cloud-initiatief in Azure Policy.
Ervaring voor bewaking van bestandsintegriteit - wijzigingen en migratierichtlijnen
Microsoft Defender voor Servers Plan 2 biedt nu een nieuwe FIM-oplossing (File Integrity Monitoring), mogelijk gemaakt door Microsoft Defender voor Eindpunt (MDE)-integratie. Zodra FIM mogelijk gemaakt door MDE openbaar is, wordt de FIM mogelijk gemaakt door AMA in de Defender voor Cloud-portal. In november wordt FIM mogelijk gemaakt door MMA.
Migratie van FIM via AMA
Als u momenteel FIM via AMA gebruikt:
Onboarding van nieuwe abonnementen of servers naar FIM op basis van AMA en de extensie voor het bijhouden van wijzigingen, evenals het weergeven van wijzigingen, is vanaf 30 mei niet meer beschikbaar via de Defender voor Cloud-portal.
Als u FIM-gebeurtenissen wilt blijven gebruiken die door AMA zijn verzameld, kunt u handmatig verbinding maken met de relevante werkruimte en wijzigingen in de Wijzigingen bijhouden tabel weergeven met de volgende query:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeAls u wilt doorgaan met onboarden van nieuwe bereiken of bewakingsregels wilt configureren, kunt u gegevensverbindingsregels handmatig gebruiken om verschillende aspecten van gegevensverzameling te configureren of aan te passen.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via AMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt bij de release.
FIM uitschakelen via AMA
Als u FIM via AMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.
U kunt ook de gerelateerde regels voor het bijhouden van wijzigingen bijhouden van gegevens (DCR) verwijderen. Zie Remove-AzDataCollectionRuleAssociation of Remove-AzDataCollectionRule voor meer informatie.
Nadat u de verzameling bestandsevenementen hebt uitgeschakeld met behulp van een van de bovenstaande methoden:
- Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
- De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.
Migratie van FIM via Log Analytics Agent (MMA)
Als u momenteel FIM gebruikt via de Log Analytics Agent (MMA):
Bewaking van bestandsintegriteit op basis van MMA (Log Analytics Agent) wordt eind november 2024 afgeschaft.
Microsoft Defender voor Cloud raadt u aan FIM uit te schakelen via MMA en uw omgeving in te onboarden naar de nieuwe FIM-versie op basis van Defender voor Eindpunt na de release.
FIM uitschakelen via MMA
Als u FIM via MMA wilt uitschakelen, verwijdert u de Azure Wijzigingen bijhouden-oplossing. Zie ChangeTracking-oplossing verwijderen voor meer informatie.
Nadat u de verzameling bestandsevenementen hebt uitgeschakeld:
- Nieuwe gebeurtenissen worden niet meer verzameld voor het geselecteerde bereik.
- De historische gebeurtenissen die al zijn verzameld, blijven opgeslagen in de relevante werkruimte onder de tabel ConfigurationChange in de sectie Wijzigingen bijhouden. Deze gebeurtenissen blijven beschikbaar in de relevante werkruimte volgens de bewaarperiode die in deze werkruimte is gedefinieerd. Zie Hoe retentie en archivering werken voor meer informatie.
Basislijnervaring
De functie voor onjuiste configuratie van basislijnen op VM's is ontworpen om ervoor te zorgen dat uw VM's voldoen aan aanbevolen beveiligingsprocedures en organisatiebeleid. Onjuiste configuratie van basislijnen evalueert de configuratie van uw VM's op basis van de vooraf gedefinieerde beveiligingsbasislijnen en identificeert eventuele afwijkingen of onjuiste configuraties die een risico voor uw omgeving kunnen vormen.
Machinegegevens worden verzameld voor evaluatie met behulp van de Log Analytics-agent (ook wel bekend als de Microsoft Monitoring Agent (MMA)). De MMA is in november 2024 afgeschaft en de volgende wijzigingen treden op:
Machinegegevens worden verzameld met behulp van de Gastconfiguratie van Azure Policy.
De volgende Azure-beleidsregels zijn ingeschakeld met de gastconfiguratie van Azure Policy:
'Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn'
'Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn'
Notitie
Als u deze beleidsregels verwijdert, hebt u geen toegang tot de voordelen van de Azure Policy-gastconfiguratie-extensie.
Aanbevelingen voor het besturingssysteem op basis van rekenbeveiligingsbasislijnen worden niet meer opgenomen in Defender voor Cloud fundamentele CSPM. Deze aanbevelingen zijn beschikbaar wanneer u Defender for Servers Plan 2 inschakelt.
Bekijk de pagina met prijzen van Defender voor Cloud voor meer informatie over prijzen van Defender Servers Plan 2.
Belangrijk
Houd er rekening mee dat aanvullende functies die worden geleverd door de Gastconfiguratie van Azure Policy die buiten de Defender voor Cloud-portal bestaan, niet zijn opgenomen in Defender voor Cloud en onderhevig zijn aan het prijsbeleid voor gastconfiguraties van Azure Policy. Bijvoorbeeld herstel en aangepast beleid. Zie de pagina met prijzen voor gastconfiguratie van Azure Policy voor meer informatie.
Aanbevelingen die worden geleverd door de MCSB die geen deel uitmaken van windows- en Linux-rekenbeveiligingsbasislijnen, blijven deel uitmaken van gratis basis-CSPM.
Azure Policy-gastconfiguratie installeren
Als u de basislijnervaring wilt blijven ontvangen, moet u Defender for Servers Plan 2 inschakelen en de Gastconfiguratie van Azure Policy installeren. Dit zorgt ervoor dat u dezelfde aanbevelingen en beveiligingsrichtlijnen blijft ontvangen die u hebt ontvangen via de basislijnervaring.
Afhankelijk van uw omgeving moet u mogelijk de volgende stappen uitvoeren:
Bekijk de ondersteuningsmatrix voor de Gastconfiguratie van Azure Policy.
Installeer de Gastconfiguratie van Azure Policy op uw computers.
Azure-machines: Zoek en selecteer in de Defender voor Cloud-portal op de pagina met aanbevelingen de extensie Voor gastconfiguratie op computers en herstel de aanbeveling.
(Alleen Azure-VM's) U moet beheerde identiteit toewijzen.
(Alleen Azure-VM's) Optioneel: als u de Azure Policy-gastconfiguratie automatisch wilt inrichten voor uw hele abonnement, kunt u de gastconfiguratieagent (preview) inschakelen.
- Ga als volgende te werk om de gastconfiguratieagent in te schakelen:
- Meld u aan bij het Azure-portaal.
- Navigeer naar Omgevingsinstellingen>Uw abonnementsinstellingen>& Bewaking.
- Selecteer Gastconfiguratie.
- Schakel de gastconfiguratieagent (preview) in op Aan.
- Selecteer Doorgaan.
- Ga als volgende te werk om de gastconfiguratieagent in te schakelen:
GCP en AWS: Azure Policy-gastconfiguratie wordt automatisch geïnstalleerd wanneer u uw GCP-project verbindt of als u uw AWS-accounts verbindt met automatische inrichting van Azure Arc ingeschakeld, om Defender voor Cloud.
On-premises machines: de Gastconfiguratie van Azure Policy is standaard ingeschakeld wanneer u on-premises machines onboardt als azure Arc-machine of VM's.
Zodra u de benodigde stappen voor het installeren van de Azure Policy-gastconfiguratie hebt voltooid, krijgt u automatisch toegang tot de basislijnfuncties op basis van de gastconfiguratie van Azure Policy. Dit zorgt ervoor dat u dezelfde aanbevelingen en beveiligingsrichtlijnen blijft ontvangen die u hebt ontvangen via de basislijnervaring.
Wijzigingen in aanbevelingen
Met de afschaffing van de MMA worden de volgende aanbevelingen op basis van MMA afgeschaft:
- Machines moeten veilig worden geconfigureerd
- Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen
De afgeschafte aanbevelingen worden vervangen door de volgende aanbevelingen voor gastconfiguratie van Azure Policy:
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
- Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
- De extensie voor gastconfiguratie moet worden geïnstalleerd op computers
Dubbele aanbevelingen
Wanneer u Defender voor Cloud inschakelt voor een Azure-abonnement, wordt de Microsoft-cloudbeveiligingsbenchmark (MCSB) , inclusief rekenbeveiligingsbasislijnen waarmee de naleving van het besturingssysteem wordt beoordeeld, ingeschakeld als standaardnalevingsstandaard. Gratis basisbeveiligingspostuurbeheer (CSPM) in Defender voor Cloud aanbevelingen voor beveiliging doet op basis van de MCSB.
Als op een computer zowel de MMA als de Gastconfiguratie van Azure Policy wordt uitgevoerd, ziet u dubbele aanbevelingen. De duplicatie van aanbevelingen treedt op omdat beide methoden tegelijkertijd worden uitgevoerd en dezelfde aanbevelingen produceren. Deze duplicaten zijn van invloed op uw nalevings- en beveiligingsscore.
Als tijdelijke oplossing kunt u de MMA-aanbevelingen uitschakelen, 'Machines moeten veilig worden geconfigureerd' en 'Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen', door te navigeren naar de pagina Naleving van regelgeving in Defender voor Cloud.
Zodra u de aanbeveling hebt gevonden, moet u de relevante machines selecteren en deze uitsluiten.
Sommige basislijnconfiguratieregels die worden mogelijk gemaakt door het hulpprogramma voor gastconfiguratie van Azure Policy, zijn actueler en bieden een bredere dekking. Als gevolg hiervan kan de overgang naar de functie Basislijnfunctie door azure Policy-gastconfiguratie van invloed zijn op uw nalevingsstatus, omdat deze controles bevatten die mogelijk niet eerder zijn uitgevoerd.
Aanbevelingen voor query's
Met de buitengebruikstelling van de MMA Defender voor Cloud geen aanbevelingen meer opvragen via de loganalysewerkruimtegegevens. In plaats daarvan gebruikt Defender voor Cloud nu Azure Resource Graph voor API- en portalquery's om aanbevelingsgegevens op te vragen.
Hier volgen twee voorbeeldquery's die u kunt gebruiken:
Query's uitvoeren op alle beschadigde regels voor een specifieke resource
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'Alle beschadigde regels en de hoeveelheid als beschadigde machines voor elk
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Defender voorbereiden voor SQL op machines
Meer informatie over defender voor SQL Server vindt u in het afschaffingsplan van de Log Analytics-agent op computers.
Als u het huidige automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent gebruikt, moet u migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines die automatisch inrichten. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.
Migreren naar het automatische inrichtingsproces van AMA op de SQL-server gericht
Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer onder het plan Databases de optie Actie vereist.
Selecteer In het pop-upvenster Inschakelen.
Selecteer Opslaan.
Zodra het automatische inrichtingsproces van de SQL-server is ingeschakeld, moet u het automatische inrichtingsproces van de Log Analytics-agent/Azure Monitor-agent uitschakelen en de MMA verwijderen op alle SQL-servers:
De Log Analytics-agent uitschakelen:
Meld u aan bij het Azure-portaal.
Zoek en selecteer Microsoft Defender voor Cloud.
Selecteer omgevingsinstellingen in het menu Defender voor Cloud.
Selecteer het betreffende abonnement.
Selecteer Instellingen onder het databaseplan.
Schakel de Log Analytics-agent in op Uit.
Selecteer Doorgaan.
Selecteer Opslaan.
Migratieplanning
We raden u aan om agentmigratie te plannen in overeenstemming met uw bedrijfsvereisten. De tabel bevat een overzicht van onze richtlijnen.
| Gebruikt u Defender for Servers? | Zijn deze Defender for Servers-functies vereist in ga: bewaking van bestandsintegriteit, aanbevelingen voor eindpuntbeveiliging, aanbevelingen voor beveiligingsbasislijn? | Gebruikt u Defender voor SQL-servers op computers of AMA-logboekverzameling? | Migratieplan |
|---|---|---|---|
| Ja | Ja | Nr. | 1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. Wacht op algemene beschikbaarheid van alle functies met het platform van het alternatief (u kunt de preview-versie eerder gebruiken). 3. Zodra functies algemeen beschikbaar zijn, schakelt u de Log Analytics-agent uit. |
| Nee | --- | Nr. | U kunt de Log Analytics-agent nu verwijderen. |
| Nr. | --- | Ja | 1. U kunt nu migreren naar automatische inrichting van SQL voor AMA . 2. Schakel Log Analytics/Azure Monitor Agent uit. |
| Ja | Ja | Ja | 1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt de Log Analytics-agent en AMA naast elkaar gebruiken om alle functies in algemene beschikbaarheid op te halen. Meer informatie over het naast elkaar uitvoeren van agents. 3. Migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. U kunt ook de migratie van de Log Analytics-agent naar AMA in april 2024 starten. 4. Zodra de migratie is voltooid, schakelt u de Log Analytics-agent uit . |
| Ja | No | Ja | 1. Schakel Defender for Endpoint-integratie en machinescans zonder agent in. 2. U kunt nu migreren naar automatische inrichting van SQL voor AMA in Defender voor SQL op computers. 3. Schakel de Log Analytics-agent uit. |
MMA-migratie-ervaring
De MMA-migratie is een hulpprogramma waarmee u kunt migreren van de MMA naar de AMA. De ervaring biedt een stapsgewijze handleiding voor het migreren van uw machines van de MMA naar de AMA.
Met dit hulpprogramma kunt u het volgende doen:
- Migreer servers van de verouderde onboarding via de loganalysewerkruimte.
- Zorg ervoor dat abonnementen voldoen aan alle vereisten voor het ontvangen van alle voordelen van Defender for Servers Plan 2.
- Migreren naar de nieuwe versie van FIM via MDE.
Meld u aan bij het Azure-portaal.
Navigeer naar de Microsoft Defender voor Cloud> Omgevingsinstellingen.
Selecteer MMA-migratie.
Selecteer Actie ondernemen voor een van de beschikbare acties:
Laat de ervaring laden en volg de stappen om de migratie te voltooien.