Monitorowanie zabezpieczeń hybrydowych przy użyciu Microsoft Defender dla chmury i usługi Microsoft Sentinel

Log Analytics
Monitor
Azure Security Center
Microsoft Sentinel
Azure Stack

Ta architektura referencyjna ilustruje sposób używania Microsoft Defender dla chmury i usługi Microsoft Sentinel do monitorowania konfiguracji zabezpieczeń i telemetrii obciążeń lokalnych i obciążeń systemu operacyjnego platformy Azure. Obejmuje to usługę Azure Stack.

Architektura

Diagram ilustrujący wdrożony program Microsoft Monitoring Agent w systemach lokalnych, a także na maszynach wirtualnych opartych na platformie Azure, które przesyłają dane do Microsoft Defender dla chmury i usługi Microsoft Sentinel

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Architektura składa się z następującego przepływu pracy:

  • Microsoft Defender for Cloud. Jest to zaawansowana, ujednolicona platforma do zarządzania zabezpieczeniami oferowana przez firmę Microsoft wszystkim subskrybentom platformy Azure. Usługa Defender for Cloud jest segmentowana jako platforma zarządzania stanem zabezpieczeń w chmurze (CSPM) i platforma ochrony obciążeń w chmurze (CWPP). Program CWPP jest definiowany przez rozwiązania ochrony zabezpieczeń skoncentrowane na obciążeniach, które są zwykle oparte na agentach. Microsoft Defender for Cloud zapewnia ochronę przed zagrożeniami dla obciążeń platformy Azure, zarówno lokalnych, jak i w innych chmurach, w tym maszyn wirtualnych z systemami Windows i Linux, kontenerami, bazami danych i Internetem rzeczy (IoT). Po aktywowaniu agent usługi Log Analytics jest wdrażany automatycznie w usłudze Azure Virtual Machines. W przypadku lokalnych serwerów i maszyn wirtualnych z systemami Windows i Linux można ręcznie wdrożyć agenta, użyć narzędzia wdrażania organizacji, takiego jak Program Microsoft Endpoint Protection Manager, lub użyć metod wdrażania za pomocą skryptów. Usługa Defender for Cloud rozpoczyna ocenę stanu zabezpieczeń wszystkich maszyn wirtualnych, sieci, aplikacji i danych.
  • Microsoft Sentinel. To natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na zabezpieczenia (SOAR), które korzysta z zaawansowanej sztucznej inteligencji i analizy zabezpieczeń, aby ułatwić wykrywanie, wyszukiwanie, zapobieganie zagrożeniom i reagowanie na nie w całym przedsiębiorstwie.
  • Azure Stack. To portfolio produktów, które rozszerzają usługi i możliwości platformy Azure do wybranego środowiska— od centrum danych po lokalizacje brzegowe i biura zdalne. Systemy zintegrowane z usługą Azure Stack zwykle korzystają z stojaków od czterech do szesnastu serwerów, zbudowanych przez zaufanych partnerów sprzętowych i dostarczanych bezpośrednio do centrum danych.
  • Azure Monitor. Zbiera dane telemetryczne monitorowania z różnych źródeł lokalnych i platformy Azure. Narzędzia do zarządzania, takie jak narzędzia Microsoft Defender dla chmury i Azure Automation, również wypychają dane dziennika do usługi Azure Monitor.
  • Obszar roboczy usługi Log Analytics. Usługa Azure Monitor przechowuje dane dzienników w obszarze roboczym usługi Log Analytics, który jest kontenerem zawierającym dane i informacje o konfiguracji.
  • Agent usługi Log Analytics. Agent usługi Log Analytics zbiera dane monitorowania z systemu operacyjnego gościa i obciążeń maszyn wirtualnych na platformie Azure, innych dostawców usług w chmurze i lokalnych. Agent usługi Log Analytics obsługuje konfigurację serwera proxy i zazwyczaj w tym scenariuszu brama pakietu Microsoft Operations Management Suite (OMS) działa jako serwer proxy.
  • Sieć lokalna. Jest to zapora skonfigurowana do obsługi ruchu wychodzącego HTTPS ze zdefiniowanych systemów.
  • Lokalne systemy Windows i Linux. Systemy z zainstalowanym agentem usługi Log Analytics.
  • Maszyny wirtualne platformy Azure z systemem Windows i Linux. Systemy, na których zainstalowano Microsoft Defender dla agenta monitorowania w chmurze.

Składniki

Szczegóły scenariusza

Potencjalne przypadki użycia

Przykładowe typowe zastosowania tej architektury:

  • Najlepsze rozwiązania dotyczące integrowania lokalnego monitorowania zabezpieczeń i telemetrii z obciążeniami opartymi na platformie Azure
  • Jak zintegrować Microsoft Defender dla chmury z usługą Azure Stack
  • Jak zintegrować Microsoft Defender for Cloud z usługą Microsoft Sentinel

Zalecenia

Poniższe zalecenia dotyczą większości scenariuszy. Należy się do nich stosować, jeśli nie ma konkretnych wymagań, które byłyby z nimi sprzeczne.

Microsoft Defender na potrzeby uaktualniania chmury

Ta architektura referencyjna używa Microsoft Defender dla chmury do monitorowania systemów lokalnych, maszyn wirtualnych platformy Azure, zasobów usługi Azure Monitor, a nawet maszyn wirtualnych hostowanych przez innych dostawców chmury. Szczegółowe informacje na temat Microsoft Defender cennika chmury można znaleźć tutaj.

Dostosowany obszar roboczy usługi Log Analytics

Usługa Microsoft Sentinel wymaga dostępu do obszaru roboczego usługi Log Analytics. W tym scenariuszu nie można użyć domyślnego obszaru roboczego usługi Defender for Cloud Log Analytics z usługą Microsoft Sentinel. Musisz utworzyć dostosowany obszar roboczy. Przechowywanie danych dla dostosowanego obszaru roboczego jest oparte na warstwie cenowej obszaru roboczego i można znaleźć modele cen dla pozycji Monitorowanie dzienników tutaj.

Uwaga

Usługa Microsoft Sentinel może działać w obszarach roboczych w dowolnym regionie ogólnej dostępności usługi Log Analytics z wyjątkiem regionów Chiny i Niemcy (Suwerenne). Dane generowane przez usługę Microsoft Sentinel, takie jak incydenty, zakładki i reguły alertów, które mogą zawierać dane klientów pochodzące z tych obszarów roboczych, są zapisywane w Europie (w przypadku obszarów roboczych opartych na Europie), w Australii (w przypadku obszarów roboczych opartych na Australii) lub w regionie Wschodnie stany USA (w przypadku obszarów roboczych znajdujących się w dowolnym innym regionie).

Zagadnienia do rozważenia

Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.

Skalowalność

Agent usługi Log Analytics dla systemów Windows i Linux ma bardzo minimalny wpływ na wydajność maszyn wirtualnych lub systemów fizycznych.

Microsoft Defender dla procesu operacyjnego w chmurze nie zakłóca normalnych procedur operacyjnych. Zamiast tego pasywnie monitoruje wdrożenia i udostępnia zalecenia w oparciu o włączone zasady zabezpieczeń.

Możliwości zarządzania

Microsoft Defender dla ról chmury

Usługa Defender for Cloud ocenia konfigurację zasobów w celu identyfikowania problemów z zabezpieczeniami i luk w zabezpieczeniach oraz wyświetla informacje związane z zasobem po przypisaniu roli właściciela, współautora lub czytelnika dla subskrypcji lub grupy zasobów, do której należy zasób.

Oprócz tych ról istnieją dwie specyficzne role usługi Defender dla chmury:

  • Czytelnik zabezpieczeń. Użytkownik należący do tej roli ma prawa tylko do odczytu do usługi Defender for Cloud. Użytkownik może obserwować zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.

  • Administracja zabezpieczeń. Użytkownik należący do tej roli ma takie same uprawnienia jak czytelnik zabezpieczeń, a także może aktualizować zasady zabezpieczeń oraz odrzucać alerty i zalecenia. Zazwyczaj są to użytkownicy, którzy zarządzają obciążeniem.

  • Role zabezpieczeń, Czytelnik zabezpieczeń i Administracja zabezpieczeń mają dostęp tylko w usłudze Defender for Cloud. Role zabezpieczeń nie mają dostępu do innych obszarów usług platformy Azure, takich jak magazyn, sieć Web, urządzenia przenośne lub IoT.

Subskrypcja usługi Microsoft Sentinel

  • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.
  • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.
  • Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.

Zabezpieczenia

Zasady zabezpieczeń definiują zestaw mechanizmów kontroli, które są zalecane dla zasobów w ramach określonej subskrypcji. W Microsoft Defender dla chmury definiujesz zasady dla subskrypcji platformy Azure zgodnie z wymaganiami firmy dotyczącymi zabezpieczeń oraz typem aplikacji lub poufności danych dla każdej subskrypcji.

Zasady zabezpieczeń włączone w Microsoft Defender dla zaleceń dotyczących zabezpieczeń i monitorowania w chmurze. Aby dowiedzieć się więcej na temat zasad zabezpieczeń, zobacz Wzmacnianie zasad zabezpieczeń za pomocą Microsoft Defender for Cloud. Zasady zabezpieczeń można przypisywać w Microsoft Defender dla chmury tylko na poziomie grupy zarządzania lub subskrypcji.

Uwaga

Część jednej z szczegółów architektury referencyjnej dotycząca włączania Microsoft Defender dla chmury w celu monitorowania zasobów platformy Azure, systemów lokalnych i systemów usługi Azure Stack.

Optymalizacja kosztów

Optymalizacja kosztów dotyczy sposobów zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Omówienie filaru optymalizacji kosztów.

Jak opisano wcześniej, koszty wykraczające poza subskrypcję platformy Azure mogą obejmować:

  1. Microsoft Defender kosztów chmury. Aby uzyskać więcej informacji, zobacz Cennik usługi Defender for Cloud.
  2. Obszar roboczy usługi Azure Monitor oferuje stopień szczegółowości rozliczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie użyciem i kosztami za pomocą dzienników usługi Azure Monitor.
  3. Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.

Wdrażanie tego scenariusza

Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal

  1. Zaloguj się do Azure Portal jako użytkownik z uprawnieniami Administracja zabezpieczeń.
  2. W witrynie Azure Portal wybierz pozycję Wszystkie usługi. Na liście zasobów wprowadź log analytics. Po rozpoczęciu wprowadzania listy filtruje się na podstawie danych wejściowych. Wybierz pozycję Obszary robocze usługi Log Analytics.
  3. Wybierz pozycję Dodaj na stronie Log Analytics.
  4. Podaj nazwę nowego obszaru roboczego usługi Log Analytics, na przykład Defender for Cloud-SentinelWorkspace. Ta nazwa musi być globalnie unikatowa we wszystkich subskrypcjach usługi Azure Monitor.
  5. Wybierz subskrypcję, wybierając z listy rozwijanej, jeśli wybór domyślny nie jest odpowiedni.
  6. W obszarze Grupa zasobów wybierz opcję użycia istniejącej grupy zasobów lub utwórz nową.
  7. W polu Lokalizacja wybierz dostępną geolokalizację.
  8. Wybierz przycisk OK , aby ukończyć konfigurację. Nowy obszar roboczy utworzony dla architektury

Włączanie usługi Defender dla Chmury

Mimo że nadal logujesz się do Azure Portal jako użytkownik z uprawnieniami zabezpieczenia Administracja, wybierz pozycję Defender for Cloud w panelu. Usługa Defender for Cloud — omówienie zostanie otwarte:

Zostanie otwarty blok pulpitu nawigacyjnego Omówienie usługi Defender for Cloud

Usługa Defender for Cloud automatycznie włącza warstwę Bezpłatna dla wszystkich subskrypcji platformy Azure, które nie zostały wcześniej dołączone przez Ciebie lub innego użytkownika subskrypcji.

Uaktualnianie Microsoft Defender dla chmury

  1. W menu głównym usługi Defender for Cloud wybierz pozycję Wprowadzenie.
  2. Wybierz przycisk Uaktualnij teraz . Usługa Defender for Cloud zawiera listę subskrypcji i obszarów roboczych, które kwalifikują się do użycia.
  3. Możesz wybrać kwalifikujące się obszary robocze i subskrypcje i rozpocząć korzystanie z wersji próbnej. Wybierz wcześniej utworzony obszar roboczy ASC-SentinelWorkspace. Z menu rozwijanego.
  4. W menu głównym usługi Defender for Cloud wybierz pozycję Rozpocznij wersję próbną.
  5. Powinno zostać wyświetlone okno dialogowe Instalowanie agentów .
  6. Wybierz przycisk Zainstaluj agentów . Zostanie wyświetlony blok Defender for Cloud — Pokrycie i należy obserwować wybraną subskrypcję. Blok Pokrycie zabezpieczeń z wyświetlonymi subskrypcjami powinien być otwarty

Włączono automatyczną aprowizację, a usługa Defender for Cloud zainstaluje agenta usługi Log Analytics dla systemu Windows (HealthService.exe) oraz agenta omsagent dla systemu Linux na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych maszynach wirtualnych platformy Azure. Te zasady można wyłączyć i ręcznie nimi zarządzać, chociaż zdecydowanie zalecamy automatyczną aprowizację.

Aby dowiedzieć się więcej o określonych funkcjach usługi Defender for Cloud dostępnych w systemach Windows i Linux, zapoznaj się z tematem Pokrycie funkcji dla maszyn.

Włączanie Microsoft Defender na potrzeby monitorowania w chmurze lokalnych komputerów z systemem Windows

  1. W Azure Portal w bloku Defender for Cloud — Przegląd wybierz kartę Wprowadzenie.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics i powinna zawierać usługę Defender for Cloud-SentinelWorkspace.
  3. Wybierz ten obszar roboczy. Zostanie otwarty blok Agent bezpośredni z linkiem umożliwiającym pobranie agenta systemu Windows i kluczy na potrzeby identyfikacji obszaru roboczego (identyfikatora) używanego podczas konfigurowania agenta.
  4. Wybierz link Pobierz agenta systemu Windows odpowiadający typowi procesora komputera, aby pobrać plik instalacji.
  5. Po prawej stronie pozycji Identyfikator obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.
  6. Po prawej stronie pozycji Klucz podstawowy wybierz pozycję Kopiuj, a następnie wklej klucz do Notatnika.

Instalowanie agenta systemu Windows

Aby zainstalować agenta na komputerach docelowych, wykonaj następujące kroki.

  1. Skopiuj plik na komputer docelowy, a następnie uruchom Instalatora.
  2. Na stronie powitalnej wybierz pozycję Dalej.
  3. Na stronie Postanowienia licencyjne zapoznaj się z postanowieniami licencyjnymi, a następnie wybierz pozycję Zgadzam się.
  4. Na stronie Folder docelowy zmień lub pozostaw domyślny folder instalacji, a następnie wybierz pozycję Dalej.
  5. Na stronie Opcje instalacji agenta wybierz połączenie agenta z usługą Azure Log Analytics, a następnie wybierz pozycję Dalej.
  6. Na stronie Azure Log Analytics wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy) skopiowany do Notatnika w ramach poprzedniej procedury.
  7. Jeśli komputer powinien wysyłać raporty do obszaru roboczego usługi Log Analytics w chmurze Azure dla instytucji rządowych, wybierz Wersja platformy Azure dla administracji USA z listy rozwijanej Azure Cloud. Jeśli komputer musi komunikować się za pośrednictwem serwera proxy z usługą Log Analytics, wybierz pozycję Zaawansowane, a następnie podaj adres URL i numer portu serwera proxy.
  8. Po podaniu niezbędnych ustawień konfiguracji wybierz przycisk Dalej. Strona konfiguracji agenta usługi Log Analytics na potrzeby łączenia agenta z obszarem roboczym usługi Azure Log Analytics
  9. Na stronie Gotowe do zainstalowania przejrzyj wybrane opcje, a następnie wybierz pozycję Zainstaluj.
  10. Na stronie Konfiguracja została ukończona pomyślnie wybierz pozycję Zakończ.

Po zakończeniu agent usługi Log Analytics pojawi się w systemie Windows Panel sterowania i możesz przejrzeć konfigurację i sprawdzić, czy agent jest połączony.

Aby uzyskać więcej informacji na temat instalowania i konfigurowania agenta, zobacz Instalowanie agenta usługi Log Analytics na komputerach z systemem Windows.

Usługa Agent usługi Log Analytics zbiera dane o zdarzeniach i wydajności, wykonuje zadania i inne przepływy pracy zdefiniowane w pakiecie administracyjnym. Usługa Defender for Cloud rozszerza platformy ochrony obciążeń w chmurze dzięki integracji z usługą Microsoft Defender Advanced Threat Protection (ATP) dla serwerów. Razem zapewniają kompleksowe możliwości wykrywania i reagowania na punkty końcowe (EDR).

Aby uzyskać więcej informacji na temat usługi Microsoft Defender ATP, zobacz Dołączanie serwerów do usługi Microsoft Defender ATP.

Włączanie Microsoft Defender na potrzeby monitorowania w chmurze lokalnych komputerów z systemem Linux

  1. Wróć do karty Wprowadzenie, jak opisano wcześniej.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics. Lista powinna zawierać utworzoną usługę Defender for Cloud-SentinelWorkspace .
  3. W bloku Agent bezpośredni w obszarze POBIERANIE I DOŁĄCZANIE AGENTA DLA SYSTEMU LINUX wybierz pozycję Kopiuj , aby skopiować polecenie wget .
  4. Otwórz Notatnik, a następnie wklej to polecenie. Zapisz ten plik w lokalizacji, do której można uzyskać dostęp z komputera z systemem Linux.

Uwaga

W systemach operacyjnych Unix i Linux wget to narzędzie do pobierania plików nieinterakcyjnych z Internetu. Obsługuje protokoły HTTPS, FTP i serwery proxy.

Agent systemu Linux używa platformy Demon inspekcji systemu Linux. Usługa Defender for Cloud integruje funkcje z tej platformy w ramach agenta usługi Log Analytics, co umożliwia zbieranie, wzbogacanie i agregowanie rekordów inspekcji na zdarzenia przy użyciu agenta usługi Log Analytics dla systemu Linux. Usługa Defender for Cloud stale dodaje nową analizę, która używa sygnałów systemu Linux do wykrywania złośliwych zachowań na maszynach z systemem Linux w chmurze i na lokalnych maszynach z systemem Linux.

Aby uzyskać listę alertów systemu Linux, zapoznaj się z tabelą Referencyjna alertów.

Instalowanie agenta systemu Linux

Aby zainstalować agenta na docelowych komputerach z systemem Linux, wykonaj następujące kroki:

  1. Na komputerze z systemem Linux otwórz wcześniej zapisany plik. Zaznacz i skopiuj całą zawartość, otwórz konsolę terminalu, a następnie wklej polecenie .
  2. Po zakończeniu instalacji można sprawdzić, czy agent omsagent jest zainstalowany, uruchamiając polecenie pgrep . Polecenie zwróci identyfikator procesu omsagent (PID). Dzienniki agenta można znaleźć pod adresem: /var/opt/microsoft/omsagent/"identyfikator obszaru roboczego"/log/.

Wyświetlenie nowego komputera z systemem Linux w usłudze Defender for Cloud może potrwać do 30 minut.

Włączanie Microsoft Defender na potrzeby monitorowania chmury maszyn wirtualnych usługi Azure Stack

Po dołączeniu subskrypcji platformy Azure możesz włączyć usługę Defender for Cloud, aby chronić maszyny wirtualne uruchomione w usłudze Azure Stack, dodając rozszerzenie maszyn wirtualnych usługi Azure Monitor, aktualizacji i zarządzania konfiguracją z witryny Azure Stack Marketplace. W tym celu:

  1. Wróć do karty Wprowadzenie, jak opisano wcześniej.
  2. Wybierz pozycję Konfiguruj w obszarze Dodaj nowe komputery spoza platformy Azure. Zostanie wyświetlona lista obszarów roboczych usługi Log Analytics, która powinna zawierać utworzoną przestrzeń roboczą usługi Defender for Cloud-Sentinel .
  3. W bloku Agent bezpośredni dostępny jest link umożliwiający pobranie agenta i kluczy dla identyfikatora obszaru roboczego do użycia podczas konfigurowania agenta. Nie musisz ręcznie pobierać agenta. Zostanie ona zainstalowana jako rozszerzenie maszyny wirtualnej w poniższych krokach.
  4. Po prawej stronie pozycji Identyfikator obszaru roboczego wybierz pozycję Kopiuj, a następnie wklej identyfikator do Notatnika.
  5. Po prawej stronie pozycji Klucz podstawowy wybierz pozycję Kopiuj, a następnie wklej klucz do Notatnika.

Włączanie monitorowania usługi Defender dla chmury maszyn wirtualnych usługi Azure Stack

Microsoft Defender for Cloud używa rozszerzenia maszyny wirtualnej usługi Azure Monitor, aktualizacji i zarządzania konfiguracją dołączonego do usługi Azure Stack. Aby włączyć rozszerzenie Azure Monitor, Update and Configuration Management, wykonaj następujące kroki:

  1. Na nowej karcie przeglądarki zaloguj się do portalu usługi Azure Stack .
  2. Zapoznaj się ze stroną Maszyny wirtualne , a następnie wybierz maszynę wirtualną, którą chcesz chronić za pomocą usługi Defender for Cloud.
  3. Wybierz pozycję Rozszerzenia. Zostanie wyświetlona lista rozszerzeń maszyn wirtualnych zainstalowanych na tej maszynie wirtualnej.
  4. Wybierz kartę Dodaj . Zostanie otwarty blok Menu Nowy zasób i zostanie wyświetlona lista dostępnych rozszerzeń maszyn wirtualnych.
  5. Wybierz rozszerzenie Azure Monitor, Update and Configuration Management, a następnie wybierz pozycję Utwórz. Zostanie otwarty blok Zainstaluj konfigurację rozszerzenia .
  6. W bloku Instalowanie konfiguracji rozszerzenia wklej identyfikator obszaru roboczego i klucz obszaru roboczego (klucz podstawowy), który został skopiowany do Notatnika w poprzedniej procedurze.
  7. Po zakończeniu podawania niezbędnych ustawień konfiguracji wybierz przycisk OK.
  8. Po zakończeniu instalacji rozszerzenia jego stan będzie wyświetlany jako Aprowizacja powiodła się. Wyświetlenie maszyny wirtualnej w portalu usługi Defender for Cloud może potrwać do jednej godziny.

Aby uzyskać więcej informacji na temat instalowania i konfigurowania agenta dla systemu Windows, zobacz Instalowanie agenta przy użyciu kreatora instalacji.

Aby rozwiązać problemy z agentem systemu Linux, zobacz Jak rozwiązywać problemy z agentem usługi Log Analytics dla systemu Linux.

Teraz możesz monitorować maszyny wirtualne platformy Azure oraz komputery spoza platformy Azure w jednym miejscu. Usługa Azure Compute zawiera omówienie wszystkich maszyn wirtualnych i komputerów wraz z zaleceniami. Każda kolumna reprezentuje jeden zestaw zaleceń, a kolor reprezentuje maszyny wirtualne lub komputery oraz bieżący stan zabezpieczeń dla tego zalecenia. Usługa Defender for Cloud udostępnia również wszelkie wykrycia dla tych komputerów w alertach zabezpieczeń. Lista systemów monitorowanych w bloku Obliczenia w usłudze Defender for Cloud

Istnieją dwa typy ikon przedstawianych w bloku Obliczanie:

Fioletowa ikona komputera reprezentująca komputer niemonitorowany przez platformę Azure Komputer spoza platformy Azure

Niebieska ikona terminalu reprezentująca monitorowany komputer platformy Azure Komputer platformy Azure

Uwaga

Druga część architektury referencyjnej łączy alerty z Microsoft Defender for Cloud i przesyła je strumieniowo do usługi Microsoft Sentinel.

Rolą usługi Microsoft Sentinel jest pozyskiwanie danych z różnych źródeł danych i wykonywanie korelacji danych w tych źródłach danych. Usługa Microsoft Sentinel wykorzystuje uczenie maszynowe i sztuczną inteligencję do inteligentnego wyszukiwania zagrożeń, wykrywania alertów i reagowania na zagrożenia.

Aby dołączyć usługę Microsoft Sentinel, musisz ją włączyć, a następnie połączyć źródła danych. Usługa Microsoft Sentinel oferuje wiele łączników dla rozwiązań firmy Microsoft, które są dostępne w tym miejscu i zapewniają integrację w czasie rzeczywistym, w tym microsoft Security Center, rozwiązania Microsoft Threat Protection, źródła platformy Microsoft 365 (w tym Office 365), usługę Azure Active Directory (Azure AD), usługę Azure ATP, Microsoft Defender for Cloud Apps i nie tylko. Ponadto istnieją wbudowane łączniki dla szerszego ekosystemu zabezpieczeń obejmującego rozwiązania firm innych niż Microsoft. Do łączenia źródeł danych z usługą Microsoft Sentinel można również użyć formatu common Event Format, dziennika systemu lub interfejsu API transferu stanu reprezentacji.

Wymagania dotyczące integracji usługi Microsoft Sentinel z Microsoft Defender for Cloud

  1. Subskrypcja platformy Microsoft Azure
  2. Obszar roboczy usługi Log Analytics, który nie jest domyślnym obszarem roboczym utworzonym podczas włączania Microsoft Defender dla chmury.
  3. Microsoft Defender dla chmury.

Wszystkie trzy wymagania powinny być spełnione, jeśli przepracowaliśmy poprzednią sekcję.

Globalne wymagania wstępne

  • Aby włączyć usługę Microsoft Sentinel, musisz mieć uprawnienia współautora do subskrypcji, w której znajduje się obszar roboczy usługi Microsoft Sentinel.
  • Aby korzystać z usługi Microsoft Sentinel, musisz mieć uprawnienia współautora lub czytelnika w grupie zasobów, do której należy obszar roboczy.
  • Może być konieczne dodatkowe uprawnienia do łączenia określonych źródeł danych. Nie potrzebujesz dodatkowych uprawnień do nawiązywania połączenia z usługą Defender for Cloud.
  • Microsoft Sentinel to płatna usługa. Aby uzyskać więcej informacji, zobacz Cennik usługi Microsoft Sentinel.

Włączanie usługi Microsoft Sentinel

  1. Zaloguj się do Azure Portal przy użyciu użytkownika z prawami współautora dla usługi Defender for Cloud-Sentinelworkspace.
  2. Wyszukaj i wybierz pozycję Microsoft Sentinel. W Azure Portal wyszukaj termin
  3. Wybierz pozycję Dodaj.
  4. W bloku Microsoft Sentinel wybierz pozycję Defender for Cloud-Sentinelworkspace.
  5. W usłudze Microsoft Sentinel wybierz pozycję Łączniki danych z menu nawigacji .
  6. W galerii łączników danych wybierz pozycję Microsoft Defender dla chmury, a następnie wybierz przycisk Otwórz łącznik. W usłudze Microsoft Sentinel z otwartą stroną Moduły zbierające
  7. W obszarze Konfiguracja wybierz pozycję Połącz obok tych subskrypcji, dla których chcesz przesyłać strumieniowo alerty do usługi Microsoft Sentinel. Przycisk Połącz będzie dostępny tylko wtedy, gdy masz wymagane uprawnienia i subskrypcję usługi Defender for Cloud.
  8. Stan połączenia powinien być teraz obserwowany jako Łączenie. Po nawiązaniu połączenia przełączy się na Połączono.
  9. Po potwierdzeniu łączności możesz zamknąć ustawienia łącznika danych usługi Defender for Cloud i odświeżyć stronę, aby obserwować alerty w usłudze Microsoft Sentinel. Rozpoczęcie synchronizacji z usługą Microsoft Sentinel może zająć trochę czasu. Po nawiązaniu połączenia zobaczysz podsumowanie danych na wykresie Odebrane dane i stan łączności typów danych.
  10. Możesz wybrać, czy alerty z Microsoft Defender dla chmury mają automatycznie generować zdarzenia w usłudze Microsoft Sentinel. W obszarze Tworzenie zdarzeń wybierz pozycję Włączone , aby włączyć domyślną regułę analizy, która automatycznie tworzy zdarzenia na podstawie alertów. Następnie możesz edytować tę regułę w obszarze Analiza na karcie Aktywne reguły .
  11. Aby użyć odpowiedniego schematu w usłudze Log Analytics dla alertów Microsoft Defender w chmurze, wyszukaj pozycję SecurityAlert.

Jedną z zalet korzystania z usługi Microsoft Sentinel jako rozwiązania SIEM jest zapewnienie korelacji danych w wielu źródłach, co umożliwia kompleksową widoczność zdarzeń związanych z zabezpieczeniami organizacji.

Uwaga

Aby dowiedzieć się, jak zwiększyć widoczność danych i zidentyfikować potencjalne zagrożenia, zapoznaj się z podręcznikami platformy Azure w galerii TechNet, która zawiera kolekcję zasobów, w tym laboratorium, w którym można symulować ataki. Nie należy używać tego laboratorium w środowisku produkcyjnym.

Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zapoznaj się z następującymi artykułami:

  • Szybki start: rozpoczynanie pracy z usługą Microsoft Sentinel
  • Samouczek: wykrywanie zagrożeń poza urządzeniem

Następne kroki

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack