Udostępnij za pośrednictwem


Zbieranie danych z obciążeń za pomocą agenta usługi Log Analytics

Konfigurowanie agenta i obszarów roboczych usługi Log Analytics

Gdy agent usługi Log Analytics jest włączony, Defender dla Chmury wdraża agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych. Aby uzyskać listę obsługiwanych platform, zobacz Obsługiwane platformy w Microsoft Defender dla Chmury.

Aby skonfigurować integrację z agentem usługi Log Analytics:

  1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednią subskrypcję.

  3. W kolumnie Pokrycie monitorowania planów usługi Defender wybierz pozycję Ustawienia.

  4. W okienku opcji konfiguracji zdefiniuj obszar roboczy do użycia.

    Zrzut ekranu przedstawiający opcje konfiguracji agentów usługi Log Analytics dla maszyn wirtualnych.

    • Połącz maszyny wirtualne platformy Azure z domyślnymi obszarami roboczymi utworzonymi przez Defender dla Chmury — Defender dla Chmury tworzy nową grupę zasobów i domyślny obszar roboczy w tym samym geolokalizacji i łączy agenta z tym obszarem roboczym. Jeśli subskrypcja zawiera maszyny wirtualne z wielu geolokalizacji, Defender dla Chmury tworzy wiele obszarów roboczych w celu zapewnienia zgodności z wymaganiami dotyczącymi prywatności danych.

      Konwencja nazewnictwa obszaru roboczego i grupy zasobów to:

      • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]
      • Grupa zasobów: DefaultResourceGroup-[geo]

      Rozwiązanie Defender dla Chmury jest automatycznie włączone w obszarze roboczym zgodnie z warstwą cenową ustawioną dla subskrypcji.

    • Połącz maszyny wirtualne platformy Azure z innym obszarem roboczym — z listy rozwijanej wybierz obszar roboczy do przechowywania zebranych danych. Lista rozwijana zawiera wszystkie obszary robocze we wszystkich subskrypcjach. Ta opcja umożliwia zbieranie danych z maszyn wirtualnych uruchomionych w różnych subskrypcjach i przechowywanie ich wszystkich w wybranym obszarze roboczym.

      Jeśli masz już istniejący obszar roboczy usługi Log Analytics, możesz użyć tego samego obszaru roboczego (wymaga uprawnień do odczytu i zapisu w obszarze roboczym). Ta opcja jest przydatna, jeśli używasz scentralizowanego obszaru roboczego w organizacji i chcesz używać go do zbierania danych zabezpieczeń. Dowiedz się więcej w artykule Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor.

      Jeśli wybrany obszar roboczy ma już włączone rozwiązanie "Zabezpieczenia" lub "SecurityCenterFree", cennik zostanie ustawiony automatycznie. Jeśli nie, zainstaluj rozwiązanie Defender dla Chmury w obszarze roboczym:

      1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.
      2. Wybierz obszar roboczy, do którego będziesz łączyć agentów.
      3. Ustaw pozycję Zarządzanie stanem zabezpieczeń na włączone lub wybierz pozycję Włącz wszystko , aby włączyć wszystkie plany usługi Microsoft Defender.
  5. W konfiguracji zdarzeń zabezpieczeń systemu Windows wybierz ilość nieprzetworzonych danych zdarzeń do przechowywania:

    • Brak — wyłącz magazyn zdarzeń zabezpieczeń. (Domyślna)
    • Minimalny — mały zestaw zdarzeń, dla których chcesz zminimalizować wolumin zdarzeń.
    • Common — zestaw zdarzeń, który spełnia większość klientów i zapewnia pełny dziennik inspekcji.
    • Wszystkie zdarzenia — dla klientów, którzy chcą upewnić się, że wszystkie zdarzenia są przechowywane.

    Napiwek

    Aby ustawić te opcje na poziomie obszaru roboczego, zobacz Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczego.

    Aby uzyskać więcej informacji na temat tych opcji, zobacz Opcje zdarzeń zabezpieczeń systemu Windows dla agenta usługi Log Analytics.

  6. Wybierz pozycję Zastosuj w okienku konfiguracji.

Opcje zdarzeń zabezpieczeń systemu Windows dla agenta usługi Log Analytics

Po wybraniu warstwy zbierania danych w Microsoft Defender dla Chmury zdarzenia zabezpieczeń wybranej warstwy są przechowywane w obszarze roboczym usługi Log Analytics, aby umożliwić badanie, wyszukiwanie i inspekcję zdarzeń w obszarze roboczym. Agent usługi Log Analytics zbiera również i analizuje zdarzenia zabezpieczeń wymagane do ochrony przed zagrożeniami Defender dla Chmury.

Wymagania

Do przechowywania danych zdarzeń zabezpieczeń systemu Windows wymagane są zwiększone zabezpieczenia Defender dla Chmury. Dowiedz się więcej o rozszerzonych planach ochrony.

Może zostać naliczona opłata za przechowywanie danych w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz stronę z cennikiem.

Informacje dotyczące użytkowników usługi Microsoft Sentinel

Zbieranie zdarzeń zabezpieczeń w kontekście pojedynczego obszaru roboczego można skonfigurować z Microsoft Defender dla Chmury lub Microsoft Sentinel, ale nie z obu tych elementów. Jeśli chcesz dodać usługę Microsoft Sentinel do obszaru roboczego, który pobiera już alerty z Microsoft Defender dla Chmury i zbiera zdarzenia zabezpieczeń, możesz wykonać następujące czynności:

  • Pozostaw kolekcję Zdarzenia zabezpieczeń w Microsoft Defender dla Chmury, tak jak to jest. Będziesz mieć możliwość wykonywania zapytań i analizowania tych zdarzeń zarówno w usłudze Microsoft Sentinel, jak i Defender dla Chmury. Jeśli chcesz monitorować stan łączności łącznika lub zmienić jego konfigurację w usłudze Microsoft Sentinel, rozważ drugą opcję.
  • Wyłącz zbieranie zdarzeń zabezpieczeń w Microsoft Defender dla Chmury, a następnie dodaj łącznik Zdarzenia zabezpieczeń w usłudze Microsoft Sentinel. Będziesz mieć możliwość wykonywania zapytań i analizowania zdarzeń zarówno w usłudze Microsoft Sentinel, jak i Defender dla Chmury, ale będziesz również mieć możliwość monitorowania stanu łączności łącznika lub zmiany jego konfiguracji w usłudze — i tylko w usłudze Microsoft Sentinel. Aby wyłączyć zbieranie zdarzeń zabezpieczeń w Defender dla Chmury, ustaw dla zdarzeń zabezpieczeń systemu Windows wartość Brak w konfiguracji agenta usługi Log Analytics.

Jakie typy zdarzeń są przechowywane dla wartości "Common" i "Minimal"?

Zestawy typowych i minimalnych zdarzeń zostały zaprojektowane tak, aby sprostać typowym scenariuszom opartym na standardach branżowych i klientach dla niefiltrowanej częstotliwości każdego zdarzenia i ich użycia.

  • Minimalny — ten zestaw ma obejmować tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie i ważne zdarzenia z małą ilością. Większość danych tego zestawu jest pomyślnie logowana przez użytkownika (identyfikator zdarzenia 4624), zdarzenia logowania użytkownika zakończone niepowodzeniem (identyfikator zdarzenia 4625) i zdarzenia tworzenia procesu (identyfikator zdarzenia 4688). Zdarzenia wylogowywanie są ważne tylko w przypadku inspekcji i mają stosunkowo dużą ilość, więc nie są uwzględniane w tym zestawie zdarzeń.
  • Wspólne — ten zestaw ma na celu zapewnienie pełnego dziennika inspekcji użytkownika, w tym zdarzeń z małą ilością. Na przykład ten zestaw zawiera zdarzenia logowania użytkownika (identyfikator zdarzenia 4624) i zdarzenia wylogowania użytkownika (identyfikator zdarzenia 4634). Obejmujemy akcje inspekcji, takie jak zmiany grupy zabezpieczeń, operacje kerberos kontrolera domeny klucza i inne zdarzenia zalecane przez organizacje branżowe.

Oto pełny podział identyfikatorów zdarzeń funkcji Security and App Locker dla każdego zestawu:

Warstwa danych Zebrane wskaźniki zdarzeń
Minimalny 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Popularny 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Uwaga

  • Jeśli używasz obiektu zasad grupy (GPO), zaleca się włączenie zdarzeń tworzenia procesu inspekcji 4688 i pole CommandLine wewnątrz zdarzenia 4688. Aby uzyskać więcej informacji na temat zdarzenia tworzenia procesu 4688, zobacz często zadawane pytania Defender dla Chmury. Aby uzyskać więcej informacji na temat tych zasad inspekcji, zobacz Zalecenia dotyczące zasad inspekcji.
  • Aby zebrać zdarzenie platformy filtrowania systemu Windows o identyfikatorze 5156, należy włączyć połączenie platformy filtrowania inspekcji (Auditpol /set /subcategory:"Filtrowanie połączenia platformy" /Success:Enable)

Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczego

Możesz zdefiniować poziom danych zdarzeń zabezpieczeń do przechowywania na poziomie obszaru roboczego.

  1. W menu Defender dla Chmury w witrynie Azure Portal wybierz pozycję Ustawienia środowiska.

  2. Wybierz odpowiedni obszar roboczy. Jedynymi zdarzeniami zbierania danych dla obszaru roboczego są zdarzenia zabezpieczeń systemu Windows opisane na tej stronie.

    Zrzut ekranu przedstawiający ustawianie danych zdarzeń zabezpieczeń do przechowywania w obszarze roboczym.

  3. Wybierz ilość nieprzetworzonych danych zdarzenia do przechowywania i wybierz pozycję Zapisz.

Ręczna aprowizacja agenta

Aby ręcznie zainstalować agenta usługi Log Analytics:

  1. W witrynie Azure Portal przejdź do strony Ustawienia środowiska Defender dla Chmury.

  2. Wybierz odpowiednią subskrypcję, a następnie wybierz pozycję Ustawienia i monitorowanie.

  3. Wyłącz agenta usługi Log Analytics/agenta usługi Azure Monitor.

    Zrzut ekranu przedstawiający wyłączenie ustawienia usługi Log Analytics.

  4. Opcjonalnie utwórz obszar roboczy.

  5. Włącz Microsoft Defender dla Chmury w obszarze roboczym, w którym instalujesz agenta usługi Log Analytics:

    1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

    2. Ustaw obszar roboczy, w którym instalujesz agenta. Upewnij się, że obszar roboczy znajduje się w tej samej subskrypcji, której używasz w Defender dla Chmury i czy masz uprawnienia do odczytu/zapisu dla obszaru roboczego.

    3. Wybierz jedną lub obie opcje "Serwery" lub "Serwery SQL na maszynach"(Podstawowy CSPM jest bezpłatnym ustawieniem domyślnym), a następnie wybierz pozycję Zapisz.

      Zrzut ekranu pokazujący, gdzie ustawić obszar roboczy, w którym instalujesz agenta.

      Uwaga

      Jeśli obszar roboczy ma już włączone rozwiązanie Security lub SecurityCenterFree , cennik zostanie ustawiony automatycznie.

  6. Aby wdrożyć agentów na nowych maszynach wirtualnych przy użyciu szablonu usługi Resource Manager, zainstaluj agenta usługi Log Analytics:

  7. Aby wdrożyć agentów na istniejących maszynach wirtualnych, postępuj zgodnie z instrukcjami w temacie Zbieranie danych dotyczących usługi Azure Virtual Machines (zbieranie danych dotyczących zdarzeń i wydajności jest opcjonalne).

  8. Aby wdrożyć agentów przy użyciu programu PowerShell, skorzystaj z instrukcji z dokumentacji maszyn wirtualnych:

Napiwek

Aby uzyskać więcej informacji na temat dołączania, zobacz Automatyzowanie dołączania Microsoft Defender dla Chmury przy użyciu programu PowerShell.

Aby wyłączyć składniki monitorowania:

  • Przejdź do planów usługi Defender i wyłącz plan korzystający z rozszerzenia, a następnie wybierz pozycję Zapisz.
  • W przypadku planów usługi Defender, które mają ustawienia monitorowania, przejdź do ustawień planu usługi Defender, wyłącz rozszerzenie i wybierz pozycję Zapisz.

Uwaga