Zbieranie danych z obciążeń za pomocą agenta usługi Log Analytics

Konfigurowanie agenta i obszarów roboczych usługi Log Analytics

Gdy agent usługi Log Analytics jest włączony, Defender dla Chmury wdraża agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych. Aby uzyskać listę obsługiwanych platform, zobacz Obsługiwane platformy w Microsoft Defender dla Chmury.

Aby skonfigurować integrację z agentem usługi Log Analytics:

1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

2. Wybierz odpowiednią subskrypcję.

3. W kolumnie Pokrycie monitorowania planów usługi Defender wybierz pozycję Ustawienia.

4. W okienku opcji konfiguracji zdefiniuj obszar roboczy do użycia.

   

   • Połączenie maszyn wirtualnych platformy Azure do domyślnych obszarów roboczych utworzonych przez Defender dla Chmury — Defender dla Chmury tworzy nową grupę zasobów i domyślny obszar roboczy w tym samym geolokalizacji i łączy agenta z tym obszarem roboczym. Jeśli subskrypcja zawiera maszyny wirtualne z wielu geolokalizacji, Defender dla Chmury tworzy wiele obszarów roboczych w celu zapewnienia zgodności z wymaganiami dotyczącymi prywatności danych.

     Konwencja nazewnictwa obszaru roboczego i grupy zasobów to:

     • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]
     • Grupa zasobów: DefaultResourceGroup-[geo]

     Rozwiązanie Defender dla Chmury jest automatycznie włączone w obszarze roboczym zgodnie z warstwą cenową ustawioną dla subskrypcji.

     Napiwek

     Aby uzyskać pytania dotyczące domyślnych obszarów roboczych, zobacz:

     • Czy są naliczane opłaty za dzienniki usługi Azure Monitor w obszarach roboczych utworzonych przez Defender dla Chmury?
     • Gdzie jest tworzony domyślny obszar roboczy usługi Log Analytics?
     • Czy mogę usunąć domyślne obszary robocze utworzone przez Defender dla Chmury?

   • Połączenie maszyn wirtualnych platformy Azure do innego obszaru roboczego — z listy rozwijanej wybierz obszar roboczy do przechowywania zebranych danych. Lista rozwijana zawiera wszystkie obszary robocze we wszystkich subskrypcjach. Ta opcja umożliwia zbieranie danych z maszyn wirtualnych uruchomionych w różnych subskrypcjach i przechowywanie ich wszystkich w wybranym obszarze roboczym.

     Jeśli masz już istniejący obszar roboczy usługi Log Analytics, możesz użyć tego samego obszaru roboczego (wymaga uprawnień do odczytu i zapisu w obszarze roboczym). Ta opcja jest przydatna, jeśli używasz scentralizowanego obszaru roboczego w organizacji i chcesz używać go do zbierania danych zabezpieczeń. Dowiedz się więcej w artykule Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor.

     Jeśli wybrany obszar roboczy ma już włączone rozwiązanie "Zabezpieczenia" lub "SecurityCenterFree", cennik zostanie ustawiony automatycznie. Jeśli nie, zainstaluj rozwiązanie Defender dla Chmury w obszarze roboczym:

     1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.
     2. Wybierz obszar roboczy, do którego będziesz łączyć agentów.
     3. Ustaw pozycję Zarządzanie stanem zabezpieczeń na włączone lub wybierz pozycję Włącz wszystko , aby włączyć wszystkie plany usługi Microsoft Defender.

5. W konfiguracji zdarzeń zabezpieczeń systemu Windows wybierz ilość nieprzetworzonych danych zdarzeń do przechowywania:

   • Brak — wyłącz magazyn zdarzeń zabezpieczeń. (Domyślna)
   • Minimalny — mały zestaw zdarzeń, dla których chcesz zminimalizować wolumin zdarzeń.
   • Common — zestaw zdarzeń, który spełnia większość klientów i zapewnia pełny dziennik inspekcji.
   • Wszystkie zdarzenia — dla klientów, którzy chcą upewnić się, że wszystkie zdarzenia są przechowywane.

   Napiwek

   Aby ustawić te opcje na poziomie obszaru roboczego, zobacz Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczego.

   Aby uzyskać więcej informacji na temat tych opcji, zobacz Opcje zdarzeń zabezpieczeń systemu Windows dla agenta usługi Log Analytics.

6. Wybierz pozycję Zastosuj w okienku konfiguracji.

Opcje zdarzeń zabezpieczeń systemu Windows dla agenta usługi Log Analytics

Po wybraniu warstwy zbierania danych w Microsoft Defender dla Chmury zdarzenia zabezpieczeń wybranej warstwy są przechowywane w obszarze roboczym usługi Log Analytics, aby umożliwić badanie, wyszukiwanie i inspekcję zdarzeń w obszarze roboczym. Agent usługi Log Analytics zbiera również i analizuje zdarzenia zabezpieczeń wymagane do ochrony przed zagrożeniami Defender dla Chmury.

Wymagania

Do przechowywania danych zdarzeń zabezpieczeń systemu Windows wymagane są zwiększone zabezpieczenia Defender dla Chmury. Dowiedz się więcej o rozszerzonych planach ochrony.

Może zostać naliczona opłata za przechowywanie danych w usłudze Log Analytics. Aby uzyskać więcej informacji, zobacz stronę z cennikiem.

Informacje dotyczące użytkowników usługi Microsoft Sentinel

Zbieranie zdarzeń zabezpieczeń w kontekście pojedynczego obszaru roboczego można skonfigurować z Microsoft Defender dla Chmury lub Microsoft Sentinel, ale nie z obu tych elementów. Jeśli chcesz dodać usługę Microsoft Sentinel do obszaru roboczego, który pobiera już alerty z Microsoft Defender dla Chmury i zbiera zdarzenia zabezpieczeń, możesz wykonać następujące czynności:

• Pozostaw kolekcję Zdarzenia zabezpieczeń w Microsoft Defender dla Chmury, tak jak to jest. Będziesz mieć możliwość wykonywania zapytań i analizowania tych zdarzeń zarówno w usłudze Microsoft Sentinel, jak i Defender dla Chmury. Jeśli chcesz monitorować stan łączności łącznika lub zmienić jego konfigurację w usłudze Microsoft Sentinel, rozważ drugą opcję.
• Wyłącz zbieranie zdarzeń zabezpieczeń w Microsoft Defender dla Chmury, a następnie dodaj łącznik Zdarzenia zabezpieczeń w usłudze Microsoft Sentinel. Będziesz mieć możliwość wykonywania zapytań i analizowania zdarzeń zarówno w usłudze Microsoft Sentinel, jak i Defender dla Chmury, ale będziesz również mieć możliwość monitorowania stanu łączności łącznika lub zmiany jego konfiguracji w usłudze — i tylko w usłudze Microsoft Sentinel. Aby wyłączyć zbieranie zdarzeń zabezpieczeń w Defender dla Chmury, ustaw dla zdarzeńzabezpieczeń systemu Windows wartość Brak w konfiguracji agenta usługi Log Analytics.

Jakie typy zdarzeń są przechowywane dla wartości "Common" i "Minimal"?

Zestawy typowych i minimalnych zdarzeń zostały zaprojektowane tak, aby sprostać typowym scenariuszom opartym na standardach branżowych i klientach dla niefiltrowanej częstotliwości każdego zdarzenia i ich użycia.

• Minimalny — ten zestaw ma obejmować tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie i ważne zdarzenia z małą ilością. Większość danych tego zestawu jest pomyślnie logowana przez użytkownika (identyfikator zdarzenia 4624), zdarzenia logowania użytkownika zakończone niepowodzeniem (identyfikator zdarzenia 4625) i zdarzenia tworzenia procesu (identyfikator zdarzenia 4688). Zdarzenia wylogowywanie są ważne tylko w przypadku inspekcji i mają stosunkowo dużą ilość, więc nie są uwzględniane w tym zestawie zdarzeń.
• Wspólne — ten zestaw ma na celu zapewnienie pełnego dziennika inspekcji użytkownika, w tym zdarzeń z małą ilością. Na przykład ten zestaw zawiera zdarzenia logowania użytkownika (identyfikator zdarzenia 4624) i zdarzenia wylogowania użytkownika (identyfikator zdarzenia 4634). Obejmujemy akcje inspekcji, takie jak zmiany grupy zabezpieczeń, operacje kerberos kontrolera domeny klucza i inne zdarzenia zalecane przez organizacje branżowe.

Oto pełny podział identyfikatorów zdarzeń funkcji Security and App Locker dla każdego zestawu:

Warstwa danych	Zebrane wskaźniki zdarzeń
Minimalny	1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
	4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Popularny	1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
	4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
	4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
	4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
	4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
	4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
	6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Uwaga

• Jeśli używasz obiektu zasad grupy (GPO), zaleca się włączenie zdarzeń tworzenia procesu inspekcji 4688 i pole CommandLine wewnątrz zdarzenia 4688. Aby uzyskać więcej informacji na temat zdarzenia tworzenia procesu 4688, zobacz często zadawane pytania Defender dla Chmury. Aby uzyskać więcej informacji na temat tych zasad inspekcji, zobacz Zasady inspekcji Rekomendacje.
• Aby włączyć zbieranie danych dla funkcji adaptacyjnego sterowania aplikacjami, Defender dla Chmury konfiguruje lokalne zasady funkcji AppLocker w trybie inspekcji, aby zezwalać na wszystkie aplikacje. Spowoduje to wygenerowanie zdarzeń przez funkcję AppLocker, które są następnie zbierane i używane przez Defender dla Chmury. Należy pamiętać, że te zasady nie zostaną skonfigurowane na żadnych maszynach, na których istnieją już skonfigurowane zasady funkcji AppLocker.
• Aby zebrać zdarzenie platformy filtrowania systemu Windows o identyfikatorze 5156, należy włączyć platformę filtrowania inspekcji Połączenie ion (Auditpol /set /subcategory:"Filtrowanie platformy Połączenie ion" /Success:Enable)

Ustawianie opcji zdarzenia zabezpieczeń na poziomie obszaru roboczego

Możesz zdefiniować poziom danych zdarzeń zabezpieczeń do przechowywania na poziomie obszaru roboczego.

1. W menu Defender dla Chmury w witrynie Azure Portal wybierz pozycję Ustawienia środowiska.

2. Wybierz odpowiedni obszar roboczy. Jedynymi zdarzeniami zbierania danych dla obszaru roboczego są zdarzenia zabezpieczeń systemu Windows opisane na tej stronie.

   

3. Wybierz ilość nieprzetworzonych danych zdarzenia do przechowywania i wybierz pozycję Zapisz.

Ręczna aprowizacja agenta

Aby ręcznie zainstalować agenta usługi Log Analytics:

1. W witrynie Azure Portal przejdź do strony Defender dla Chmury Środowisko Ustawienia.

2. Wybierz odpowiednią subskrypcję, a następnie wybierz pozycję Ustawienia i monitorowanie.

3. Wyłącz agenta usługi Log Analytics/agenta usługi Azure Monitor.

   

4. Opcjonalnie utwórz obszar roboczy.

5. Włącz Microsoft Defender dla Chmury w obszarze roboczym, w którym instalujesz agenta usługi Log Analytics:

   1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

   2. Ustaw obszar roboczy, w którym instalujesz agenta. Upewnij się, że obszar roboczy znajduje się w tej samej subskrypcji, której używasz w Defender dla Chmury i czy masz uprawnienia do odczytu/zapisu dla obszaru roboczego.

   3. Wybierz jedną lub obie opcje "Serwery" lub "Serwery SQL na maszynach"(Podstawowy CSPM jest bezpłatnym ustawieniem domyślnym), a następnie wybierz pozycję Zapisz.

      

      Uwaga

      Jeśli obszar roboczy ma już włączone rozwiązanie Security lub SecurityCenterFree , cennik zostanie ustawiony automatycznie.

6. Aby wdrożyć agentów na nowych maszynach wirtualnych przy użyciu szablonu usługi Resource Manager, zainstaluj agenta usługi Log Analytics:

   • Instalowanie agenta usługi Log Analytics dla systemu Windows
   • Instalowanie agenta usługi Log Analytics dla systemu Linux

7. Aby wdrożyć agentów na istniejących maszynach wirtualnych, postępuj zgodnie z instrukcjami w temacie Zbieranie danych dotyczących usługi Azure Virtual Machines (zbieranie danych dotyczących zdarzeń i wydajności jest opcjonalne).

8. Aby wdrożyć agentów przy użyciu programu PowerShell, skorzystaj z instrukcji z dokumentacji maszyn wirtualnych:

   • W przypadku maszyn z systemem Windows
   • W przypadku maszyn z systemem Linux

Napiwek

Aby uzyskać więcej informacji na temat dołączania, zobacz Automatyzowanie dołączania Microsoft Defender dla Chmury przy użyciu programu PowerShell.

Aby wyłączyć składniki monitorowania:

• Przejdź do planów usługi Defender i wyłącz plan korzystający z rozszerzenia, a następnie wybierz pozycję Zapisz.
• W przypadku planów usługi Defender, które mają ustawienia monitorowania, przejdź do ustawień planu usługi Defender, wyłącz rozszerzenie i wybierz pozycję Zapisz.

Uwaga

• Wyłączenie rozszerzeń nie powoduje usunięcia rozszerzeń z obciążeń, których dotyczy efekt.
• Aby uzyskać informacje na temat usuwania rozszerzenia pakietu OMS, zobacz Jak mogę usuwanie rozszerzeń pakietu OMS zainstalowanych przez Defender dla Chmury.