Konfigurowanie automatycznego aprowizowania

  • 17 min

Microsoft Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure, zestawów skalowania maszyn wirtualnych, kontenerów IaaS i maszyn spoza platformy Azure (w tym lokalnych) w celu monitorowania luk w zabezpieczeniach i zagrożeń.

Zbieranie danych jest wymagane, aby zapewnić wgląd w brakujące aktualizacje, nieprawidłowo skonfigurowane ustawienia zabezpieczeń systemu operacyjnego, stan ochrony punktu końcowego oraz kondycję i ochronę przed zagrożeniami. Zbieranie danych jest wymagane tylko w przypadku zasobów obliczeniowych (maszyn wirtualnych, zestawów skalowania maszyn wirtualnych, kontenerów IaaS i komputerów spoza platformy Azure). Możesz skorzystać z Defender dla Chmury, nawet jeśli nie aprowizujesz agentów. Jednak masz ograniczone zabezpieczenia, a wymienione powyżej możliwości nie są obsługiwane.

Dane są zbierane przy użyciu:

  • Agent usługi Log Analytics, który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego na potrzeby analizy. Przykłady takich danych to typ i wersja systemu operacyjnego, dzienniki systemu operacyjnego (dzienniki zdarzeń systemu Windows), uruchomione procesy, nazwa maszyny, adresy IP i zalogowany użytkownik.

  • Rozszerzenia zabezpieczeń, takie jak dodatek usługi Azure Policy dla platformy Kubernetes, który może również udostępniać dane usłudze Security Center w odniesieniu do wyspecjalizowanych typów zasobów.

Screenshot of Auto provisioning settings.

Dlaczego warto używać automatycznej aprowizacji?

Każdy z agentów i rozszerzeń opisanych na tej stronie można zainstalować ręcznie. Jednak automatyczna aprowizacja zmniejsza obciążenie związane z zarządzaniem przez zainstalowanie wszystkich wymaganych agentów i rozszerzeń w istniejących i nowych maszynach w celu zapewnienia szybszego pokrycia zabezpieczeń dla wszystkich obsługiwanych zasobów.

Jak działa automatyczna aprowizacja?

Ustawienia automatycznej aprowizacji Defender dla Chmury s mają przełącznik dla każdego typu obsługiwanego rozszerzenia. Po włączeniu automatycznej aprowizacji rozszerzenia należy przypisać odpowiednie zasady Wdróż, jeśli nie istnieje, aby upewnić się, że rozszerzenie jest aprowizowane we wszystkich istniejących i przyszłych zasobach tego typu.

Włączanie automatycznej aprowizacji agenta usługi Log Analytics

Gdy automatyczna aprowizacja jest włączona dla agenta usługi Log Analytics, Defender dla Chmury wdraża agenta na wszystkich obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych.

Aby włączyć automatyczną aprowizację agenta usługi Log Analytics:

  1. Z menu Defender dla Chmury s wybierz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednią subskrypcję.

  3. Na stronie Automatyczna aprowizacja ustaw stan automatycznej aprowizacji agenta usługi Log Analytics na wł.

  4. W okienku opcji konfiguracji zdefiniuj obszar roboczy do użycia.

Połączenie maszyn wirtualnych platformy Azure do domyślnych obszarów roboczych utworzonych przez Defender dla Chmury — Defender dla Chmury tworzy nową grupę zasobów i domyślny obszar roboczy w tej samej geolokalizacji i łączy agenta z tym obszarem roboczym. Jeśli subskrypcja zawiera maszyny wirtualne z wielu geolokalizacji, Defender dla Chmury tworzy wiele obszarów roboczych w celu zapewnienia zgodności z wymaganiami dotyczącymi prywatności danych.

Konwencja nazewnictwa obszaru roboczego i grupy zasobów to:

  • Obszar roboczy: DefaultWorkspace-[identyfikator-subskrypcji]-[lokalizacja-geograficzna]
  • Grupa zasobów: DefaultResourceGroup-[geo]

Defender dla Chmury automatycznie włącza rozwiązania Defender dla Chmury w obszarze roboczym zgodnie z warstwą cenową ustawioną dla subskrypcji.

Połączenie maszyn wirtualnych platformy Azure do innego obszaru roboczego — z listy rozwijanej wybierz obszar roboczy do przechowywania zebranych danych. Lista rozwijana zawiera wszystkie obszary robocze we wszystkich subskrypcjach. Ta opcja umożliwia zbieranie danych z maszyn wirtualnych uruchomionych w różnych subskrypcjach i przechowywanie ich wszystkich w wybranym obszarze roboczym.

Jeśli masz już istniejący obszar roboczy usługi Log Analytics, możesz użyć tego samego obszaru roboczego (wymaga uprawnień do odczytu i zapisu w obszarze roboczym). Ta opcja jest przydatna, jeśli używasz scentralizowanego obszaru roboczego w organizacji i chcesz używać go do zbierania danych zabezpieczeń. Dowiedz się więcej w artykule Zarządzanie dostępem do danych dzienników i obszarów roboczych w usłudze Azure Monitor.

Jeśli wybrany obszar roboczy ma już włączone rozwiązanie Zabezpieczenia lub Defender dla Chmury Bezpłatne, cennik zostanie ustawiony automatycznie. Jeśli nie, zainstaluj rozwiązanie Defender dla Chmury w obszarze roboczym.

Włączanie automatycznej aprowizacji rozszerzeń

Aby włączyć automatyczną aprowizację rozszerzenia innego niż agent usługi Log Analytics:

  1. W menu Defender dla Chmury s w witrynie Azure Portal wybierz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednią subskrypcję.

  3. Wybierz pozycję Automatyczna aprowizacja.

  4. Jeśli włączasz automatyczną aprowizację agenta Microsoft Dependency Agent, upewnij się, że agent usługi Log Analytics jest również ustawiony na automatyczne wdrażanie.

  5. Przełącz stan na Wł. dla odpowiedniego rozszerzenia.

  6. Wybierz pozycję Zapisz. Zasady platformy Azure są przypisywane i tworzone jest zadanie korygowania.

Opcje zdarzeń zabezpieczeń systemu Windows dla agenta usługi Log Analytics

Wybranie warstwy zbierania danych w Defender dla Chmury wpływa tylko na przechowywanie zdarzeń zabezpieczeń w obszarze roboczym usługi Log Analytics. Agent usługi Log Analytics będzie nadal zbierać i analizować zdarzenia zabezpieczeń wymagane do ochrony przed zagrożeniami Defender dla Chmury, niezależnie od poziomu zdarzeń zabezpieczeń, które mają być przechowywane w obszarze roboczym. Wybranie opcji przechowywania zdarzeń zabezpieczeń umożliwia badanie, wyszukiwanie i inspekcję tych zdarzeń w obszarze roboczym.

Defender dla Chmury jest wymagany do przechowywania danych zdarzeń zabezpieczeń systemu Windows. Przechowywanie danych w usłudze Log Analytics może spowodować naliczenie większej opłaty za magazyn danych.

Informacje dotyczące użytkowników usługi Microsoft Sentinel

Użytkownicy usługi Microsoft Sentinel: należy pamiętać, że zbieranie zdarzeń zabezpieczeń w kontekście jednego obszaru roboczego można skonfigurować z Microsoft Defender dla Chmury lub usługi Microsoft Sentinel, ale nie z obu tych elementów. Jeśli planujesz dodać usługę Microsoft Sentinel do obszaru roboczego, który już otrzymuje alerty z Microsoft Defender dla Chmury, a jego zestaw do zbierania zdarzeń zabezpieczeń, masz dwie opcje:

  • Pozostaw kolekcję Zdarzenia zabezpieczeń w Defender dla Chmury, tak jak to jest. Będziesz mieć możliwość wykonywania zapytań i analizowania tych zdarzeń w usłudze Microsoft Sentinel i Defender dla Chmury. Nie będzie jednak można monitorować stanu łączności łącznika ani zmieniać jego konfiguracji w usłudze Microsoft Sentinel. Jeśli monitorowanie lub dostosowywanie łącznika jest dla Ciebie ważne, rozważ drugą opcję.

  • Wyłącz zbieranie zdarzeń zabezpieczeń w Defender dla Chmury (przez ustawienie zdarzeń zabezpieczeń systemu Windows na Wartość Brak w konfiguracji agenta usługi Log Analytics). Następnie dodaj łącznik Zdarzenia zabezpieczeń w usłudze Microsoft Sentinel. Podobnie jak w przypadku pierwszej opcji, będziesz mieć możliwość wykonywania zapytań i analizowania zdarzeń zarówno w usłudze Microsoft Sentinel, jak i Defender dla Chmury, ale teraz będzie można monitorować stan łączności łącznika lub zmieniać jego konfigurację — i tylko w usłudze Microsoft Sentinel.

Jakie typy zdarzeń są przechowywane dla wartości "Common" i "Minimal"?

Zestawy te zostały zaprojektowane w celu rozwiązania typowych scenariuszy. Przed wdrożeniem należy ocenić, która z nich odpowiada Twoim potrzebom.

Aby określić zdarzenia dotyczące typowych i minimalnych opcji, pracowaliśmy z klientami i standardami branżowymi, aby dowiedzieć się więcej na temat niefiltrowanej częstotliwości każdego zdarzenia i ich użycia. W tym procesie użyliśmy następujących wytycznych:

  • Minimalny — upewnij się, że ten zestaw obejmuje tylko zdarzenia, które mogą wskazywać na pomyślne naruszenie i ważne zdarzenia, które mają małą ilość. Na przykład ten zestaw zawiera pomyślne i nieudane logowania użytkownika (identyfikatory zdarzeń 4624, 4625), ale nie zawiera wylogowań, co jest ważne w przypadku inspekcji, ale nie ma znaczenia dla wykrywania i ma stosunkowo dużą ilość. Większość danych tego zestawu to zdarzenia logowania i zdarzenie tworzenia procesu (identyfikator zdarzenia 4688).

  • Wspólne — podaj pełny dziennik inspekcji użytkownika w tym zestawie. Na przykład ten zestaw zawiera zarówno identyfikatory logowania użytkownika, jak i wylogowania użytkownika (identyfikator zdarzenia 4634). Obejmujemy akcje inspekcji, takie jak zmiany grupy zabezpieczeń, operacje kerberos kontrolera domeny klucza i inne zdarzenia zalecane przez organizacje branżowe.

Zdarzenia z małą ilością zostały uwzględnione w zestawie Common jako główną motywacją do wybrania go we wszystkich zdarzeniach jest zmniejszenie woluminu i nie filtrowanie określonych zdarzeń.