Coletar dados de suas cargas de trabalho com o agente do Log Analytics

Configurar o agente e os workspaces do Log Analytics

Quando o agente do Log Analytics estiver habilitado, o Defender para Nuvem implantará o agente em todas as VMs do Azure compatíveis, bem como naquelas que forem criadas. Para obter a lista de plataformas com suporte, confira Plataformas com suporte no Microsoft Defender para Nuvem.

Para configurar a integração com o agente do Log Analytics:

1. No menu do Defender para Nuvem, abra Configurações de ambiente.

2. Selecione a assinatura relevante.

3. Na coluna de Cobertura de monitoramento dos planos do Defender, selecione Configurações.

4. No painel Opções de configuração, defina o workspace a ser usado.

   

   • Conectar VMs do Azure aos workspaces padrão criados pelo Defender para Nuvem: o Defender para Nuvem cria um grupo de recursos e o workspace padrão na mesma geolocalização e conecta o agente a esse workspace. Se uma assinatura contiver VMs de várias geolocalizações, o Defender para Nuvem criará vários workspaces para garantir a conformidade com os requisitos de privacidade de dados.

     A convenção de nomenclatura para o grupo de recursos e o workspace é:

     • Workspace: DefaultWorkspace-[ID da assinatura]-[localização geográfica]
     • Grupo de recursos: DefaultResourceGroup- [geo]

     Uma solução do Defender para Nuvem é habilitada automaticamente no workspace conforme o tipo de preço definido para a assinatura.

     Dica

     Caso tenha dúvidas sobre os workspaces padrão, confira:

     • Há cobrança pelos logs do Azure Monitor nos workspaces criados pelo Defender para Nuvem?
     • Onde o workspace do Log Analytics padrão é criado?
     • Posso excluir os workspaces padrão criados pelo Defender para Nuvem?

   • Conectar VMs do Azure a outro workspace: na lista suspensa, selecione o workspace para armazenar os dados coletados. A lista suspensa inclui todos os workspaces em todas as suas assinaturas. Você pode usar essa opção para coletar dados de máquinas virtuais em execução em diferentes assinaturas e armazená-las no workspace selecionado.

     Se você já tiver um workspace do Log Analytics, o ideal será usar o mesmo workspace (exige permissões de leitura e gravação no workspace). Essa opção será útil se você estiver utilizando um workspace centralizado na sua organização e quiser usá-lo para coleta de dados de segurança. Saiba mais em Gerenciar o acesso a dados de log e workspaces no Azure Monitor.

     Caso o workspace selecionado já tenha uma solução "Security" ou "SecurityCenterFree" habilitada, o preço será definido de modo automático. Caso contrário, instale uma solução do Defender para Nuvem no workspace:

     1. No menu do Defender para Nuvem, abra Configurações de ambiente.
     2. Selecione o workspace ao qual você conectará os agentes.
     3. Defina o gerenciamento da postura de segurança como ativado ou selecione Habilitar todos para ativar todos os planos do Microsoft Defender.

5. Na configuração de eventos de segurança do Windows, selecione o volume de dados de eventos brutos a ser armazenado:

   • Nenhum – Desabilitar armazenamento de eventos de segurança. (Padrão)
   • Mínimo: um pequeno conjunto de eventos para quando você desejar minimizar o volume dos eventos.
   • Comum: um conjunto de eventos que satisfaz a maioria dos clientes e fornece uma trilha de auditoria completa.
   • Todos os eventos – Para clientes que querem garantir que todos os eventos sejam armazenados.

   Dica

   Para definir essas opções no nível do workspace, confira Como definir a opção de evento de segurança no nível do workspace.

   Para obter mais informações sobre essas opções, confira Opções de eventos de segurança do Windows para o agente do Log Analytics.

6. Selecione Aplicar no painel de configuração.

Opções de eventos de segurança do Windows para o agente do Log Analytics

Quando você seleciona uma camada de coleta de dados no Microsoft Defender para Nuvem, os eventos de segurança da camada selecionada são armazenados em seu workspace do Log Analytics para que você possa investigar, pesquisar e auditar os eventos no workspace. O agente do Log Analytics também coleta e analisa os eventos de segurança necessários para a proteção contra ameaças do Defender para Nuvem.

Requisitos

As proteções de segurança aprimoradas do Defender para Nuvem são necessárias para armazenar dados de eventos de segurança do Windows. Saiba mais sobre os planos de proteção aprimorados.

Você pode ser cobrado por armazenar dados no Log Analytics. Para saber mais, confira a página de preço.

Informações para usuários do Microsoft Sentinel

A coleta de eventos de segurança no contexto de um só workspace pode ser configurada no Microsoft Defender para Nuvem ou no Microsoft Sentinel, mas não em ambos. Se quiser adicionar o Microsoft Sentinel a um workspace que já recebe alertas do Microsoft Defender para Nuvem e coletar Eventos de Segurança, você poderá:

• Deixe a coleção de eventos de segurança no Microsoft Defender para Nuvem como está. Você poderá consultar e analisar esses eventos no Microsoft Sentinel e no Defender para Nuvem. Se quiser monitorar o status de conectividade do conector ou alterar a configuração dele no Microsoft Sentinel, considere a segunda opção.
• Desabilitar a coleta de Eventos de Segurança no Microsoft Defender para Nuvem e adicionar o conector de Eventos de Segurança no Microsoft Sentinel. Você poderá consultar e analisar eventos no Microsoft Sentinel e no Defender para Nuvem, mas também poderá monitorar o status de conectividade do conector ou alterar a configuração dele no Microsoft Sentinel e apenas nele. Para desabilitar a coleta de Eventos de Segurança no Defender para Nuvem, defina eventos de segurança do Windows como Nenhum na configuração do agente do Log Analytics.

Quais tipos de eventos são armazenados nas opções "Comum" e "Mínimo"?

Os conjuntos de eventos Comum e Mínimo foram projetados para lidar com cenários típicos baseados em padrões do cliente e do setor para a frequência não filtrada de cada evento e seu uso.

• Mínimo – esse conjunto destina-se a abranger apenas eventos que podem indicar uma violação bem-sucedida e eventos importantes com baixo volume. A maior parte do volume de dados desse conjunto consiste em logons de usuário bem-sucedidos (ID de evento 4624), eventos de logon de usuários com falha (ID de evento 4625) e eventos de criação de processos (ID de evento 4688). Os eventos de saída são importantes somente para auditoria e têm volume relativamente alto, portanto, não são incluídos nesse conjunto de eventos.
• Comum – esse conjunto destina-se a fornecer uma trilha de auditoria completa do usuário, incluindo eventos com baixo volume. Por exemplo, ele contém eventos de logon do usuário (ID do evento 4624) e eventos de logoff do usuário (ID do evento 4634). Incluímos ações de auditoria, como alterações de grupo de segurança, operações Kerberos do controlador de domínio de chave e outros eventos que são recomendados por organizações do setor.

Aqui está um detalhamento completo das IDs de eventos de Segurança e do Bloqueio de Aplicativo para cada conjunto:

Camada de dados	Indicadores de eventos coletados
Mínimo	1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
	4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Comum	1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
	4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
	4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
	4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
	4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
	4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
	6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Observação

• Se você está usando o GPO (Objeto de Política de Grupo), é recomendável habilitar o Evento de Criação de Processo 4688 das políticas de auditoria, bem como o campo CommandLine dentro do evento 4688. Para saber mais sobre o Evento de Criação de Processo 4688, confira as perguntas comuns do Defender para Nuvem. Para obter mais informações sobre essas políticas de auditoria, consulte Recomendações de Política de Auditoria.
• Para habilitar a coleta de dados para Controles de aplicativo adaptáveis, o Defender para Nuvem configura uma política do AppLocker local no modo de Auditoria para permitir todos os aplicativos. Isso fará com que o AppLocker gere eventos que são coletados e aproveitados pelo Defender para Nuvem. É importante observar que essa política não será configurada em computadores nos quais já houver uma política do AppLocker configurada.
• Para coletar a Plataforma para Filtros do Windows ID de evento 5156, será preciso habilitar a Conexão da Plataforma para Filtros de Auditoria (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Como configurar a opção de evento de segurança no nível do workspace

Você pode definir o nível dos dados de evento de segurança a serem armazenados no nível do workspace.

1. No menu do Defender para Nuvem, no portal do Azure, selecione Configurações de ambiente.

2. Selecione o workspace relevante. Os únicos eventos de coleta de dados para um workspace são os eventos de segurança do Windows descritos nesta página.

   

3. Selecione o volume de dados de eventos brutos a serem armazenados e escolha Salvar.

Provisionamento manual de agente

Para instalar manualmente o agente do Log Analytics:

1. No portal do Azure, navegue até a página de Configurações de Ambiente do Defender para Nuvem.

2. Selecione a assinatura relevante e, em seguida, selecione Configurações e monitoramento.

3. Desative o Agente de Log Analytics/Agente do Azure Monitor .

   

4. Opcionalmente, crie um workspace.

5. Habilite o Microsoft Defender para Nuvem no workspace no qual você está instalando o agente do Log Analytics:

   1. No menu do Defender para Nuvem, abra Configurações de ambiente.

   2. Defina o workspace no qual você está instalando o agente. Verifique se o workspace está na mesma assinatura usada no Defender para Nuvem e se você tem permissões de leitura/gravação no workspace.

   3. Selecione um ou ambos "Servidores" ou "Servidores SQL em máquinas" (CSPM fundamental é o padrão gratuito) e selecione Salvar.

      

      Observação

      Se o workspace já tiver uma solução de Segurança ou SecurityCenterFree habilitada, o preço será definido automaticamente.

6. Para implantar agentes em novas VMs usando um modelo do Resource Manager, instale o agente do Log Analytics:

   • Instalar o agente do Log Analytics para Windows
   • Instalar o agente do Log Analytics para Linux

7. Para implantar agentes nas VMs existentes, siga as instruções descritas em Coletar dados sobre as Máquinas Virtuais do Azure (a seção Coletar dados de evento e desempenho é opcional).

8. Para usar o PowerShell para implantar os agentes, use as instruções da documentação de máquinas virtuais:

   • Para computadores Windows
   • Para computadores Linux

Dica

Para obter mais informações sobre a integração, confira Automatizar a integração do Microsoft Defender para Nuvem usando o PowerShell.

Para desativar componentes de monitoramento:

• Acesse os planos do Defender, desative o plano que usa a extensão e selecione Salvar.
• Para planos do Defender que têm configurações de monitoramento, vá para as configurações do plano do Defender, desative a extensão e selecione Salvar.

Observação

• Desabilitar extensões não remove as extensões das cargas de trabalho efetuadas.
• Para obter informações sobre como remover a extensão do OMS, confira Como fazer para remover extensões OMS instaladas pelo Defender para Nuvem.