Como o Defender para Nuvem coleta dados?

O Defender para Nuvem coleta dados das VMs (máquinas virtuais) do Azure, dos Conjuntos de Dimensionamento de Máquinas Virtuais, dos contêineres de IaaS e de computadores não Azure (inclusive nos locais) para monitorar as vulnerabilidades e ameaças de segurança. Alguns planos do Defender exigem componentes de monitoramento para coletar dados de suas cargas de trabalho.

É necessário coletar dados para dar visibilidade às atualizações ignoradas, às configurações de segurança de SO incorretas, ao status de proteção do ponto de extremidade, à integridade e à proteção contra ameaças. A coleta de dados será necessária somente para recursos de computação, como VMs, conjuntos de dimensionamento de máquinas virtuais, contêineres de IaaS e computadores não Azure.

Você pode se beneficiar do Microsoft Defender para Nuvem mesmo que não provisione agentes. No entanto, você terá uma segurança limitada. Além disso, as funcionalidades listadas não terão suporte.

Os dados são coletados usando:

Por que usar o Defender para Nuvem para implantar componentes de monitoramento?

A visibilidade da segurança das cargas de trabalho depende dos dados coletados pelos componentes de monitoramento. Os componentes garantem a cobertura de segurança para todos os recursos com suporte.

Para poupar o processo de instalação manual das extensões, o Defender para Nuvem reduz a sobrecarga de gerenciamento instalando todas as extensões necessárias em computadores novos e existentes. O Defender para Nuvem atribui a política Implantar se não existir apropriada às cargas de trabalho na assinatura. Essa política garantirá que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.

Dica

Saiba mais sobre os efeitos do Azure Policy, incluindo a política Implantar se não existir em Noções básicas sobre os efeitos do Azure Policy.

Quais planos usam componentes de monitoramento?

Esses planos usam componentes de monitoramento para coletar dados:

Disponibilidade das extensões

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Agente do Azure Monitor (AMA)

Aspecto Detalhes
Estado da versão: GA (em disponibilidade geral)
Plano do Defender relevante: Defender para SQL Servers em Computadores
Funções e permissões necessárias (nível da assinatura): Proprietário
Destinos compatíveis: Máquinas virtuais do Azure
Computadores habilitados para Azure Arc
Baseada em política: Sim
Nuvens: Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Saiba mais sobre como usar o Agente do Azure Monitor com o Defender para Nuvem.

Agente do Log Analytics

Aspecto Máquinas virtuais do Azure Computadores habilitados para Azure Arc
Estado da versão: GA (em disponibilidade geral) GA (em disponibilidade geral)
Plano do Defender relevante: GPSN (gerenciamento da postura de segurança na nuvem) básico para recomendações de segurança baseadas em agente
Microsoft Defender para Servidores
Microsoft Defender para SQL
GPSN (gerenciamento da postura de segurança na nuvem) básico para recomendações de segurança baseadas em agente
Microsoft Defender para Servidores
Microsoft Defender para SQL
Funções e permissões necessárias (nível da assinatura): Proprietário Proprietário
Destinos compatíveis: Máquinas virtuais do Azure Computadores habilitados para Azure Arc
Baseada em política: Não Sim
Nuvens: Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Sistemas operacionais suportados para o agente do Log Analytics

O Defender para Nuvem depende do agente do Log Analytics. Verifique se os computadores estão sendo executados um dos sistemas operacionais compatíveis com esse agente, conforme descrito nas seguintes páginas:

Verifique também se o agente de Análise de logs está configurado corretamente para enviar dados ao Defender para Nuvem.

Implantar o agente do Log Analytics nos casos de uma instalação de agente pré-existente

Os casos de uso a seguir explicam como a implantação do agente do Log Analytics funciona quando já existe um agente ou extensão instalada.

  • O agente do Log Analytics está instalado no computador, mas não como uma extensão (agente direto) – se o agente do Log Analytics estiver instalado diretamente na VM (e não como uma extensão do Azure), o Defender para Nuvem instalará a extensão do agente do Log Analytics e poderá atualizá-lo para a última versão. O agente instalado continuará emitindo relatórios para os workspaces já configurados, bem como para o workspace configurado no Defender para Nuvem. (Há suporte para várias home pages em computadores Windows.)

    Se o Log Analytics estiver configurado com um workspace do usuário, e não o padrão do workspace do Defender para Nuvem, você precisará instalar a solução "Security" ou "SecurityCenterFree" nele para que o Defender para Nuvem inicie o processamento de eventos de VMs e computadores que geram relatórios para o workspace.

    Para computadores Linux, ainda não há suporte para várias home pages do Agente. Se uma instalação de agente existente for detectada, o agente do Log Analytics não será implantado.

    Em computadores com assinaturas integradas ao Defender para Nuvem antes de 17 de março de 2019, quando um agente for detectado, a extensão do agente do Log Analytics não será instalada e o computador não será afetado. No caso desses computadores, confira a recomendação "Resolver problemas de integridade do agente de monitoramento nos seus computadores" para solucionar problemas de instalação de agente.

  • O agente do System Center Operations Manager está instalado no computador: o Defender para Nuvem instalará a extensão do agente do Log Analytics lado a lado com o Operations Manager existente. O agente existente do Operations Manager continuará a gerar relatórios para o servidor do Operations Manager normalmente. O agente do Operations Manager e o agente do Log Analytics compartilham bibliotecas comuns em tempo de execução, que serão atualizadas para a versão mais recente durante esse processo.

  • Já há uma extensão de VM existente:

    • Quando o Agente de Monitoramento está instalado como uma extensão, a configuração de extensão permite gerar relatórios somente para um workspace. O Defender para Nuvem não substitui as conexões atuais com os workspaces do usuário. O Defender para Nuvem armazenará dados de segurança da VM no workspace já conectado, se a solução "Security" ou "SecurityCenterFree" estiver instalada nele. O Defender para Nuvem pode atualizar a versão da extensão para a versão mais recente nesse processo.
    • Para ver para qual workspace a extensão existente está enviando dados, execute a ferramenta TestCloudConnection.exe para validar a conectividade com o Microsoft Defender para Nuvem, conforme descrito em Verificar a conectividade do agente do Log Analytics. Outra opção é abrir workspaces do Log Analytics, selecionar um workspace, selecionar a VM e examinar a conexão do agente do Log Analytics.
    • Se você tiver um ambiente em que o agente do Log Analytics está instalado nas estações de trabalho do cliente e envia relatórios para um workspace do Log Analytics existente, veja a lista de sistemas operacionais compatíveis com o Microsoft Defender para Nuvem para verificar se seu sistema operacional é compatível.

Saiba mais sobre como trabalhar com o Agente do Log Analytics.

Microsoft Defender para ponto de extremidade

Aspecto Linux Windows
Estado da versão: GA (em disponibilidade geral) GA (em disponibilidade geral)
Plano do Defender relevante: Microsoft Defender para Servidores Microsoft Defender para Servidores
Funções e permissões necessárias (nível da assinatura): - Para habilitar/desabilitar a integração: Administrador de segurança ou Proprietário
- Para visualizar alertas do Defender para Ponto de Extremidade no Defender para Nuvem: Leitor de segurança, Leitor, Colaborador do grupo de recursos, Proprietário do grupo de recursos, Administrador de segurança, Proprietário da assinatura ou Contribuidor de assinatura
- Para habilitar/desabilitar a integração: Administrador de segurança ou Proprietário
- Para visualizar alertas do Defender para Ponto de Extremidade no Defender para Nuvem: Leitor de segurança, Leitor, Colaborador do grupo de recursos, Proprietário do grupo de recursos, Administrador de segurança, Proprietário da assinatura ou Contribuidor de assinatura
Destinos compatíveis: Computadores habilitados para Azure Arc
Máquinas virtuais do Azure
Computadores habilitados para Azure Arc
VMs do Azure que executam o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Área de Trabalho Virtual do Azure, Windows 10 Enterprise para multissessão
VMs do Azure que executam o Windows 10
Baseada em política: Não Não
Nuvens: Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Saiba mais sobre o Microsoft Defender para Ponto de Extremidade.

Avaliação de vulnerabilidade

Aspecto Detalhes
Estado da versão: GA (em disponibilidade geral)
Plano do Defender relevante: Microsoft Defender para Servidores
Funções e permissões necessárias (nível da assinatura): Proprietário
Destinos compatíveis: Máquinas virtuais do Azure
Computadores habilitados para Azure Arc
Baseada em política: Sim
Nuvens: Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Configuração de convidado

Aspecto Detalhes
Estado da versão: Versão Prévia
Plano do Defender relevante: Nenhum plano necessário
Funções e permissões necessárias (nível da assinatura): Proprietário
Destinos compatíveis: Máquinas virtuais do Azure
Nuvens: Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Saiba mais sobre a extensão de Configuração de Convidado do Azure.

Extensões do Defender para Contêineres

Esta tabela mostra os detalhes de disponibilidade dos componentes exigidos pelas proteções oferecidas pelo Microsoft Defender para Contêineres.

Por padrão, as extensões necessárias são habilitadas ao se habilitar o Defender para Contêineres no portal do Azure.

Aspecto Clusters do Serviço de Kubernetes do Azure Cluster do Kubernetes habilitados para Azure Arc
Estado da versão: • Sensor de defesa: GA
• Azure Policy para Kubernetes: GA (disponibilidade geral)
• Sensor Defender: Visualização
• Azure Policy para Kubernetes: versão prévia
Plano do Defender relevante: Microsoft Defender para Contêineres Microsoft Defender para Contêineres
Funções e permissões necessárias (nível da assinatura): Proprietário ou Administrador de Acesso do Usuário Proprietário ou Administrador de Acesso do Usuário
Destinos compatíveis: O sensor AKS Defender suporta apenas clusters AKS que tenham RBAC ativado. Confira as distribuições do Kubernetes com suporte para o Kubernetes habilitado para Arc
Baseada em política: Sim Sim
Nuvens: Sensor Defensor:
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet
Azure Policy para Kubernetes:
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet
Sensor Defensor:
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet
Azure Policy para Kubernetes:
Nuvens comerciais
Azure Governamental, Microsoft Azure operado pela 21Vianet

Saiba mais sobre as funções usadas para provisionar extensões do Defender para contêineres.

Solução de problemas

Próximas etapas

Esta página explicou o que são componentes de monitoramento e como habilitá-los.

Saiba mais sobre: