Partilhar via


Como o Defender for Cloud coleta dados?

O Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure, Conjuntos de Dimensionamento de Máquinas Virtuais, contêineres IaaS e máquinas que não são do Azure (incluindo locais) para monitorar vulnerabilidades e ameaças à segurança. Alguns planos do Defender exigem componentes de monitoramento para coletar dados de suas cargas de trabalho.

A coleta de dados é necessária para fornecer visibilidade sobre atualizações ausentes, configurações de segurança do sistema operacional mal configuradas, status de proteção de endpoint e proteção contra integridade e ameaças. A coleta de dados só é necessária para recursos de computação, como VMs, Conjuntos de Dimensionamento de Máquinas Virtuais, contêineres IaaS e computadores que não sejam do Azure.

Você pode se beneficiar do Microsoft Defender for Cloud mesmo que não provisione agentes. No entanto, você terá segurança limitada e os recursos listados não são suportados.

Os dados são recolhidos utilizando:

Por que usar o Defender for Cloud para implantar componentes de monitoramento?

A visibilidade da segurança de suas cargas de trabalho depende dos dados que os componentes de monitoramento coletam. Os componentes garantem cobertura de segurança para todos os recursos suportados.

Para economizar o processo de instalação manual das extensões, o Defender for Cloud reduz a sobrecarga de gerenciamento instalando todas as extensões necessárias em máquinas novas e existentes. O Defender for Cloud atribui a política Deploy, caso não exista, apropriada às cargas de trabalho na assinatura. Esse tipo de política garante que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.

Gorjeta

Saiba mais sobre os efeitos da Política do Azure, incluindo Implantar se não existir, em Compreender os efeitos da Política do Azure.

Que planos utilizam componentes de monitorização?

Estes planos utilizam componentes de monitorização para recolher dados:

Disponibilidade de extensões

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Agente do Azure Monitor (AMA)

Aspeto Detalhes
Estado de lançamento: Disponível de Forma Generalizada (GA)
Plano Defender relevante: Defender para SQL Servers em Máquinas
Funções e permissões necessárias (nível de assinatura): Proprietário
Destinos suportados: Máquinas virtuais do Azure
Máquinas habilitadas para Azure Arc
Com base em políticas: Sim
Nuvens: Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Saiba mais sobre como usar o Azure Monitor Agent com o Defender for Cloud.

Agente do Log Analytics

Aspeto Máquinas virtuais do Azure Máquinas habilitadas para Azure Arc
Estado de lançamento: Disponível de Forma Generalizada (GA) Disponível de Forma Generalizada (GA)
Plano Defender relevante: CSPM (Foundational Cloud Security Posture Management, gerenciamento básico de postura de segurança na nuvem) para recomendações de segurança baseadas em agente
Microsoft Defender para servidores
Microsoft Defender para SQL
CSPM (Foundational Cloud Security Posture Management, gerenciamento básico de postura de segurança na nuvem) para recomendações de segurança baseadas em agente
Microsoft Defender para servidores
Microsoft Defender para SQL
Funções e permissões necessárias (nível de assinatura): Proprietário Proprietário
Destinos suportados: Máquinas virtuais do Azure Máquinas habilitadas para Azure Arc
Com base em políticas: Não Sim
Nuvens: Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Sistemas operacionais suportados para o agente do Log Analytics

O Defender for Cloud depende do agente do Log Analytics. Certifique-se de que suas máquinas estejam executando um dos sistemas operacionais suportados para este agente, conforme descrito nas páginas a seguir:

Verifique também se o agente do Log Analytics está configurado corretamente para enviar dados para o Defender for Cloud.

Implantando o agente do Log Analytics em casos de instalação de um agente pré-existente

Os casos de uso a seguir explicam como a implantação do agente do Log Analytics funciona nos casos em que já há um agente ou extensão instalado.

  • O agente do Log Analytics está instalado no computador, mas não como uma extensão (agente direto) - Se o agente do Log Analytics estiver instalado diretamente na VM (não como uma extensão do Azure), o Defender for Cloud instalará a extensão do agente do Log Analytics e poderá atualizar o agente do Log Analytics para a versão mais recente. O agente instalado continuará a relatar para seus espaços de trabalho já configurados e para o espaço de trabalho configurado no Defender for Cloud. (Multi-homing é suportado em máquinas Windows.)

    Se o Log Analytics estiver configurado com um espaço de trabalho de usuário e não com o espaço de trabalho padrão do Defender for Cloud, você precisará instalar a solução "Security" ou "SecurityCenterFree" nele para que o Defender for Cloud comece a processar eventos de VMs e computadores que relatam para esse espaço de trabalho.

    Para máquinas Linux, o Agent multi-homing ainda não é suportado. Se uma instalação de agente existente for detetada, o agente do Log Analytics não será implantado.

    Para máquinas existentes em assinaturas integradas ao Defender for Cloud antes de 17 de março de 2019, quando um agente existente for detetado, a extensão do agente do Log Analytics não será instalada e a máquina não será afetada. Para essas máquinas, consulte a recomendação "Resolver problemas de integridade do agente de monitoramento em suas máquinas" para resolver os problemas de instalação do agente nessas máquinas.

  • O agente do System Center Operations Manager está instalado na máquina - o Defender for Cloud instalará a extensão do agente do Log Analytics lado a lado com o Operations Manager existente. O agente existente do Operations Manager continuará a relatar ao servidor do Operations Manager normalmente. O agente do Operations Manager e o agente do Log Analytics compartilham bibliotecas comuns de tempo de execução, que serão atualizadas para a versão mais recente durante esse processo.

  • Uma extensão de VM pré-existente está presente:

    • Quando o Monitoring Agent é instalado como uma extensão, a configuração da extensão permite a geração de relatórios para apenas um único espaço de trabalho. O Defender for Cloud não substitui as conexões existentes com os espaços de trabalho do usuário. O Defender for Cloud armazenará dados de segurança da VM no espaço de trabalho já conectado, se a solução "Security" ou "SecurityCenterFree" tiver sido instalada nele. O Defender for Cloud pode atualizar a versão de extensão para a versão mais recente neste processo.
    • Para ver para qual espaço de trabalho a extensão existente está enviando dados, execute a ferramenta TestCloudConnection.exe para validar a conectividade com o Microsoft Defender for Cloud, conforme descrito em Verificar a conectividade do agente do Log Analytics. Como alternativa, você pode abrir espaços de trabalho do Log Analytics, selecionar um espaço de trabalho, selecionar a VM e examinar a conexão do agente do Log Analytics.
    • Se você tiver um ambiente em que o agente do Log Analytics está instalado em estações de trabalho cliente e relatando para um espaço de trabalho existente do Log Analytics, revise a lista de sistemas operacionais suportados pelo Microsoft Defender for Cloud para verificar se seu sistema operacional é suportado.

Saiba mais sobre como trabalhar com o agente do Log Analytics.

Microsoft Defender para Ponto Final

Aspeto Linux Windows
Estado de lançamento: Disponível de Forma Generalizada (GA) Disponível de Forma Generalizada (GA)
Plano Defender relevante: Microsoft Defender para servidores Microsoft Defender para servidores
Funções e permissões necessárias (nível de assinatura): - Para ativar/desativar a integração: Administrador ou Proprietário de Segurança
- Para visualizar alertas do Defender for Endpoint no Defender for Cloud: leitor de segurança, leitor, colaborador do grupo de recursos, proprietário do grupo de recursos, administrador de segurança, proprietário da assinatura ou colaborador da assinatura
- Para ativar/desativar a integração: Administrador ou Proprietário de Segurança
- Para visualizar alertas do Defender for Endpoint no Defender for Cloud: leitor de segurança, leitor, colaborador do grupo de recursos, proprietário do grupo de recursos, administrador de segurança, proprietário da assinatura ou colaborador da assinatura
Destinos suportados: Máquinas habilitadas para Azure Arc
Máquinas virtuais do Azure
Máquinas habilitadas para Azure Arc
VMs do Azure executando o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Área de Trabalho Virtual do Azure, Windows 10 Enterprise multisessão
VMs do Azure que executam o Windows 10
Com base em políticas: Não Não
Nuvens: Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Saiba mais sobre o Microsoft Defender for Endpoint.

Avaliação de vulnerabilidades

Aspeto Detalhes
Estado de lançamento: Disponível de Forma Generalizada (GA)
Plano Defender relevante: Microsoft Defender para servidores
Funções e permissões necessárias (nível de assinatura): Proprietário
Destinos suportados: Máquinas virtuais do Azure
Máquinas habilitadas para Azure Arc
Com base em políticas: Sim
Nuvens: Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Configuração de Convidado

Aspeto Detalhes
Estado de lançamento: Pré-visualizar
Plano Defender relevante: Não é necessário nenhum plano
Funções e permissões necessárias (nível de assinatura): Proprietário
Destinos suportados: Máquinas virtuais do Azure
Nuvens: Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Saiba mais sobre a extensão Configuração de Convidado do Azure.

Extensões do Defender for Containers

Esta tabela mostra os detalhes de disponibilidade para os componentes exigidos pelas proteções oferecidas pelo Microsoft Defender for Containers.

Por padrão, as extensões necessárias são habilitadas quando você habilita o Defender for Containers no portal do Azure.

Aspeto Clusters do Serviço Kubernetes do Azure Clusters do Kubernetes compatíveis com o Azure Arc
Estado de lançamento: • Sensor de defesa: GA
• Política do Azure para Kubernetes: disponível ao público em geral (GA)
• Sensor Defender: Pré-visualização
• Política do Azure para Kubernetes: Pré-visualização
Plano Defender relevante: Microsoft Defender para contêineres Microsoft Defender para contêineres
Funções e permissões necessárias (nível de assinatura): Proprietário ou Administrador de Acesso de Usuário Proprietário ou Administrador de Acesso de Usuário
Destinos suportados: O sensor AKS Defender suporta apenas clusters AKS que tenham RBAC ativado. Consulte Distribuições Kubernetes suportadas para Kubernetes habilitado para Arc
Com base em políticas: Sim Sim
Nuvens: Sensor Defender:
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet
Política do Azure para Kubernetes:
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet
Sensor Defender:
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet
Política do Azure para Kubernetes:
Nuvens comerciais
Azure Government, Microsoft Azure operado pela 21Vianet

Saiba mais sobre as funções usadas para provisionar as extensões do Defender for Containers.

Resolução de Problemas

Próximos passos

Esta página explicou o que são componentes de monitoramento e como habilitá-los.

Saiba mais sobre: