Como o Defender for Cloud coleta dados?
O Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure, Conjuntos de Dimensionamento de Máquinas Virtuais, contêineres IaaS e máquinas que não são do Azure (incluindo locais) para monitorar vulnerabilidades e ameaças à segurança. Alguns planos do Defender exigem componentes de monitoramento para coletar dados de suas cargas de trabalho.
A coleta de dados é necessária para fornecer visibilidade sobre atualizações ausentes, configurações de segurança do sistema operacional mal configuradas, status de proteção de endpoint e proteção contra integridade e ameaças. A coleta de dados só é necessária para recursos de computação, como VMs, Conjuntos de Dimensionamento de Máquinas Virtuais, contêineres IaaS e computadores que não sejam do Azure.
Você pode se beneficiar do Microsoft Defender for Cloud mesmo que não provisione agentes. No entanto, você terá segurança limitada e os recursos listados não são suportados.
Os dados são recolhidos utilizando:
- Azure Monitor Agent (AMA)
- Microsoft Defender para Ponto Final (MDE)
- Agente do Log Analytics
- Componentes de segurança, como a Política do Azure para Kubernetes
Por que usar o Defender for Cloud para implantar componentes de monitoramento?
A visibilidade da segurança de suas cargas de trabalho depende dos dados que os componentes de monitoramento coletam. Os componentes garantem cobertura de segurança para todos os recursos suportados.
Para economizar o processo de instalação manual das extensões, o Defender for Cloud reduz a sobrecarga de gerenciamento instalando todas as extensões necessárias em máquinas novas e existentes. O Defender for Cloud atribui a política Deploy, caso não exista, apropriada às cargas de trabalho na assinatura. Esse tipo de política garante que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.
Gorjeta
Saiba mais sobre os efeitos da Política do Azure, incluindo Implantar se não existir, em Compreender os efeitos da Política do Azure.
Que planos utilizam componentes de monitorização?
Estes planos utilizam componentes de monitorização para recolher dados:
- Defender para Servidores
- Agente do Azure Arc (para servidores multicloud e locais)
- Microsoft Defender para Ponto de Extremidade
- Avaliação de vulnerabilidades
- Azure Monitor Agent ou agente do Log Analytics
- Defender para servidores SQL em máquinas
- Agente do Azure Arc (para servidores multicloud e locais)
- Azure Monitor Agent ou agente do Log Analytics
- Descoberta e registro automáticos do SQL Server
- Defender para contentores
- Agente do Azure Arc (para servidores multicloud e locais)
- Sensor do Defender, Política do Azure para Kubernetes, dados de log de auditoria do Kubernetes
Disponibilidade de extensões
Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Agente do Azure Monitor (AMA)
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponível de Forma Generalizada (GA) |
| Plano Defender relevante: | Defender para SQL Servers em Máquinas |
| Funções e permissões necessárias (nível de assinatura): | Proprietário |
| Destinos suportados: |  Máquinas virtuais do Azure Máquinas habilitadas para Azure Arc |
| Com base em políticas: | Sim |
| Nuvens: | Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre como usar o Azure Monitor Agent com o Defender for Cloud.
Agente do Log Analytics
| Aspeto | Máquinas virtuais do Azure | Máquinas habilitadas para Azure Arc |
|---|---|---|
| Estado de lançamento: | Disponível de Forma Generalizada (GA) | Disponível de Forma Generalizada (GA) |
| Plano Defender relevante: | CSPM (Foundational Cloud Security Posture Management, gerenciamento básico de postura de segurança na nuvem) para recomendações de segurança baseadas em agente Microsoft Defender para servidores Microsoft Defender para SQL |
CSPM (Foundational Cloud Security Posture Management, gerenciamento básico de postura de segurança na nuvem) para recomendações de segurança baseadas em agente Microsoft Defender para servidores Microsoft Defender para SQL |
| Funções e permissões necessárias (nível de assinatura): | Proprietário | Proprietário |
| Destinos suportados: | Máquinas virtuais do Azure |
Máquinas habilitadas para Azure Arc |
| Com base em políticas: | Não |
Sim |
| Nuvens: | Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Sistemas operacionais suportados para o agente do Log Analytics
O Defender for Cloud depende do agente do Log Analytics. Certifique-se de que suas máquinas estejam executando um dos sistemas operacionais suportados para este agente, conforme descrito nas páginas a seguir:
- Agente do Log Analytics para sistemas operacionais suportados pelo Windows
- Agente do Log Analytics para sistemas operacionais suportados pelo Linux
Verifique também se o agente do Log Analytics está configurado corretamente para enviar dados para o Defender for Cloud.
Implantando o agente do Log Analytics em casos de instalação de um agente pré-existente
Os casos de uso a seguir explicam como a implantação do agente do Log Analytics funciona nos casos em que já há um agente ou extensão instalado.
O agente do Log Analytics está instalado no computador, mas não como uma extensão (agente direto) - Se o agente do Log Analytics estiver instalado diretamente na VM (não como uma extensão do Azure), o Defender for Cloud instalará a extensão do agente do Log Analytics e poderá atualizar o agente do Log Analytics para a versão mais recente. O agente instalado continuará a relatar para seus espaços de trabalho já configurados e para o espaço de trabalho configurado no Defender for Cloud. (Multi-homing é suportado em máquinas Windows.)
Se o Log Analytics estiver configurado com um espaço de trabalho de usuário e não com o espaço de trabalho padrão do Defender for Cloud, você precisará instalar a solução "Security" ou "SecurityCenterFree" nele para que o Defender for Cloud comece a processar eventos de VMs e computadores que relatam para esse espaço de trabalho.
Para máquinas Linux, o Agent multi-homing ainda não é suportado. Se uma instalação de agente existente for detetada, o agente do Log Analytics não será implantado.
Para máquinas existentes em assinaturas integradas ao Defender for Cloud antes de 17 de março de 2019, quando um agente existente for detetado, a extensão do agente do Log Analytics não será instalada e a máquina não será afetada. Para essas máquinas, consulte a recomendação "Resolver problemas de integridade do agente de monitoramento em suas máquinas" para resolver os problemas de instalação do agente nessas máquinas.
O agente do System Center Operations Manager está instalado na máquina - o Defender for Cloud instalará a extensão do agente do Log Analytics lado a lado com o Operations Manager existente. O agente existente do Operations Manager continuará a relatar ao servidor do Operations Manager normalmente. O agente do Operations Manager e o agente do Log Analytics compartilham bibliotecas comuns de tempo de execução, que serão atualizadas para a versão mais recente durante esse processo.
Uma extensão de VM pré-existente está presente:
- Quando o Monitoring Agent é instalado como uma extensão, a configuração da extensão permite a geração de relatórios para apenas um único espaço de trabalho. O Defender for Cloud não substitui as conexões existentes com os espaços de trabalho do usuário. O Defender for Cloud armazenará dados de segurança da VM no espaço de trabalho já conectado, se a solução "Security" ou "SecurityCenterFree" tiver sido instalada nele. O Defender for Cloud pode atualizar a versão de extensão para a versão mais recente neste processo.
- Para ver para qual espaço de trabalho a extensão existente está enviando dados, execute a ferramenta TestCloudConnection.exe para validar a conectividade com o Microsoft Defender for Cloud, conforme descrito em Verificar a conectividade do agente do Log Analytics. Como alternativa, você pode abrir espaços de trabalho do Log Analytics, selecionar um espaço de trabalho, selecionar a VM e examinar a conexão do agente do Log Analytics.
- Se você tiver um ambiente em que o agente do Log Analytics está instalado em estações de trabalho cliente e relatando para um espaço de trabalho existente do Log Analytics, revise a lista de sistemas operacionais suportados pelo Microsoft Defender for Cloud para verificar se seu sistema operacional é suportado.
Saiba mais sobre como trabalhar com o agente do Log Analytics.
Microsoft Defender para Ponto Final
| Aspeto | Linux | Windows |
|---|---|---|
| Estado de lançamento: | Disponível de Forma Generalizada (GA) | Disponível de Forma Generalizada (GA) |
| Plano Defender relevante: | Microsoft Defender para servidores | Microsoft Defender para servidores |
| Funções e permissões necessárias (nível de assinatura): | - Para ativar/desativar a integração: Administrador ou Proprietário de Segurança - Para visualizar alertas do Defender for Endpoint no Defender for Cloud: leitor de segurança, leitor, colaborador do grupo de recursos, proprietário do grupo de recursos, administrador de segurança, proprietário da assinatura ou colaborador da assinatura |
- Para ativar/desativar a integração: Administrador ou Proprietário de Segurança - Para visualizar alertas do Defender for Endpoint no Defender for Cloud: leitor de segurança, leitor, colaborador do grupo de recursos, proprietário do grupo de recursos, administrador de segurança, proprietário da assinatura ou colaborador da assinatura |
| Destinos suportados: | Máquinas habilitadas para Azure Arc Máquinas virtuais do Azure |
Máquinas habilitadas para Azure Arc VMs do Azure executando o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Área de Trabalho Virtual do Azure, Windows 10 Enterprise multisessão VMs do Azure que executam o Windows 10 |
| Com base em políticas: | Não |
Não |
| Nuvens: | Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre o Microsoft Defender for Endpoint.
Avaliação de vulnerabilidades
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Disponível de Forma Generalizada (GA) |
| Plano Defender relevante: | Microsoft Defender para servidores |
| Funções e permissões necessárias (nível de assinatura): | Proprietário |
| Destinos suportados: | Máquinas virtuais do Azure Máquinas habilitadas para Azure Arc |
| Com base em políticas: | Sim |
| Nuvens: | Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Configuração de Convidado
| Aspeto | Detalhes |
|---|---|
| Estado de lançamento: | Pré-visualizar |
| Plano Defender relevante: | Não é necessário nenhum plano |
| Funções e permissões necessárias (nível de assinatura): | Proprietário |
| Destinos suportados: | Máquinas virtuais do Azure |
| Nuvens: | Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre a extensão Configuração de Convidado do Azure.
Extensões do Defender for Containers
Esta tabela mostra os detalhes de disponibilidade para os componentes exigidos pelas proteções oferecidas pelo Microsoft Defender for Containers.
Por padrão, as extensões necessárias são habilitadas quando você habilita o Defender for Containers no portal do Azure.
| Aspeto | Clusters do Serviço Kubernetes do Azure | Clusters do Kubernetes compatíveis com o Azure Arc |
|---|---|---|
| Estado de lançamento: | • Sensor de defesa: GA • Política do Azure para Kubernetes: disponível ao público em geral (GA) |
• Sensor Defender: Pré-visualização • Política do Azure para Kubernetes: Pré-visualização |
| Plano Defender relevante: | Microsoft Defender para contêineres | Microsoft Defender para contêineres |
| Funções e permissões necessárias (nível de assinatura): | Proprietário ou Administrador de Acesso de Usuário | Proprietário ou Administrador de Acesso de Usuário |
| Destinos suportados: | O sensor AKS Defender suporta apenas clusters AKS que tenham RBAC ativado. | Consulte Distribuições Kubernetes suportadas para Kubernetes habilitado para Arc |
| Com base em políticas: | Sim |
Sim |
| Nuvens: | Sensor Defender: Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet Política do Azure para Kubernetes: Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Sensor Defender: Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet Política do Azure para Kubernetes: Nuvens comerciais Azure Government, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre as funções usadas para provisionar as extensões do Defender for Containers.
Resolução de Problemas
- Para identificar os requisitos de rede do agente de monitorização, veja Resolver problemas de requisitos de rede do agente de monitorização.
- Para identificar problemas de integração manual, consulte Como solucionar problemas de integração do Operations Management Suite.
Próximos passos
Esta página explicou o que são componentes de monitoramento e como habilitá-los.
Saiba mais sobre:
- Configurar notificações por e-mail para alertas de segurança
- Proteger cargas de trabalho com os planos Defender