Configurar o aprovisionamento automático

  • 17 minutos

O Microsoft Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure, conjuntos de dimensionamento de máquinas virtuais, contêineres IaaS e máquinas não Azure (incluindo locais) para monitorar vulnerabilidades e ameaças de segurança.

A coleta de dados é necessária para fornecer visibilidade sobre atualizações ausentes, configurações de segurança do sistema operacional mal configuradas, status de proteção de endpoint e proteção contra integridade e ameaças. A coleta de dados só é necessária para recursos de computação (VMs, conjuntos de dimensionamento de máquinas virtuais, contêineres IaaS e computadores que não sejam do Azure). Você pode se beneficiar do Defender for Cloud mesmo que não provisione agentes. No entanto, você terá segurança limitada e os recursos listados acima não são suportados.

Os dados são recolhidos utilizando:

  • O agente do Log Analytics, que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para seu espaço de trabalho para análise. Exemplos desses dados são o tipo e a versão do sistema operacional, os logs do sistema operacional (logs de eventos do Windows), os processos em execução, o nome da máquina, os endereços IP e o usuário conectado.

  • Extensões de segurança, como o Complemento de Política do Azure para Kubernetes, que também pode fornecer dados à Central de Segurança sobre tipos de recursos especializados.

Screenshot of Auto provisioning settings.

Por que usar o provisionamento automático?

Qualquer um dos agentes e extensões descritos nesta página pode ser instalado manualmente. No entanto, o provisionamento automático reduz a sobrecarga de gerenciamento instalando todos os agentes e extensões necessários em máquinas existentes e novas para garantir uma cobertura de segurança mais rápida para todos os recursos suportados.

Como funciona o provisionamento automático?

As configurações de provisionamento automático do Defender for Clouds têm uma alternância para cada tipo de extensão suportada. Ao habilitar o provisionamento automático de uma extensão, você atribui a política Implantar se não existir apropriada para garantir que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.

Habilitar o provisionamento automático do agente do Log Analytics

Quando o provisionamento automático está ativado para o agente do Log Analytics, o Defender for Cloud implanta o agente em todas as VMs do Azure com suporte e em todas as novas criadas.

Para habilitar o provisionamento automático do agente do Log Analytics:

  1. No menu do Defender for Clouds, selecione Configurações do ambiente.

  2. Selecione a subscrição relevante.

  3. Na página Provisionamento automático, defina o status do provisionamento automático para o agente do Log Analytics como Ativado.

  4. No painel de opções de configuração, defina o espaço de trabalho a ser usado.

Conectar VMs do Azure ao(s) espaço(s) de trabalho padrão(ões) criado(s) pelo Defender for Cloud - o Defender for Cloud cria um novo grupo de recursos e um espaço de trabalho padrão na mesma geolocalização e conecta o agente a esse espaço de trabalho. Se uma assinatura contiver VMs de várias localizações geográficas, o Defender for Cloud criará vários espaços de trabalho para garantir a conformidade com os requisitos de privacidade de dados.

A convenção de nomenclatura para o espaço de trabalho e o grupo de recursos é:

  • Área de trabalho: DefaultWorkspace-[subscrição-ID]-[geo]
  • Grupo de recursos: DefaultResourceGroup-[geo]

O Defender for Cloud habilita automaticamente a(s) solução(ões) do Defender for Cloud no espaço de trabalho de acordo com a camada de preço definida para a assinatura.

Conectar VMs do Azure a um espaço de trabalho diferente - Na lista suspensa, selecione o espaço de trabalho para armazenar os dados coletados. A lista suspensa inclui todos os espaços de trabalho em todas as suas assinaturas. Você pode usar essa opção para coletar dados de máquinas virtuais em execução em assinaturas diferentes e armazená-los todos no espaço de trabalho selecionado.

Se você já tiver um espaço de trabalho existente do Log Analytics, convém usar o mesmo espaço de trabalho (requer permissões de leitura e gravação no espaço de trabalho). Essa opção é útil se você estiver usando um espaço de trabalho centralizado em sua organização e quiser usá-lo para coleta de dados de segurança. Saiba mais em Gerir o acesso a dados de registo e espaços de trabalho no Azure Monitor.

Se o espaço de trabalho selecionado já tiver uma solução Security ou Defender for Cloud Free ativada, o preço será definido automaticamente. Caso contrário, instale uma solução do Defender for Cloud no espaço de trabalho.

Habilitar o provisionamento automático de extensões

Para habilitar o provisionamento automático de uma extensão diferente do agente do Log Analytics:

  1. No menu do Defender for Clouds no portal do Azure, selecione Configurações de ambiente.

  2. Selecione a subscrição relevante.

  3. Selecione Provisionamento automático.

  4. Se você estiver habilitando o provisionamento automático para o agente de dependência da Microsoft, verifique se o agente do Log Analytics também está configurado para implantação automática.

  5. Alterne o status para Ativado para a extensão relevante.

  6. Selecione Guardar. A política do Azure é atribuída e uma tarefa de correção é criada.

Opções de eventos de segurança do Windows para o agente do Log Analytics

A seleção de uma camada de coleta de dados no Defender for Cloud afeta apenas o armazenamento de eventos de segurança no espaço de trabalho do Log Analytics. O agente do Log Analytics ainda coletará e analisará os eventos de segurança necessários para a proteção contra ameaças do Defender for Clouds, independentemente do nível de eventos de segurança que você escolher armazenar em seu espaço de trabalho. Optar por armazenar eventos de segurança permite a investigação, pesquisa e auditoria desses eventos em seu espaço de trabalho.

O Defender for Cloud é necessário para armazenar dados de eventos de segurança do Windows. O armazenamento de dados no Log Analytics pode incorrer em mais encargos pelo armazenamento de dados.

Informações para usuários do Microsoft Sentinel

Usuários do Microsoft Sentinel: observe que a coleta de eventos de segurança no contexto de um único espaço de trabalho pode ser configurada a partir do Microsoft Defender for Cloud ou do Microsoft Sentinel, mas não de ambos. Se você estiver planejando adicionar o Microsoft Sentinel a um espaço de trabalho que já está recebendo alertas do Microsoft Defender for Cloud e seu conjunto para coletar Eventos de Segurança, você tem duas opções:

  • Deixe a coleção de Eventos de Segurança no Defender for Cloud como está. Você poderá consultar e analisar esses eventos no Microsoft Sentinel e no Defender for Cloud. No entanto, você não poderá monitorar o status de conectividade do conector ou alterar sua configuração no Microsoft Sentinel. Se monitorar ou personalizar o conector for importante para você, considere a segunda opção.

  • Desative a coleta de eventos de segurança no Defender for Cloud (definindo eventos de segurança do Windows como Nenhum na configuração do seu agente do Log Analytics). Em seguida, adicione o conector de eventos de segurança no Microsoft Sentinel. Assim como na primeira opção, você poderá consultar e analisar eventos no Microsoft Sentinel e no Defender for Cloud, mas agora poderá monitorar o status de conectividade do conector ou alterar sua configuração no - e somente no - Microsoft Sentinel.

Que tipos de eventos são armazenados para "Comum" e "Mínimo"?

Esses conjuntos foram projetados para lidar com cenários típicos. Certifique-se de avaliar qual deles atende às suas necessidades antes de implementá-lo.

Para determinar os eventos para as opções Comum e Mínima, trabalhamos com clientes e padrões do setor para saber mais sobre a frequência não filtrada de cada evento e seu uso. Neste processo, foram utilizadas as seguintes orientações:

  • Mínimo - Certifique-se de que este conjunto cobre apenas eventos que possam indicar uma violação bem-sucedida e eventos importantes que tenham um volume baixo. Por exemplo, esse conjunto contém logins bem-sucedidos e com falha do usuário (IDs de evento 4624, 4625), mas não contém saídas, o que é importante para auditoria, mas não é significativo para deteção e tem um volume relativamente alto. A maior parte do volume de dados desse conjunto é o evento de login e o evento de criação do processo (ID de evento 4688).

  • Comum - Forneça uma trilha de auditoria de usuário completa neste conjunto. Por exemplo, esse conjunto contém logons e saídas de usuário (ID de evento 4634). Incluímos ações de auditoria, como alterações no grupo de segurança, operações Kerberos do controlador de domínio chave e outros eventos recomendados por organizações do setor.

Eventos com baixo volume foram incluídos no conjunto Comum, pois a principal motivação para escolhê-lo em vez de todos os eventos é reduzir o volume e não filtrar eventos específicos.