Краткое руководство. Настройка автоматической подготовки для агентов и расширений из Microsoft Defender для облака

Microsoft Defender for Cloud собирает данные с ресурсов с помощью соответствующего агента или расширения для этого ресурса и включенного вами типа коллекции данных. Выполните указанные ниже процедуры, чтобы автоматически подготовить к работе все необходимые агенты и расширения, используемые в Defender для облака для ваших ресурсов.

Когда включена автоматическая подготовка для какого-либо из поддерживаемых расширений, эти расширения устанавливаются на существующих и будущих компьютерах в подписке. При отключении автоматической подготовки расширения оно не устанавливается на будущих компьютерах, но и не удаляется с существующих.

Снимок экрана: расширения Microsoft Defender для облака, которые могут быть подготовлены автоматически.

Предварительные требования

Чтобы начать работу с Microsoft Defender for Cloud, вам потребуется подписка на Microsoft Azure. Если у вас нет ее, вы можете зарегистрироваться для получения бесплатной учетной записи.

Доступность

В этой таблице приводятся сведения о доступности самой функции автоматической подготовки.

Аспект Сведения
Состояние выпуска: Автоматическая подготовка уже общедоступна.
Цены Функция автоматической подготовки предоставляется бесплатно
Требуемые роли и разрешения Зависит от конкретного расширения — см. соответствующую вкладку
Поддерживаемые назначения: Зависит от конкретного расширения — см. соответствующую вкладку
Облако. Коммерческие облака
Azure для государственных организаций, Azure для Китая (21Vianet)

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Как Microsoft Defender for Cloud собирает данные?

Microsoft Defender for Cloud собирает данные c ваших виртуальных машин Azure, из масштабируемых наборов виртуальных машин, контейнеров IaaS и компьютеров, не относящихся к Azure (в том числе локальных), чтобы отслеживать уязвимости и угрозы безопасности.

Сбор данных необходим, чтобы обнаруживать недостающие обновления и неправильно настроенные параметры безопасности ОС, узнавать, включена ли защита конечных точек, а также определять работоспособность и обнаруживать угрозы. Сбор данных необходим только для ресурсов вычислительной среды (например, виртуальных машин, масштабируемых наборов виртуальных машин, контейнеров IaaS и компьютеров, не относящихся к Azure).

Вы можете воспользоваться функциями и возможностями Microsoft Defender for Cloud даже без подготовки агентов. Однако защита будет ограничена, а перечисленные выше возможности не будут поддерживаться.

Для сбора данных используются указанные ниже возможности.

  • Агент Log Analytics, который считывает различные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область для анализа. К примерам таких данных относятся тип и версия операционной системы, журналы операционной системы (журналы событий Windows), выполняющиеся процессы, имя компьютера, IP-адреса и имя вошедшего пользователя.
  • Модули безопасности, такие как надстройка Политики Azure для Kubernetes, также могут передавать данные по специализированным типам ресурсов в Microsoft Defender for Cloud.

Преимущества автоматической подготовки

Любые агенты и расширения, описанные на этой странице, можно установить вручную (см. раздел о ручной установке агента Log Analytics). Однако автоматическая подготовка сокращает расходы на управление, устанавливая все необходимые агенты и расширения на существующих и новых компьютерах, чтобы обеспечить своевременный уровень безопасности для всех поддерживаемых ресурсов.

Рекомендуется включить автоматическую подготовку. По умолчанию она отключена.

Принцип работы автоматической подготовки

Параметры автоматической подготовки Defender для облака содержат переключатель для каждого поддерживаемого типа расширения. При включении автоматической подготовки расширения вы назначаете соответствующую политику Deploy if not exists (Развернуть, если не существует), чтобы убедиться, что расширение подготовлено на всех существующих и будущих ресурсах этого типа.

Совет

Узнайте больше об эффекте Политики Azure, а также политики Развертывать, если не существует, из этой статьи.

Включение автоматической подготовки агента и расширений Log Analytics

Если для агента Log Analytics включена автоматическая подготовка, то Defender для облака развертывает агент на всех поддерживаемых и вновь создаваемых виртуальных машинах Azure. Список поддерживаемых платформ представлен в статье Поддерживаемые платформы в Microsoft Defender for Cloud.

Чтобы включить автоматическую подготовку агента Log Analytics, выполните указанные ниже действия.

  1. В меню Defender for Cloud выберите Параметры среды.

  2. Выберите соответствующую подписку.

  3. На странице Автоматическая подготовка задайте для параметра состояния автоматический подготовки агента Log Analytics значение Вкл. .

    Включение автоматической подготовки агента Log Analytics.

  4. В области параметров конфигурации укажите рабочую область, которая будет использоваться.

    Параметры конфигурации автоматической подготовки агентов Log Analytics для виртуальных машин.

    • Подключение виртуальных машин Azure к рабочим областям по умолчанию, созданным Microsoft Defender for Cloud. Microsoft Defender for Cloud создает группу ресурсов и рабочую область по умолчанию в одной геолокации и подключает агент к этой рабочей области. Если подписка содержит виртуальные машины из нескольких геолокаций, Microsoft Defender for Cloud создает несколько рабочих областей для соответствия требованиям конфиденциальности данных.

      Соглашение об именовании для рабочей области и группы ресурсов:

      • рабочая область — DefaultWorkspace-[ИД_подписки]-[географическое_расположение];
      • Группа ресурсов: DefaultResourceGroup-[георасположение]

      Решение "Defender для облака" автоматически включено в рабочей области согласно ценовой категории, установленной для подписки.

    • Connect Azure VMs to a different workspace (Подключение виртуальных машин Azure к другой рабочей области). В раскрывающемся списке выберите рабочую область для хранения собранных данных. Раскрывающийся список содержит все рабочие области всех подписок. С помощью этого параметра можно получить данные с виртуальных машин, работающих в разных подписках, и сохранить их в выбранной рабочей области.

      Если у вас уже есть рабочая область Log Analytics, вы можете продолжать использовать ее (требуются разрешения на чтение и запись в рабочей области). Это полезно, если в организации используется централизованная рабочая область, которую требуется использовать для сбора данных о безопасности. Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

      Если в выбранной рабочей области уже включено решение Security или SecurityCenterFree, ценовая категория будет задана автоматически. В противном случае установите решение Microsoft Defender for Cloud в рабочей области:

      1. В меню Defender for Cloud выберите Параметры среды.
      2. Выберите рабочую область, к которой будет подключен агент.
      3. Установите для параметра "Управление состоянием безопасности" значение Включено или выберите Включить все, чтобы включить все планы Microsoft Defender.
  5. В разделе конфигурации События безопасности Windows выберите объем данных необработанных событий для хранения:

    • Отсутствует. Отключение сбора событий безопасности. (по умолчанию)
    • Минимальный. Меньший набор событий для сокращения количества событий.
    • Общий. Этот набор событий удовлетворяет потребности большинства клиентов и позволяет просмотреть весь журнал аудита.
    • Все события. Для клиентов, которые хотят убедиться, что все события сохранены.

    Совет

    Дополнительные сведения о настройке параметра событий безопасности на уровне рабочей области см. в этом разделе.

    Дополнительные сведения о параметрах событий безопасности Windows для агента Log Analytics см. в этом разделе.

  6. В области конфигурации выберите Применить.

  7. Чтобы включить автоматическую подготовку расширения, а не подготовку агента Log Analytics, выполните указанные ниже действия:

    1. Установите для состояния соответствующего расширения значение Вкл.

      Переключение состояния, чтобы включить автоматическую подготовку для надстройки политики K8s.

    2. Щелкните Сохранить. Будет назначено определение Политики Azure и создана задача исправления.

      Расширение Политика
      Надстройка политики для Kubernetes Развертывание надстройки службы "Политика Azure" в кластерах Службы Azure Kubernetes
      Агент гостевой конфигурации (предварительная версия) Развернуть необходимые компоненты, чтобы включить политики гостевой конфигурации на виртуальных машинах
  8. Щелкните Сохранить. Если необходимо подготовить рабочую область, установка агента может занять до 25 минут.

  9. Появится запрос на изменение настроек отслеживаемых виртуальных машин, которые ранее были подключены к рабочей области по умолчанию:

    Запрос на изменение настроек отслеживаемых виртуальных машин.

    • Нет. Параметры новой рабочей области применяются только к недавно обнаруженным виртуальным машинам, на которых не был установлен агент Log Analytics.
    • Да. Параметры новой рабочей области применяются ко всем виртуальным машинам. Каждая виртуальная машина, которая в данный момент подключена к рабочей области, созданной Microsoft Defender for Cloud, повторно подключается к новой целевой рабочей области.

    Примечание

    Если вы выбрали Да, не удаляйте рабочие области, созданные Microsoft Defender for Cloud, пока все виртуальные машины не подключатся повторно к новой целевой рабочей области. Операция завершится сбоем, если удалить рабочую область слишком рано.

Параметры событий безопасности Windows для Log Analytics Agent

При выборе уровня сбора данных в Microsoft Defender для облака события безопасности выбранного уровня сохраняются в рабочей области Log Analytics, чтобы вы могли исследовать, искать и проверять события в рабочей области. Агент Log Analytics также собирает и анализирует события безопасности, необходимые для защиты от угроз в Defender для облака.

Требования

Для хранения данных о событиях безопасности Windows необходимы функции усиленной безопасности Microsoft Defender for Cloud. Узнайте больше о планах усиленной защиты.

За хранение данных в Log Analytics может взиматься плата. Дополнительные сведения см. на странице с расценками.

Сведения для пользователей Microsoft Sentinel

Сбор событий безопасности в контексте одной рабочей области можно настроить с помощью Microsoft Defender для облака или Microsoft Sentinel, но не с помощью обоих решений одновременно. Если вы планируете добавить Microsoft Sentinel в рабочую область, которая уже получает оповещения из Microsoft Defender для облака и настроена для сбора событий безопасности, у вас есть два варианта действий:

  • Не меняйте параметры сбор событий безопасности в Microsoft Defender for Cloud. Так вы сможете запрашивать и анализировать эти события как в Microsoft Sentinel, так и в Defender для облака. Если вы хотите отслеживать состояние подключения соединителя или изменять его конфигурацию в Microsoft Sentinel, выберите второй вариант.
  • Отключите сбор событий безопасности в Microsoft Defender для облака, а затем добавьте соединитель событий безопасности в Microsoft Sentinel. Вы сможете запрашивать и анализировать события как в Microsoft Sentinel, так и в Microsoft Defender для облака. Однако теперь вы сможете отслеживать состояние подключения соединителя или изменять его конфигурацию только в Microsoft Sentinel. Чтобы отключить сбор событий безопасности в Defender для облака, установите для параметра События безопасности Windows в конфигурации агента Log Analytics значение Нет.

Какие типы событий сохраняются для наборов "Общий" и "Минимальный"?

Наборы событий Общий и Минимальный были разработаны для решения типичных задач на основе клиентских и отраслевых стандартов для неотфильтрованной частоты каждого события и его использования.

  • Минимальный — этот набор охватывает события, которые могут указывать на успешное нарушение защиты, а также важные события с низким объемом данных. Большая часть данных для этого набора событий включает: успешный вход пользователя (идентификатор события 4625), события входа пользователя с ошибкой (идентификатор события 4624) и события создания процесса (идентификатор события 4688). События выхода важны только для аудита и имеют относительно большой объем данных, поэтому они не включены в этот набор событий.
  • Общий — этот набор предназначен для предоставления полного журнала аудита пользователей, включая события с низким объемом данных. Например, этот набор содержит события входа пользователя (идентификатор события 4624) и события выхода пользователя (идентификатор события 4634). Мы добавили действия аудита, такие как изменение группы безопасности, операции основного контроллера домена Kerberos и другие события, рекомендованные отраслевыми организациями.

Ниже приведен полный обзор идентификаторов событий безопасности и событий App Locker для каждого набора:

Уровень данных Собранные индикаторы событий
Небольшие 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
Распространенные 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

Примечание

  • При использовании объекта групповой политики (GPO) мы рекомендуем включить событие создания процессов 4688 политик аудита и поле CommandLine в этом событии. Дополнительные сведения о событии создания процессов 4688 см. в разделе часто задаваемых вопросов Microsoft Defender for Cloud. Дополнительные сведения об этих политиках аудита см. в разделе Audit Policy Recommendations (Рекомендации по политике аудита).
  • Чтобы включить сбор данных для адаптивных элементов управления приложениями, Microsoft Defender для облака настраивает локальную политику AppLocker в режиме аудита, что позволяет разрешить все приложения. В результате AppLocker будет генерировать события, которые затем собираются и используются Microsoft Defender for Cloud. Важно отметить, что эта политика не настраивается на компьютерах, где уже настроена политика AppLocker.
  • Чтобы собирать данные о событиях с кодом 5156 на платформе фильтрации Windows, необходимо включить Аудит подключения платформы фильтрации (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

Настройка параметра события безопасности на уровне рабочей области

Вы можете определить уровень данных событий безопасности, которые будут храниться на уровне рабочей области.

  1. В меню Microsoft Defender for Cloud на портале Azure выберите Параметры среды.

  2. Выберите соответствующую рабочую область. Единственными событиями сбора данных для рабочей области являются события безопасности Windows, описанные на этой странице.

    Настройка данных событий безопасности для хранения в рабочей области.

  3. Выберите объем необработанных данных события для хранения, а затем — Сохранить.

Подготовка агента вручную

Чтобы вручную установить агент Log Analytics, выполните указанные ниже действия.

  1. Отключите автоматическую подготовку.

  2. При необходимости создайте рабочую область.

  3. Включите Microsoft Defender для облака в рабочей области, в которой устанавливаете агент Log Analytics:

    1. В меню Defender for Cloud выберите Параметры среды.

    2. Укажите рабочую область, в которой устанавливаете агент. Убедитесь, что рабочая область находится в той же подписке, которая используется в Microsoft Defender for Cloud, а у вас есть разрешения на чтение и запись в этой рабочей области.

    3. Выберите Включить Microsoft Defender для облака и Сохранить.

      Примечание

      Если в рабочей области уже включено решение Security или SecurityCenterFree, ценовая категория будет задана автоматически.

  4. Чтобы развернуть агенты на новых виртуальных машинах с помощью шаблона Resource Manager, установите агент Log Analytics:

  5. Чтобы развернуть агенты на существующих виртуальных машинах, следуйте инструкциям из статьи Сбор данных о виртуальных машинах Azure (раздел о сборе данных о событиях и производительности является необязательным).

  6. Чтобы развернуть агенты с помощью PowerShell, следуйте инструкциям из документации по виртуальным машинам:

Совет

Дополнительные сведения о подключении см. в статье Автоматизация подключения Microsoft Defender для облака с помощью PowerShell.

Автоматическая подготовка уже существующей установки агента

В описанных ниже вариантах использования указано, как автоматическая подготовка работает в тех случаях, когда агент или расширение уже установлены.

  • Агент Log Analytics непосредственно установлен на компьютере, но не в качестве расширения (прямой агент). Если агент Log Analytics установлен непосредственно на виртуальной машине (не в качестве расширения Azure), то Microsoft Defender для облака установит расширение агента Log Analytics и сможет обновить агент Log Analytics до последней версии. Установленный агент продолжит передавать данные в уже настроенные рабочие области и в рабочую область, настроенную в Defender для облака. (На компьютерах с Windows поддерживается использование нескольких агентов.)

    Если в Log Analytics настроена пользовательская рабочая область, а не рабочая область по умолчанию Defender для облака, вам потребуется установить в ней решение Security или SecurityCenterFree для Defender для облака, чтобы начать обработку событий с виртуальных машин и компьютеров, передающих данные в эту рабочую область.

    Для компьютеров с Linux использование нескольких агентов пока не поддерживается. Если обнаружена существующая установка агента, то агент Log Analytics не будет подготовлен автоматически.

    Для существующих компьютеров в подписках, подключенных к Microsoft Defender для облака до 17 марта 2019 г., при обнаружении существующего агента расширение агента Log Analytics не будет установлено и конфигурация компьютера не будет изменена. Рекомендации по устранению проблем установки агента на таких компьютерах см. в разделе "Устранение проблем работоспособности агента мониторинга на ваших компьютерах".

  • Агент System Center Operations Manager уже установлен на компьютере. Microsoft Defender for Cloud установит расширение агента Log Analytics параллельно с существующим агентом Operations Manager. Существующий агент Operations Manager продолжит отправлять отчеты на сервер Operations Manager, как обычно. Агент Operations Manager и агент Log Analytics используют общие библиотеки времени выполнения, которые во время этого процесса будут обновлены до последней версии. Если установлен агент Operations Manager версии 2012, не включайте автоматическую подготовку.

  • Расширение виртуальной машины уже установлено:

    • Если агент мониторинга установлен в качестве расширения, конфигурация расширения позволяет создавать отчеты только для одной рабочей области. Microsoft Defender для облака не переопределяет установленные подключения к рабочим областям пользователя. Microsoft Defender для облака будет хранить данные безопасности с виртуальной машины в уже подключенной рабочей области при условии, что в ней установлено решение Security или SecurityCenterFree. В рамках этого процесса Microsoft Defender for Cloud может обновлять расширение до последней версии.
    • Чтобы узнать, в какую рабочую область отправляет данные имеющееся расширение, выполните тест для проверки соединения с Microsoft Defender for Cloud. Вы также можете открыть рабочие области Log Analytics, выбрать рабочую область и виртуальную машину, а затем проверить подключение агента Log Analytics.
    • Если в вашей среде на клиентских рабочих станциях установлен агент Log Analytics, отправляющий отчеты в имеющуюся рабочую область Log Analytics, просмотрите список операционных систем, поддерживаемых Microsoft Defender for Cloud, чтобы убедиться, что ваша операционная система поддерживается. Дополнительные сведения см. в статье Существующие клиенты Log Analytics.

Отключение автоматической подготовки

При отключении автоматической подготовки агенты не будут подготавливаться на новых виртуальных машинах.

Чтобы отключить автоматическую подготовку агента, выполните указанные ниже действия:

  1. В меню Microsoft Defender for Cloud на портале выберите Параметры среды.

  2. Выберите соответствующую подписку.

  3. Выберите Автоматическая подготовка.

  4. Установите для состояния соответствующего агента значение Выкл.

    Переключение состояния, чтобы отключить автоматическую подготовку для каждого типа агента.

  5. Щелкните Сохранить. Если автоматическая подготовка отключена, раздел конфигурации рабочей области по умолчанию не отображается:

    Если автоматическая подготовка отключена, ячейка конфигурации пуста

Примечание

При отключении автоматической подготовки агент Log Analytics не будет удален с виртуальных машин Azure, на которых он был подготовлен. Сведения о том, как удалить расширение OMS, см. в разделе Как удалить расширения OMS, установленные Microsoft Defender for Cloud.

Устранение неполадок

Дальнейшие действия

На этой странице объясняется, как включить автоматическую подготовку агента Log Analytics и других расширений Microsoft Defender for Cloud. Здесь также описано, как определить рабочую область Log Analytics, в которой будут храниться собранные данные. Чтобы включить сбор данных, необходимо выполнить обе операции. За хранение данных в новых или существующих рабочих областях Log Analytics может взиматься дополнительная плата. Сведения о ценах в местной валюте или регионе см. на странице с ценами.