Defender для облака собирает данные из виртуальных машин Azure, Масштабируемые наборы виртуальных машин, контейнеров IaaS и компьютеров, отличных от Azure (включая локальные компьютеры), для мониторинга уязвимостей и угроз безопасности. Агент Log Analytics собирает данные, которые считывают различные конфигурации, связанные с безопасностью, и журналы событий с компьютера и копируют данные в рабочую область для анализа.
сбор данных
Как включить сбор данных?
Сбор данных автоматически включается при включении плана Defender, требующего компонента мониторинга.
Что происходит, когда сбор данных включен?
Если включена автоматическая подготовка, Defender для облака использует агент Log Analytics на всех поддерживаемых виртуальных машинах Azure и всех созданных новых. Хотя мы рекомендуем использовать автоматическую подготовку, вы также можете установить агент вручную. Сведения об установке расширения агента Log Analytics.
Агент включает событие создания процесса 4688 и поле CommandLine в событии 4688. Новые процессы, созданные на виртуальной машине, записываются журналом событий и отслеживаются службами обнаружения Defender для облака. Дополнительные сведения о том, что именно регистрируется для каждого нового процесса, см. в описании полей события 4688. Кроме того, агент собирает события 4688, созданные на виртуальной машине и сохраняет их для поиска.
Чтобы включить сбор данных для адаптивных элементов управления приложениями, Defender для облака настраивает локальную политику AppLocker в режиме аудита, чтобы разрешить все приложения. Эта политика приводит к созданию событий AppLocker, которые затем собираются и используются Defender для облака. Важно отметить, что эта политика не настроена на компьютерах, на которых уже настроена политика AppLocker.
Когда Defender для облака обнаруживает подозрительные действия на виртуальной машине, клиент получает уведомление по электронной почте, если были предоставлены контактные данные системы безопасности. Кроме того, на панели оповещений системы безопасности отображается предупреждение Defender для облака.
Агенты
Что такое агент Log Analytics?
Чтобы отслеживать уязвимости и угрозы безопасности, Microsoft Defender для облака зависит от агента Log Analytics. Этот агент используется службой Azure Monitor.
Агент иногда называют Microsoft Monitoring Agent (или "MMA").
Агент собирает различные настраиваемые сведения, связанные с безопасностью, и ведет журналы событий с подключенных компьютеров, а затем копирует данные в рабочую область Log Analytics для дальнейшего анализа. К примерам таких данных относятся тип и версия операционной системы, журналы операционной системы (журналы событий Windows), выполняющиеся процессы, имя компьютера, IP-адреса и имя вошедшего пользователя.
Убедитесь в том, что компьютеры работают под управлением одной из операционных систем, поддерживаемых этим агентом, как описано на следующих страницах:
Подробнее о данных, собираемых агентом Log Analytics.
Каковы требования к виртуальной машине для автоматической подготовки установки агента Log Analytics?
Для виртуальной машины IaaS Windows или Linux можно выполнить подготовку, если:
- Расширение агента Log Analytics в настоящее время не установлено на виртуальной машине.
- Виртуальная машина находится в состоянии выполнения.
- Установлен агент виртуальной машины Azure для Windows или Linux.
- Виртуальная машина не используется в качестве (модуль), например брандмауэр веб-приложения или брандмауэр следующего поколения.
Какие события безопасности собирают агент Log Analytics?
Полный список событий безопасности, собираемых агентом, см. в разделе Какие типы событий хранятся для уровней событий безопасности "Обычный" и "Минимальный"?.
Внимание
Для некоторых служб, таких как Брандмауэр Azure, ведение журнала для ресурса, создающего многочисленные журналы, может использовать хранилище в рабочей области Log Analytics. Убедитесь, что вы используете подробное ведение журнала только при необходимости.
Что делать, если агент Log Analytics уже установлен на виртуальной машине в качестве расширения?
Если агент мониторинга установлен в качестве расширения, конфигурация расширения позволяет создавать отчеты только для одной рабочей области. Microsoft Defender для облака не переопределяет установленные подключения к рабочим областям пользователя. Defender для облака хранит данные безопасности из виртуальной машины в рабочей области, которая уже подключена при установке решения Security или SecurityCenterFree. Defender для облака может обновить версию расширения до последней версии в этом процессе.
Дополнительные сведения см. в разделе Автоматическая подготовка уже существующей установки агента.
Что делать, если агент Log Analytics непосредственно установлен на компьютере, но не в качестве расширения (прямой агент)?
Если агент Log Analytics установлен непосредственно на виртуальной машине (не в качестве расширения Azure), Defender для облака устанавливает расширение агента Log Analytics и может обновить агент Log Analytics до последней версии.
Установленный агент продолжает сообщать в уже настроенные рабочие области и отчеты в рабочую область, настроенную в Defender для облака. (На компьютерах с Windows поддерживается использование нескольких агентов.)
Для пользовательских рабочих областей пользователей необходимо установить решение Security или SecurityCenterFree, чтобы Defender для облака могли обрабатывать события с виртуальных машин и компьютеров, сообщающих этой рабочей области.
Для компьютеров Linux агент с несколькими хомингами пока не поддерживается. Если обнаружена существующая установка агента, Defender для облака не использует агент или не изменяет конфигурацию компьютера.
Для существующих компьютеров на подписках, подключенных к Defender для облака до 17 марта 2019 г., пока не поддерживается мультихмитирование агентов. Если обнаружена существующая установка агента, Defender для облака не использует агент или не изменяет конфигурацию компьютера. Рекомендации по устранению проблем установки агента на таких компьютерах см. в разделе "Устранение проблем работоспособности агента мониторинга на ваших компьютерах".
Дополнительные сведения см. в следующем разделе Что делать, если прямой агент System Center Operations Manager или OMS уже установлен на моей виртуальной машине?
Что делать, если агент System Center Operations Manager уже установлен на моей виртуальной машине?
Defender для облака реализует Политика Azure, которая не позволяет установить агент Log Analytics во время установки агента System Center Operations Manager на компьютере. Оба агента имеют возможность многодомного и сообщать в System Center Operations Manager и рабочую область Log Analytics. Агент Operations Manager и агент Log Analytics используют общие библиотеки времени выполнения. Примечание. Если установлен агент Operations Manager версии 2012, не включите автоматическую подготовку (возможности управления можно потерять, если сервер Operations Manager также версии 2012).
Что такое эффект удаления этих расширений?
Если удалить расширение мониторинга Майкрософт, Defender для облака не может собирать данные безопасности с виртуальной машины, а некоторые рекомендации по безопасности и оповещения недоступны. В течение 24 часов Defender для облака определит, что на виртуальной машине отсутствует расширение, и переустановит его.
Как остановить автоматическую установку агента и создание рабочей области?
Развертывание расширений с помощью Defender для облака настоятельно рекомендуется для получения оповещений системы и рекомендаций по обновлению системы, уязвимостям ОС и защите конечных точек. Отключение расширений ограничивает эти оповещения и рекомендации. Однако вы можете отключить автоматическую подготовку для определенного агента или расширения:
Отключение автоматической подготовки для конкретного агента или расширения:
На портале Azure откройте Defender для облака и выберите Параметры среды.
Выберите соответствующую подписку.
В столбце покрытия мониторинга плана Defender для сервера выберите Параметры.
Отключите расширение, которое вы хотите остановить автоматической подготовки.
Выберите Сохранить.
Следует ли отказаться от автоматической установки агента и создания рабочей области?
Примечание.
Если вы решили отказаться от автоматической подготовки, просмотрите разделы Каковы последствия отказа от автоматической подготовки? и Какие рекомендуемые шаги при отказе от автоматической подготовки?
Вы можете отказаться от автоматической подготовки, если эти сценарии применяются к вам:
Автоматическая установка агента Defender для облака применяется для всей подписки. Вы не можете применить автоматическую установку к подмножествам виртуальных машин. Если есть критически важные виртуальные машины, которые не могут быть установлены с агентом Log Analytics, необходимо отказаться от автоматической подготовки.
При установке расширения агента Log Analytics версия агента будет обновлена. Это относится к прямому агенту и агенту System Center Operations Manager (в последнем случае агент Operations Manager и Log Analytics совместно используют общие библиотеки среды выполнения, которые обновляются в процессе). Если установлен агент Operations Manager версии 2012 и он будет обновлен, возможности управления могут быть потеряны, если сервер SCOM также имеет версию 2012. Если установлен агент Operations Manager версии 2012, подумайте об отказе от автоматической подготовки.
Если вы хотите избежать создания множества рабочих областей на подписку и у вас уже есть собственная пользовательская рабочая область в пределах подписки, у вас есть два варианта:
Можно отключить автоматическую подготовку. После миграции задайте параметры рабочей области по умолчанию, как описано в Как можно использовать мою существующую рабочую область Log Analytics?
Можно также разрешить завершение миграции, тогда агент Log Analytics будет установлен на виртуальных машинах, и они будут подключены к созданной рабочей области. Выберите пользовательскую рабочую область, задав параметр рабочей области по умолчанию с включением защиты для повторной настройки уже установленных агентов. Дополнительную информацию см. в разделе Как использовать имеющуюся рабочую область Log Analytics?
Каковы последствия отказа от автоматической подготовки?
Как только миграция завершится, Defender для облака не сможет собирать данные безопасности с виртуальной машины, и некоторые рекомендации и оповещения системы безопасности станут недоступными. Если вы отказываетесь от автоматической подготовки, установите агент Log Analytics вручную. Ознакомьтесь с рекомендуемыми шагами при отказе.
Какие рекомендуемые шаги при отказе от автоматической подготовки?
Вручную установите расширение агента Log Analytics, чтобы разрешить Defender для облака собирать данные безопасности с ваших виртуальных машин, а также предоставлять рекомендации и оповещения. Рекомендации по установке см. в статье Расширение виртуальной машины Log Analytics для Windows или Linux.
Можно подключить агент к любой существующей пользовательской рабочей области или созданной рабочей области Defender для облака. Если настраиваемая рабочая область не включает решения Security или SecurityCenterFree, необходимо применить решение. Для этого выберите настраиваемую рабочую область и примените ценовую категорию на странице Параметры среды>Планы Defender.
Defender для облака включает правильное решение в рабочей области на основе выбранных параметров.
Как удалить расширения OMS, установленные Defender для облака?
Вы можете вручную удалить агент Log Analytics, но не рекомендуется. Удаление расширений OMS ограничивает рекомендации и оповещения Defender для облака.
Примечание.
Если включен сбор данных, Defender для облака переустановит агент после его удаления. Прежде чем удалять агент вручную, отключите сбор данных. Инструкции по отключению сбора данных см. в ответе на вопрос "Как остановить автоматическую установку агента и создание рабочей области?"
Удаление агента вручную
На портале откройте Log Analytics.
На странице Log Analytics выберите рабочую область:
Выберите виртуальные машины, для которых не требуется выполнять мониторинг, и нажмите Отключить.
Примечание.
Если у виртуальной машины Linux уже есть агент OMS, удаление расширения также удаляет агент и переустановите его.
Будет ли Defender для облака работать со шлюзом OMS?
Да. Microsoft Defender для облака использует Azure Monitor для сбора данных с виртуальных машин и серверов Azure с помощью агента Log Analytics. Для сбора данных каждая виртуальная машина и сервер должны подключаться к Интернету по протоколу HTTPS. Подключение может быть установлено напрямую, через прокси-сервер или через шлюз OMS.
Влияет ли агент Log Analytics на производительность моих серверов?
Агент потребляет номинальный объем системных ресурсов и должен иметь мало влияния на производительность. Дополнительные сведения о влиянии на производительность и агенте и расширении см. в руководстве по планированию и операциям.
Безагентное
Какие данные собираются из моментальных снимков?
Сканирование без агента собирает данные, аналогичные данным, собираемым агентом для выполнения того же анализа. Необработанные данные, ЛИЧНЫЕ данные или конфиденциальные бизнес-данные не собираются, а только результаты метаданных отправляются в Defender для облака.
Каковы затраты, связанные с бессерверным сканированием?
Сканирование без агента включается в планы Управления posture в Defender Cloud Security (CSPM) и Defender для серверов P2. При включении не требуется Defender для облака других затрат.
Примечание.
Плата за хранение моментальных снимков дисков в AWS. Процесс проверки Defender для облака активно пытается свести к минимуму период, в течение которого моментальный снимок хранится в учетной записи (обычно до нескольких минут). AWS может взимать затраты на хранение моментальных снимков диска. Ознакомьтесь с AWS, чтобы узнать, какие затраты применяются к вам.
Как отслеживать затраты AWS, связанные с моментальными снимками дисков, созданными с помощью Defender для облака сканирования без агента?
Моментальные снимки дисков создаются с помощью ключа тега CreatedBy и значения тега Microsoft Defender for Cloud . Тег CreatedBy отслеживает, кто создал ресурс.
Необходимо активировать теги в консоли управления выставлением счетов и затратами. Для активации тегов может потребоваться до 24 часов.
После активации тегов AWS создает отчет о выделении затрат в виде разделенного запятыми значения (. CSV-файл) с использованием и затратами, сгруппированными по активным тегам.
Рабочие области
Взимается ли плата за использование журналов Azure Monitor в рабочих областях, созданных Microsoft Defender for Cloud?
Существует 500-МБ бесплатный прием данных для каждой рабочей области. Расчет выполняется для каждого узла и каждой рабочей области в день. Возможность предоставляется для каждой рабочей области, в которой установлены решения с отметкой "Безопасность" или "Антивредоносная программа". Плата взимается за любые данные, передаваемые за ограничение в 500 МБ.
Для рабочих областей, созданных Defender для облака, хотя и настроены для выставления счетов за журналы Azure Monitor по узлам, плата за журналы Azure Monitor не взимается. Выставление счетов в Defender для облака всегда основывается на вашей политике безопасности Defender для облака и решениях, установленных в рабочей области:
Расширенная безопасность выключена — Defender для облака включает решение SecurityCenterFree в рабочей области по умолчанию. Плата не взимается, если нет планов Defender.
Все планы Microsoft Defender для облака включены — Defender для облака включает решение Security в рабочей области по умолчанию.
Сведения о ценах в вашей валюте или регионе см. на странице цен.
Примечание.
Ценовая категория log analytics рабочих областей, созданных Defender для облака, не влияет на выставление счетов Defender для облака.
Примечание.
Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.
Где создается рабочая область Log Analytics по умолчанию?
Расположение рабочей области по умолчанию зависит от вашего региона Azure.
- Для виртуальных машин в США и Бразилии расположение рабочей области — это США
- Для виртуальных машин в Канаде рабочая область располагается в Канаде
- Для виртуальных машин в Европе расположение рабочей области — Европа
- Для виртуальных машин в Великобритании расположение рабочей области — Великобритания
- Для виртуальных машин в Восточной Азии и Юго-Восточной Азии расположение рабочей области — Азия
- Для виртуальных машин в Корее рабочая область располагается в Корее
- Для виртуальных машин в Индии рабочая область располагается в Индии
- Для виртуальных машин в Японии рабочая область располагается в Японии
- Для виртуальных машин в Китае рабочая область располагается в Китае
- Для виртуальных машин в Австралии рабочая область располагается в Австралии
Можно ли удалить рабочие области по умолчанию, созданные Microsoft Defender for Cloud?
Удаление рабочей области по умолчанию не рекомендуется. Defender для облака использует рабочие области по умолчанию для хранения данных безопасности с виртуальных машин. Если удалить рабочую область, Defender для облака не сможет собрать данные и некоторые рекомендации, и оповещения системы безопасности станут недоступными.
Для восстановления удалите агент Log Analytics на виртуальных машинах, подключенных к удаленной рабочей области. Defender для облака переустановит агент и создаст новые рабочие области по умолчанию.
Как использовать имеющуюся рабочую область Log Analytics?
Вы можете выбрать существующую рабочую область Log Analytics для хранения данных, собранных Defender для облака. Чтобы использовать имеющуюся рабочую область Log Analytics, необходимо соблюдать следующие условия:
- Рабочая область должна быть связана с выбранной подпиской Azure.
- Чтобы получить доступ к рабочей области, необходимо иметь разрешения на чтение.
Примечание.
Чтобы получить оповещения системы безопасности от этого агента, убедитесь, что агент Log Analytics и компьютер, на котором агент выполняет оба отчета в рабочую область Log Analytics в одном клиенте.
Чтобы выбрать имеющуюся рабочую область Log Analytics, сделайте следующее:
В меню Defender for Cloud выберите Параметры среды.
Выберите соответствующую подписку.
В столбце покрытия мониторинга плана Defender для сервера выберите Параметры.
Для агента Log Analytics выберите Edit configuration (Изменить настройки).
Выберите настраиваемую рабочую область и выберите существующую рабочую область.
Совет
Список включает только рабочие области, к которым у вас есть доступ и которые находятся в вашей подписке Azure.
Выберите Применить.
Выберите Продолжить.
Нажмите кнопку "Сохранить " и убедитесь, что вы хотите перенастроить отслеживаемые виртуальные машины.
Внимание
Этот выбор актуален, только если вы меняете конфигурацию рабочей области по умолчанию на пользовательскую рабочую область. Если вы изменяете параметр из одной пользовательской рабочей области в другую или из настраиваемой рабочей области в рабочую область по умолчанию, изменение не применяется к существующим компьютерам.
- Выберите Нет, если нужно, чтобы параметры новой рабочей области применялись только к новым виртуальным машинам. Новые параметры рабочей области применяются только к новым установкам агента; недавно обнаруженные виртуальные машины, на которых не установлен агент Log Analytics.
- Выберите Да, если нужно, чтобы параметры новой рабочей области применялись ко всем виртуальным машинам. Кроме того, каждая виртуальная машина, подключенная к рабочей области, созданной в Defender для облака, повторно подключается к новой целевой рабочей области.
Примечание.
Если вы выбрали Да, не удаляйте рабочие области, созданные Defender для облака, пока все виртуальные машины не подключатся повторно к новой целевой рабочей области. Операция завершится сбоем, если удалить рабочую область слишком рано.
Переопределяет ли Defender для облака все установленные подключения между виртуальными машинами и рабочими областями?
Если у виртуальной машины уже установлен агент Log Analytics в качестве расширения Azure, Defender для облака не переопределяет существующее подключение к рабочей области. Вместо этого в Defender для облака используется существующая рабочая область. Виртуальная машина защищена, если решение Security или SecurityCenterFree установлено в рабочей области, в которой она сообщает.
Если Defender для облака еще не установлен, он устанавливается в рабочей области, выбранной на экране "Сбор данных", и решение применяется только к соответствующим виртуальным машинам. Когда вы добавляете решение, оно по умолчанию автоматически развертывается на всех агентах Windows и Linux, подключенных к рабочей области Log Analytics. Функция нацеливания решений позволяет применять к решениям область действия.
Совет
Если агент Log Analytics установлен непосредственно на виртуальной машине (не как расширение Azure), Defender для облака не устанавливает агент Log Analytics, а мониторинг безопасности ограничен.
Устанавливает ли Defender для облака решения в моих существующих рабочих областях Log Analytics? Как это влияет на выставление счетов?
Defender для облака определяет, что виртуальная машина уже подключена к рабочей области, которую вы создали. Затем Defender для облака включает решения в этой рабочей области в соответствии с конфигурацией цен. Решения применяются только к релевантным ресурсам с помощью функции нацеливания решений, поэтому выставляемые счета не претерпевают изменений.
Планы Defender не включены. Defender для облака устанавливает решение SecurityCenterFree в рабочей области, и плата за нее не взимается.
Включить все планы Microsoft Defender: Defender для облака устанавливает в рабочей области решение Security.
В моей среде уже есть рабочие области. Можно ли использовать их для сбора данных безопасности?
Если на виртуальной машине уже установлен агент Log Analytics в качестве расширения Azure, Defender для облака будет использовать существующую подключенную рабочую область. Defender для облака устанавливается в рабочей области (если он еще не установлен), и решение применяется только к релевантным виртуальным машинам при помощи функции нацеливания решений.
Когда Defender для облака устанавливает агент Log Analytics на виртуальных машинах, Defender использует созданные им рабочие области по умолчанию, если только не нацелен на существующую рабочую область.
В моих рабочих областях уже есть решение для обеспечения безопасности. Как это влияет на выставление счетов?
Решение "Безопасность и аудит" используется для включения Microsoft Defender для серверов. Если решение "Безопасность и аудит" уже установлено в рабочей области, Defender для облака использует существующее решение. Нет изменений в выставлении счетов.