Поделиться через


Как Microsoft Defender for Cloud собирает данные?

Defender для облака собирает данные из виртуальных машин Azure, Масштабируемые наборы виртуальных машин, контейнеров IaaS и компьютеров, отличных от Azure (включая локальные) для отслеживания уязвимостей и угроз безопасности. Для некоторых планов Defender требуются компоненты мониторинга для сбора данных из рабочих нагрузок.

Сбор данных необходим, чтобы обнаруживать недостающие обновления и неправильно настроенные параметры безопасности ОС, узнавать, включена ли защита конечных точек, а также определять работоспособность и обнаруживать угрозы. Сбор данных необходим только для вычислительных ресурсов, таких как виртуальные машины, Масштабируемые наборы виртуальных машин, контейнеры IaaS и компьютеры, отличные от Azure.

Вы можете воспользоваться функциями и возможностями Microsoft Defender for Cloud даже без подготовки агентов. Однако у вас будет ограниченная безопасность, и перечисленные возможности не поддерживаются.

Для сбора данных используются указанные ниже возможности.

Зачем использовать Defender для облака для развертывания компонентов мониторинга?

Видимость безопасности рабочих нагрузок зависит от данных, собираемых компонентами мониторинга. Компоненты обеспечивают покрытие безопасности для всех поддерживаемых ресурсов.

Чтобы сэкономить процесс ручной установки расширений, Defender для облака сократить затраты на управление, установив все необходимые расширения на существующих и новых компьютерах. Defender для облака назначает соответствующие Разверните, если политика не существует для рабочих нагрузок в подписке. чтобы убедиться, что расширение подготовлено на всех существующих и будущих ресурсах этого типа.

Совет

Дополнительные сведения о эффектах Политика Azure, включая развертывание, если оно не существует, см. в разделе "Общие сведения о Политика Azure эффектах".

Какие планы используют компоненты мониторинга?

Эти планы используют компоненты мониторинга для сбора данных:

Доступность расширений

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Агент Azure Monitor (AMA)

Аспект Сведения
Состояние выпуска: Обычно доступно (GA)
Соответствующий план Defender: Defender для SQL Server на компьютерах
Обязательные роли и разрешения (уровень подписки): Ответственное лицо
Поддерживаемые назначения: Виртуальные машины Azure
Компьютеры с поддержкой Azure Arc
На основе политик: Да
Облако. Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Узнайте больше об использовании агента Azure Monitor с Defender для облака.

Агент Log Analytics

Аспект Виртуальные машины Azure Компьютеры с поддержкой Azure Arc
Состояние выпуска: Обычно доступно (GA) Обычно доступно (GA)
Соответствующий план Defender: Foundational Cloud Security Posture Management (CSPM) для рекомендаций по безопасности на основе агента
Microsoft Defender для серверов
Microsoft Defender для SQL
Foundational Cloud Security Posture Management (CSPM) для рекомендаций по безопасности на основе агента
Microsoft Defender для серверов
Microsoft Defender для SQL
Обязательные роли и разрешения (уровень подписки): Ответственный Ответственный
Поддерживаемые назначения: Виртуальные машины Azure Компьютеры с поддержкой Azure Arc
На основе политик: Нет Да
Облако. Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Поддерживаемые операционные системы для агента Log Analytics

Defender для облака зависит от агента Log Analytics. Убедитесь, что компьютеры работают под управлением одной из операционных систем, поддерживаемых этим агентом, как описано на следующих страницах:

Кроме того, убедитесь, что агент Log Analytics правильно настроен для отправки данных в Defender для облака.

Развертывание агента Log Analytics в случаях установки существующего агента

В следующих случаях объясняется, как развертывание агента Log Analytics работает в случаях, когда уже установлен агент или расширение.

  • Агент Log Analytics непосредственно установлен на компьютере, но не в качестве расширения (прямой агент). Если агент Log Analytics установлен непосредственно на виртуальной машине (не в качестве расширения Azure), то Microsoft Defender для облака установит расширение агента Log Analytics и сможет обновить агент Log Analytics до последней версии. Установленный агент продолжит передавать данные в уже настроенные рабочие области и в рабочую область, настроенную в Defender для облака. (На компьютерах с Windows поддерживается использование нескольких агентов.)

    Если в Log Analytics настроена пользовательская рабочая область, а не рабочая область по умолчанию Defender для облака, вам потребуется установить в ней решение Security или SecurityCenterFree для Defender для облака, чтобы начать обработку событий с виртуальных машин и компьютеров, передающих данные в эту рабочую область.

    Для компьютеров с Linux использование нескольких агентов пока не поддерживается. Если обнаружена существующая установка агента, агент Log Analytics не будет развернут.

    Для существующих компьютеров в подписках, подключенных к Microsoft Defender для облака до 17 марта 2019 г., при обнаружении существующего агента расширение агента Log Analytics не будет установлено и конфигурация компьютера не будет изменена. Рекомендации по устранению проблем установки агента на таких компьютерах см. в разделе "Устранение проблем работоспособности агента мониторинга на ваших компьютерах".

  • Агент System Center Operations Manager уже установлен на компьютере. Microsoft Defender for Cloud установит расширение агента Log Analytics параллельно с существующим агентом Operations Manager. Существующий агент Operations Manager продолжит отправлять отчеты на сервер Operations Manager, как обычно. Агент Operations Manager и агент Log Analytics используют общие библиотеки времени выполнения, которые во время этого процесса будут обновлены до последней версии.

  • Расширение виртуальной машины уже установлено:

    • Если агент мониторинга установлен в качестве расширения, конфигурация расширения позволяет создавать отчеты только для одной рабочей области. Microsoft Defender для облака не переопределяет установленные подключения к рабочим областям пользователя. Defender для облака будет хранить данные безопасности из виртуальной машины в рабочей области, уже подключенной, если на ней было установлено решение Security или SecurityCenterFree. Defender для облака может обновить версию расширения до последней версии в этом процессе.
    • Чтобы узнать, в какую рабочую область отправляется существующее расширение, запустите средство TestCloudConnection.exe для проверки подключения к Microsoft Defender для облака, как описано в разделе "Проверка подключения агента Log Analytics". Вы также можете открыть рабочие области Log Analytics, выбрать рабочую область и виртуальную машину, а затем проверить подключение агента Log Analytics.
    • Если в вашей среде на клиентских рабочих станциях установлен агент Log Analytics, отправляющий отчеты в имеющуюся рабочую область Log Analytics, просмотрите список операционных систем, поддерживаемых Microsoft Defender for Cloud, чтобы убедиться, что ваша операционная система поддерживается.

Дополнительные сведения о работе с агентом Log Analytics.

Microsoft Defender для конечной точки;

Аспект Linux Windows
Состояние выпуска: Обычно доступно (GA) Обычно доступно (GA)
Соответствующий план Defender: Microsoft Defender для серверов Microsoft Defender для серверов
Обязательные роли и разрешения (уровень подписки): — Включение и отключение интеграции: администратор безопасности или владелец
— Просмотр оповещений Defender для конечной точки в Defender для облака: читатель, читатель, участник группы ресурсов, владелец группы ресурсов, администратор безопасности, владелец подписки или участник подписки
— Включение и отключение интеграции: администратор безопасности или владелец
— Просмотр оповещений Defender для конечной точки в Defender для облака: читатель, читатель, участник группы ресурсов, владелец группы ресурсов, администратор безопасности, владелец подписки или участник подписки
Поддерживаемые назначения: Компьютеры с поддержкой Azure Arc
Виртуальные машины Azure
Компьютеры с поддержкой Azure Arc
виртуальные машины Azure под управлением Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Виртуального рабочего стола Azure или Windows 10 Корпоративная с поддержкой нескольких сеансов;
виртуальные машины Azure под управлением Windows 10.
На основе политик: Нет Нет
Облако. Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Дополнительные сведения о Microsoft Defender для конечной точки.

Оценка уязвимостей

Аспект Сведения
Состояние выпуска: Обычно доступно (GA)
Соответствующий план Defender: Microsoft Defender для серверов
Обязательные роли и разрешения (уровень подписки): Ответственное лицо
Поддерживаемые назначения: Виртуальные машины Azure
Компьютеры с поддержкой Azure Arc
На основе политик: Да
Облако. Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Гостевая конфигурация

Аспект Сведения
Состояние выпуска: Предварительный просмотр
Соответствующий план Defender: План не требуется
Обязательные роли и разрешения (уровень подписки): Ответственное лицо
Поддерживаемые назначения: Виртуальные машины Azure
Облако. Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Дополнительные сведения о расширении гостевой конфигурации Azure.

Расширения Defender для контейнеров

В этой таблице показаны сведения о доступности компонентов, необходимых для защиты, предоставляемой Microsoft Defender для контейнеров.

По умолчанию необходимые расширения включены при включении Defender для контейнеров из портал Azure.

Аспект Кластеры Службы Azure Kubernetes Кластеры Kubernetes с поддержкой Azure Arc
Состояние выпуска: • Датчик Защитника: GA
• Политика Azure для Kubernetes: общедоступная версия (GA)
• Датчик Защитника: предварительная версия
• Политика Azure для Kubernetes: предварительная версия
Соответствующий план Defender: Microsoft Defender для контейнеров Microsoft Defender для контейнеров
Обязательные роли и разрешения (уровень подписки): Владелец или администратор доступа пользователей Владелец или администратор доступа пользователей
Поддерживаемые назначения: Датчик AKS Defender поддерживает только кластеры AKS с включенным RBAC. См. список дистрибутивов Kubernetes, поддерживаемых для Kubernetes с поддержкой Arc.
На основе политик: Да Да
Облако. Датчик Defender:
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet
Политика Azure для Kubernetes:
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet
Датчик Defender:
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet
Политика Azure для Kubernetes:
Коммерческие облака
Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet

Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.

Устранение неполадок

Следующие шаги

На этой странице объясняется, какие компоненты мониторинга и как их включить.

См. также: