Исправление рекомендаций по настройке гостей

Примечание.

Так как агент Log Analytics (также известный как MMA) установлен на пенсию в ноябре 2024 года, все функции Defender для серверов, которые в настоящее время зависят от него, в том числе описанные на этой странице, будут доступны через Microsoft Defender для конечной точки интеграцию или проверку без агента до даты выхода на пенсию. Дополнительные сведения о схеме развития для каждой из функций, которые в настоящее время зависят от агента Log Analytics, см . в этом объявлении.

Defender для облака оценивает неправильные настройки базовых показателей для виртуальных машин, подключенных к вашей подписке. Оценка оценивает виртуальные машины на основе предопределенных базовых показателей безопасности, определяя любые отклонения или неправильно настроенные конфигурации, которые могут представлять потенциальные риски. Выравнивая виртуальные машины с рекомендациями по безопасности и политиками организации, вы можете поддерживать надежную и безопасную вычислительную среду.

Сведения о компьютере собираются с помощью Политика Azure гостевой конфигурации, а оценка основана на тестах Майкрософт, которые охватывают различные тесты соответствия требованиям и нормативные акты. Например, CIS, STIG и многое другое. Политика Azure гостевая конфигурация включает следующие политики в подписке:

• Справка по базовой гостевой конфигурации Политики Azure для Windows

• Политика Azure базовые показатели гостевой конфигурации для Linux

Примечание.

Если удалить эти политики, вы не сможете получить доступ к преимуществам расширения гостевой конфигурации Политика Azure.

Необходимые компоненты

• Включите Defender для серверов плана 2 в подписке.

• Просмотрите страницу цен на Defender для облака, чтобы узнать о ценах на серверы Defender 2.

Внимание

Помните, что дополнительные функции, предоставляемые Политика Azure гостевой конфигурацией, которые существуют за пределами портала Defender для облака, не включены в Defender для облака, и подлежат Политика Azure политикам ценообразования гостевых конфигураций. Например , исправление и пользовательские политики. Дополнительные сведения см. на странице цен на Политика Azure гостевой конфигурации.

• Просмотрите матрицу поддержки для Политика Azure гостевой конфигурации.

• Установите Политика Azure гостевую конфигурацию на компьютерах:

  • Компьютеры Azure: на портале Defender для облака на странице рекомендаций найдите и выберите расширение гостевой конфигурации должны быть установлены на компьютерах и исправлять рекомендацию.

  • Виртуальные машины Azure должны назначать только управляемое удостоверение на портале Defender для облака. Перейдите на страницу рекомендаций. Найдите и выберите расширение гостевой конфигурации виртуальных машин, должно быть развернуто с управляемым удостоверением, назначаемое системой. Затем исправьте рекомендацию.

  • (Необязательно) Только виртуальные машины Azure: включите Политика Azure гостевую конфигурацию во всей подписке.

  • Включите расширение гостевой конфигурации Политика Azure на компьютерах Azure во всей подписке:

    1. Войдите на портал Azure.

    2. Найдите и выберите Microsoft Defender для облака.

    3. Перейдите в раздел "Параметры>вашей подписки>" и "Мониторинг".

       

    4. Переключите агент гостевой конфигурации (предварительная версия) на Вкл.

       

    5. Выберите Продолжить.

  • GCP и AWS: Политика Azure гостевая конфигурация устанавливается автоматически при подключении проекта GCP или подключении учетных записей AWS с включенной автоматической подготовкой Azure Arc к Defender для облака.

  • Локальные компьютеры: Политика Azure гостевая конфигурация включена по умолчанию при подключении локальных компьютеров в качестве компьютера с поддержкой Azure Arc или виртуальных машин.

Просмотр и исправление рекомендаций по настройке гостей

После подключения Политика Azure гостевой конфигурации к подписке Defender для облака начнет оценивать виртуальные машины в зависимости от базовых показателей безопасности. В зависимости от сред, если обнаружены неправильные конфигурации, на странице рекомендаций могут появиться следующие рекомендации:

• Уязвимости в конфигурации безопасности на компьютерах Windows должны быть устранены (на основе гостевой конфигурации)
• Уязвимости в конфигурации безопасности на компьютерах Linux должны быть устранены (на основе гостевой конфигурации)

Чтобы просмотреть и исправить эти действия, выполните следующие действия.

1. Войдите на портал Azure.

2. Перейдите к Defender для облака> рекомендации**.

3. Найдите и выберите одну из рекомендаций.

4. Просмотрите рекомендацию.

5. Исправьте рекомендацию.

Примечание.

Во время процесса нерекомендуемого агента Log Analytics, также известного как Microsoft Monitoring Agent (MMA), вы можете получить повторяющиеся рекомендации для того же компьютера. Это связано с тем, что MMA и Политика Azure гостевой конфигурации оценивают один и тот же компьютер. Чтобы избежать этого, вы можете отключить MMA на компьютере.

Рекомендации по запросу с помощью API

Defender для облака используется Azure Resource Graph для API и запросов портала для запроса сведений о рекомендациях. Эти ресурсы можно использовать для создания собственных запросов для получения информации.

Вы можете узнать , как просмотреть рекомендации в Azure Resource Graph.

Ниже приведены два примера запросов, которые можно использовать:

• Запрос всех неработоспособных правил для определенного ресурса

  Securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | where machineId  == '{machineId}'
  

• Все неработоспособные правила и количество, если неработоспособные компьютеры для каждого из них

  securityresources 
  | where type == "microsoft.security/assessments/subassessments" 
  | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
  | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
  | parse-where id with * '/subassessments/' subAssessmentId:string 
  | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
  | extend status = tostring(properties.status.code) 
  | summarize count() by subAssessmentId, status
  

Вы можете узнать, как создавать более подробные запросы, узнав больше о языке запросов Azure Resource Graph.

Примечание.

Во время процесса нерекомендуемого агента Log Analytics, также известного как Microsoft Monitoring Agent (MMA), вы можете получить повторяющиеся рекомендации для того же компьютера. Это связано с тем, что MMA и Политика Azure гостевой конфигурации оценивают один и тот же компьютер. Чтобы избежать этого, вы можете отключить MMA на компьютере.

Следующий шаг

Ознакомьтесь с рекомендациями по обеспечению защиты узла Docker