Руководство по устранению неполадок Microsoft Defender для облака

  • Статья

Это руководство предназначено для ИТ-специалистов, аналитиков информационной безопасности и администраторов облачных служб, организации которых должны устранять проблемы, связанные с Microsoft Defender для облака.

Совет

Если вы сталкиваетесь с проблемой или нуждаетесь в совете от нашей группы поддержки, то раздел диагностики и решения проблем портал Azure является хорошим местом для поиска решений.

Снимок экрана: портал Azure, на котором показана страница диагностики и решения проблем в Defender для облака.

Использование журнала аудита для исследования проблем

Первое место для поиска сведений об устранении неполадок — это журнал аудита для неудающегося компонента. В журнале аудита можно просмотреть следующие сведения:

  • Какие операции были выполнены.
  • Сторона, инициировавшая операцию.
  • Когда была выполнена операция.
  • Состояние операции.

Журнал аудита содержит все операции записи (PUT, , ), DELETEвыполняемые в ресурсах, но не операции чтения (GETPOST).

Устранение неполадок с соединителями

Defender для облака использует соединители для сбора данных мониторинга из учетных записей Amazon Web Services (AWS) и проектов Google Cloud Platform (GCP). Если у вас возникли проблемы с соединителями или вы не видите данные из AWS или GCP, ознакомьтесь со следующими советами по устранению неполадок.

Советы для распространенных проблем соединителя

  • Убедитесь, что подписка, связанная с соединителем, выбрана в фильтре подписки, расположенном в разделе каталогов и подписок портал Azure.
  • Соединителю безопасности должны быть назначены Стандарты. Чтобы проверка, перейдите в меню "Среда" в меню Defender для облака слева, выберите соединитель и выберите Параметры. Если стандарты не назначены, выберите три точки, чтобы проверка, если у вас есть разрешения на назначение стандартов.
  • Ресурс соединителя должен присутствовать в Azure Resource Graph. Используйте следующий запрос Resource Graph для проверка: resources | where ['type'] =~ "microsoft.security/securityconnectors"
  • Убедитесь, что отправка журналов аудита Kubernetes включена в соединителе AWS или GCP, чтобы получать оповещения об обнаружении угроз для уровня управления.
  • Убедитесь, что датчик Microsoft Defender и Политика Azure для расширений Kubernetes с поддержкой Azure Arc были успешно установлены в кластерах Amazon Elastic Kubernetes Service (EKS) и Google Kubernetes Engine (GKE). Вы можете проверить и установить агент со следующими рекомендациями Defender для облака:
    • Для кластеров EKS должно быть установлено расширение Microsoft Defender для Azure Arc
    • Кластеры GKE должны иметь расширение Microsoft Defender для Azure Arc
    • В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Политики Azure
    • Кластеры GKE должны иметь расширение Политика Azure
  • Если у вас возникли проблемы с удалением соединителя AWS или GCP, проверка при наличии блокировки. Ошибка в журнале действий Azure может показать наличие блокировки.
  • Убедитесь, что рабочие нагрузки существуют в учетной записи AWS или проекте GCP.

Советы для проблем с соединителем AWS

  • Убедитесь, что развертывание шаблона CloudFormation завершено успешно.
  • Подождите не менее 12 часов после создания корневой учетной записи AWS.
  • Убедитесь, что кластеры EKS успешно подключены к Kubernetes с поддержкой Azure Arc.
  • Если данные AWS не отображаются в Defender для облака, убедитесь, что необходимые ресурсы AWS для отправки данных в Defender для облака существуют в учетной записи AWS.

Влияние затрат на вызовы API к AWS

При подключении одной или учетной записи управления AWS служба обнаружения в Defender для облака запускает немедленную проверку среды. Служба обнаружения выполняет вызовы API к различным конечным точкам службы, чтобы получить все ресурсы, которые Azure помогает защитить.

После этого первоначального сканирования служба продолжает периодически сканировать среду через интервал, настроенный во время подключения. В AWS каждый вызов API к учетной записи создает событие подстановки, записанное в ресурсе CloudTrail. Ресурс CloudTrail взимает затраты. Сведения о ценах см. на странице цен AWS CloudTrail на сайте Amazon AWS.

Если вы подключили CloudTrail к GuardDuty, вы также несете ответственность за связанные расходы. Эти затраты можно найти в документации GuardDuty на сайте Amazon AWS.

Получение количества вызовов собственного API

Существует два способа получить количество вызовов, которые Defender для облака сделали:

  • Используйте существующую таблицу Athena или создайте новую. Дополнительные сведения см. в статье "Запрос журналов AWS CloudTrail" на сайте Amazon AWS.
  • Используйте существующее хранилище данных событий или создайте новый. Дополнительные сведения см. в статье "Работа с AWS CloudTrail Lake " на сайте Amazon AWS.

Оба метода используют запросы к журналам AWS CloudTrail.

Чтобы получить количество вызовов, перейдите в таблицу Athena или хранилище данных событий и используйте один из следующих предопределенных запросов в соответствии с вашими потребностями. Замените <TABLE-NAME> идентификатором таблицы Athena или хранилища данных событий.

  • Список общих вызовов API по Defender для облака:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • Вывод списка общих вызовов API по Defender для облака, агрегированных по дням:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • Вывод списка общих вызовов API по Defender для облака, агрегированных по имени события:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • Вывод списка общих вызовов API по Defender для облака агрегированным по регионам:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

Советы для проблем соединителя GCP

  • Убедитесь, что скрипт GCP Cloud Shell успешно завершен.
  • Убедитесь, что кластеры GKE успешно подключены к Kubernetes с поддержкой Azure Arc.
  • Убедитесь, что конечные точки Azure Arc находятся в списке разрешений брандмауэра. Соединитель GCP выполняет вызовы API к этим конечным точкам для получения необходимых файлов подключения.
  • Если подключение проектов GCP завершается ошибкой, убедитесь, что у вас есть compute.regions.list разрешение и разрешение Microsoft Entra для создания субъекта-службы для процесса подключения. Убедитесь, что ресурсы GCP WorkloadIdentityPoolId, WorkloadIdentityProviderIdи ServiceAccountEmail созданы в проекте GCP.

Вызовы API Defender к GCP

При подключении одного проекта или организации GCP служба обнаружения в Defender для облака запускает немедленное сканирование среды. Служба обнаружения выполняет вызовы API к различным конечным точкам службы, чтобы получить все ресурсы, которые Azure помогает защитить.

После этого первоначального сканирования служба продолжает периодически сканировать среду через интервал, настроенный во время подключения.

Чтобы получить количество вызовов собственного API, которые Defender для облака выполнялись:

  1. Перейдите к журналу журналов>Обозреватель.

  2. Отфильтруйте даты по мере необходимости (например, 1d).

  3. Чтобы отобразить вызовы API, которые Defender для облака выполнены, выполните следующий запрос:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

Ознакомьтесь с гистограммой, чтобы просмотреть количество вызовов с течением времени.

Устранение неполадок агента Log Analytics

Defender для облака использует агент Log Analytics для получения и хранения данных. В этой статье описывается, как будет работать Microsoft Defender для облака после перехода к использованию агента Log Analytics.

Типы оповещений:

  • анализ поведения виртуальных машин;
  • анализ сети;
  • анализ База данных SQL Azure и Azure Synapse Analytics
  • контекстные сведения.

В зависимости от типа генерации оповещений можно собрать необходимые сведения для изучения оповещения с помощью следующих ресурсов:

  • Журналы безопасности в средстве просмотра событий виртуальной машины в Windows
  • Управляющая программа аудита (auditd) в Linux
  • Журналы действий Azure и включенные журналы диагностики в ресурсе атаки

Вы можете отправить отзыв с описанием оповещения и указанием степени релевантности. Перейдите к оповещению, нажмите кнопку "Это полезно ", выберите причину, а затем введите комментарий, чтобы объяснить отзыв. Мы постоянно отслеживаем этот канал обратной связи для улучшения наших оповещений.

Проверка процессов и версий агента Log Analytics

Как и в Azure Monitor, Defender для облака использует агент Log Analytics для сбора данных безопасности с виртуальных машин Azure. После включения сбора данных и правильной установки агента на целевом компьютере HealthService.exe процесс должен выполняться.

Откройте службы консоль управления (services.msc), чтобы убедиться, что служба агента Log Analytics запущена.

Снимок экрана: служба агента Log Analytics в Диспетчере задач.

Чтобы узнать, какая версия агента у вас есть, откройте диспетчер задач. На вкладке "Процессы " найдите службу агента Log Analytics, щелкните ее правой кнопкой мыши и выберите "Свойства". На вкладке "Сведения" найдите версию файла.

Снимок экрана: сведения о службе агента Log Analytics.

Проверка сценариев установки агента Log Analytics

Существует два сценария установки, которые могут привести к разным результатам при установке агента Log Analytics на компьютере. Поддерживаются такие сценарии:

  • Агент устанавливается автоматически, Defender для облака. Вы можете просматривать оповещения в Defender для облака и поиске по журналам. Вы получаете Уведомления по электронной почте по адресу электронной почты, настроенной в политике безопасности для подписки, к которой принадлежит ресурс.

  • Агент вручную установлен на виртуальной машине, расположенной в Azure. В этом сценарии, если вы используете агенты, скачанные и установленные вручную до февраля 2017 года, вы можете просматривать оповещения на портале Defender для облака только в том случае, если вы фильтруете подписку, к которой принадлежит рабочая область. Если вы фильтруете подписку, к которой принадлежит ресурс , вы не увидите никаких оповещений. Вы получаете Уведомления по электронной почте по адресу электронной почты, настроенном в политике безопасности для подписки, к которой принадлежит рабочая область.

    Чтобы избежать проблемы с фильтрацией, обязательно скачайте последнюю версию агента.

Мониторинг проблем с сетевым подключением для агента

Чтобы агенты подключались и регистрировались в Defender для облака, они должны иметь доступ к DNS-адресам и сетевым портам для сетевых ресурсов Azure. Чтобы включить этот доступ, выполните следующие действия:

  • При использовании прокси-серверов убедитесь, что соответствующие ресурсы прокси-сервера настроены правильно в параметрах агента.
  • Настройте сетевые брандмауэры, чтобы разрешить доступ к Log Analytics.

Сетевые ресурсы Azure:

Ресурс агента Порт Обход проверки HTTPS
*.ods.opinsights.azure.com 443. Да
*.oms.opinsights.azure.com 443. Да
*.blob.core.windows.net 443. Да
*.azure-automation.net 443. Да

Если у вас возникли проблемы с подключением агента Log Analytics, ознакомьтесь с проблемами при подключении Operations Management Suite.

Устранение неполадок, связанных с неправильной работой защиты от вредоносных программ

Гостевой агент является родительским процессом всего, что делает расширение Защиты от вредоносных программ Майкрософт. Если процесс гостевого агента завершается сбоем, защита от вредоносных программ Майкрософт, которая выполняется в качестве дочернего процесса гостевого агента, может также завершиться ошибкой.

Ниже приведены некоторые советы по устранению неполадок:

  • Если целевая виртуальная машина была создана на основе пользовательского образа, убедитесь, что создатель виртуальной машины установил гостевой агент.
  • Если целевой объект является виртуальной машиной Linux, установка версии Windows расширения защиты от вредоносных программ завершится ошибкой. Гостевой агент Linux имеет особую информационную систему и требования к пакетам.
  • Если виртуальная машина была создана с старой версией гостевого агента, старый агент может не иметь возможности автоматически обновляться до более новой версии. Всегда используйте последнюю версию гостевого агента при создании собственных образов.
  • Некоторые сторонние программы администрирования могут отключить гостевой агент или заблокировать доступ к определенным расположениям файлов. Если на виртуальной машине установлено стороннее программное обеспечение, убедитесь, что агент находится в списке исключений.
  • Убедитесь, что параметры брандмауэра и группа безопасности сети не блокируют сетевой трафик в гостевой агент и из нее.
  • Убедитесь, что списки управления доступом не препятствуют доступу к диску.
  • Для правильной работы гостевого агента требуется достаточно места на диске.

По умолчанию пользовательский интерфейс Защиты от вредоносных программ Майкрософт отключен. Но вы можете включить пользовательский интерфейс Microsoft Antimalware на виртуальных машинах Azure Resource Manager.

Устранение неполадок при загрузке панели мониторинга

Если возникают проблемы с загрузкой панели мониторинга защиты рабочей нагрузки, убедитесь, что пользователь, который впервые включил Defender для облака в подписке, и пользователь, который хочет включить сбор данных, имеет роль владельца или участника в подписке. В этом случае пользователи с ролью читателя в подписке могут просматривать панель мониторинга, оповещения, рекомендации и политику.

Устранение неполадок соединителя для организации Azure DevOps

Если вы не можете подключить организацию Azure DevOps, воспользуйтесь следующими советами по устранению неполадок:

  • Убедитесь, что вы используете не предварительную версию портал Azure; шаг авторизации не работает на портале предварительной версии Azure.

  • Важно знать, какую учетную запись вы выполнили при авторизации доступа, так как это будет учетная запись, которая используется системой для подключения. Ваша учетная запись может быть связана с тем же адресом электронной почты, но также связана с разными клиентами. Убедитесь, что выбрана правильная комбинация учетной записи или клиента. Если необходимо изменить сочетание:

    1. На странице профиля Azure DevOps используйте раскрывающееся меню, чтобы выбрать другую учетную запись.

      Снимок экрана: страница профиля Azure DevOps, используемая для выбора учетной записи.

    2. Выбрав правильное сочетание учетной записи и клиента, перейдите к параметрам среды в Defender для облака и измените соединитель Azure DevOps. Повторно выполните проверку подлинности соединителя, чтобы обновить его с помощью правильной комбинации учетной записи или клиента. Затем вы увидите правильный список организаций в раскрывающемся меню.

  • Убедитесь, что у вас есть роль Администратор istrator коллекции проектов в организации Azure DevOps, которую вы хотите подключить.

  • Убедитесь, что сторонний доступ к приложению с помощью переключателя OAuth включен для организации Azure DevOps. Дополнительные сведения о включении доступа OAuth.

Обращение в службу поддержки Майкрософт

Вы также можете найти сведения об устранении неполадок для Defender для облака на странице Defender для облака вопросов и ответов.

Если вам нужна дополнительная помощь, вы можете открыть новый запрос на поддержку по портал Azure. На странице справки и поддержки нажмите кнопку "Создать запрос на поддержку".

Снимок экрана: выбор для создания запроса на поддержку в портал Azure.

См. также