Defender för molnet samlar in data från dina virtuella Azure-datorer (VM), VM-skalningsuppsättningar, IaaS-containrar och datorer som inte är Azure-datorer (inklusive lokala datorer) för att övervaka säkerhetsrisker och hot. Log Analytics-agenten samlar in data som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din arbetsyta för analys.
Datainsamling
Hur gör jag för att aktivera datainsamling?
Datainsamling aktiveras automatiskt när du aktiverar en Defender-plan som kräver en övervakningskomponent.
Vad händer när datainsamling är aktiverat?
När automatisk etablering är aktiverad använder Defender för molnet Log Analytics-agenten på alla virtuella Azure-datorer som stöds och alla nya som skapas. Automatisk etablering rekommenderas, men manuell agentinstallation är också tillgänglig. Lär dig hur du installerar Log Analytics-agenttillägget.
Agenten aktiverar processskapandehändelsen 4688 och fältet Kommandorad i händelse 4688. Nya processer som skapas på den virtuella datorn registreras av EventLog och övervakas av Defender för molnet identifieringstjänster. Mer information om den information som registreras för varje ny process finns i beskrivningsfälten i 4688. Agenten samlar också in de 4688-händelser som skapats på den virtuella datorn och lagrar dem i sökning.
Agenten aktiverar även datainsamling för anpassningsbara programkontroller, Defender för molnet konfigurerar en lokal AppLocker-princip i granskningsläge för att tillåta alla program. Den här principen gör att AppLocker genererar händelser som sedan samlas in och används av Defender för molnet. Det är viktigt att observera att den här principen inte har konfigurerats på datorer där det redan finns en konfigurerad AppLocker-princip.
När Defender för molnet identifierar misstänkt aktivitet på den virtuella datorn får kunden ett e-postmeddelande om säkerhetskontaktinformation har angetts. En avisering visas också på instrumentpanelen för Defender för molnet säkerhetsaviseringar.
Handläggare
Vad är Log Analytics-agenten?
För att övervaka säkerhetsrisker och hot är Microsoft Defender för molnet beroende av Log Analytics-agenten – den här agenten används av Azure Monitor-tjänsten.
Agenten kallas ibland Microsoft Monitoring Agent (eller "MMA").
Agenten samlar in olika säkerhetsrelaterade konfigurationsuppgifter och händelseloggar från anslutna datorer och kopierar sedan data till Log Analytics-arbetsytan för ytterligare analys. Exempel på sådana data är: operativsystemtyp och version, operativsystemloggar (Windows-händelseloggar), processer som körs, datornamn, IP-adresser och inloggad användare.
Se till att dina datorer kör något av de operativsystem som stöds för agenten enligt beskrivningen på följande sidor:
Läs mer om de data som samlas in av Log Analytics-agenten.
Vad kvalificerar en virtuell dator för automatisk etablering av Log Analytics-agentinstallationen?
Virtuella Windows- eller Linux IaaS-datorer kvalificerar sig om:
- Log Analytics-agenttillägget är för närvarande inte installerat på den virtuella datorn.
- Den virtuella datorn är i körningstillstånd.
- Windows- eller Linux Azure Virtual Machine-agenten är installerad.
- Den virtuella datorn används inte som en installation, till exempel brandvägg för webbprogram eller nästa generations brandvägg.
Vilka säkerhetshändelser samlar Log Analytics-agenten in?
En fullständig lista över säkerhetshändelser som samlas in av agenten finns i Vilka händelsetyper lagras för inställningarna "Vanliga" och "Minimala" säkerhetshändelser?.
Viktigt!
För vissa tjänster, till exempel Azure Firewall, kan loggning för en resurs som producerar många loggar förbruka lagring på Din Log Analytics-arbetsyta. Se till att du endast använder utförlig loggning när det behövs.
Vad händer om Log Analytics-agenten redan har installerats som ett tillägg på den virtuella datorn?
När övervakningsagenten installeras som ett tillägg tillåter tilläggskonfigurationen rapportering till endast en enda arbetsyta. Defender för molnet åsidosätter inte befintliga anslutningar till användararbetsytor. Defender för molnet lagrar säkerhetsdata från en virtuell dator på en arbetsyta som redan är ansluten när lösningen "Säkerhet" eller "SecurityCenterFree" är installerad på den. Defender för molnet kan uppgradera tilläggsversionen till den senaste versionen i den här processen.
Mer information finns i Automatisk etablering i händelse av en befintlig agentinstallation.
Vad händer om en Log Analytics-agent installeras direkt på datorn men inte som ett tillägg (Direct Agent)?
Om Log Analytics-agenten installeras direkt på den virtuella datorn (inte som ett Azure-tillägg) installerar Defender för molnet Log Analytics-agenttillägget och kan uppgradera Log Analytics-agenten till den senaste versionen.
Den installerade agenten fortsätter att rapportera till sina redan konfigurerade arbetsytor och rapporterar till arbetsytan som konfigurerats i Defender för molnet. (Multi-homing stöds på Windows-datorer.)
För anpassade användararbetsytor måste du installera lösningen "Säkerhet" eller "SecurityCenterFree" på den så att Defender för molnet kan bearbeta händelser från virtuella datorer och datorer som rapporterar till den arbetsytan.
För Linux-datorer stöds inte multi-homing för agent ännu. Om en befintlig agentinstallation identifieras använder Defender för molnet inte automatiskt en agent eller ändrar datorns konfiguration.
För befintliga datorer i prenumerationer som registrerats för Defender för molnet före den 17 mars 2019 stöds inte agentens multi-homing ännu. Om en befintlig agentinstallation identifieras använder Defender för molnet inte automatiskt en agent eller ändrar datorns konfiguration. För dessa datorer kan du läsa rekommendationen "Lösa problem med övervakningsagentens hälsotillstånd på dina datorer" för att lösa agentinstallationsproblemen på dessa datorer
Mer information finns i nästa avsnitt Vad händer om en System Center Operations Manager- eller OMS-direktagent redan är installerad på min virtuella dator?
Vad händer om en System Center Operations Manager-agent redan är installerad på min virtuella dator?
Defender för molnet implementerar en Azure Policy som inte tillåter att Log Analytics-agenten installeras medan System Center Operations Manager-agenten är installerad på datorn. Båda agenterna har möjlighet att köra flera hem och rapportera till System Center Operations Manager och Log Analytics-arbetsytan. Operations Manager-agenten och Log Analytics-agenten delar vanliga körningsbibliotek. Obs! Om version 2012 av Operations Manager-agenten är installerad aktiverar du inte automatisk etablering (hanterbarhetsfunktioner kan gå förlorade när Operations Manager-servern också är version 2012).
Vad är effekten av att ta bort dessa tillägg?
Om du tar bort Microsoft Monitoring Extension kan Defender för molnet inte samla in säkerhetsdata från den virtuella datorn och vissa säkerhetsrekommendationer och aviseringar är inte tillgängliga. Inom 24 timmar avgör Defender för molnet att den virtuella datorn saknar tillägget och installerar om tillägget.
Hur gör jag för att stoppa installationen av den automatiska agenten och arbetsytan?
Distribution av tillägg med Defender för molnet rekommenderas starkt för att få säkerhetsaviseringar och rekommendationer om systemuppdateringar, säkerhetsproblem i operativsystemet och slutpunktsskydd. Om du inaktiverar tillägg begränsas dessa aviseringar och rekommendationer. Du kan dock inaktivera automatisk etablering för en specifik agent eller ett tillägg:
Så här inaktiverar du automatisk etablering för en specifik agent eller ett visst tillägg:
Öppna Defender för molnet i Azure-portalen och välj Miljöinställningar.
Välj relevant prenumeration.
I kolumnen Övervakningstäckning i Defender for Server-planen väljer du Inställningar.
Inaktivera det tillägg som du vill sluta etablera automatiskt.
Välj Spara.
Bör jag avregistrera mig från att skapa den automatiska agentinstallationen och arbetsytan?
Kommentar
Se till att granska avsnitt Vilka konsekvenser får det att välja bort? och rekommenderade steg när du avanmäler dig om du väljer att avanmäla dig från automatisk etablering.
Du kanske vill avregistrera dig från automatisk etablering om dessa scenarier gäller för dig:
Automatisk agentinstallation efter Defender för molnet gäller för hela prenumerationen. Du kan inte tillämpa automatisk installation på en delmängd av virtuella datorer. Om det finns kritiska virtuella datorer som inte kan installeras med Log Analytics-agenten bör du avanmäla dig från automatisk etablering.
Installationen av Log Analytics-agenttillägget uppdaterar agentens version. Detta gäller för en direktagent och en System Center Operations Manager-agent (i det senare delar Operations Manager- och Log Analytics-agenten vanliga körningsbibliotek – som uppdateras i processen). Om den installerade Operations Manager-agenten är version 2012 och uppgraderas kan hanterbarhetsfunktioner gå förlorade när Operations Manager-servern också är version 2012. Överväg att välja bort automatisk etablering om den installerade Operations Manager-agenten är version 2012.
Om du vill undvika att skapa flera arbetsytor per prenumeration och du har en egen anpassad arbetsyta i prenumerationen har du två alternativ:
Du kan avregistrera dig från automatisk etablering. Efter migreringen anger du standardinställningarna för arbetsytan enligt beskrivningen i Hur kan jag använda min befintliga Log Analytics-arbetsyta?
Eller så kan du låta migreringen slutföras, Log Analytics-agenten installeras på de virtuella datorerna och de virtuella datorer som är anslutna till den skapade arbetsytan. Välj sedan din egen anpassade arbetsyta genom att ange standardinställningen för arbetsytor där du väljer att konfigurera om de redan installerade agenterna. Mer information finns i Hur kan jag använda min befintliga Log Analytics-arbetsyta?
Vilka är konsekvenserna av att välja bort automatisk etablering?
När migreringen är klar kan Defender för molnet inte samla in säkerhetsdata från den virtuella datorn och vissa säkerhetsrekommendationer och aviseringar är inte tillgängliga. Om du avanmäler dig installerar du Log Analytics-agenten manuellt. Se rekommenderade steg när du avanmäler dig.
Vilka är de rekommenderade stegen när du avanmäler dig från automatisk etablering?
Installera Log Analytics-agenttillägget manuellt så att Defender för molnet kan samla in säkerhetsdata från dina virtuella datorer och ge rekommendationer och aviseringar. Mer information om installation finns i agentinstallation för virtuell Windows-dator eller agentinstallation för virtuella Linux-datorer .
Du kan ansluta agenten till en befintlig anpassad arbetsyta eller Defender för molnet skapad arbetsyta. Om en anpassad arbetsyta inte har lösningarna "Säkerhet" eller "SecurityCenterFree" aktiverade måste du tillämpa en lösning. Om du vill använda väljer du den anpassade arbetsytan och tillämpar en prisnivå via sidan Miljöinställningar>Defender-planer.
Defender för molnet aktiverar rätt lösning på arbetsytan baserat på de valda alternativen.
Hur gör jag för att ta bort OMS-tillägg som installerats av Defender för molnet?
Du kan ta bort Log Analytics-agenten manuellt, men det rekommenderas inte. Om du tar bort OMS-tillägg begränsas Defender för molnet rekommendationer och aviseringar.
Kommentar
Om datainsamling är aktiverat installerar Defender för molnet om agenten när du har ta bort den. Du måste inaktivera datainsamling innan du tar bort agenten manuellt. Mer information om hur du inaktiverar datainsamling finns i Hur gör jag för att stoppa installationen av den automatiska agenten och arbetsytan.
Så här tar du bort agenten manuellt:
Öppna Log Analytics i portalen.
På sidan Log Analytics väljer du en arbetsyta:
Välj de virtuella datorer som du inte vill övervaka och välj Koppla från.
Kommentar
Om en virtuell Linux-dator redan har en OMS-agent som inte är en tilläggsagent tas även agenten bort och du måste installera om den.
Fungerar Defender för molnet med en OMS-gateway?
Ja. Microsoft Defender för molnet använder Azure Monitor för att samla in data från virtuella Azure-datorer och -servrar med hjälp av Log Analytics-agenten. För att samla in data måste varje virtuell dator och server ansluta till Internet med HTTPS. Anslutningen kan vara direkt, med hjälp av en proxy eller via OMS Gateway.
Påverkar Log Analytics-agenten mina servrars prestanda?
Agenten förbrukar en nominell mängd systemresurser och bör ha liten effekt på prestandan. Mer information om prestandaeffekt och agenten och tillägget finns i planerings - och driftguiden.
Utan agent
Vilka data samlas in från ögonblicksbilder?
Agentlös genomsökning samlar in data som liknar de data som en agent samlar in för att utföra samma analys. Rådata, PII:er eller känsliga affärsdata samlas inte in och endast metadataresultat skickas till Defender för molnet.
Vilka kostnader är relaterade till agentlös genomsökning?
Agentlös genomsökning ingår i CSPM-planer (Cloud Security Posture Management) och Defender for Servers P2. Inga andra kostnader medför Defender för molnet när du aktiverar den.
Kommentar
AWS-avgifter för kvarhållning av diskögonblicksbilder. Den Defender för molnet genomsökningsprocessen försöker aktivt minimera den period under vilken en ögonblicksbild lagras i ditt konto (vanligtvis upp till några minuter). AWS kan debitera en kostnad för diskögonblicksbildernas lagring. Kontrollera med AWS för att se vilka kostnader som gäller för dig.
Hur kan jag spåra AWS-kostnader som uppstår för de diskögonblicksbilder som skapats av Defender för molnet agentlös genomsökning?
Diskögonblicksbilder skapas med taggnyckeln CreatedBy och Microsoft Defender for Cloud taggvärdet. Taggen CreatedBy spårar vem som skapade resursen.
Du måste aktivera taggarna i konsolen Fakturering och Kostnadshantering. Det kan ta upp till 24 timmar innan taggar aktiveras.
När du har aktiverat taggarna genererar AWS en kostnadsallokeringsrapport som ett kommaavgränsat värde (. CSV-fil) med din användning och kostnad grupperad efter dina aktiva taggar.
Arbetsytor
Debiteras jag för Azure Monitor-loggar på de arbetsytor som skapats av Defender för molnet?
Det finns en kostnadsfri datainmatning på 500 MB för varje arbetsyta. Den beräknas per nod, per rapporterad arbetsyta, per dag och är tillgänglig för varje arbetsyta som har en "Säkerhet" eller "AntiMalware"-lösning installerad. Du debiteras för alla data som matas in över gränsen på 500 MB.
Arbetsytor som skapats av Defender för molnet, medan de är konfigurerade för Azure Monitor-loggar per nodfakturering, medför inte avgifter för Azure Monitor-loggar. Defender för molnet fakturering baseras alltid på din Defender för molnet säkerhetsprincip och lösningarna som är installerade på en arbetsyta:
Förbättrad säkerhet – Defender för molnet aktiverar lösningen "SecurityCenterFree" på standardarbetsytan. Det finns inga avgifter när det inte finns några Defender-planer aktiverade.
Alla Microsoft Defender för molnet planer aktiverade – Defender för molnet aktiverar lösningen "Säkerhet" på standardarbetsytan.
Prisinformation i din lokala valuta eller region finns på prissidan.
Kommentar
Prisnivån log analytics för arbetsytor som skapats av Defender för molnet påverkar inte Defender för molnet fakturering.
Kommentar
Den här artikeln uppdaterades nyligen för att använda termen Azure Monitor-loggar i stället för Log Analytics. Loggdata lagras fortfarande på en Log Analytics-arbetsyta och samlas fortfarande in och analyseras av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre återspegla loggarnas roll i Azure Monitor. Mer information finns i Terminologiändringar i Azure Monitor.
Var skapas standardarbetsytan i Log Analytics?
Platsen för standardarbetsytan beror på din Azure-region:
- För virtuella datorer i USA och Brasilien är arbetsytans plats USA
- För virtuella datorer i Kanada är arbetsytans plats Kanada
- För virtuella datorer i Europa är arbetsytans plats Europa
- För virtuella datorer i Storbritannien är arbetsytans plats Storbritannien
- För virtuella datorer i Asien, östra och Sydostasien är arbetsytans plats Asien
- För virtuella datorer i Korea är arbetsytans plats Korea
- För virtuella datorer i Indien är arbetsytans plats Indien
- För virtuella datorer i Japan är arbetsytans plats Japan
- För virtuella datorer i Kina är arbetsytans plats Kina
- För virtuella datorer i Australien är arbetsytans plats Australien
Kan jag ta bort standardarbetsytorna som skapats av Defender för molnet?
Du rekommenderas inte att ta bort standardarbetsytan. Defender för molnet använder standardarbetsytorna för att lagra säkerhetsdata från dina virtuella datorer. Om du tar bort en arbetsyta kan Defender för molnet inte samla in dessa data och vissa säkerhetsrekommendationer och aviseringar är inte tillgängliga.
Om du vill återställa tar du bort Log Analytics-agenten på de virtuella datorer som är anslutna till den borttagna arbetsytan. Defender för molnet installerar om agenten och skapar nya standardarbetsytor.
Hur kan jag använda min befintliga Log Analytics-arbetsyta?
Du kan välja en befintlig Log Analytics-arbetsyta för att lagra data som samlas in av Defender för molnet. Så här använder du din befintliga Log Analytics-arbetsyta:
- Arbetsytan måste vara associerad med din valda Azure-prenumeration.
- Du måste minst ha läsbehörighet för att få åtkomst till arbetsytan.
Kommentar
Om du vill få säkerhetsaviseringar från agenten kontrollerar du att Log Analytics-agenten och datorn där agenten kör båda rapporterar till en Log Analytics-arbetsyta i samma klientorganisation.
Så här väljer du en befintlig Log Analytics-arbetsyta:
Öppna Miljöinställningar på Defender för molnet meny.
Välj relevant prenumeration.
I kolumnen Övervakningstäckning i Defender for Server-planen väljer du Inställningar.
För Log Analytics-agenten väljer du Redigera konfiguration.
Välj Anpassad arbetsyta och välj din befintliga arbetsyta.
Dricks
Listan innehåller endast arbetsytor som du har åtkomst till och som finns i din Azure-prenumeration.
Välj Använd.
Välj Fortsätt.
Välj Spara och bekräfta att du vill konfigurera om övervakade virtuella datorer.
Viktigt!
Det här valet är bara relevant om du ändrar konfigurationen från standardarbetsytan till en anpassad arbetsyta. Om du ändrar inställningen från en anpassad arbetsyta till en annan eller från en anpassad arbetsyta till standardarbetsytan tillämpas inte ändringen på befintliga datorer.
- Välj Nej om du bara vill att de nya arbetsyteinställningarna ska tillämpas på nya virtuella datorer. De nya arbetsyteinställningarna gäller endast för nya agentinstallationer. nyligen identifierade virtuella datorer som inte har Log Analytics-agenten installerad.
- Välj Ja om du vill att de nya arbetsyteinställningarna ska tillämpas på alla virtuella datorer. Dessutom återansluts varje virtuell dator som är ansluten till en Defender för molnet arbetsyta som skapats till den nya målarbetsytan.
Kommentar
Om du väljer Ja tar du inte bort några arbetsytor som skapats av Defender för molnet förrän alla virtuella datorer har återanslutits till den nya målarbetsytan. Den här åtgärden misslyckas om en arbetsyta tas bort för tidigt.
Åsidosätter Defender för molnet befintliga anslutningar mellan virtuella datorer och arbetsytor?
Om en virtuell dator redan har Log Analytics-agenten installerad som ett Azure-tillägg åsidosätter Defender för molnet inte den befintliga anslutningen till arbetsytan. I stället använder Defender för molnet den befintliga arbetsytan. Den virtuella datorn skyddas om lösningen "Säkerhet" eller "SecurityCenterFree" har installerats på arbetsytan som den rapporterar till.
En Defender för molnet lösning installeras på arbetsytan som valts på skärmen Datainsamling om den inte redan finns, och lösningen tillämpas endast på relevanta virtuella datorer. När du lägger till en lösning distribueras den automatiskt som standard till alla Windows- och Linux-agenter som är anslutna till din Log Analytics-arbetsyta. Med Lösningsmål kan du använda ett omfång för dina lösningar.
Dricks
Om Log Analytics-agenten installeras direkt på den virtuella datorn (inte som ett Azure-tillägg) installerar Defender för molnet inte Log Analytics-agenten och säkerhetsövervakningen är begränsad.
Installerar Defender för molnet lösningar på mina befintliga Log Analytics-arbetsytor? Vilka är faktureringskonsekvenserna?
När Defender för molnet identifierar att en virtuell dator redan är ansluten till en arbetsyta som du har skapat Defender för molnet aktiverar lösningar på den här arbetsytan enligt din priskonfiguration. Lösningarna tillämpas endast på relevanta resurser, via lösningsmål, så faktureringen förblir densamma.
Inga Defender-planer är aktiverade – Defender för molnet installerar lösningen "SecurityCenterFree" på arbetsytan och du debiteras inte för den.
Aktivera alla Microsoft Defender-planer – Defender för molnet installerar lösningen "Säkerhet" på arbetsytan.
Jag har redan arbetsytor i min miljö, kan jag använda dem för att samla in säkerhetsdata?
Om en virtuell dator redan har Log Analytics-agenten installerad som ett Azure-tillägg använder Defender för molnet den befintliga anslutna arbetsytan. En Defender för molnet lösning installeras på arbetsytan om den inte redan finns, och lösningen tillämpas endast på relevanta virtuella datorer via lösningsmål.
När Defender för molnet installerar Log Analytics-agenten på virtuella datorer använder den standardarbetsytorna som skapats av Defender för molnet om den inte pekar på en befintlig arbetsyta.
Jag har redan en säkerhetslösning på mina arbetsytor. Vilka är faktureringskonsekvenserna?
Säkerhets- och granskningslösningen används för att aktivera Microsoft Defender för servrar. Om säkerhets- och granskningslösningen redan är installerad på en arbetsyta använder Defender för molnet den befintliga lösningen. Faktureringen ändras inte.