Bulut için Defender verileri nasıl toplar?

Bulut için Defender güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM), Sanal Makine Ölçek Kümeleri, IaaS kapsayıcılarından ve Azure dışı (şirket içi dahil) makinelerden veri toplar. Bazı Defender planları, iş yüklerinizden veri toplamak için izleme bileşenlerini gerektirir.

Eksik güncelleştirmelere, yanlış yapılandırılmış işletim sistemi güvenlik ayarlarına, uç nokta koruma durumuna ve sistem durumu ile tehdit korumasına görünürlük sağlamak için veri toplama gereklidir. Veri toplama yalnızca VM'ler, Sanal Makine Ölçek Kümeleri, IaaS kapsayıcıları ve Azure dışı bilgisayarlar gibi işlem kaynakları için gereklidir.

Aracı sağlamasanız bile Bulut için Microsoft Defender yararlanabilirsiniz. Ancak, sınırlı güvenlik özelliklerine sahip olursunuz ve yukarıda listelenen özellikler desteklenmez.

Veriler şu şekilde toplanır:

İzleme bileşenlerini dağıtmak için bulut için Defender'ı neden kullanmalısınız?

İş yüklerinizin güvenliğine ilişkin görünürlük, izleme bileşenlerinin topladığı verilere bağlıdır. Bileşenler, desteklenen tüm kaynaklar için güvenlik kapsamı sağlar.

Uzantıları el ile yükleme işleminden tasarruf etmenizi sağlamak için Bulut için Defender, mevcut ve yeni makinelere gerekli tüm uzantıları yükleyerek yönetim yükünü azaltır. Bulut için Defender, abonelikteki iş yüklerine uygun Yoksa Dağıt ilkesini atar. Bu ilke türü, uzantının bu türdeki mevcut ve gelecekteki tüm kaynaklarda sağlanmasını sağlar.

İpucu

Azure İlkesi efektleri hakkında daha fazla bilgi edinmek için bkz. Mevcut değilse dağıtma, Azure İlkesi efektleri anlama.

Hangi planlarda izleme bileşenleri kullanılır?

Bu planlar veri toplamak için izleme bileşenlerini kullanır:

Uzantıların kullanılabilirliği

Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Azure İzleyici Aracısı (AMA)

Görünüş Ayrıntılar
Sürüm durumu: Önizleme
İlgili Defender planı: - Endpoint protection değerlendirmesi için güvenlik duruşu yönetimi (CSPM) (ücretsiz ve varsayılan olarak etkin)
- Uyarlamalı uygulama denetimleri, dosyasız saldırı algılama ve dosya bütünlüğünü izleme için Sunucular Plan 2 için Microsoft Defender
Gerekli roller ve izinler (abonelik düzeyi): Sahibi
Desteklenen hedefler: Azure sanal makineleri
Azure Arc özellikli makineler
İlke tabanlı: Evet
Bulut: Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Bulut için Defender ile Azure İzleyici Aracısı'nı kullanma hakkında daha fazla bilgi edinin.

Log Analytics aracısı

Görünüş Azure sanal makineleri Azure Arc özellikli makineler
Sürüm durumu: Genel kullanıma sunuldu (GA) Genel kullanıma sunuldu (GA)
İlgili Defender planı: Sunucular için Microsoft Defender
SQL için Microsoft Defender
Sunucular için Microsoft Defender
SQL için Microsoft Defender
Gerekli roller ve izinler (abonelik düzeyi): Katkıda Bulunan veya Güvenlik Yönetici Sahibi
Desteklenen hedefler: Azure sanal makineleri Azure Arc özellikli makineler
İlke tabanlı: No Evet
Bulut: Ticari bulutlar
Azure Kamu, Azure China 21Vianet
Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Önceden var olan aracı yükleme durumlarında Log Analytics aracısını dağıtma

Aşağıdaki kullanım örnekleri, zaten bir aracı veya uzantının yüklü olduğu durumlarda Log Analytics aracısının dağıtımının nasıl çalıştığını açıklar.

  • Log Analytics aracısı makineye yüklenir, ancak uzantı olarak yüklenmez (Doğrudan aracı) - Log Analytics aracısı doğrudan VM'ye yüklenirse (Azure uzantısı olarak değil), Bulut için Defender Log Analytics aracı uzantısını yükler ve Log Analytics aracısını en son sürüme yükseltebilir. Yüklü aracı, zaten yapılandırılmış çalışma alanlarına ve Bulut için Defender'da yapılandırılan çalışma alanına raporlamaya devam eder. (Çoklu giriş Windows makinelerinde desteklenir.)

    Log Analytics, Bulut için Defender'ın varsayılan çalışma alanıyla değil bir kullanıcı çalışma alanıyla yapılandırılmışsa Bulut için Defender'ın bu çalışma alanına raporlama yapan VM'lerden ve bilgisayarlardan olayları işlemeye başlaması için üzerine "Security" veya "SecurityCenterFree" çözümünü yüklemeniz gerekir.

    Linux makineleri için Aracı çoklu giriş özelliği henüz desteklenmemektedir. Mevcut bir aracı yüklemesi algılanırsa Log Analytics aracısı dağıtılmaz.

    17 Mart 2019'da Bulut için Defender'a eklenen aboneliklerdeki mevcut makineler için mevcut bir aracı algılandığında Log Analytics aracı uzantısı yüklenmez ve makine etkilenmez. Bu makineler için, bu makinelerdeki aracı yükleme sorunlarını çözmek için "Makinelerinizdeki izleme aracısı sistem durumu sorunlarını çözme" önerisine bakın.

  • System Center Operations Manager aracısı makineye yüklenir - Bulut için Defender, Log Analytics aracısı uzantısını mevcut Operations Manager'a yan yana yükler. Mevcut Operations Manager aracısı normalde Operations Manager sunucusuna raporlamaya devam eder. Operations Manager aracısı ve Log Analytics aracısı, bu işlem sırasında en son sürüme güncelleştirilecek olan ortak çalışma zamanı kitaplıklarını paylaşır.

  • Önceden var olan bir VM uzantısı var:

    • İzleme Aracısı bir uzantı olarak yüklendiğinde, uzantı yapılandırması yalnızca tek bir çalışma alanına raporlamaya izin verir. Bulut için Defender, kullanıcı çalışma alanlarına yönelik mevcut bağlantıları geçersiz kılmaz. Bulut için Defender, "Security" veya "SecurityCenterFree" çözümü yüklenmişse VM'den gelen güvenlik verilerini zaten bağlı olan çalışma alanında depolar. Bulut için Defender bu süreçte uzantı sürümünü en son sürüme yükseltebilir.
    • Mevcut uzantının hangi çalışma alanına veri gönderdiğini görmek için Bulut için Microsoft Defender ile bağlantıyı doğrulama testini çalıştırın. Alternatif olarak, Log Analytics çalışma alanlarını açabilir, bir çalışma alanı seçebilir, VM'yi seçebilir ve Log Analytics aracısı bağlantısına bakabilirsiniz.
    • Log Analytics aracısının istemci iş istasyonlarına yüklendiği ve mevcut Log Analytics çalışma alanına rapor verdiği bir ortamınız varsa, işletim sisteminizin desteklendiğinden emin olmak için Bulut için Microsoft Defender tarafından desteklenen işletim sistemleri listesini gözden geçirin. Daha fazla bilgi için bkz . Mevcut log analytics müşterileri.

Log Analytics aracısı ile çalışma hakkında daha fazla bilgi edinin.

Uç nokta için Microsoft Defender

Görünüş Linux Windows
Sürüm durumu: Genel kullanıma sunuldu (GA) Genel kullanıma sunuldu (GA)
İlgili Defender planı: Sunucular için Microsoft Defender Sunucular için Microsoft Defender
Gerekli roller ve izinler (abonelik düzeyi): Katkıda Bulunan veya Güvenlik Yönetici Katkıda Bulunan veya Güvenlik Yönetici
Desteklenen hedefler: Azure Arc özellikli makineler
Azure sanal makineleri
Azure Arc özellikli makineler
Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Sanal MasaüstüWindows 10 Enterprise çoklu oturum çalıştıran Azure VM'leri
Windows 10 çalıştıran Azure VM'leri
İlke tabanlı: No No
Bulut: Ticari bulutlar
Azure Kamu, Azure China 21Vianet
Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Uç Nokta için Microsoft Defender hakkında daha fazla bilgi edinin.

Güvenlik açığı değerlendirmesi

Görünüş Ayrıntılar
Sürüm durumu: Genel kullanıma sunuldu (GA)
İlgili Defender planı: Sunucular için Microsoft Defender
Gerekli roller ve izinler (abonelik düzeyi): Sahibi
Desteklenen hedefler: Azure sanal makineleri
Azure Arc özellikli makineler
İlke tabanlı: Evet
Bulut: Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Konuk Yapılandırması

Görünüş Ayrıntılar
Sürüm durumu: Önizleme
İlgili Defender planı: Plan gerekmez
Gerekli roller ve izinler (abonelik düzeyi): Sahibi
Desteklenen hedefler: Azure sanal makineleri
Bulut: Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Azure'ın Konuk Yapılandırması uzantısı hakkında daha fazla bilgi edinin.

Kapsayıcılar için Defender uzantıları

Bu tabloda, Kapsayıcılar için Microsoft Defender tarafından sunulan korumaların gerektirdiği bileşenlerin kullanılabilirlik ayrıntıları gösterilmektedir.

Varsayılan olarak, kapsayıcılar için Defender'ı Azure portal etkinleştirdiğinizde gerekli uzantılar etkinleştirilir.

Görünüş kümeleri Azure Kubernetes Service Azure Arc özellikli Kubernetes kümeleri
Sürüm durumu: • Defender profili: GA
• Azure İlkesi eklentisi: Genel kullanıma sunuldu (GA)
• Defender uzantısı: Önizleme
• Azure İlkesi uzantısı: Önizleme
İlgili Defender planı: Kapsayıcılar için Microsoft Defender Kapsayıcılar için Microsoft Defender
Gerekli roller ve izinler (abonelik düzeyi): Sahip veya Kullanıcı Erişim Yöneticisi Sahip veya Kullanıcı Erişim Yöneticisi
Desteklenen hedefler: AKS Defender profili yalnızca RBAC'nin etkinleştirildiği AKS kümelerini destekler. Bkz. Arc özellikli Kubernetes için desteklenen Kubernetes dağıtımları
İlke tabanlı: Evet Evet
Bulut: Defender profili:
Ticari bulutlar
Azure Kamu, Azure China 21Vianet
eklentiyi Azure İlkesi:
Ticari bulutlar
Azure Kamu, Azure China 21Vianet
Defender uzantısı:
Ticari bulutlar
Azure Kamu, Azure China 21Vianet
Azure Arc için Azure İlkesi uzantısı:
Ticari bulutlar
Azure Kamu, Azure China 21Vianet

Kapsayıcılar için Defender uzantılarını sağlamak için kullanılan roller hakkında daha fazla bilgi edinin.

Sorun giderme

Sonraki adımlar

Bu sayfada izleme bileşenlerinin ne olduğu ve bunların nasıl etkinleştirileceği açıklanmıştır.

Aşağıdakiler hakkında daha fazla bilgi edinin: