你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为停用 Log Analytics 代理做好准备
Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将于 2024 年 11 月停用。 因此,Microsoft Defender for Cloud 中计算机计划的 Defender for Servers 和 Defender for SQL 将更新,并且将重新设计依赖于 Log Analytics 代理的功能。
本文总结了代理停用计划。
准备 Defender for Servers
Defender for Servers 计划在正式发布版 (GA)和 AMA 中使用 Log Analytics 代理以实现一些功能(预览版)。 下面是未来这些功能发生的情况:
为了简化载入,所有 Defender for Servers 特性和安全功能都将随单个代理 (Microsoft Defender for Endpoint) 提供,并由无代理计算机扫描进行补充,不依赖于 Log Analytics 代理或 AMA。
- 基于 AMA 的 Defender for Servers 功能目前以预览版提供,不会在正式版中发布。
- 依赖 AMA 的预览版功能将保持受支持状态,直到提供了功能的替代版本,这依赖于 Defender for Endpoint 集成或无代理计算机扫描功能。
- 通过在弃用发生之前启用Defender for Endpoint 集成和无代理计算机扫描功能,你的 Defender for Servers 部署将保持最新且受到支持。
特性功能
下表总结了如何提供 Defender for Servers 功能。 已使用 Defender for Endpoint 集成或无代理计算机扫描正式发布大多数功能。 在 MMA 停用或弃用时,其余功能将在正式版中提供。
| 功能 | 当前支持 | 新支持 | 新体验状态 |
|---|---|---|---|
| 适用于下层 Windows 计算机 (Windows Server 2016/2012 R2) 的 Defender for Endpoint 集成 | 基于 Log Analytics 代理的旧版 Defender for Endpoint 传感器 | 统一代理集成 | - MDE 统一代理的功能是正式版。 - 使用 Log Analytics 代理的旧版 Defender for Endpoint 传感器的功能将于 2024 年 8 月弃用。 |
| OS 级威胁检测 | Log Analytics 代理 | Defender for Endpoint 代理集成 | Defender for Endpoint 代理的功能是正式版。 |
| 自适应应用程序控制 | Log Analytics 代理 (GA),AMA(预览版) | --- | 自适应应用程序控制功能设定为在 2024 年 8 月弃用。 |
| 终结点保护发现建议 | 使用 Log Analytics 代理 (GA) 或 AMA(预览版)通过基础云安全态势管理 (CSPM) 计划和 Defender for Servers 提供的建议 | 无代理计算机扫描 | - 无代理计算机扫描功能已于 2024 年早些时候发布为预览版,作为 Defender for Servers 计划 2 和 Defender CSPM 计划的一部分。 - 支持 Azure VM、Google Cloud Platform (GCP) 实例和 Amazon Web Services (AWS) 实例。 不支持本地计算机。 |
| 缺少 OS 更新建议 | 使用 Log Analytics 代理在基础 CSPM 和 Defender for Servers 计划中提供的建议。 | 与更新管理器、Microsoft 集成 | 基于 Azure 更新管理器集成的新建议是正式版,没有代理依赖项。 |
| OS 配置错误(Microsoft 云安全基准) | 使用 Log Analytics 代理或来宾配置扩展(预览版)通过基础 CSPM 和 Defender for Servers 计划提供的建议。 | 来宾配置扩展,作为 Defender for Servers 计划 2 的一部分。 | - 基于来宾配置扩展的功能将于 2024 年 9 月正式发布 - 仅适用于 Defender for Cloud 客户:Log Analytics 代理的功能将于 2024 年 11 月弃用. - 自 2024 年 8 月起,将不再支持对 Docker-hub 和 Azure 虚拟机规模集使用此功能。 |
| 文件完整性监视 | Log Analytics 代理,AMA(预览版) | Defender for Endpoint 代理集成 | Defender for Endpoint 代理的功能将于 2024 年 8 月提供。 - 仅适用于 Defender for Cloud 客户:Log Analytics 代理的功能将于 2024 年 11 月弃用. - 发布 Defender for Endpoint 集成后,AMA 的功能将弃用。 |
日志分析代理自动预配体验 - 弃用计划
作为 MMA 代理停用的一部分,也将分 2 个阶段弃用为 MDC 客户提供代理安装和配置的自动预配功能:
到 2024 年 9 月底 - 对于不再使用该功能的客户以及新创建的订阅,将禁用 MMA 自动预配:
- 在 9 月底之后关闭 MMA 自动预配的现有订阅之后将无法再启用该功能。
- 在新创建的订阅上,无法再启用自动预配,并且会自动将其关闭。
- 2024 年 11 月底 - 将在尚未将其关闭的订阅上禁用该功能。 从该时刻开始,无法再在现有订阅上启用该功能。
适用于数据引入的 500 MB 权益
若要为受支持的数据类型保留 500 MB 的免费数据引入额度,你需要从 MMA 迁移到 AMA。
注意
该权益授予每个启用了 Defender for Servers 计划 2 的订阅包含的 AMA 计算机。
该权益授予计算机报告的工作区。
该安全解决方案应安装在相关工作区上。 在此处详细了解如何执行该操作。
如果计算机向多个工作区报告,则该权益仅向其中一个工作区授予。
详细了解如何部署 AMA。
对于计算机上的 SQL 服务器,建议迁移到面向 SQL Server 的 Azure Monitoring Agent (AMA) 的自动预配进程。
通过 Log Analytics 代理对旧版 Defender for Servers 计划 2 加入进行了更改
基于 Log Analytics 代理并使用 Log Analytics 工作区将服务器加入 Defender for Servers 计划 2 的传统方法也即将停用:
使用 Log Analytics 代理和工作区将新的非 Azure 计算机加入 Defender for Servers 的加入体验已从 Defender for Cloud 门户的“清单”和“入门”边栏选项卡中删除。
为避免连接到 Log Analytics 工作区的受影响计算机在代理停用后失去安全保护:
如果曾使用旧方法载入非 Azure 服务器(同时含本地和多云服务器),现在应通过已启用 Azure Arc 的服务器将这些计算机连接到 Defender for Servers 计划 2 Azure 订阅和连接器。 详细了解如何大规模部署 Arc 计算机。
- 如果使用旧的方法在选定的 Azure VM 上启用 Defender for Servers 计划 2,我们建议在这些计算机的 Azure 订阅上启用 Defender for Servers 计划 2。 然后,可以使用 Defender for Servers 每个资源配置从 Defender for Servers 覆盖范围中排除单个计算机。
以下是需为通过旧方法载入 Defender for Servers 计划 2 的每个服务器执行的操作的摘要:
| 计算机类型 | 保留安全保护所需的操作 |
|---|---|
| 本地服务器 | 已加入 Arc 并连接到 Defender for Servers 计划 2 订阅 |
| Azure 虚拟机 | 连接到 Defender for Servers 计划 2 订阅 |
| 多云服务器 | 使用 Azure Arc 预配和 Defender for Servers 计划 2 连接到多云连接器 |
系统更新和修补程序建议体验 - 更改和迁移指南
系统更新和修补程序对于确保计算机安全且正常运行至关重要。 更新通常包含漏洞的安全修补程序,如果未修复,攻击者会利用这些漏洞。
系统更新建议以前由 Defender for Cloud 基础 CSPM 和 Defender for Servers 计划使用日志分析代理提供。 此体验已替换为使用 Azure 更新管理器收集的安全建议,并构建出 2 个新建议:
了解如何修正计算机上的系统更新和修补程序建议。
正在替换哪些建议?
下表总结了弃用和替换建议的时间表。
| 建议 | Agent | 支持的资源 | 弃用日期 | 替换建议 |
|---|---|---|---|---|
| 应在计算机上安装系统更新 | MMA | Azure 和非 Azure(Windows 和 Linux) | 2024 年 8 月 | 由 Azure 更新管理器提供支持的新建议 |
| 应在虚拟机规模集上安装系统更新 | MMA | Azure 虚拟机规模集 | 2024 年 8 月 | 无替换 |
我如何准备新建议?
将非 Azure 计算机连接到 Arc
确保在计算机上启用定期评估更新设置。 可通过 2 种方式执行此操作:
- 修正建议:计算机应配置为定期检查缺少的系统更新(由 Azure 更新管理器提供支持)。
- 使用 Azure Policy 大规模启用定期评估。
- 完成后,更新管理器就可以提取计算机的最新更新,并且可以查看最新的计算合规性状态。
注意
对于未在其相关订阅或连接器上启用 Defender for Servers 计划 2 的已启用 Arc 的计算机,启用定期评估受 Azure 更新管理器定价的约束。 已启用 Arc 的计算机(在其相关订阅或连接器或任何 Azure VM 上已启用 Defender for Servers 计划 2)有资格享受此功能,无需额外付费。
终结点保护建议体验 - 更改和迁移指导
终结点发现和建议以前由 Defender for Cloud 基础 CSPM 和 Defender for Servers 计划使用 Log Analytics 代理正式版或 AMA 预览版提供。 这些体验已替换为使用无代理计算机扫描收集的安全建议。
Endpoint Protection 保护建议分为两个阶段。 在终结点检测和响应解决方案中,第一个阶段是发现阶段。 第二种是解决方案配置的评估。 下表提供了每个阶段当前体验和新体验的详细信息。
了解如何管理新的终结点检测和响应建议(无代理)。
终结点检测和响应解决方案 - 发现
| 区域 | 当前体验(基于 AMA/MMA) | 新体验(基于无代理计算机扫描) |
|---|---|---|
| 将资源归类为正常需要什么? | 防病毒已到位。 | 终结点检测和响应解决方案已到位。 |
| 获取建议需要什么? | Log Analytics 代理 | 无代理计算机扫描 |
| 哪些计划受支持? | - 基础 CSPM (免费) - Defender for Servers 计划 1 和计划 2 |
- Defender CSPM - Defender for Servers 计划 2 |
| 哪些解决方法可用? | 安装 Microsoft 反恶意软件。 | 在选定的计算机/订阅上安装 Defender for Endpoint。 |
终结点检测和响应解决方案 - 配置评估
| 区域 | 当前体验(基于 AMA/MMA) | 新体验(基于无代理计算机扫描) |
|---|---|---|
| 如果一个或多个安全检查不正常,则资源被归类为不正常。 | 三个安全检查: - 实时保护已关闭 - 签名已过期。 - 快速扫描和全扫描都不会运行 7 天。 |
三个安全检查: - 防病毒已关闭或部分配置 - 签名已过期 - 快速扫描和全扫描都不会运行 7 天。 |
| 获取建议的先决条件 | 到位的反恶意软件解决方案 | 终结点检测和响应解决方案已到位。 |
正在弃用哪些建议?
下表总结了弃用和替换建议的时间表。
| 建议 | Agent | 支持的资源 | 弃用日期 | 替换建议 |
|---|---|---|---|---|
| 应在计算机上安装 Endpoint Protection(公共) | MMA/AMA | Azure 和非 Azure(Windows 和 Linux) | 2024 年 7 月 | 新的无代理建议 |
| 应在计算机上解决 Endpoint Protection 运行状况问题(公共) | MMA/AMA | Azure (Windows) | 2024 年 7 月 | 新的无代理建议 |
| 应在虚拟机规模集上解决 Endpoint Protection 运行状况故障 | MMA | Azure 虚拟机规模集 | 2024 年 8 月 | 无替换 |
| 应在虚拟机规模集上安装终结点保护解决方案 | MMA | Azure 虚拟机规模集 | 2024 年 8 月 | 无替换 |
| Endpoint Protection 解决方案应位于计算机上 | MMA | 非 Azure 资源 (Windows) | 2024 年 8 月 | 无替换 |
| 在计算机上安装 Endpoint Protection 解决方案 | MMA | Azure 和非 Azure (Windows) | 2024 年 8 月 | 新的无代理建议 |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | MMA | Azure 和非 Azure(Windows 和 Linux) | 2024 年 8 月 | 新的无代理建议。 |
基于无代理计算机扫描的新建议体验跨多云计算机支持 Windows 和 Linux OS。
替换的工作原理是什么?
- Log Analytics 代理或 AMA 提供的当前建议将在一段时间内弃用。
- 其中一些现有建议将替换为基于无代理计算机扫描的新建议。
- 在 Log Analytics 代理停用之前,目前正式版中的建议保持不变。
- 在预览版中提供新建议时,将替换当前位于预览版中的建议。
安全分数会发生什么情况?
- 目前正式版中的建议将继续影响安全分数。
- 当前的建议和即将推出的新建议位于同一 Microsoft 云安全基准控制下,确保不会对安全分数产生重复影响。
我如何准备新建议?
- 确保无代理计算机扫描已作为 Defender for Servers 计划 2 或 Defender CSPM 的一部分启用。
- 如果适合环境,为了获得最佳体验,建议在替换 GA 建议可用时删除弃用的建议。 为此,请在Azure Policy 的内置 Defender for Cloud 计划i中禁用建议。
文件完整性监视体验 - 更改和迁移指导
Microsoft Defender for Servers 计划 2 现在提供由 Microsoft Defender for Endpoint (MDE) 集成提供支持的新文件完整性监视 (FIM) 解决方案。 由 MDE 提供支持的 FIM 公开后,Defender for Cloud 门户中由 AMA 提供支持的 FIM 体验将被移除。 11 月,由 MMA 提供支持的 FIM 将被弃用。
从通过 AMA 的 FIM 迁移
如果当前正在使用通过 AMA 的 FIM:
从 5 月 30 日起,将不再通过 Defender for Cloud 门户基于 AMA 将新订阅或服务器加入 FIM,也无法再进行更改跟踪扩展以及查看更改。
如果要继续使用由 AMA 收集的 FIM 事件,可以使用以下查询手动连接到相关工作区并查看更改跟踪表中的更改:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeType若要继续加入新范围或配置监视规则,可以手动使用数据连接规则来配置或自定义数据收集的各个方面。
Microsoft Defender for Cloud 建议禁用通过 AMA 的 FIM,并在发布后基于 Defender for Endpoint 将环境加入到新的 FIM 版本。
禁用通过 AMA 的 FIM
若要禁用通过 AMA 的 FIM,请移除 Azure 更改跟踪解决方案。 有关详细信息,请参阅移除更改跟踪解决方案。
或者,可以移除相关的文件更改跟踪数据收集规则 (DCR)。 有关详细信息,请参阅 Remove-AzDataCollectionRuleAssociation 或 Remove-AzDataCollectionRule。
使用上述方法之一禁用文件事件收集后:
- 将在所选范围内停止收集新事件。
- 已收集的历史事件仍存储在“更改跟踪”部分中 ConfigurationChange 表下的相关工作区中。 这些事件将根据此工作区中定义的保持期保留在相关工作区中。 有关详细信息,请参阅保留和存档的工作原理。
从通过 Log Analytics 代理 (MMA) 的 FIM 迁移
如果目前正在使用通过 Log Analytics 代理 (MMA) 的 FIM:
基于 Log Analytics 代理 (MMA) 的文件完整性监视将于 2024 年 11 月底弃用。
Microsoft Defender for Cloud 建议禁用通过 MMA 的 FIM,并在发布后基于 Defender for Endpoint 将环境加入到新的 FIM 版本。
禁用通过 MMA 的 FIM
若要禁用通过 MMA 的 FIM,请移除 Azure 更改跟踪解决方案。 有关详细信息,请参阅移除更改跟踪解决方案。
禁用文件事件收集后:
- 将在所选范围内停止收集新事件。
- 已收集的历史事件仍存储在“更改跟踪”部分中 ConfigurationChange 表下的相关工作区中。 这些事件将根据此工作区中定义的保持期保留在相关工作区中。 有关详细信息,请参阅保留和存档的工作原理。
基线体验
VM 上的基线错误配置功能旨在确保 VM 遵守安全最佳做法和组织策略。 基线错误配置会根据预定义的安全基线评估 VM 的配置,并识别可能给环境带来风险的任何偏差或配置错误。
将使用 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))收集计算机信息进行评估。 MMA 将于 2024 年 11 月弃用,并将发生以下变化:
将使用 Azure Policy 来宾配置收集计算机信息。
以下 Azure 策略通过 Azure Policy 来宾配置启用:
- “Windows 计算机应符合 Azure 计算安全基线的要求”
- “Linux 计算机应符合 Azure 计算安全基线的要求”
注意
如果移除这些策略,则无法获得 Azure Policy 来宾配置扩展的益处。
基于计算安全基线的操作系统建议将不再包含在 Defender for Cloud 基础 CSPM 中。 启用 Defender for Servers 计划 2 时,这些建议将可用。
查看 Defender for Cloud 定价页,了解 Defender Server 计划 2 定价信息。
重要
请注意,Defender for Cloud 门户外部的 Azure Policy 来宾配置提供的其他功能未包含在 Defender for Cloud 中,并且受 Azure Policy 来宾配置定价策略约束。 例如修正和自定义策略。 有关详细信息,请参阅 Azure Policy 来宾配置定价页。
MCSB 提供的建议不属于 Windows 和 Linux 计算安全基线,将继续包含在免费基础 CSPM 中。
安装 Azure Policy 来宾配置
若要继续获得基线体验,需要启用 Defender for Servers 计划 2 并安装 Azure Policy 来宾配置。 这将确保你继续收到通过基线体验收到的相同建议和强化指南。
根据环境,可能需要执行以下步骤:
在计算机上安装 Azure Policy 来宾配置。
Azure 计算机:在 Defender for Cloud 门户中的建议页上,搜索并选择应在计算机上安装的来宾配置扩展,然后修正建议。
(仅限 Azure VM)必须分配托管标识。
- 在 Defender for Cloud 门户中的建议页上,搜索并选择虚拟机的来宾配置扩展应使用系统分配的托管标识进行部署,然后修正建议。
(仅限 Azure VM)可选:若要在整个订阅中自动预配 Azure Policy 来宾配置,可以启用来宾配置代理(预览版)。
- 若要启用来宾配置代理,请执行以下操作:
- 登录到 Azure 门户。
- 导航到“环境设置”>“你的订阅”>“设置和监视”。
- 选择“来宾配置”。
- 将来宾配置代理(预览版)切换为“打开”。
- 选择“继续”。
- 若要启用来宾配置代理,请执行以下操作:
GCP 和 AWS:将 GCP 项目或启用了 Azure Arc 自动预配的 AWS 帐户连接到 Defender for Cloud 时,会自动安装 Azure Policy 来宾配置。
本地计算机:将本地计算机作为已启用 Azure Arc 的计算机或 VM 加入时,将默认启用 Azure Policy 来宾配置。
完成安装 Azure Policy 来宾配置所需的步骤后,将基于 Azure Policy 来宾配置自动获取对基线功能的访问权限。 这将确保你继续收到通过基线体验收到的相同建议和强化指南。
对建议的更改
弃用 MMA 后,将弃用以下基于 MMA 的建议:
弃用的建议将替换为以下 Azure Policy 来宾配置基本建议:
重复的建议
在 Azure 订阅上启用 Defender for Cloud 时,Microsoft 云安全基准 (MCSB)(包括评估计算机操作系统符合性的计算安全基线)将作为默认符合性标准启用。 Defender for Cloud 中的免费基础云安全态势管理 (CSPM) 基于 MCSB 提供安全建议。
如果计算机同时运行 MMA 和 Azure Policy 来宾配置,则会看到重复的建议。 由于两种方法同时运行并生成相同的建议,因此会出现重复的建议。 这些重复项会影响合规性和安全分数。
作为解决方法,可以通过导航到 Defender for Cloud 中的“法规符合性”页来禁用 MMA 建议“应安全配置计算机”和“应在订阅上启用 Log Analytics 代理的自动预配”。
找到建议后,应选择相关计算机并豁免它们。
Azure Policy 来宾配置工具提供支持的一些基线配置规则是最新的,覆盖范围更广。 因此,通过 Azure Policy 来宾配置转换为基线功能可能会影响符合性状态,因为它们包括以前可能未执行过的检查。
查询建议
随着 MMA 的停用,Defender for Cloud 不再通过 Log Analytic 工作区信息查询建议。 Defender for Cloud 现在使用用于 API 的 Azure Resource Graph 和门户查询来查询建议信息。
下面是可以使用的 2 个示例查询:
查询特定资源的所有运行不正常的规则
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'所有运行不正常的规则以及每个对应的运行不正常计算机的数量
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
在计算机上安装 Defender for SQL
可以了解有关计算机 Log Analytics 代理弃用计划的 Defender for SQL Server的详细信息。
如果正在使用当前 Log Analytics 代理/Azure Monitor 代理自动配置进程,应迁移到新的计算机上的 SQL Server Azure 监视代理自动预配进程。 迁移过程是无缝的,会为所有计算机提供持续保护。
迁移到面向 SQL Server 的 AMA 自动预配过程
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“数据库计划”下,选择“需要操作”。
在弹出窗口中,选择“启用”。
选择“保存”。
启用面向 SQL Server 的 AMA 自动预配进程后,应禁用 Log Analytics 代理/Azure Monitor 代理自动预配进程,并在所有 SQL 服务器上卸载 MMA:
要禁用 Log Analytics 代理:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“数据库计划”下,选择“设置”。
将 Log Analytics 代理切换为关。
选择继续。
选择“保存”。
迁移规划
建议根据业务需求规划代理迁移。 下表总结了我们的指导。
| 正在使用 Defender for Servers? | 正式版中是否需要这些 Defender for Servers 功能:文件完整性监视、Endpoint Protection 建议、安全基线建议? | 正在计算机或 AMA 日志收集上使用 Defender for SQL 服务器? | 迁移计划 |
|---|---|---|---|
| 是 | 是 | 否 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.等待正式发布替代平台的所有功能(可以提前使用预览版)。 3.功能正式发布后,禁用Log Analytics 代理。 |
| 否 | --- | 否 | 现在可以删除 Log Analytics 代理。 |
| 否 | --- | 是 | 1.现在可以迁移到 AMA 的 SQL 自动预配。 2.禁用 Log Analytics/Azure Monitor 代理。 |
| 是 | 是 | 是 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.可以并行使用 Log Analytics 代理和 AMA 以获取正式版中的所有功能。 详细了解并行运行代理。 3.在计算机的 Defender for SQL 中迁移到AMA 的 SQL 自动预配。 或者,在 2024 年 4 月开始从 Log Analytics 代理迁移到 AMA。 4.迁移完成后,禁用Log Analytics 代理。 |
| 是 | No | 是 | 1.启用Defender for Endpoint 集成和无代理计算机扫描。 2.现在可以在计算机的 Defender for SQL 中迁移到AMA 的 SQL 自动预配。 3.禁用 Log Analytics 代。 |