你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:从 Microsoft Defender for Cloud 为代理和扩展配置自动预配

Microsoft Defender for Cloud 使用资源的相关代理或扩展以及已启用的数据收集类型从资源中收集数据。 使用以下过程将 Defender for Cloud 使用的必要代理和扩展自动预配到资源。

启用任何受支持扩展的自动预配后,扩展安装在订阅中的现有和将来的计算机上。 “禁用”扩展的自动预配后,扩展不会安装在将来的计算机上,但也不会从现有计算机中卸载。

可自动预配的 Microsoft Defender for Cloud 扩展的屏幕截图。

先决条件

若要开始使用 Defender for Cloud,必须具有 Microsoft Azure 订阅。 如果没有订阅,可以注册免费帐户

可用性

下表显示了自动预配功能本身的可用性详细信息。

方面 详细信息
发布状态: 自动预配功能已正式发布 (GA)
定价: 自动预配可免费使用
所需角色和权限: 取决于特定的扩展 - 请参阅相关选项卡
支持的目标: 取决于特定的扩展 - 请参阅相关选项卡
云: 商用云
Azure 政府、Azure 中国世纪互联

Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Defender for Cloud 如何收集数据?

Defender for Cloud 从 Azure 虚拟机 (VM)、虚拟机规模集、IaaS 容器和非 Azure 计算机(包括本地计算机)收集数据,以监视安全漏洞和威胁。

必须收集数据才能深入了解缺少的更新、配置不当的 OS 安全设置、终结点保护状态,以及运行状况和威胁防护结果。 只需对计算资源(例如 VM、虚拟机规模集、IaaS 容器和非 Azure 计算机)启用数据收集。

即使不预配代理,也仍可以从 Microsoft Defender for Cloud 受益。 但是,你的安全性有限,并且不支持上面列出的功能。

使用以下工具收集数据:

  • Log Analytics 代理,该代理从计算机中读取各种与安全相关的配置和事件日志,然后将数据复制到工作区进行分析。 此类数据的示例包括:操作系统类型和版本、操作系统日志(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址和已登录的用户。
  • 安全扩展,例如用于 Kubernetes 的 Azure Policy 加载项,它还可以向 Defender for Cloud 提供有关专用资源类型的数据。

为什么要使用自动预配?

此页所述的任何代理和扩展都可以手动安装(请参阅手动安装 Log Analytics 代理)。 但是,自动预配通过在现有和新计算机上安装所有必需的代理和扩展来确保所有受支持的资源能够更快地获得安全保障,从而减少管理开销。

建议启用自动预配,但默认情况下它是禁用的。

自动预配的工作原理

对于每种支持的扩展类型,Defender for Cloud 的自动预配设置页都有相应的切换开关。 启用扩展的自动配置后,可以分配适当的“如果不存在则部署”策略。 此策略类型可确保在该类型的所有现有和将来的资源上预配扩展。

提示

可参阅了解 Azure Policy 效果,了解有关 Azure Policy 效果的详细信息,包括“如果不存在则部署”。

启用 Log Analytics 代理和扩展 的自动预配

为 Log Analytics 代理启用自动预配后,Defender for Cloud 可在所有受支持的 Azure VM 以及创建的所有新 Azure VM 上部署代理。 有关支持的平台列表,请参阅 Microsoft Defender for Cloud 支持的平台

若要启用 Log Analytics 代理的自动预配:

  1. 在 Defender for Cloud 的菜单中,打开“环境设置”。

  2. 选择相关订阅。

  3. 在“自动预配”页中,将 Log Analytics 代理的自动预配状态设置为“打开” 。

    启用 Log Analytics 代理的自动预配。

  4. 在配置选项窗格中,定义要使用的工作区。

    用于将 Log Analytics 代理自动预配到 VM 的配置选项。

    • 将 Azure VM 连接到 Defender for Cloud 创建的默认工作区 - Defender for Cloud 在同一地理位置创建新的资源组和默认工作区,并将代理连接到该工作区。 如果订阅包含多个地理位置中的 VM,Defender for Cloud 会创建多个工作区,以确保符合数据隐私要求。

      工作区和资源组的命名约定是:

      • 工作区:DefaultWorkspace-[subscription-ID]-[geo]
      • 资源组:DefaultResourceGroup-[geo]

      根据为订阅设置的定价层,工作区上自动启用 Defender for Cloud 解决方案。

    • 将 Azure VM 连接到不同的工作区 - 从下拉列表中,选择用于存储收集的数据的工作区。 下拉列表包含所有订阅中的所有工作区。 你可以使用此选项从在不同订阅中运行的虚拟机收集数据,并将其全部存储在所选工作区中。

      如果已有一个 Log Analytics 工作区,可以使用该工作区(需要工作区上的读取和写入权限)。 如果在组织中使用集中式工作区,并想要使用该工作区来收集安全数据,则此选项非常有用。 从在 Azure Monitor 中管理对日志数据和工作区的访问中了解详细信息。

      如果所选的工作区中已启用“Security”或“SecurityCenterFree”解决方案,则会自动设置定价。 如果未启用,请在工作区上安装 Defender for Cloud 解决方案:

      1. 在 Defender for Cloud 的菜单中,打开“环境设置”。
      2. 选择要将代理连接到的工作区。
      3. 将安全状况管理设置为“开启”或选择“全部启用”以启用所有 Microsoft Defender 计划。
  5. 从“Windows 安全事件”配置中,选择要存储的原始事件数据量:

    • - 禁用安全事件存储。 (默认值)
    • 最小 - 一个小事件集,适合在希望最大程度地减小事件量时使用。
    • 通用 - 一个事件集,可满足大多数客户的需求,并提供完整的审核线索。
    • 所有事件 - 适用于想要确保存储所有事件的客户。

    提示

    若要在工作区级别设置这些选项,请参阅在工作区级别设置安全事件选项

    有关这些选项的详细信息,请参阅 Log Analytics 代理的 Windows 安全事件选项

  6. 选择“配置”窗格中的“应用”。

  7. 若要启用除 Log Analytics 代理之外的扩展的自动预配,请执行以下操作:

    1. 将相关扩展的状态切换为“打开”。

      切换以启用 K8s 策略加载项的自动预配。

    2. 选择“保存”。 分配 Azure Policy 定义并创建修正任务。

      分机 策略
      适用于 Kubernetes 的策略加载项 将 Azure Policy 加载项部署到 Azure Kubernetes 服务群集
      来宾配置代理(预览版) 部署先决条件以在虚拟机上启用来宾配置策略
  8. 选择“保存”。 如果需要设置工作区,那么代理安装过程可能需要最多 25 分钟的时间。

  9. 系统会询问你是否要重新配置之前已连接到默认工作区的受监视 VM:

    查看用于重新配置受监视的 VM 的选项。

    • - 新的工作区设置将仅应用于未安装 Log Analytics 代理的新发现的 VM。
    • 是 - 新的工作区设置将应用于所有 VM,当前连接到 Defender for Cloud 创建的工作区的每个 VM 都将重新连接到新的目标工作区。

    注意

    如果选择“是”,请不要删除 Defender for Cloud 创建的工作区,除非所有 VM 都已重新连接到新的目标工作区。 如果过早删除工作区,此操作将会失败。

Log Analytics 代理的 Windows 安全事件选项

在 Microsoft Defender for Cloud 中选择数据收集层时,所选层的安全事件将存储在 Log Analytics 工作区中,以便你可以调查、搜索和审核工作区中的事件。 Log Analytics 代理还会收集和分析 Defender for Cloud 威胁防护所需的安全事件。

要求

需要启用 Defender for Cloud 的增强安全保护才能存储 Windows 安全事件数据。 详细了解增强保护计划

可能需要支付在 Log Analytics 中存储数据的费用。 有关详细信息,请参阅定价页

Microsoft Sentinel 用户的信息

可以从 Microsoft Defender for Cloud 或 Microsoft Sentinel 配置单个工作区上下文中的安全事件收集,但不能同时从两者进行配置。 如果要将 Microsoft Sentinel 添加到已从 Microsoft Defender for Cloud 获取警报的工作区并收集安全事件,你有两种选择:

  • 将 Microsoft Defender for Cloud 中的安全事件收集保留原样。 你将能够在 Microsoft Sentinel 和 Defender for Cloud 中查询和分析这些事件。 如果要监视连接器的连接状态或在 Microsoft Sentinel 中更改其配置,请考虑第二个选择。
  • 在 Microsoft Defender for Cloud 中禁用安全事件集合,然后在 Microsoft Sentinel 中添加安全事件连接器。 你将能够在 Microsoft Sentinel 和 Defender for Cloud 中查询和分析这些事件,但是,你还可以监视连接器的连接状态或在且仅在 Microsoft Sentinel 中更改其配置。 若要在 Defender for Cloud 中禁用安全事件集合,请在 Log Analytics 代理的配置中将“Windows 安全事件”设置为“无”。

哪些类型的事件存储为“通用”和“最小”?

“通用”和“最小”事件集旨在根据客户和行业标准针对每个事件的未筛选频率及其使用情况处理典型场景。

  • 最小 - 此集旨在仅涵盖可能指示成功违反的事件以及量少的重要事件。 此集的大部分数据量是用户登录成功事件(事件 ID 4625)、用户登录失败事件(事件 ID 4624)和进程创建事件(事件 ID 4688)。 注销事件仅对审核很重要,并且数量相对较大,因此它们不包含在此事件集中。
  • 常见 - 此集旨在提供完整的用户审核线索,包括量少的事件。 例如,此集包含用户登录事件(事件 ID 4624)和用户注销事件(事件 ID 4634)。 我们加入审核操作,如安全组更改、关键域控制器 Kerberos 操作以及行业组织建议的其他事件。

下面是对每个集的安全和 App Locker 事件 ID 的完整分类:

数据层 收集的事件指示器
最少 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
通用 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

注意

  • 如果使用组策略对象 (GPO),建议启用审核策略过程创建事件 4688 以及事件 4688 内的 CommandLine 字段。 有关过程创建事件 4688 的详细信息,请参阅 Defender for Cloud 的常见问题解答。 有关这些审核策略的详细信息,请参阅审核策略建议
  • 若要为自适应应用程序控制启用数据收集,Defender for Cloud 会在审核模式下配置本地 AppLocker 策略以允许所有应用程序。 这将导致 AppLocker 生成事件,然后由 Defender for Cloud 收集和利用这些事件。 请务必注意,不会在已配置 AppLocker 策略的任何计算机上配置此策略。
  • 若要收集 Windows 筛选平台事件 ID 5156,需要启用审核筛选平台连接 (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)

在工作区级别设置安全事件选项

可以将安全事件数据的存储级别定义为工作区级别。

  1. 在 Azure 门户的 Defender for Cloud 菜单中,选择“环境设置”。

  2. 选择相关工作区。 工作区的唯一数据收集事件是此页上描述的 Windows 安全事件。

    设置要存储在工作区中的安全事件数据。

  3. 选择要存储的原始事件数据量,然后选择“保存”。

手动代理预配

若要手动安装 Log Analytics 代理:

  1. 禁用自动预配。

  2. (可选)创建工作区。

  3. 在要安装 Log Analytics 代理的工作区上启用 Microsoft Defender for Cloud:

    1. 在 Defender for Cloud 的菜单中,打开“环境设置”。

    2. 设置要安装代理的工作区。 确保该工作区位于 Defender for Cloud 内所用的同一个订阅中,并且你具有该工作区的读/写权限。

    3. 选择“开启 Microsoft Defender for Cloud”然后选择“保存”。

      注意

      如果工作区中已启用 SecuritySecurityCenterFree 解决方案,则会自动设置定价层。

  4. 若要使用资源管理器模板在新的 VM 上部署代理,请安装 Log Analytics 代理:

  5. 若要在现有 VM 上部署代理,请按照收集有关 Azure 虚拟机的数据(“收集事件和性能数据”部分为可选)中的说明进行操作。

  6. 若要使用 PowerShell 部署代理,请按照虚拟机文档中的说明进行操作:

提示

有关如何加入的详细信息:参阅使用 PowerShell 自动加入 Microsoft Defender for Cloud

在预先安装了代理的情况下进行自动预配

以下用例说明在已安装代理或扩展的情况下如何进行自动预配。

  • Log Analytics 代理已安装在计算机上,但不是作为扩展(直接代理)安装的 - 如果 Log Analytics 代理直接安装在 VM 上(而不是作为 Azure 扩展安装),Defender for Cloud 将安装 Log Analytics 代理扩展,可能还会将 Log Analytics 代理升级到最新版本。 安装的代理将继续向其已配置的工作区报告,以及向 Defender for Cloud 中配置的工作区报告。 (Windows 计算机支持多宿主。)

    如果 Log Analytics 配置了用户工作区而不是 Defender for Cloud 的默认工作区,则需要在该工作区上安装“Security”或“SecurityCenterFree”解决方案,以便 Defender for Cloud 开始处理向该工作区报告的 VM 和计算机中的事件。

    对于 Linux 计算机,尚不支持代理多宿主。 如果检测到现有代理安装,则不会自动预配 Log Analytics 代理。

    对于在 2019 年 3 月 17 日之前加入到 Defender for Cloud 的订阅上的现有计算机,检测到现有代理时,将不会安装 Log Analytics 代理扩展,并且计算机将不会受到影响。 对于这些计算机,请参阅“解决计算机上的监视代理运行状况问题”建议,以解决这些计算机上的代理安装问题。

  • 已在计算机上安装 System Center Operations Manager 代理 - Defender for Cloud 会将 Log Analytics 代理扩展并行安装到现有 Operations Manager。 现有 Operations Manager 代理将继续正常向 Operations Manager 服务器报告。 Operations Manager 代理和 Log Analytics 代理共享公共运行时库,在此过程中这些库将更新为最新版本。 如果已安装 Operations Manager 代理版本 2012,则“请勿”启用自动预配。

  • 存在预先存在的 VM 扩展

    • 当将监视代理作为扩展安装时,扩展配置仅允许向单个工作区进行报告。 Defender for Cloud 不会替代用户工作区的现有连接。 如果已连接的工作区中安装了“Security”或“SecurityCenterFree”解决方案,Defender for Cloud 会将来自 VM 的安全性数据存储在该工作区中。 在此过程中,Defender for Cloud 可以将扩展版本升级到最新版本。
    • 若要查看现有扩展将数据发送到哪个工作区,请运行测试来验证与 Microsoft Defender for Cloud 的连接。 或者,可以打开 Log Analytics 工作区,选择一个工作区,选择 VM,然后查看 Log Analytics 代理连接。
    • 如果环境中的 Log Analytics 代理安装在客户端工作站上并向现有的 Log Analytics 工作区报告,请查看 Microsoft Defender for Cloud 支持的操作系统列表以确保操作系统受支持。 有关详细信息,请参阅现有 Log Analytics 客户

禁用自动预配

禁用自动预配后,将不会在新 VM 上预配代理。

关闭代理的自动预配:

  1. 在门户的 Defender for Cloud 菜单中,选择“环境设置”。

  2. 选择相关订阅。

  3. 选择“自动预配”。

  4. 将相关代理的状态切换为“关闭”。

    切换以禁用按代理类型的自动预配。

  5. 选择“保存”。 自动预配处于禁用状态时,不会显示默认的工作区配置部分:

    禁用自动预配后,配置单元为空

注意

禁用自动预配不会从曾预配了 Log Analytics 代理的 Azure VM 中删除该代理。 有关删除 OMS 扩展的信息,请参阅如何删除 Defender for Cloud 安装的 OMS 扩展

疑难解答

后续步骤

本页说明了如何为 Log Analytics 代理和其他 Defender for Cloud 扩展启用自动预配。 还介绍了如何定义用于存储所收集数据的 Log Analytics 工作区。 这两项操作都需要启用数据收集。 将数据存储在新的或现有的 Log Analytics 工作区中都可能会产生更多的数据存储费用。 有关当地货币或地区的定价详细信息,请参阅定价页