有关数据收集、代理和工作区的常见问题

当启用需要监视组件的 Defender 计划时，数据收集将自动打开。

启用自动预配后，Defender for Cloud 会在所有支持的 Azure 虚拟机和创建的任何新虚拟机上使用 Log Analytics 代理。 建议进行自动预配，但也可以手动完成代理安装。 了解如何安装 Log Analytics 代理扩展。

该代理可启用进程创建事件 4688 和事件 4688 内的 CommandLine 字段。 在虚拟机上创建的新进程由 EventLog 记录，并由 Defender for Cloud 检测服务监视。 若要详细了解针对每个新进程记录的详细信息，请参阅 4688 中的说明字段。 该代理还收集 VM 上创建的 4688 事件，并将这些事件存储在搜索中。

该代理还为自适应应用程序控制启用了数据集合，Defender for Cloud 会在审核模式下配置本地 AppLocker 策略以允许所有应用程序。 此策略将导致 AppLocker 生成事件，然后由 Defender for Cloud 收集和使用这些事件。 请务必注意，不会在已配置 AppLocker 策略的任何计算机上配置此策略。

当 Defender for Cloud 检测到 VM 上的可疑活动时，如果已提供安全联系人信息，客户将收到电子邮件通知。 Defender for Cloud 的安全警报仪表板中也会显示警报。

要监视安全漏洞和威胁，Microsoft Defender for Cloud 依赖于 Log Analytics 代理 - 此代理与 Azure Monitor 服务使用的代理相同。

有时又称为 Microsoft Monitoring Agent（或“MMA”）。

该代理从已连接的计算机中收集各种与安全相关的配置详细信息和事件日志，然后将数据复制到 Log Analytics 工作区以进行进一步分析。 此类数据的示例包括：操作系统类型和版本、操作系统日志（Windows 事件日志）、正在运行的进程、计算机名称、IP 地址和已登录的用户。

请确保计算机正在运行此代理支持的操作系统之一，如以下页面所述：

• 适用于 Windows 的 Log Analytics 代理支持的操作系统

• 适用于 Linux 的 Log Analytics 代理支持的操作系统

详细了解 Log Analytics 代理收集的数据。

Windows 或 Linux IaaS VM 的合格条件如下：

• 当前未在该 VM 上安装 Log Analytics 代理扩展。
• 该 VM 处于正在运行状态。
• 安装了 Windows 或 Linux Azure 虚拟机代理。
• 该 VM 未用作设备，例如 Web 应用程序防火墙或下一代防火墙。

有关代理收集的安全事件的完整列表，请参阅为“常用”和“最小”安全事件设置存储了哪些事件类型？。

当将监视代理作为扩展安装时，扩展配置仅允许向单个工作区进行报告。 Defender for Cloud 不会替代用户工作区的现有连接。 如果已连接的工作区中安装了“Security”或“SecurityCenterFree”解决方案，则 Defender for Cloud 会将来自 VM 的安全性数据存储在该工作区中。 在此过程中，Defender for Cloud 可以将扩展版本升级到最新版本。

有关详细信息，请参阅对预先存在的代理安装进行自动预配。

如果 Log Analytics 代理直接安装在虚拟机上（而不是作为 Azure 扩展安装），则 Defender for Cloud 将安装 Log Analytics 代理扩展，可能还会将 Log Analytics 代理升级到最新版本。

安装的代理继续向其已配置的工作区报告，并向 Defender for Cloud 中配置的工作区报告。 （Windows 计算机支持多宿主。）

对于自定义用户工作区，需要在该工作区上安装“Security”或“SecurityCenterFree”解决方案，这样 Defender for Cloud 才能处理向该工作区报告的 VM 和计算机中的事件。

对于 Linux 计算机，尚不支持代理多宿主。 如果检测到现有的代理安装，Defender for Cloud 不会自动使用代理或更改计算机的配置。

对于在 2019 年 3 月 17 日之前加入到 Defender for Cloud 的订阅上的现有计算机，尚不支持代理多宿主。 如果检测到现有的代理安装，Defender for Cloud 不会自动使用代理或更改计算机的配置。 对于这些计算机，请参阅“解决计算机上的监视代理运行状况问题”建议，以解决这些计算机上的代理安装问题

有关详细信息，请参阅下一部分如果已在 VM 上安装 System Center Operations Manager 或 OMS 直接代理，会发生什么情况？

Defender for Cloud 实现了 Azure 策略，该策略不允许在计算机上安装了 System Center Operations Manager 代理时安装 Log Analytics 代理。 这两个代理都能够连接多个网络并向 System Center Operations Manager 和 Log Analytics 工作区发送报告。 Operations Manager 代理和 Log Analytics 代理共享常用运行时间库。 注意：如果安装了 2012 版的 Operations Manager 代理，请不要启用自动预配（如果 Operations Manager 服务器也是 2012 版本，可能会失去可管理性功能）。

移除 Microsoft 监视扩展后，Defender for Cloud 将无法从 VM 收集安全性数据，因此无法提供某些安全建议和警报。 Defender for Cloud 会在 24 小时内确定 VM 缺少扩展并重新安装扩展。

强烈建议使用 Defender for Cloud 部署扩展，以获取有关系统更新、OS 漏洞和终结点保护的安全警报和建议。 禁用扩展会限制这些警报和建议。 但可以禁用特定代理或扩展的自动预配：

禁用特定代理或扩展的自动预配：

1. 在 Azure 门户中，打开 Defender for Cloud 并选择“环境设置”。

2. 选择相关订阅。

3. 在 Defender for Server 计划的“监视范围”列中，选择“设置”。

   

4. 关闭要停止自动预配的扩展。

   

5. 选择“保存”。

在以下情况，可能需要选择退出自动预配：

• Defender for Cloud 执行的自动代理安装应用到整个订阅。 无法将自动安装应用到一部分 VM。 如果在一些重要 VM 上无法安装 Log Analytics 代理，则应选择退出自动预配。

• 安装 Log Analytics 代理扩展会更新代理的版本。 这种方法适用于直接代理和 System Center Operations Manager 代理（在后一种代理中，Operations Manager 和 Log Analytics 代理共享公共运行时库，这些库在此过程中将更新）。 如果已安装的 Operations Manager 代理版本为 2012 并已将其升级，则当 Operations Manager 服务器的版本也是 2012 时，可管理性功能可能会丢失。 如果已安装的 Operations Manager 代理版本为 2012，则应考虑选择禁用自动预配。

• 如果想要避免为每个订阅创建多个工作区，并且订阅中包含自己的自定义工作区，则可以采取以下两种做法：

  • 可以选择禁用自动预配。 迁移后，根据如何使用现有的 Log Analytics 工作区中所述指定默认工作区设置。

  • 也可以让迁移完成，在 VM 上安装 Log Analytics 代理，并将 VM 连接到所创建的工作区。 然后，在选择启用重新配置已安装代理的情况下，通过指定默认工作区设置来选择自己的自定义工作区。 有关详细信息，请参阅如何使用现有的 Log Analytics 工作区？

完成迁移后，Defender for Cloud 无法从 VM 收集安全数据，因此无法提供某些安全建议和警报。 如果选择禁用自动预配，请手动安装 Log Analytics 代理。 请参阅选择禁用时的建议步骤。

手动安装 Log Analytics 代理扩展，使 Defender for Cloud 能够从 VM 收集安全数据并提供建议和警报。 有关安装的指导，请参阅 Windows VM 的代理安装或 Linux VM 的代理安装。

可将代理连接到任何现有的自定义工作区或 Defender for Cloud 创建的工作区。 如果自定义工作区未启用“Security”或“SecurityCenterFree”解决方案，则需要应用解决方案。 请选择自定义工作区，并通过“环境设置”>“Defender 计划”页面应用定价层。

Defender for Cloud 会根据选定的选项在工作区中启用正确的解决方案。

可以手动删除 Log Analytics 代理，但不建议这样做。 删除 OMS 扩展会限制 Defender for Cloud 的建议和警报。

手动删除代理：

1. 在门户中，打开“Log Analytics”。

2. 在 Log Analytics 页面上选择工作区：

3. 选择每个不需要监视的 VM 并选择“断开连接”。

   

是的。 Microsoft Defender for Cloud 使用 Azure Monitor 通过 Log Analytics 代理从 Azure VM 和服务器收集数据。 若要收集数据，每个 VM 和服务器都必须连接到使用 HTTPS 的 Internet。 可直接、通过代理或 OMS 网关完成此连接。

代理只消耗了少量的系统资源，对性能的影响应很小。 有关性能效果以及代理和扩展的更多信息，请参阅规划和操作指南。

无代理扫描收集类似于代理收集的数据以执行相同的分析。 不会收集原始数据、PII 或敏感业务数据，并且仅向 Defender for Cloud 发送元数据结果。

无代理扫描包含在 Defender 云安全态势管理 (CSPM) 和 Defender for Servers P2 计划中。 启用 Defender for Cloud 时不会产生其他成本。

磁盘快照是使用 CreatedBy 标记键和 Microsoft Defender for Cloud 标记值创建的。 CreatedBy 标记跟踪是谁创建了资源。

需要在计费和成本管理控制台中激活标记。 标记最多可能需要 24 小时才能激活。

激活标记后，AWS 将以逗号分隔值（.CSV 文件）的形式生成成本分摊报表，其中使用量和成本按活动标记进行分组。

每个工作区都有 500 MB 的免费数据引入。 它是按每个节点、每个报告的工作区、每一天来计算的，适用于安装了“安全”或“反恶意软件”解决方案的所有工作区。 你需要为超出 500 MB 限制的引入数据付费。

Azure Monitor 日志配置为按节点计费时，Defender for Cloud 创建的工作区中的 Azure Monitor 日志不会产生费用。 Defender for Cloud 计费始终基于工作区上安装的 Defender for Cloud 安全策略和解决方案：

• 关闭增强的安全性 - Defender for Cloud 在默认工作区上启用“SecurityCenterFree”解决方案。 如果未启用 Defender 计划，则不会收取任何费用。

• 启用所有 Microsoft Defender for Cloud 计划 - Defender for Cloud 在默认解决方案上启用“Security”解决方案。

有关当地货币或地区的定价详细信息，请参阅定价页。

默认工作区的位置取决于 Azure 区域：

• 对于美国和巴西的 VM，工作区位置为美国
• 对于加拿大的 VM，工作区位置为加拿大
• 对于欧洲的 VM，工作区位置为欧洲
• 对于英国的 VM，工作区位置为英国
• 对于东亚和东南亚的 VM，工作区位置为亚洲
• 对于韩国的 VM，工作区位置为韩国
• 对于印度的 VM，工作区位置为印度
• 对于日本的 VM，工作区位置为日本
• 对于中国的 VM，工作区位置为中国
• 对于澳大利亚的 VM，工作区位置为澳大利亚

建议不要删除默认工作区。 Defender for Cloud 使用默认工作区存储 VM 的安全数据。 删除工作区后，Defender for Cloud 无法收集此数据，因此无法提供某些安全建议和提示。

若要恢复，请删除连接到已删除工作区的 VM 上的 Log Analytics 代理。 Defender for Cloud 会重新安装代理并创建新的默认工作区。

可以选择现有 Log Analytics 工作区，用于存储 Defender for Cloud 收集的数据。 使用现有 Log Analytics 工作区的先决条件：

• 工作区必须与选定 Azure 订阅相关联。
• 至少必须拥有读取权限，才能访问工作区。

选择现有 Log Analytics 工作区的具体步骤：

1. 在 Defender for Cloud 的菜单中，打开“环境设置”。

2. 选择相关订阅。

3. 在 Defender for Server 计划的“监视范围”列中，选择“设置”。

4. 对于 Log Analytics 代理，选择“编辑配置”。

   

5. 选择“自定义工作区”，然后选择现有工作区。

   

   提示

   此列表仅包含你有权访问的工作区和 Azure 订阅中的工作区。

6. 选择应用。

7. 选择“继续”。

8. 选择“保存”并确认需要重新配置受监视的 VM。

   重要

   只有在将配置从默认工作区更改到自定义工作区时，此选项才有意义。 如果要将设置从一个自定义工作区更改为另一个自定义工作区，或者从自定义工作区更改为默认工作区，则更改不会应用于现有计算机。

   • 如果只希望在新 VM 上应用新的工作区设置，请选择“否”。 新的工作区设置仅适用于新的代理安装；新发现的尚未安装 Log Analytics 代理的 VM。
   • 如果希望在所有 VM 上应用新的工作区设置，请选择“是”。 此外，所有连接到 Defender for Cloud 创建的工作区的 VM 也都会重新连接到新的目标工作区。

   注意

   如果选择“是”，请不要删除 Defender for Cloud 创建的任何工作区，除非所有 VM 都已重新连接到新的目标工作区。 如果过早删除工作区，此操作将会失败。

如果 VM 已将 Log Analytics 代理作为 Azure 扩展进行安装，则 Defender for Cloud 不会覆盖现有工作区连接， 而只会使用现有工作区。 如果在 VM 向其报告的工作区上安装了“Security”或“SecurityCenterFree”解决方案，则该 VM 受保护。

如果还没有 Defender for Cloud 解决方案，则会在“数据收集”屏幕中的所选工作区安装它，但此解决方案仅适用于相关的 VM。 添加解决方案时，默认情况下会自动将它部署到连接到 Log Analytics 工作区的所有 Windows 和 Linux 代理。 解决方案目标可用于限定解决方案的范围。

Defender for Cloud 确定 VM 已连接到你所创建的工作区时，会根据定价配置启用此工作区的解决方案。 由于解决方案目标，解决方案仅应用于相关资源，因此计费保持不变。

• 未启用 Defender 计划 - Defender for Cloud 在工作区中安装“SecurityCenterFree”解决方案，无需付费。

• 启用所有 Microsoft Defender 计划 - Defender for Cloud 在工作区安装“Security”解决方案。

  

如果 VM 已将 Log Analytics 代理作为 Azure 扩展进行安装，则 Defender for Cloud 会使用现有的已连接工作区。 如果还没有 Defender for Cloud 解决方案，则会在工作区安装它，但此解决方案只能通过解决方案定向应用于相关的 VM。

当 Defender for Cloud 在 VM 上安装 Log Analytics 代理时，如果 Defender for Cloud 未指向现有工作区，则该代理会使用 Defender for Cloud 创建的默认工作区。

安全与审核解决方案用于启用 Microsoft Defender for Servers。 如果已在工作区安装“安全性与审核”解决方案，则 Defender for Cloud 会使用现有解决方案。 计费方面没有任何更改。

后续步骤

了解 Defender for Cloud 如何收集数据