Defender for Cloud 从 Azure 虚拟机 (VM)、虚拟机规模集、IaaS 容器和非 Azure 计算机(包括本地计算机)收集数据,以监视安全漏洞和威胁。 Log Analytics 代理会收集数据,它从计算机中读取各种与安全相关的配置和事件日志,然后将数据复制到工作区进行分析。
数据收集
如何启用数据收集?
当启用需要监视组件的 Defender 计划时,数据收集将自动打开。
启用数据收集之后会发生什么?
启用自动预配后,Defender for Cloud 会在所有支持的 Azure 虚拟机和创建的任何新虚拟机上使用 Log Analytics 代理。 建议进行自动预配,但也可以手动完成代理安装。 了解如何安装 Log Analytics 代理扩展。
该代理可启用进程创建事件 4688 和事件 4688 内的 CommandLine 字段。 在虚拟机上创建的新进程由 EventLog 记录,并由 Defender for Cloud 检测服务监视。 若要详细了解针对每个新进程记录的详细信息,请参阅 4688 中的说明字段。 该代理还收集 VM 上创建的 4688 事件,并将这些事件存储在搜索中。
Defender for Cloud 在审核模式下配置本地 AppLocker 策略,以支持所有应用程序。 此策略将导致 AppLocker 生成事件,然后由 Defender for Cloud 收集和使用这些事件。 请务必注意,不会在已配置 AppLocker 策略的任何计算机上配置此策略。
当 Defender for Cloud 检测到 VM 上的可疑活动时,如果已提供安全联系人信息,客户将收到电子邮件通知。 Defender for Cloud 的安全警报仪表板中也会显示警报。
代理
什么是 Log Analytics 代理?
要监视安全漏洞和威胁,Microsoft Defender for Cloud 依赖于 Log Analytics 代理 - 此代理与 Azure Monitor 服务使用的代理相同。
有时又称为 Microsoft Monitoring Agent(或“MMA”)。
该代理从已连接的计算机中收集各种与安全相关的配置详细信息和事件日志,然后将数据复制到 Log Analytics 工作区以进行进一步分析。 此类数据的示例包括:操作系统类型和版本、操作系统日志(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址和已登录的用户。
请确保计算机正在运行此代理支持的操作系统之一,如以下页面所述:
详细了解 Log Analytics 代理收集的数据。
VM 需要满足哪些条件才能自动预配 Log Analytics 代理安装?
Windows 或 Linux IaaS VM 的合格条件如下:
- 当前未在该 VM 上安装 Log Analytics 代理扩展。
- 该 VM 处于正在运行状态。
- 安装了 Windows 或 Linux Azure 虚拟机代理。
- 该 VM 未用作设备,例如 Web 应用程序防火墙或下一代防火墙。
Log Analytics 代理收集哪些安全事件?
有关代理收集的安全事件的完整列表,请参阅为“常用”和“最小”安全事件设置存储了哪些事件类型?。
重要
对于某些服务,如 Azure 防火墙,为生成大量日志的资源进行日志记录可能会占用 Log Analytics 工作区中的存储空间。 请确保仅在必要时使用详细日志记录。
如果 Log Analytics 代理已作为扩展安装到 VM 上,会怎样?
当将监视代理作为扩展安装时,扩展配置仅允许向单个工作区进行报告。 Defender for Cloud 不会替代用户工作区的现有连接。 如果已连接的工作区中安装了“Security”或“SecurityCenterFree”解决方案,则 Defender for Cloud 会将来自 VM 的安全性数据存储在该工作区中。 在此过程中,Defender for Cloud 可以将扩展版本升级到最新版本。
有关详细信息,请参阅对预先存在的代理安装进行自动预配。
如果 Log Analytics 代理直接安装在计算机上,而不是作为扩展(直接代理)安装,该怎么办?
如果 Log Analytics 代理直接安装在虚拟机上(而不是作为 Azure 扩展安装),则 Defender for Cloud 将安装 Log Analytics 代理扩展,可能还会将 Log Analytics 代理升级到最新版本。
安装的代理继续向其已配置的工作区报告,并向 Defender for Cloud 中配置的工作区报告。 (Windows 计算机支持多宿主。)
对于自定义用户工作区,需要在该工作区上安装“Security”或“SecurityCenterFree”解决方案,这样 Defender for Cloud 才能处理向该工作区报告的 VM 和计算机中的事件。
对于 Linux 计算机,尚不支持代理多宿主。 如果检测到现有的代理安装,Defender for Cloud 不会自动使用代理或更改计算机的配置。
对于在 2019 年 3 月 17 日之前加入到 Defender for Cloud 的订阅上的现有计算机,尚不支持代理多宿主。 如果检测到现有的代理安装,Defender for Cloud 不会自动使用代理或更改计算机的配置。 对于这些计算机,请参阅“解决计算机上的监视代理运行状况问题”建议,以解决这些计算机上的代理安装问题
有关详细信息,请参阅下一部分如果已在 VM 上安装 System Center Operations Manager 或 OMS 直接代理,会发生什么情况?
如果已在 VM 上安装 System Center Operations Manager 代理,会发生什么情况?
Defender for Cloud 实现了 Azure 策略,该策略不允许在计算机上安装了 System Center Operations Manager 代理时安装 Log Analytics 代理。 这两个代理都能够连接多个网络并向 System Center Operations Manager 和 Log Analytics 工作区发送报告。 Operations Manager 代理和 Log Analytics 代理共享常用运行时间库。 注意:如果安装了 2012 版的 Operations Manager 代理,请不要启用自动预配(如果 Operations Manager 服务器也是 2012 版本,可能会失去可管理性功能)。
移除这些扩展有什么效果?
移除 Microsoft 监视扩展后,Defender for Cloud 将无法从 VM 收集安全性数据,因此无法提供某些安全建议和警报。 Defender for Cloud 会在 24 小时内确定 VM 缺少扩展并重新安装扩展。
如何停止自动安装代理和创建工作区?
强烈建议使用 Defender for Cloud 部署扩展,以获取有关系统更新、OS 漏洞和终结点保护的安全警报和建议。 禁用扩展会限制这些警报和建议。 但可以禁用特定代理或扩展的自动预配:
禁用特定代理或扩展的自动预配:
在 Azure 门户中,打开 Defender for Cloud 并选择“环境设置”。
选择相关订阅。
在 Defender for Server 计划的“监视范围”列中,选择“设置”。
关闭要停止自动预配的扩展。
选择“保存”。
是否应选择禁用自动安装代理和创建工作区?
注意
如果选择禁用自动预配,请务必查看选择禁用有何影响和选择禁用时的建议步骤部分。
在以下情况,可能需要选择退出自动预配:
Defender for Cloud 执行的自动代理安装应用到整个订阅。 无法将自动安装应用到一部分 VM。 如果在一些重要 VM 上无法安装 Log Analytics 代理,则应选择退出自动预配。
安装 Log Analytics 代理扩展会更新代理的版本。 这种方法适用于直接代理和 System Center Operations Manager 代理(在后一种代理中,Operations Manager 和 Log Analytics 代理共享公共运行时库,这些库在此过程中将更新)。 如果已安装的 Operations Manager 代理版本为 2012 并已将其升级,则当 Operations Manager 服务器的版本也是 2012 时,可管理性功能可能会丢失。 如果已安装的 Operations Manager 代理版本为 2012,则应考虑选择禁用自动预配。
如果想要避免为每个订阅创建多个工作区,并且订阅中包含自己的自定义工作区,则可以采取以下两种做法:
可以选择禁用自动预配。 迁移后,根据如何使用现有的 Log Analytics 工作区中所述指定默认工作区设置。
也可以让迁移完成,在 VM 上安装 Log Analytics 代理,并将 VM 连接到所创建的工作区。 然后,在选择启用重新配置已安装代理的情况下,通过指定默认工作区设置来选择自己的自定义工作区。 有关详细信息,请参阅如何使用现有的 Log Analytics 工作区?
选择禁用自动预配有何影响?
完成迁移后,Defender for Cloud 无法从 VM 收集安全数据,因此无法提供某些安全建议和警报。 如果选择禁用自动预配,请手动安装 Log Analytics 代理。 请参阅选择禁用时的建议步骤。
选择禁用自动预配时的建议步骤是什么?
手动安装 Log Analytics 代理扩展,使 Defender for Cloud 能够从 VM 收集安全数据并提供建议和警报。 有关安装的指导,请参阅 Windows VM 的代理安装或 Linux VM 的代理安装。
可将代理连接到任何现有的自定义工作区或 Defender for Cloud 创建的工作区。 如果自定义工作区未启用“Security”或“SecurityCenterFree”解决方案,则需要应用解决方案。 请选择自定义工作区,并通过“环境设置”>“Defender 计划”页面应用定价层。
Defender for Cloud 会根据选定的选项在工作区中启用正确的解决方案。
如何删除 Defender for Cloud 安装的 OMS 扩展?
可以手动删除 Log Analytics 代理,但不建议这样做。 删除 OMS 扩展会限制 Defender for Cloud 的建议和警报。
注意
启用数据收集后,Defender for Cloud 会删除代理,然后重新安装。 必须禁用数据收集,然后再手动删除代理。 请参阅“如何停止自动代理安装和工作区创建?”,查看有关禁用数据收集的说明。
手动删除代理:
在门户中,打开“Log Analytics”。
在 Log Analytics 页面上选择工作区:
选择每个不需要监视的 VM 并选择“断开连接”。
注意
如果 Linux VM 已有非扩展 OMS 代理,则删除该扩展也会删除代理,因此需要重新安装代理。
是否可以使用 OMS 网关运行 Defender for Cloud?
是的。 Microsoft Defender for Cloud 使用 Azure Monitor 通过 Log Analytics 代理从 Azure VM 和服务器收集数据。 若要收集数据,每个 VM 和服务器都必须连接到使用 HTTPS 的 Internet。 可直接、通过代理或 OMS 网关完成此连接。
Log Analytics 代理是否会影响服务器的性能?
代理只消耗了少量的系统资源,对性能的影响应很小。 有关性能效果以及代理和扩展的更多信息,请参阅规划和操作指南。
无代理
无代理扫描是否扫描已解除分配的 VM?
否。 无代理扫描不会扫描已解除分配的 VM。
无代理扫描是否扫描 OS 磁盘和数据磁盘?
是的。 无代理扫描同时扫描 OS 磁盘和数据磁盘。
在一天中的哪个时间扫描 VM(包括开始时间和结束时间)?
一天中的时间是动态的,可跨不同的帐户和订阅更改。
是否有任何关于已复制快照的遥测数据?
在 AWS 中,可通过 CloudTrail 跟踪客户帐户的相关操作。
可从快照收集哪些数据?
无代理扫描收集类似于代理收集的数据以执行相同的分析。 不会收集原始数据、PII 或敏感业务数据,并且仅向 Defender for Cloud 发送元数据结果。
磁盘快照被复制到何处?
无代理 快照分析发生在 Defender for Cloud 管理的安全环境中。
这些环境是跨多云的区域环境,因此快照与所源自的 VM 保持在同一云区域(例如,美国西部 EC2 实例的快照将在同一区域进行分析,而不会复制到另一个区域或云)。
分析磁盘的扫描环境是一个易失、隔离且高度安全的环境。
如何在 Microsoft 帐户中处理磁盘快照? Microsoft 是否可以共享无代理扫描平台的安全和隐私原则?
无代理扫描平台已经过审核,且符合 Microsoft 严格的安全和隐私标准。 采取的一些措施包括(不是全面的列表):
- 每个区域的物理隔离,每个客户和订阅的额外隔离
- 静态 E2E 加密和传输中 E2E 加密
- 扫描后立即清除磁盘快照
- 只有元数据(即安全结果)才会离开隔离的扫描环境
- 扫描环境为自治环境
- 所有操作均在内部进行审核
无代理扫描的相关成本是什么?
无代理扫描包含在 Defender 云安全态势管理 (CSPM) 和 Defender for Servers P2 计划中。 启用 Defender for Cloud 时不会产生其他成本。
注意
AWS 会对保留磁盘快照收取费用。 Defender for Cloud 扫描进程会主动尝试最小化快照存储在帐户中的时间(通常最多几分钟)。 AWS 可能会收取磁盘快照存储的间接费用。 请联系 AWS,了解适用的成本。
如何跟踪 Defender for Cloud 无代理扫描功能创建的磁盘快照所产生的 AWS 成本?
磁盘快照是使用 CreatedBy
标记键和 Microsoft Defender for Cloud
标记值创建的。 CreatedBy
标记跟踪是谁创建了资源。
需要在计费和成本管理控制台中激活标记。 标记最多可能需要 24 小时才能激活。
激活标记后,AWS 将以逗号分隔值(.CSV 文件)的形式生成成本分摊报表,其中使用量和成本按活动标记进行分组。
工作区
Defender for Cloud 创建的工作区中的 Azure Monitor 日志是否会产生费用?
每个工作区都有 500 MB 的免费数据引入。 它是按每个节点、每个报告的工作区、每一天来计算的,适用于安装了“安全”或“反恶意软件”解决方案的所有工作区。 你需要为超出 500 MB 限制的引入数据付费。
Azure Monitor 日志配置为按节点计费时,Defender for Cloud 创建的工作区中的 Azure Monitor 日志不会产生费用。 Defender for Cloud 计费始终基于工作区上安装的 Defender for Cloud 安全策略和解决方案:
关闭增强的安全性 - Defender for Cloud 在默认工作区上启用“SecurityCenterFree”解决方案。 如果未启用 Defender 计划,则不会收取任何费用。
启用所有 Microsoft Defender for Cloud 计划 - Defender for Cloud 在默认解决方案上启用“Security”解决方案。
有关当地货币或地区的定价详细信息,请参阅定价页。
注意
Defender for Cloud 创建的工作区的 Log Analytics 定价层不会影响 Defender for Cloud 计费。
注意
本文最近已更新,从使用术语“Log Analytics”改为使用术语“Azure Monitor 日志”。 日志数据仍然存储在 Log Analytics 工作区中,并仍然由同一 Log Analytics 服务收集并分析。 我们正在更新术语,以便更好地反映 Azure Monitor 中的日志的角色。 有关详细信息,请参阅 Azure Monitor 术语更改。
创建的默认 Log Analytics 工作区的位置是哪里?
默认工作区的位置取决于 Azure 区域:
- 对于美国和巴西的 VM,工作区位置为美国
- 对于加拿大的 VM,工作区位置为加拿大
- 对于欧洲的 VM,工作区位置为欧洲
- 对于英国的 VM,工作区位置为英国
- 对于东亚和东南亚的 VM,工作区位置为亚洲
- 对于韩国的 VM,工作区位置为韩国
- 对于印度的 VM,工作区位置为印度
- 对于日本的 VM,工作区位置为日本
- 对于中国的 VM,工作区位置为中国
- 对于澳大利亚的 VM,工作区位置为澳大利亚
是否可以删除 Defender for Cloud 创建的默认工作区?
建议不要删除默认工作区。 Defender for Cloud 使用默认工作区存储 VM 的安全数据。 删除工作区后,Defender for Cloud 无法收集此数据,因此无法提供某些安全建议和提示。
若要恢复,请删除连接到已删除工作区的 VM 上的 Log Analytics 代理。 Defender for Cloud 会重新安装代理并创建新的默认工作区。
我如何使用现有的 Log Analytics 工作区?
可以选择现有 Log Analytics 工作区,用于存储 Defender for Cloud 收集的数据。 使用现有 Log Analytics 工作区的先决条件:
- 工作区必须与选定 Azure 订阅相关联。
- 至少必须拥有读取权限,才能访问工作区。
注意
要从该代理获取安全警报,请确保 Log Analytics 代理和运行代理的计算机都向同一租户中的 Log Analytics 工作区报告。
选择现有 Log Analytics 工作区的具体步骤:
在 Defender for Cloud 的菜单中,打开“环境设置”。
选择相关订阅。
在 Defender for Server 计划的“监视范围”列中,选择“设置”。
对于 Log Analytics 代理,选择“编辑配置”。
选择“自定义工作区”,然后选择现有工作区。
提示
此列表仅包含你有权访问的工作区和 Azure 订阅中的工作区。
选择应用。
选择“继续”。
选择“保存”并确认需要重新配置受监视的 VM。
重要
只有在将配置从默认工作区更改到自定义工作区时,此选项才有意义。 如果要将设置从一个自定义工作区更改为另一个自定义工作区,或者从自定义工作区更改为默认工作区,则更改不会应用于现有计算机。
- 如果只希望在新 VM 上应用新的工作区设置,请选择“否”。 新的工作区设置仅适用于新的代理安装;新发现的尚未安装 Log Analytics 代理的 VM。
- 如果希望在所有 VM 上应用新的工作区设置,请选择“是”。 此外,所有连接到 Defender for Cloud 创建的工作区的 VM 也都会重新连接到新的目标工作区。
注意
如果选择“是”,请不要删除 Defender for Cloud 创建的任何工作区,除非所有 VM 都已重新连接到新的目标工作区。 如果过早删除工作区,此操作将会失败。
Defender for Cloud 是否会覆盖 VM 和工作区之间的任何现有连接?
如果 VM 已将 Log Analytics 代理作为 Azure 扩展进行安装,则 Defender for Cloud 不会覆盖现有工作区连接, 而只会使用现有工作区。 如果在 VM 向其报告的工作区上安装了“Security”或“SecurityCenterFree”解决方案,则该 VM 受保护。
如果还没有 Defender for Cloud 解决方案,则会在“数据收集”屏幕中的所选工作区安装它,但此解决方案仅适用于相关的 VM。 添加解决方案时,默认情况下会自动将它部署到连接到 Log Analytics 工作区的所有 Windows 和 Linux 代理。 解决方案目标可用于限定解决方案的范围。
提示
如果 Log Analytics 代理是直接安装到 VM 上(而不是作为 Azure 扩展进行安装),那么 Defender for Cloud 不会安装 Log Analytics 代理,并且安全监视也会受限。
Defender for Cloud 是否在现有 Log Analytics 工作区安装解决方案? 计费会产生什么影响?
Defender for Cloud 确定 VM 已连接到你所创建的工作区时,会根据定价配置启用此工作区的解决方案。 由于解决方案目标,解决方案仅应用于相关资源,因此计费保持不变。
未启用 Defender 计划 - Defender for Cloud 在工作区中安装“SecurityCenterFree”解决方案,无需付费。
启用所有 Microsoft Defender 计划 - Defender for Cloud 在工作区安装“Security”解决方案。
环境中已存在工作区,是否可以将其用于收集安全数据?
如果 VM 已将 Log Analytics 代理作为 Azure 扩展进行安装,则 Defender for Cloud 会使用现有的已连接工作区。 如果还没有 Defender for Cloud 解决方案,则会在工作区安装它,但此解决方案只能通过解决方案定向应用于相关的 VM。
当 Defender for Cloud 在 VM 上安装 Log Analytics 代理时,如果 Defender for Cloud 未指向现有工作区,则该代理会使用 Defender for Cloud 创建的默认工作区。
工作区已存在安全解决方案。 计费会产生什么影响?
安全与审核解决方案用于启用 Microsoft Defender for Servers。 如果已在工作区安装“安全与审核”解决方案,则 Defender for Cloud 会使用现有解决方案。 计费方面没有任何更改。