當您在 Microsoft 適用於雲端的 Defender 中啟用適用於伺服器的 Defender 方案 2 時,您每天會利用 500 MB 的免費數據擷取。 其運作方式如下。
- Defender for Servers 方案 2 每天為 Defender for Cloud 直接收集的特定安全性資料類型,每個節點提供 500 MB 的用量。
- 數據擷取的計算方式是根據每台機器、每個上報的工作區和每天來進行。
- 每日可用限制總計等於 [機器數目] x 500 MB。
- 津貼是所有機器的平均每日費率。
- 如果總計未超過每日免費限制,即使有些計算機傳送 100 MB,而其他電腦傳送 800 MB,您也不會額外收取費用。
- 權益會授與計算機報告所在的Log Analytics工作區。
- 權益可能不會出現在您的發票上,因為其成本為零。 效益顯示在產品中,以及從Microsoft成本管理的導出中。 瞭解如何 檢視您的數據配置優點。
必要條件
- 在已啟用 Defender for Servers 方案 2 的訂用帳戶中執行 Azure 監視器代理程式 (AMA) 的每部電腦都獲得好處。
- 每個機器報告的工作區都必須啟用Defender for Servers Plan 2。
- 向多個工作區報告的每部計算機,只會獲得其中一個工作區的權益。
優點支援下列安全性資料類型子集:
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- ProtectionStatus
- 當更新管理解決方案未在工作區中執行或解決方案目標已啟用時,則會進行更新和 UpdateSummary。
- MDC檔案完整性監控事件
- WindowsEvent
- LinuxAuditLog
建立自定義安全性事件資料收集規則(DCR)(500 MB/天權益)
安全性事件是免費的, 每天最多每部伺服器 500 MB,但只有在它們到達 SecurityEvent 數據表時。 因此,DCR 必須使用 Microsoft-SecurityEvent 數據流來確保數據擷取功能的合規性。
建立 DCR 的快速步驟
移至 Azure 入口網站 • 監視器 • 資料收集規則 • + 建立。
新增數據源
類型: Windows 事件記錄檔
記錄檔名稱:
Security資料流:
Microsoft-SecurityEvent(選擇性) 使用 XPath 篩選,例如:
*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
目的地 ▸ 選取啟用了伺服器用 Defender 方案 2 的 Log Analytics 工作區。
檢閱 + 建立 • 將規則指派 給執行 Azure 監視器代理程式 (AMA) 的 Windows 機器。
範例 JSON 片段
{
"dataSources": {
"windowsEventLogs": [
{
"name": "SecurityEvents",
"streams": ["Microsoft-SecurityEvent"],
"xPathQueries": [
"*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
]
}
]
},
"destinations": {
"logAnalytics": [
{ "workspaceId": "<workspace-id>" }
]
}
}
合規性檢查清單
| 要求 | 為何如此重要 |
|---|---|
Microsoft-SecurityEvent DCR 中的數據流 |
將數據路由傳送至權限涵蓋的 SecurityEvent 數據表。 |
| 工作區上啟用的安全性解決方案 | 確保已套用擷取權益(與適用於伺服器的Defender方案2相同)。 |
| 適用於伺服器的 Defender 方案 2 | 為每個節點授與每日 500 MB 的津貼。 |
| 已安裝 Azure 監視器代理程式 (AMA) | 需要套用自定義 DCR。 |
大規模部署
使用 Azure 原則方案 部署 AMA DCR for Security Events 集合,自動建立和指派跨訂用帳戶的相容 DCR。
設定工作區
Azure 監視器說明如何 建立Log Analytics工作區。
在工作區上啟用適用於伺服器的Defender方案2
在 Azure 入口網站 中,搜尋並選取 [適用於雲端的 Microsoft Defender]。
在 [適用於雲端的 Defender] 功能表中,選取 [環境設定],然後選取相關的工作區。
選取相關的工作區。
將伺服器計劃切換為 [開啟],然後選取 [ 儲存]。
![顯示 Log Analytics 工作區層級 [方案啟用] 頁面的螢幕擷取畫面。](media/tutorial-enable-servers-plan/enable-workspace-servers.png)
![顯示 Log Analytics 工作區層級 [方案啟用] 頁面的螢幕擷取畫面。](media/tutorial-enable-servers-plan/enable-workspace-servers.png#lightbox)
注意
如果您想要停用適用於伺服器的 Defender 方案 2,請在任何已啟用的 Log Analytics 工作區上明確停用方案。