數據收集、代理程式和工作區的常見問題

當您啟用需要 監視元件的Defender方案時，會自動開啟資料收集。

啟用自動布建時，適用於雲端的 Defender 在所有支援的 Azure VM 和任何已建立的新 VM 上使用 Log Analytics 代理程式。 建議使用自動布建，但也可以使用手動代理程序安裝。 瞭解如何安裝Log Analytics代理程式擴充功能。

代理程式可在事件 4688 內啟用進程建立事件 4688 和 CommandLine 字段。 在 VM 上建立的新進程會由 EventLog 記錄，並由 適用於雲端的 Defender 偵測服務監視。 如需每個新程式所記錄詳細數據的詳細資訊，請參閱 4688 中的描述欄位。 代理程式也會收集 VM 上建立的 4688 個事件，並將其儲存在搜尋中。

代理程式也會啟用自適性應用程控的數據收集，適用於雲端的 Defender 在稽核模式中設定本機 AppLocker 原則，以允許所有應用程式。 此原則會導致AppLocker產生事件，然後由 適用於雲端的 Defender 收集和使用。 請務必注意，此原則並未在已設定的 AppLocker 原則的任何電腦上設定。

當 適用於雲端的 Defender 偵測到 VM 上的可疑活動時，如果已提供安全性聯繫人資訊，客戶會收到電子郵件通知。 警示也會顯示在 適用於雲端的 Defender 的安全性警示儀錶板中。

若要監視安全性弱點和威脅，適用於雲端的 Microsoft Defender 相依於Log Analytics代理程式 - 此代理程式與 Azure 監視器服務所使用的代理程式相同。

代理程式有時稱為「Microsoft Monitoring Agent」（或「MMA」）。

代理程式會從連線的計算機收集各種安全性相關組態詳細數據和事件記錄，然後將數據複製到Log Analytics工作區以進行進一步分析。 這類數據的範例包括：操作系統類型和版本、操作系統記錄檔（Windows 事件記錄檔）、執行進程、計算機名稱、IP 位址，以及登入使用者。

請確定您的電腦正在針對代理程式執行其中一個支援的作業系統，如下列頁面所述：

• 適用於 Windows 支援的作業系統的 Log Analytics 代理程式

• 適用於Linux支援的作業系統的Log Analytics代理程式

深入瞭解 Log Analytics代理程式收集的數據。

如果符合條件，Windows 或 Linux IaaS VM 符合資格：

• Log Analytics 代理程式擴充功能目前未安裝在 VM 上。
• VM 處於執行中狀態。
• 已安裝 Windows 或 Linux Azure 虛擬機器代理程式 。
• VM 不會作為 Web 應用程式防火牆或新一代防火牆等設備使用。

如需代理程式所收集之安全性事件的完整清單，請參閱 「一般」和「最小」安全性事件設定會儲存哪些事件類型？。

將監視代理程式安裝為延伸模組時，延伸模組設定只會允許向單一工作區報告。 適用於雲端的 Defender 不會覆寫現有的連線至使用者工作區。 適用於雲端的 Defender 將 VM 的安全性資料儲存在已安裝 「Security」 或 「SecurityCenterFree」 解決方案時已連線的工作區中。 適用於雲端的 Defender 可能會在此程式中將擴充功能版本升級至最新版本。

如需詳細資訊，請參閱 預先存在的代理程式安裝時自動布建。

如果 Log Analytics 代理程式直接安裝在 VM 上（不是 Azure 擴充功能），適用於雲端的 Defender 安裝 Log Analytics 代理程式擴充功能，而且可能會將 Log Analytics 代理程式升級至最新版本。

安裝的代理程式會繼續向其已設定的工作區報告，並將報告至 適用於雲端的 Defender 中設定的工作區。 (Windows 電腦上支援多路連接。)

針對自定義使用者工作區，您必須在上面安裝 「Security」 或 「SecurityCenterFree」 解決方案，讓 適用於雲端的 Defender 可以處理報告至該工作區的 VM 和計算機的事件。

針對 Linux 機器，尚不支援代理程式多連接。 如果偵測到現有的代理程式安裝，適用於雲端的 Defender 不會自動使用代理程式或變更計算機的組態。

針對在 2019 年 3 月 17 日之前上線至 適用於雲端的 Defender 的現有機器，尚不支援代理程式多連接。 如果偵測到現有的代理程式安裝，適用於雲端的 Defender 不會自動使用代理程式或變更計算機的設定。 針對這些機器，請參閱建議，以解決這些機器上的代理程式安裝問題

如需詳細資訊，請參閱下一節 如果我的 VM 上已安裝 System Center Operations Manager 或 OMS 直接代理程式，會發生什麼情況？

適用於雲端的 Defender 實作不允許在計算機上安裝 System Center Operations Manager 代理程式時安裝 Log Analytics 代理程式的 Azure 原則。 這兩個代理程式都能夠多宿主並報告至 System Center Operations Manager 和 Log Analytics 工作區。 Operations Manager 代理程式和 Log Analytics 代理程式會共用常見的運行時間連結庫。 注意 - 如果已安裝 Operations Manager 代理程式 2012 版，請勿開啟自動布建（當 Operations Manager 伺服器也是 2012 版時，管理能力功能可能會遺失）。

如果您移除 Microsoft Monitoring Extension，適用於雲端的 Defender 無法從 VM 收集安全性數據，而無法使用某些安全性建議和警示。 在24小時內，適用於雲端的 Defender判斷 VM 遺失擴充功能，然後重新安裝擴充功能。

強烈建議使用 適用於雲端的 Defender 部署擴充功能，以取得系統更新、OS 弱點和端點保護的安全性警示和建議。 關閉擴充功能會限制這些警示和建議。 不過，您可以停用特定代理程式或擴充功能的自動布建：

若要停用特定代理程式或擴充功能的自動布建：

1. 從 Azure 入口網站 開啟 [適用於雲端的 Defender]，然後選取 [環境設定]。

2. 選取相關的訂用帳戶。

3. 在適用於伺服器之 Defender 方案的 [監視涵蓋範圍] 資料行中，選取 [設定]。

   

4. 關閉您要停止自動布建的延伸模組。

   

5. 選取 [儲存]。

如果這些案例適用於您，您可能會想要退出退出自動布建：

• 適用於雲端的 Defender 自動安裝代理程式會套用至整個訂用帳戶。 您無法將自動安裝套用至 VM 的子集。 如果有無法與 Log Analytics 代理程式一起安裝的重要 VM，則您應該退出退出自動布建。

• 安裝 Log Analytics 代理程式擴充功能會更新代理程式的版本。 這適用於直接代理程式和 System Center Operations Manager 代理程式（在後者中，Operations Manager 和 Log Analytics 代理程式會共用一般運行時間連結庫，這會在程式中更新）。 如果已安裝的 Operations Manager 代理程式是 2012 版且已升級，當 Operations Manager 伺服器也是 2012 版時，管理能力功能可能會遺失。 如果已安裝的 Operations Manager 代理程式為 2012 版，請考慮退出自動布建。

• 如果您想要避免為每個訂用帳戶建立多個工作區，而且您在訂用帳戶內有自己的自定義工作區，則您有兩個選項：

  • 您可以選擇退出自動布建。 移轉之後，請設定預設工作區設定，如如何使用現有的Log Analytics工作區中所述 ？

  • 或者，您可以允許移轉完成、將 Log Analytics 代理程式安裝在 VM 上，以及連線到所建立工作區的 VM。 然後，藉由設定預設工作區設定，選擇重新設定已安裝的代理程式，以選取您自己的自定義工作區。 如需詳細資訊，請參閱 如何使用我現有的Log Analytics工作區？

移轉完成時，適用於雲端的 Defender 無法從 VM 收集安全性數據，而無法使用某些安全性建議和警示。 如果您退出宣告，請手動安裝Log Analytics代理程式。 退出宣告時，請參閱建議的步驟。

手動安裝 Log Analytics 代理程式擴充功能，讓 適用於雲端的 Defender 可以從您的 VM 收集安全性數據，並提供建議和警示。 如需安裝指引，請參閱 適用於 Windows VM 的代理程式安裝或 Linux VM 的代理程式安裝。

您可以將代理程式連線到任何現有的自定義工作區，或 適用於雲端的 Defender 建立的工作區。 如果自定義工作區未啟用「安全性」或「SecurityCenterFree」解決方案，您必須套用解決方案。 若要套用，請選取自定義工作區，並透過 [環境設定>Defender 方案] 頁面套用定價層。

適用於雲端的 Defender 會根據選取的選項，在工作區上啟用正確的解決方案。

您可以手動移除 Log Analytics 代理程式，但不建議這麼做。 拿掉 OMS 擴充功能會限制 適用於雲端的 Defender 的建議和警示。

若要手動移除代理程式：

1. 在入口網站中，開啟 Log Analytics。

2. 在 [Log Analytics] 頁面上，選取工作區：

3. 選取您不想監視的 VM，然後選取 [ 中斷連線]。

   

是。 適用於雲端的 Microsoft Defender 使用 Azure 監視器，使用 Log Analytics 代理程式從 Azure VM 和伺服器收集數據。 若要收集數據，每個 VM 和伺服器都必須使用 HTTPS 連線到因特網。 線上可以是直接連線、使用 Proxy 或透過 OMS 閘道。

代理程式會耗用名義上的系統資源，而且對效能幾乎沒有影響。 如需效能效果和代理程式和擴充功能的詳細資訊，請參閱 規劃和作業指南。

無代理程序掃描會收集類似代理程式所收集的數據，以執行相同的分析。 不會收集原始數據、PIIs 或機密商務數據，而且只會將元數據結果傳送至 適用於雲端的 Defender。

無代理程序掃描包含在 Defender 雲端安全性狀態管理 （CSPM） 和適用於伺服器的 Defender P2 方案中。 啟用時，適用於雲端的 Defender 不會產生任何其他成本。

磁碟快照集是使用 CreatedBy 標記索引鍵和標籤建立的 Microsoft Defender for Cloud 。 標記會 CreatedBy 追蹤建立資源的人員。

您必須 在計費和成本管理主控台中啟用標籤。 標記最多可能需要 24 小時才能啟動。

啟用標籤之後，AWS 會以逗號分隔值 （） 產生成本配置報告。CSV 檔案，您的使用量和成本會依使用中標籤分組。

每個工作區都有 500 MB 的免費數據擷取。 它會根據每個節點、每個回報的工作區、每天計算，並可供已安裝「安全性」或「反惡意代碼」解決方案的每個工作區使用。 您需支付擷取超過 500 MB 限制的任何數據的費用。

適用於雲端的 Defender 所建立的工作區，而針對每個節點計費的 Azure 監視器記錄設定時，不會產生 Azure 監視器記錄費用。 適用於雲端的 Defender 計費一律會根據您的 適用於雲端的 Defender 安全策略和工作區上安裝的解決方案而定：

• 增強安全性 - 適用於雲端的 Defender 在預設工作區上啟用 「SecurityCenterFree」 解決方案。 未啟用Defender方案時，不會收取任何費用。

• 啟用所有 適用於雲端的 Microsoft Defender 方案 – 適用於雲端的 Defender 會在預設工作區上啟用「安全性」解決方案。

如需當地貨幣或區域的定價詳細資料，請參閱 [定價頁面]。

預設工作區的位置取決於您的 Azure 區域：

• 對於 美國 和巴西的 VM，工作區位置是 美國
• 針對加拿大的 VM，工作區位置為加拿大
• 針對歐洲的 VM，工作區位置為歐洲
• 針對英國的 VM，工作區位置是英國
• 對於東亞和東南亞的 VM，工作區位置為亞洲
• 針對韓國的 VM，工作區位置為韓國
• 針對印度的 VM，工作區位置為印度
• 對於日本的 VM，工作區位置是日本
• 針對中國的 VM，工作區位置為中國
• 對於澳大利亞的 VM，工作區位置是澳大利亞

不建議刪除預設工作區。 適用於雲端的 Defender 會使用預設工作區來儲存 VM 的安全性數據。 如果您刪除工作區，適用於雲端的 Defender 無法收集此數據，而且無法使用某些安全性建議和警示。

若要復原，請移除連線至已刪除工作區之 VM 上的 Log Analytics 代理程式。 適用於雲端的 Defender 重新安裝代理程式並建立新的預設工作區。

您可以選取現有的 Log Analytics 工作區來儲存 適用於雲端的 Defender 收集的數據。 若要使用現有的Log Analytics工作區：

• 工作區必須與選取的 Azure 訂用帳戶相關聯。
• 您至少必須具有存取工作區的讀取許可權。

若要選取現有的Log Analytics工作區：

1. 從適用於雲端的 Defender 功能表中，開啟 [環境設定]。

2. 選取相關的訂用帳戶。

3. 在適用於伺服器之 Defender 方案的 [監視涵蓋範圍] 資料行中，選取 [設定]。

4. 針對 Log Analytics 代理程式，選取 [ 編輯組態]。

   

5. 選取 [自定義工作區 ]，然後選取現有的工作區。

   

   提示

   此清單只包含您有權存取的工作區，以及 Azure 訂用帳戶中的工作區。

6. 選取套用。

7. 選取繼續。

8. 選取 [ 儲存 ]，並確認您想要重新設定受監視的 VM。

   重要

   只有在您將組態從預設工作區變更為自定義工作區時，此選項才相關。 如果您要將設定從某個自定義工作區變更為另一個工作區，或從自定義工作區變更為預設工作區，則變更不會套用至現有的計算機。

   • 如果您希望新的工作區設定僅適用於新的 VM，請選取 [否]。 新的工作區設定僅適用於新的代理程序安裝;新探索到未安裝Log Analytics代理程式的VM。
   • 如果您想要在所有 VM 上套用新的工作區設定，請選取 [是]。 此外，連線到 適用於雲端的 Defender 建立工作區的每個 VM 都會重新連線到新的目標工作區。

   注意

   如果您選取 [是]，除非所有 VM 都重新連線到新的目標工作區，否則請勿刪除 適用於雲端的 Defender 所建立的任何工作區。 如果工作區太早刪除，此作業就會失敗。

如果 VM 已經將 Log Analytics 代理程式安裝為 Azure 擴充功能，適用於雲端的 Defender 不會覆寫現有的工作區連線。 相反地，適用於雲端的 Defender 會使用現有的工作區。 如果 「安全性」或「SecurityCenterFree」解決方案已安裝在報告所在的工作區上，VM 就會受到保護。

如果適用於雲端的 Defender 解決方案尚未安裝，則會安裝在「資料收集」畫面中所選取的工作區上，且解決方案只會套用到相關的。 當您新增解決方案時，依預設會該解決方案會自動部署到與您 Log Analytics 工作區連線的所有 Windows 與 Linux 代理程式。 解決方案目標設定讓您能將範圍套用至解決方案。

當適用於雲端的 Defender 發現已經有虛擬機器連線到您建立的工作區時，適用於雲端的 Defender 會根據您的定價層啟用此工作區上的解決方案。 這些解決方案會透過方案目標設定，只套用至相關的資源器，所以收費不會改變。

• 未啟用任何 Defender 方案 – 適用於雲端的 Defender 在工作區上安裝 “SecurityCenterFree” 解決方案，且您不需支付此方案的費用。

• 啟用所有 Microsoft Defender 方案 - 適用於雲端的 Defender 會在工作區上安裝「Security」解決方案。

  

如果虛擬機器已經以 Azure 延伸模組的形式安裝 Log Analytics 代理程式，適用於雲端的 Defender 會使用現有的已連線工作區。 適用於雲端的 Defender 解決方案若尚未安裝，此時會安裝至工作區，且透過解決方案目標設定，只將解決方案套用至相關的虛擬機器。

適用於雲端的 Defender 在虛擬機器上安裝 Log Analytics 代理程式時，如果未指向現有的工作區，則會使用適用於雲端的 Defender 所建立的預設工作區。

安全性與稽核解決方案可用來啟用 適用於伺服器的 Microsoft Defender。 如果已在工作區上安裝安全性與稽核解決方案，適用於雲端的 Defender 會使用現有的解決方案。 帳單沒有變更。

下一步

瞭解 適用於雲端的 Defender 如何收集數據