Share via


適用於雲端的 Defender 如何收集數據?

適用於雲端的 Defender 會從您的 Azure 虛擬機器 (VM)、虛擬機器擴展集、IaaS 容器和非 Azure (包括內部部署機器) 機器收集資料,以監視是否有安全性弱點和威脅。 某些 Defender 方案需要監視元件,才能從您的工作負載收集資料。

為提供遺漏更新、設定錯誤的 OS 安全性設定、端點保護狀態以及健康情況與威脅防護的可見度,需要資料收集。 只有計算資源 (例如 VM、虛擬機器擴展集、IaaS 容器和非 Azure 電腦) 才需要資料收集。

即使您未佈建代理程式,仍可獲益於適用於雲端的 Microsoft Defender。 不過,您將會有有限的安全性,且不支援列出的功能。

會使用下列方式收集資料:

為何使用適用於雲端的 Defender 來部署監視元件?

工作負載安全性的可見度取決於監視元件收集的資料。 元件可確保所有支援資源的安全性涵蓋範圍。

為了節省手動安裝延伸模組的程序,適用於雲端的 Defender 透過在現有和新的電腦上安裝所有必要的延伸模組,以減少管理額外負荷。 適用於雲端的 Defender 指派適當的如果不存在原則,請部署至訂用帳戶中的工作負載。 此原則類型可確保會在該類型的所有現有和未來資源上佈建延伸模組。

哪些計劃會使用監視元件?

這些計劃會使用監視元件來收集資料:

延伸模組的可用性

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

Azure 監視器代理程式 (AMA)

層面 詳細資料
版本狀態: 正式推出 (GA)
相關 Defender 方案: 機器上的適用於 SQL Server 的 Defender
必要角色和許可權(訂用帳戶層級): 負責人
支援的目的地: Azure 虛擬機
已啟用 Azure Arc 的電腦
原則型: 是的
雲端: 商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

深入瞭解如何搭配 適用於雲端的 Defender 使用 Azure 監視器代理程式。

Log Analytics 代理程式

層面 Azure 虛擬機器 已啟用 Azure Arc 的電腦
版本狀態: 正式推出 (GA) 正式推出 (GA)
相關 Defender 方案: 代理程式安全性建議的基礎雲端安全性狀態管理 (CSPM)
適用於伺服器的 Microsoft Defender
適用於 SQL 的 Microsoft Defender
代理程式安全性建議的基礎雲端安全性狀態管理 (CSPM)
適用於伺服器的 Microsoft Defender
適用於 SQL 的 Microsoft Defender
必要角色和許可權(訂用帳戶層級): 負責人 負責人
支援的目的地: Azure 虛擬機 已啟用 Azure Arc 的電腦
原則型: 是的
雲端: 商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

Log Analytics 代理程式支援的作業系統

適用於雲端的 Defender 取決於Log Analytics 代理程式。 確保您的電腦正在執行此代理程式的其中一個支援作業系統,如下列頁面所述:

也請確定Log Analytics代理程式已正確設定為將數據傳送至 適用於雲端的 Defender

在有現有的代理程式安裝的情況下部署 Log Analytics 代理程式

下列使用案例說明當有已安裝的代理程式或延伸模組時,Log Analytics 代理程式的部署如何運作。

  • Log Analytics 代理程式已安裝在電腦上,但不是做為延伸模組 (直接代理程式) - 如果 Log Analytics 代理程式直接安裝在 VM 上 (不是做為 Azure 延伸模組),適用於雲端的 Defender 會安裝 Log Analytics 代理程式延伸模組,而且可能會將 Log Analytics 代理程式升級至最新版本。 已安裝的代理程式會繼續向其已設定的工作區報告,並向在適用於雲端的 Defender 中設定的工作區報告。 (Windows 電腦上支援多路連接。)

    如果 Log Analytics 已設定使用者工作區,而不是適用於雲端的 Defender 預設工作區,您必須在其上安裝 "Security" 或 "SecurityCenterFree" 解決方案,適用於雲端的 Defender 才能開始處理來自向該工作區回報的 VM 和電腦的事件。

    針對 Linux 電腦,尚不支援代理程式多路連接。 如果偵測到現有的代理程式安裝,將不會部署 Log Analytics 代理程式。

    針對在 2019 年 3 月 17 日之前上線至適用於雲端的 Defender 的現有電腦,偵測到現有的代理程式時,將不會安裝 Log Analytics 代理程式延伸模組,且電腦不會受到影響。 針對這些電腦,請參閱「解決電腦上的監視代理程式健全狀況問題」建議,以解決這些電腦上的代理程式安裝問題。

  • System Center Operations Manager 代理程式已安裝在電腦上 - 適用於雲端的 Defender 會將 Log Analytics 代理程式延伸模組並存安裝到現有的 Operations Manager。 現有的 Operations Manager 代理程式會繼續正常向 Operations Manager 伺服器報告。 Operations Manager 代理程式和 Log Analytics 代理程式會共用通用的執行階段程式庫,其會在此程序期間更新為最新版本。

  • 預先存在的 VM 延伸模組已存在

    • 將監視代理程式安裝為延伸模組時,延伸模組設定只會允許向單一工作區報告。 適用於雲端的 Defender 不會覆寫現有的連線至使用者工作區。 如果已安裝「安全性」或「SecurityCenterFree」解決方案,則 適用於雲端的 Defender 會將 VM 的安全性資料儲存在已連線的工作區中。 適用於雲端的 Defender 可能會在此程式中將擴充功能版本升級至最新版本。
    • 若要查看現有延伸模塊傳送數據至哪個工作區,請執行TestCloud 連線 ion.exe工具來驗證與 適用於雲端的 Microsoft Defender的連線,如驗證Log Analytics代理程式連線中所述。 或者,您可以開啟 Log Analytics 工作區,選取工作區,選取 VM,然後查看 Log Analytics 代理程式連線。
    • 如果您有將Log Analytics代理程式安裝在用戶端工作站並回報給現有Log Analytics工作區的環境,請檢閱 適用於雲端的 Microsoft Defender支援的作業系統清單,以確定您的操作系統受到支援。

深入瞭解 如何使用Log Analytics代理程式

適用於端點的 Microsoft Defender

層面 Linux Windows
版本狀態: 正式推出 (GA) 正式推出 (GA)
相關 Defender 方案: 適用於伺服器的 Microsoft Defender 適用於伺服器的 Microsoft Defender
必要角色和許可權(訂用帳戶層級): - 若要啟用/停用整合:安全性 管理員擁有者
- 若要在 適用於雲端的 Defender 中檢視適用於端點的 Defender 警示:安全性讀取者、讀取者資源群組參與者資源群組擁有者安全性 管理員訂用帳戶擁有者或訂用帳戶參與者
- 若要啟用/停用整合:安全性 管理員擁有者
- 若要在 適用於雲端的 Defender 中檢視適用於端點的Defender警示:安全性讀取者、讀取者、資源群組參與者資源群組擁有者、資源群組擁有者安全性 管理員訂用帳戶擁有者訂用帳戶參與者
支援的目的地: 已啟用 Azure Arc 的電腦
Azure 虛擬機
已啟用 Azure Arc 的電腦
執行 Windows Server 2022、2019、2016、2012 R2、2008 R2 SP1、Azure 虛擬桌面Windows 10 企業版 多會話的 Azure VM
執行 Windows 10 的 Azure VM
原則型:
雲端: 商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

深入瞭解 適用於端點的 Microsoft Defender

弱點評估

層面 詳細資料
版本狀態: 正式推出 (GA)
相關 Defender 方案: 適用於伺服器的 Microsoft Defender
必要角色和許可權(訂用帳戶層級): 負責人
支援的目的地: Azure 虛擬機
已啟用 Azure Arc 的電腦
原則型: 是的
雲端: 商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

來賓設定

層面 詳細資料
版本狀態: 預覽​​
相關 Defender 方案: 不需要任何計劃
必要角色和許可權(訂用帳戶層級): 負責人
支援的目的地: Azure 虛擬機
雲端: 商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

深入瞭解 Azure 的 客體設定擴充功能

適用於容器的Defender擴充功能

下表顯示適用於容器的 Microsoft Defender 所提供的保護所需的元件可用性詳細數據。

根據預設,當您從 Azure 入口網站 啟用適用於容器的Defender時,會啟用必要的擴充功能。

層面 Azure Kubernetes Service 叢集 已啟用 Azure Arc 的 Kubernetes 叢集
版本狀態: • Defender 感測器:GA
• 適用於 Kubernetes 的 Azure 原則:正式推出 (GA)
• Defender 感測器:預覽
• 適用於 Kubernetes 的 Azure 原則:預覽
相關 Defender 方案: 適用於容器的 Microsoft Defender 適用於容器的 Microsoft Defender
必要角色和許可權(訂用帳戶層級): 擁有者使用者存取 管理員 istrator 擁有者使用者存取 管理員 istrator
支援的目的地: AKS Defender 感測器僅支援 已啟用 RBAC 的 AKS 叢集。 請參閱已啟用Arc的 Kubernetes 支援的 Kubernetes 散發套件
原則型: 是的 是的
雲端: Defender 感測器
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure
適用於 Kubernetes 的 Azure 原則:
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure
Defender 感測器
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure
適用於 Kubernetes 的 Azure 原則:
商業雲端
Azure Government,由 21Vianet 營運的 Microsoft Azure

深入了解 用來布建適用於容器的Defender擴充功能的角色。

疑難排解

下一步

此頁面說明監視元件是什麼,以及如何加以啟用。

深入了解: