使用 PowerShell 將適用於雲端的 Microsoft Defender 自動上線

  • 發行項

您可以使用適用於雲端的 Microsoft Defender PowerShell 模組,以程式設計的方式保護 Azure 工作負載。 使用 PowerShell 可讓您將工作自動化,並避免手動工作中固有的人為錯誤。 這特別適用於數十個具有成千上萬資源之訂用帳戶的大規模部署,而這些全部都必須從一開始就保護。

使用 PowerShell 上架適用於雲端的 Microsoft Defender,可讓您以程式設計的方式自動化上架與管理您的 Azure 資源,並新增必要的安全性控制項。

本文提供範例 PowerShell 指令碼,可以在您的環境中對其進行修改並使用,以在您的訂用帳戶之間推出適用於雲端的 Defender。

在此範例中,我們將在識別碼為 d07c0080-170c-4c24-861d-9c817742786c 的訂用帳戶上啟用適用於雲端的 Defender,並啟用可提供進階威脅防護和偵測功能的適用於雲端的 Microsoft Defender,來套用可提供高階保護的建議設定:

  1. 啟用適用於雲端的 Microsoft Defender 中的增強式安全性

  2. 設定 Log Analytics 工作區,以將 Log Analytics 代理程式在訂用帳戶相關聯 VM 上收集的資料傳送到其中 – 在此範例中,是現有的使用者定義工作區 (myWorkspace)。

  3. 啟用適用於雲端的 Defender 的自動代理程式佈建,這會部署 Log Analytics 代理程式

  4. 將組織的 CISO 設定為適用於雲端的 Defender 警示與重大事件的安全性連絡人

  5. 指派適用於雲端的 Defender 的預設安全性原則

必要條件

應該先執行這些步驟,再執行適用於雲端的 Defender Cmdlet:

  1. 以系統管理員身分執行 PowerShell。

  2. 在 PowerShell 中執行下列命令:

    Set-ExecutionPolicy -ExecutionPolicy AllSigned

    Install-Module -Name Az.Security -Force

使用 PowerShell 將適用於雲端的 Defender 上線

  1. 向適用於雲端的 Defender 資源提供者註冊您的訂用帳戶:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'

  2. 選用:設定訂用帳戶的涵蓋範圍層級 (適用於雲端的 Microsoft Defender 的增強式安全性功能開啟/關閉)。 如果未定義,則會關閉這些功能:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"

  3. 設定代理程式將向其回報的 Log Analytics 工作區。 您必須擁有已建立的 Log Analytics 工作區,訂用帳戶的 VM 將向其回報。 您可以定義多個訂用帳戶,向相同的工作區回報。 如果未定義,就會使用預設工作區。

    Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"

  4. 在您的 Azure VM 上自動佈建 Log Analytics 代理程式的安裝:

    Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"

    Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision

    注意

    建議您啟用自動佈建,以確定適用於雲端的 Microsoft Defender 會自動保護您的 Azure 虛擬機器。
    作為適用於雲端的 Defender 更新策略的一部分,適用於伺服器的 Defender 供應項目不再需要 Azure 監視器代理程式 (AMA)。 不過,電腦上適用於 SQL Server的 Defender 仍然需要它。 因此,使用適用於雲端的 Defender 入口網站部署 Azure 監視器代理程式 (AMA) 可用於電腦上的 SQL Server,並採用新的部署原則。 深入了解如何移轉至 SQL Server 目標 Azure 監視器代理程式 (AMA) 的自動佈建程序

  5. 選用:強烈建議您針對所上線的訂用帳戶定義安全性連絡人詳細資料,這些訂用帳戶將用作適用於雲端的 Defender 所產生警示和通知的收件者:

    Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert

  6. 指派預設適用於雲端的 Defender 原則方案:

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

    $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 

New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'

您已使用 PowerShell 將適用於雲端的 Microsoft Defender 成功上線。

您現在可以將這些 PowerShell Cmdlet 與自動化指令碼一起使用,以程式設計方式逐一查看跨訂用帳戶和資源。 這可以節省時間,並減少人為錯誤的可能性。 您可以使用此範例指令碼作為參考。

另請參閱

若要深入了解如何使用 PowerShell 來自動化上線至適用於雲端的 Defender,請參閱下列文章:

若要深入了解適用於雲端的 Defender,請參閱下列文章: