適用於雲端的 Microsoft Defender 疑難排解指南

  • 發行項

本指南專供 IT 專業人員、資訊安全性分析師和雲端系統管理員參考,其組織的適用於雲端的 Microsoft Defender 相關問題需要進行疑難排解。

提示

當您遇到問題或是需要支援小組的建議時,可以前往 Azure 入口網站的診斷並解決問題區段尋找解決方案。

Azure 入口網站 的螢幕快照,其中顯示用於診斷和解決 適用於雲端的 Defender 問題的頁面。

使用稽核記錄來調查問題

尋找疑難排解資訊的第一站是失敗元件的稽核記錄。 在稽核記錄中,您可以看到下列詳細資料:

  • 已執行的作業。
  • 起始作業的人員。
  • 發生作業的時間。
  • 作業的狀態。

稽核記錄包含在您的資源上執行的所有寫入作業 (PUTPOSTDELETE),但不包含讀取作業 (GET)。

針對連接器進行疑難排解

適用於雲端的 Defender 會使用連接器從 Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案收集監視資料。 如果您遇到連接器的問題,或您沒有看到 AWS 或 GCP 的資料,請檢閱以下疑難排解提示。

常見連接器問題的提示

  • 請確定訂用帳戶篩選中已選取與連接器相關聯的訂用帳戶,設定位於 Azure 入口網站的 [目錄 + 訂用帳戶] 區段中。
  • 安全性連接器上應指派標準。 若要檢查,請移至適用於雲端的 Defender 左側功能表中的 [環境設定],選取連接器,然後選取 [設定]。 如果未指派任何標準,請選取三個點來檢查自己是否具備指派標準的權限。
  • 連接器資源應該存在於 Azure Resource Graph 中。 使用下列 Resource Graph 查詢來檢查:resources | where ['type'] =~ "microsoft.security/securityconnectors"
  • 請確定 AWS 或 GCP 連接器上已啟用傳送 Kubernetes 稽核記錄,以便取得控制平面的威脅偵測警示
  • 請確定已啟用 Azure Arc 的 Kubernetes 擴充功能 Microsoft Defender 感測器和已啟用 Azure Arc 的 Kubernetes 擴充功能 Azure 原則 已成功安裝至您的 Amazon Elastic Kubernetes Service (EKS) 和 Google Kubernetes Engine (GKE) 叢集。 您可以使用下列適用於雲端的 Defender 建議來驗證並安裝代理程式:
    • EKS 叢集應安裝 Microsoft Defender 的 Azure Arc 延伸模組
    • GKE 叢集應安裝 Microsoft Defender 的 Azure Arc 延伸模組
    • 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組
    • GKE 叢集應該已安裝 Azure 原則延伸模組
  • 如果您在刪除 AWS 或 GCP 連接器時遇到問題,請檢查您是否有鎖定。 Azure 活動記錄中的錯誤可能會提示存在鎖定。
  • 檢查 AWS 帳戶或 GCP 專案中是否有工作負載。

AWS 連接器問題的提示

  • 請確認 CloudFormation 範本部署已順利完成。
  • 建立 AWS 根帳戶後至少等候 12 小時。
  • 請確定 EKS 叢集已成功連線到已啟用 Azure Arc 的 Kubernetes。
  • 如果您在適用於雲端的 Defender 中看不到 AWS 資料,請確定將資料傳送至適用於雲端的 Defender 所需的 AWS 資源存在於 AWS 帳戶中。

對 AWS 的 API 呼叫成本影響

當您將 AWS 單一或管理帳戶上線時,適用於雲端的 Defender 中的探索服務會立即開始掃描您的環境。 探索服務會執行對各種服務端點的 API 呼叫,以擷取 Azure 協助保護的所有資源。

此初始掃描之後,服務會依您在上線期間設定的間隔,定期掃描您的環境。 在 AWS 中,對帳戶的每個 API 呼叫都會產生在 CloudTrail 資源中記錄的查閱事件。 CloudTrail 資源會產生成本。 如需定價詳細資料,請參閱 Amazon AWS 網站上的 AWS CloudTrail 定價頁面。

如果您將 CloudTrail 連線到 GuardDuty,您也要負責相關聯的成本。 您可以在 Amazon AWS 網站上的 GuardDuty 文件中找到這些成本。

取得原生 API 呼叫的數目

有兩種方式可以取得適用於雲端的 Defender 進行的呼叫數目:

  • 使用現有的 Athena 資料表或建立新資料表。 如需詳細資訊,請參閱 Amazon AWS 網站上的查詢 AWS CloudTrail 記錄
  • 使用現有的事件資料存放區,或建立新的事件資料存放區。 如需詳細資訊,請參閱 Amazon AWS 網站上的使用 AWS CloudTrail Lake

這兩種方法都依賴查詢 AWS CloudTrail 記錄。

若要取得呼叫數目,請移至 Athena 資料表或事件資料存放區,並根據您的需求使用下列其中一個預先定義的查詢。 將 <TABLE-NAME> 取代為 Athena 資料表或事件資料存放區的識別碼。

  • 列出適用於雲端的 Defender 的整體 API 呼叫數目:

    SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>'

  • 列出適用於雲端的 Defender 的整體 API 呼叫數目,依日期彙總:

    SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)

  • 列出適用於雲端的 Defender 的整體 API 呼叫數目,依事件名稱彙總:

    SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName

  • 列出適用於雲端的 Defender 的整體 API 呼叫數目,依區域彙總:

    SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> 
WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' 
AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion

GCP 連接器問題的提示

  • 請確定 GCP Cloud Shell 指令碼順利完成。
  • 請確定 GKE 叢集已成功連線到已啟用 Azure Arc 的 Kubernetes。
  • 請確定 Azure Arc 端點包含在防火牆允許清單中。 GCP 連接器會對這些端點進行 API 呼叫,以擷取必要的上線檔案。
  • 如果 GCP 專案的上線失敗,請確定您擁有 compute.regions.list 權限和 Microsoft Entra 權限,可針對上線程序建立服務主體。 請確定已在 GCP 專案中建立 GCP 資源 WorkloadIdentityPoolIdWorkloadIdentityProviderIdServiceAccountEmail

對 GCP 的 Defender API 呼叫

當您將 GCP 單一專案或組織上線時,適用於雲端的 Defender 中的探索服務會立即開始掃描您的環境。 探索服務會執行對各種服務端點的 API 呼叫,以擷取 Azure 協助保護的所有資源。

此初始掃描之後,服務會依您在上線期間設定的間隔,定期掃描您的環境。

若要取得適用於雲端的 Defender 執行的原生 API 呼叫數目:

  1. 移至 [記錄]> [記錄總管]

  2. 視需要篩選日期 (例如,1d)。

  3. 若要顯示適用於雲端的 Defender 執行的 API 呼叫,請執行此查詢:

    protoPayload.authenticationInfo.principalEmail : "microsoft-defender"

請參閱長條圖,以查看一段時間的呼叫數目。

針對 Log Analytics 代理程式進行疑難排解

適用於雲端的 Defender 使用 Log Analytics 代理程式來收集和儲存資料。 本文提供的資訊用於介紹轉換至 Log Analytics 代理程式後的適用於雲端的 Defender 功能。

警示類型為:

  • 虛擬機器行為分析 (VMBA)
  • 網路分析
  • Azure SQL Database 與 Azure Synapse Analytics 分析
  • 內容相關的資訊

根據警示類型,您可使用下列資源收集必要的資訊來調查警示:

  • Windows 中的虛擬機器 (VM) 事件檢視器內的安全性記錄
  • Linux 中的稽核精靈 (auditd)
  • Azure 活動記錄以及有關攻擊資源的啟用診斷記錄

您可以針對警示描述和相關資訊分享意見反應。 移至警示,選取 [這有幫助嗎] 按鈕並選取原因,然後輸入註解來說明意見反應。 我們會持續監視此意見反應通道,以改善我們的警示功能。

檢查 Log Analytics 代理程式處理序和版本

如同 Azure 監視器,適用於雲端的 Defender 會使用 Log Analytics 代理程式從 Azure 虛擬機器收集安全性資料。 啟用資料收集且代理程式已正確安裝在目標電腦之後,HealthService.exe 處理序應在執行中。

開啟服務管理主控台 (services.msc),確保 Log Analytics 代理程式服務正在執行中。

Task Manager 中 Log Analytics 代理程式服務的螢幕快照。

若要查看您擁有的代理程式版本,請開啟 [工作管理員]。 在 [程序] 索引標籤上,找出 Log Analytics 代理程式服務,以滑鼠右鍵按一下,然後選取 [屬性]。 在 [詳細資料] 索引標籤上,尋找檔案版本。

Log Analytics 代理程式服務詳細數據的螢幕快照。

檢查 Log Analytics 代理程式的安裝案例

在電腦上安裝 Log Analytics 代理程式時,有兩個可產生不同結果的安裝案例。 支援的案例如下:

  • 適用於雲端的 Defender 自動安裝的代理程式:您可以在適用於雲端的 Defender 與記錄搜尋中檢視警示。 您會收到電子郵件通知,這些通知會寄送至您在資源所屬訂用帳戶的安全性原則中設定的電子郵件地址。

  • 手動於 Azure 中的 VM 安裝的代理程式:在此案例中,如果您使用在 2017 年 2 月之前下載並手動安裝的代理程式,就必須在工作區所屬的訂閱帳戶中進行篩選,才能在適用於雲端的 Defender 入口網站中檢視警示。 如果您依據資源所屬的訂用帳戶篩選,將看不到任何警示。 您會收到電子郵件通知,這些通知會寄送至您在安全性原則中針對工作區所屬訂用帳戶設定的電子郵件地址。

    若要避免篩選問題,請務必下載最新版本的代理程式。

監視代理程式的網路連線問題

若要讓代理程式連線到適用於雲端的 Defender 並向其註冊,則代理程式必須能夠存取 Azure 網路資源的 DNS 位址和網路連接埠。 若要啟用此存取,請採取下列動作:

  • 當您使用 Proxy 伺服器時,請確定代理程式設定中已正確設定適當的 Proxy 伺服器資源。
  • 設定網路防火牆以允許存取 Log Analytics。

Azure 網路資源包括:

代理程式資源 連接埠 略過 HTTPS 檢查
*.ods.opinsights.azure.com 443 Yes
*.oms.opinsights.azure.com 443 Yes
*.blob.core.windows.net 443 Yes
*.azure-automation.net 443 Yes

如果您在上線 Log Analytics 代理程式時遇到問題,請閱讀如何針對 Operations Management Suite 上架問題進行疑難排解

針對不當運作的反惡意程式碼軟體保護進行疑難排解

客體代理程式是 Microsoft Antimalware 延伸模組所做一切的父處理序。 當客體代理程式處理序失敗時,作為客體代理程式子處理序執行的 Microsoft Antimalware 保護可能也會失敗。

以下是一些疑難排解提示:

  • 如果目標 VM 是以自訂映像所建立,請確保 VM 的建立者已安裝客體代理程式。
  • 如果目標是 Linux VM,則安裝 Windows 版的反惡意程式碼軟體延伸模組將會失敗。 Linux 客體代理程式具有特定的 OS 和封裝需求。
  • 如果 VM 是以舊版客體代理程式所建立,舊版代理程式可能無法自動更新為較新版本。 當您在建立自己的映像時,請一律使用最新版的客體代理程式。
  • 某些第三方系統管理軟體可能會停用客體代理程式,或封鎖特定檔案位置的存取。 如果您的 VM 上有安裝第三方管理軟體,請確定反惡意程式碼軟體代理程式位於排除清單上。
  • 請確定防火牆設定和網路安全性群組沒有封鎖客體代理程式輸入與輸出的網路流量。
  • 請確定沒有存取控制清單會防止磁碟存取。
  • 客體代理程式需要有足夠的磁碟空間才能正常運作。

根據預設,Microsoft Antimalware 使用者介面已停用。 但是您可以在 Azure Resource Manager VM 上啟用 Microsoft Antimalware 使用者介面

針對載入儀表板的問題進行疑難排解

如果您在載入工作負載保護儀表板時遇到問題,請確定使用者先在訂用帳戶上啟用適用於雲端的 Defender,而且想要開啟資料收集的使用者在訂用帳戶上具有「擁有者」或「參與者」角色。 如果是這種情況,則訂用帳戶上具有「讀取者」角色的使用者可以看到儀表板、警示、建議和原則。

針對 Azure DevOps 組織的連接器問題進行疑難排解

如果您無法將 Azure DevOps 組織上線,請嘗試下列疑難排解提示:

  • 請確定您使用 Azure 入口網站的非預覽版本;授權步驟無法在 Azure 預覽入口網站中運作。

  • 請務必知道您在授權存取時登入的帳戶,因為這將會是系統用於上線的帳戶。 您的帳戶不僅可能與相同的電子郵件地址建立關聯,也可能與不同的租用戶建立關聯。 請確定您選取正確的帳戶/租用戶組合。 如果您需要變更組合:

    1. Azure DevOps 設定檔頁面上,使用下拉式功能表以選取另一個帳戶。

      用來選取帳戶的 Azure DevOps 設定檔頁面螢幕快照。

    2. 選取正確的帳戶/租用戶組合之後,請移至適用於雲端的 Defender 中的 [環境設定],然後編輯您的 Azure DevOps 連接器。 重新授權連接器,以正確的帳戶/租用戶組合加以更新。 然後,您應該會在下拉式功能表中看到正確的組織清單。

  • 請確定您在想要上線的 Azure DevOps 組織中具有「專案集合管理員」角色。

  • 請確定 Azure DevOps 組織的 [透過 OAuth 進行第三方應用程式存取] 切換為 [開啟]深入了解如何啟用 OAuth 存取

連絡 Microsoft 支援服務

您也可以在適用於雲端的 Defender Q&A 頁面找到適用於雲端的 Defender 疑難排解資訊。

如果您需要更多協助,您可以在 Azure 入口網站上開啟新的支援要求。 在 [說明 + 支援] 頁面上,選取 [建立支援要求]

在 Azure 入口網站 中建立支援要求的選取項目螢幕快照。

另請參閱