使用 Log Analytics 代理程式從工作負載收集資料

設定 Log Analytics 代理程式和工作區

當 Log Analytics 代理程式開啟時,適用於雲端的 Defender 在所有支援的 Azure VM 和任何新 VM 上部署代理程式。 如需支援的平臺清單,請參閱 適用於雲端的 Microsoft Defender 中支援的平臺。

若要設定與 Log Analytics 代理程式的整合:

  1. 從 適用於雲端的 Defender 的功能表中,開啟 [環境設定]。

  2. 選取相關的訂用帳戶。

  3. 在 Defender 方案的 [監視涵蓋範圍] 欄中,選取 [設定]。

  4. 從設定選項窗格定義要使用的工作區。

    Screenshot of configuration options for Log Analytics agents for VMs.

    • 連線 Azure VM 到 適用於雲端的 Defender 所建立的預設工作區 - 適用於雲端的 Defender 會在相同的地理位置中建立新的資源群組和預設工作區,並將代理程式連線至該工作區。 如果訂用帳戶包含來自多個地理位置的 VM,則適用於雲端的 Microsoft Defender 會建立多個工作區,以確保符合資料隱私權需求。

      工作區和資源群組的命名慣例為:

      • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
      • 資源群組:DefaultResourceGroup-[geo]

      訂用帳戶所設定的定價層會自動在工作區上啟用 適用於雲端的 Defender 解決方案。

    • 連線 Azure VM 到不同的工作區 - 從下拉式清單中,選取要儲存所收集數據的工作區。 下拉式清單包含您整個訂用帳戶中的所有工作區。 您可以使用此選項從不同訂用帳戶中執行的虛擬機器收集資料,並將資料全都儲存在您選取的工作區中。

      如果您已經有現有的 Log Analytics 工作區,則可能需要使用相同的工作區 (需要工作區上的讀取和寫入權限)。 若您在貴組織中使用集中式工作區,並且需要將其用於安全性資料收集,則此選項很有用。 若要深入瞭解,請參閱 管理 Azure 監視器中記錄數據和工作區的存取權。

      如果您選取的工作區已啟用「安全性」或「SecurityCenterFree」解決方案,則會自動設定定價。 如果沒有,請在工作區上安裝 適用於雲端的 Defender 解決方案:

      1. 從 適用於雲端的 Defender 的功能表中,開啟 [環境設定]。
      2. 選取您要連接代理程式的工作區。
      3. 將 [安全性狀態管理] 設定為 開啟 ,或選取 [ 全部啟用 ] 以開啟所有 Microsoft Defender 方案。
  5. 從 Windows 安全性事件組態中,選取要儲存的原始事件資料量:

    • – 停用安全性事件記憶體。 (預設值)
    • 最小 – 當您想要將事件量最小化時,針對 的一小組事件。
    • 一般 – 一組符合大部分客戶的事件,並提供完整的稽核線索。
    • 所有事件 – 對於想要確定所有事件儲存的客戶。

    提示

    若要在工作區層級設定這些選項,請參閱 在工作區層級設定安全性事件選項。

    如需這些選項的詳細資訊,請參閱 Log Analytics代理程式的 Windows 安全性事件選項。

  6. 在組態窗格中選取 [ 套用 ]。

Log Analytics 代理程式的 Windows 安全性事件選項

當您在適用於雲端的 Microsoft Defender 中選取資料收集階層時,所選階層的安全性事件會儲存在 Log Analytics 工作區中,以便您調查、搜尋和稽核工作區中的事件。 Log Analytics 代理程式也會收集和分析適用於雲端的 Defender 威脅防護所需的安全性事件。

需求

儲存 Windows 安全性事件資料需要適用於雲端的 Defender 中增強的安全性保護。 深入了解 增強型保護計劃

您可能需支付將數據儲存在 Log Analytics 的費用。 如需詳細資訊,請參閱價格網頁

Microsoft Sentinel 使用者的資訊

您可以從 適用於雲端的 Microsoft Defender 或 Microsoft Sentinel 設定單一工作區內容內的安全性事件集合,但不能同時設定這兩者。 如果您想要將 Microsoft Sentinel 新增至已從 適用於雲端的 Microsoft Defender 取得警示並收集安全性事件的工作區,您可以:

  • 將 [安全性事件] 集合保留為 適用於雲端的 Microsoft Defender。 您可以在 Microsoft Sentinel 和 適用於雲端的 Defender 中查詢和分析這些事件。 如果您想要監視連接器的連線狀態,或在 Microsoft Sentinel 中變更其設定,請考慮第二個選項。
  • 在 適用於雲端的 Microsoft Defender 中停用安全性事件集合,然後在 Microsoft Sentinel 中新增安全性事件連接器。 您將能夠在 Microsoft Sentinel 和 適用於雲端的 Defender 中查詢及分析事件,但您也可以監視連接器的連線狀態,或變更其設定,以及只在 Microsoft Sentinel 中變更其設定。 若要在 適用於雲端的 Defender 中停用安全性事件集合,請在 Log Analytics 代理程式的設定中,將 Windows 安全性事件設定[無]。

針對「一般」和「最小」會儲存哪些事件類型?

CommonMinimal 事件集是設計來根據每個事件及其使用方式未篩選頻率的客戶和業界標準來解決一般案例。

  • 最小 - 此集合旨在僅涵蓋可能指示成功入侵的事件,以及數量偏少的重要事件。 此集合的大部分資料量都是成功的使用者登入 (事件識別碼 4624)、失敗的使用者登入事件 (事件識別碼 4625),以及流程建立事件 (事件識別碼 4688)。 登出事件只對稽核重要,而且數量相對較多,因此不會包含在此事件集中。
  • 一般 - 此集合旨在提供完整的使用者稽核線索,包括數量偏少的事件。 例如,此集合包含使用者登入事件(事件標識碼 4624)和用戶註銷事件(事件標識碼 4634)。 我們包含稽核動作 (如安全性群組變更、索引鍵網域控制站 Kerberos 作業,以及產業組織所建議的其他事件)。

以下是每個集合的安全性和應用程式保險箱事件識別碼的完整明細:

資料層 收集的事件指標
最小 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
常見 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

注意

  • 如果您使用組策略物件 (GPO),建議您啟用稽核原則進程建立事件 4688 和 事件 4688 內的 CommandLine 字段。 如需進程建立事件 4688 的詳細資訊,請參閱 適用於雲端的 Defender 常見問題。 如需這些審核策略的詳細資訊,請參閱審核策略 建議
  • 若要啟用自適性應用程控數據收集,適用於雲端的 Defender 在稽核模式中設定本機 AppLocker 原則以允許所有應用程式。 這會導致 AppLocker 產生事件,然後由 適用於雲端的 Defender 收集並加以利用。 請務必注意,此原則不會在已設定AppLocker原則的任何電腦上設定。
  • 若要收集 Windows 篩選平臺事件標識符 5156,您必須啟用稽核篩選平臺 連線 ion (Auditpol /set /subcategory:“篩選平臺 連線 ion” /Success:Enable)

在工作區層級設定安全性事件選項

您可以定義要儲存在工作區層級的安全性事件數據層級。

  1. 從 Azure 入口網站 的 適用於雲端的 Defender 功能表中,選取 [環境設定]。

  2. 選取相關的工作區。 工作區的唯一數據收集事件是此頁面所述的 Windows 安全性事件。

    Screenshot of setting the security event data to store in a workspace.

  3. 選取要儲存的原始事件數據量,然後選取 [ 儲存]。

手動代理程式布建

若要手動安裝 Log Analytics 代理程式:

  1. 在 Azure 入口網站 中,流覽至 適用於雲端的 Defender的環境 設定 頁面。

  2. 選取相關的訂用帳戶,然後選取 [設定 和監視]。

  3. 關閉 Log Analytics 代理程式/Azure 監視器代理程式

    Screenshot of turning off the Log Analytics setting.

  4. 選擇性地建立工作區。

  5. 在您要安裝 Log Analytics 代理程式的工作區上啟用適用於雲端的 Microsoft Defender:

    1. 從 適用於雲端的 Defender 的功能表中,開啟 [環境設定]。

    2. 設定您要安裝代理程式的工作區。 請確定工作區位於您在 適用於雲端的 Defender 中使用的相同訂用帳戶中,而且您擁有工作區的讀取/寫入許可權。

    3. 選取一或兩個「伺服器」或「機器上的 SQL 伺服器」(基礎 CSPM 是免費預設值),然後選取 [ 儲存]。

      Screenshot that shows where to set the workspace on which you're installing the agent.

      注意

      如果工作區已啟用 安全性SecurityCenterFree 解決方案,則會自動設定定價。

  6. 若要使用 Resource Manager 範本在新的 VM 上部署代理程式,請安裝 Log Analytics 代理程式:

  7. 若要在現有的 VM 上部署代理程式,請遵循收集 Azure 虛擬機器 相關數據的指示(收集事件和效能數據一節是選擇性的)。

  8. 若要使用 PowerShell 來部署代理程式,請使用虛擬機檔中的指示:

提示

如需上架的詳細資訊,請參閱使用PowerShell自動上線 適用於雲端的 Microsoft Defender。

若要關閉監視元件:

  • 移至 Defender 方案,並關閉使用擴充功能的方案,然後選取 [ 儲存]。
  • 針對具有監視設定的 Defender 方案,移至 Defender 方案的設定、關閉擴充功能,然後選取 [ 儲存]。

注意

  • 停用擴充功能並不會從受影響的工作負載中移除擴充功能。
  • 如需移除 OMS 擴充功能的詳細資訊,請參閱 如何? 移除 適用於雲端的 Defender 所安裝的 OMS 擴充功能。