Использование преимущества приема данных

При включении Defender для серверов плана 2 в Microsoft Defender для облака вы используете 500 МБ бесплатного приема данных ежедневно. Вот как это работает.

• Defender для Серверов План 2 предоставляет лимит в 500 МБ на узел ежедневно для определённых типов данных по безопасности, которые непосредственно собираются Defender для Облака.
• Расчет приема данных производится по каждому компьютеру, по каждому сообщаемому рабочему пространству и ежедневно.
• Общее ежедневное свободное ограничение равно [количеству компьютеров] x 500 МБ.
• Надбавка представляет собой ежедневную назначенную ставку, усредненную по всем машинам.
• Плата не взимается, если общий объем не превышает ежедневный бесплатный лимит, даже если некоторые компьютеры отправляют 100 МБ и другие отправляют 800 МБ.
• Преимущество предоставляется рабочей области Log Analytics, в которой производится отчётность машины.
• Преимущество может не отображаться в счете, так как оно не имеет нулевой стоимости. Преимущество отображается в продукте и экспорте из Microsoft Cost Management. Узнайте, как просмотреть преимущества распределения данных.

Требования

• Каждый компьютер под управлением агента Azure Monitor (AMA) в подписке с включенным планом 2 Defender для серверов получает преимущество.
• Все рабочие области, в которых машины должны сообщать, должны иметь включённый Defender для серверов План 2.
• Каждая машина, которая отправляет отчёты в несколько рабочих пространств, получает преимущество, предоставляемое только одному из них.

Для преимущества поддерживаются следующие подмножества типов данных безопасности:

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• ProtectionStatus
• Update и UpdateSummary, если решение "Управление обновлениями" не работает в рабочей области или включено нацеливание решения.
• События мониторинга целостности файла MDC
• WindowsEvent
• LinuxAuditLog

Создание настраиваемого правила сбора данных (DCR) для событий безопасности (преимущество в 500 МБ/день)

События безопасности бесплатны, до 500 МБ на сервер в день, но только при достижении таблицы SecurityEvent . Поэтому DCR должен использовать поток Microsoft-SecurityEvent , чтобы обеспечить соответствие преимущества приема данных.

Быстрые шаги по созданию DCR

1. Перейдите на портал Azure " Monitor " " Правила сбора данных " + Создание".

2. Добавление источника данных

   • Тип: журналы событий Windows

   • Имя журнала: Security

   • Поток: Microsoft-SecurityEvent

   • (Необязательно) фильтр с помощью XPath, например:

     *[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
     

3. Назначение — выберите рабочую область Log Analytics с включенным Defender для серверов, план 2.

4. Обзор и создание — назначьте правило для компьютеров Windows с установленным агентом Azure Monitor (AMA).

Пример фрагмента JSON

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

Контрольный список соответствия требованиям

Развертывание в масштабе

Автоматизируйте процесс создания и назначения соответствующего DCR в подписках с помощью инициативы политики Azure Развертывание AMA DCR для сбора событий безопасности.

Настройка рабочей области

Azure Monitor описывает создание рабочей области Log Analytics.

Включение Defender для серверов плана 2 в рабочей области

1. В портал Azure найдите и выберите Microsoft Defender для облака.

2. В меню Defender для облака выберите параметры среды и выберите соответствующую рабочую область.

3. Выберите соответствующую рабочую область.

4. Переключите план серверов на Включено, затем выберите Сохранить.