Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Агент Log Analytics, также известный как Microsoft Monitoring Agent (MMA), ушел в отставку в ноябре 2024 года. В результате планы Defender для серверов и Defender для SQL на компьютерах в Microsoft Defender для облака будут обновлены, а функции, использующие агент Log Analytics, будут изменены.
В этой статье приведены планы выхода агента на пенсию.
Подготовьте Defender для серверов
План Defender для серверов использует агент Log Analytics в общедоступной версии (GA) и AMA для некоторых функций Defender для серверов (на этапе предварительной версии). Вот что будет с этими функциями дальше:
Чтобы упростить подготовку к работе, все функции и возможности безопасности Microsoft Defender для серверов будут предоставляться с помощью единого агента (Microsoft Defender для конечной точки) в сочетании с сканированием компьютеров без использования агента, без какой-либо зависимости от агента Log Analytics или AMA.
- Функции Defender for Servers, основанные на AMA, в настоящее время доступны в рамках предварительной версии и не будут выпущены в общую доступность.
- Функции, доступные в рамках предварительной версии и использующие AMA, по-прежнему поддерживаются, пока не станет доступна альтернативная версия этой функции, использующая интеграцию с Defender for Endpoint или функцию безагентного сканирования компьютеров.
- Если включить интеграцию с Defender for Endpoint и функцию безагентного сканирования компьютеров до вывода из эксплуатации, ваше развертывание Defender for Servers будет актуальным и поддерживаемым.
Функциональные возможности
В следующей таблице приведены сведения о том, как будут предоставляться функции Defender для серверов. Большинство функций уже общедоступны при использовании интеграции Defender for Endpoint или безагентного сканирования компьютеров. Остальные функции либо станут общедоступными к тому моменту, когда использование MMA будет прекращено, либо будут объявлены устаревшими.
| Функция | Текущая поддержка | Новая поддержка | Состояние нового интерфейса |
|---|---|---|---|
| Интеграция Microsoft Defender для конечной точки для компьютеров с более ранними версиями Windows (Windows Server 2016/2012 R2) | Устаревший сенсор Defender for Endpoint на базе агента Log Analytics | Интеграция единого агента | — Функциональность с единым агентом MDE стала общедоступной. — Функциональность, использующая устаревший датчик Defender for Endpoint с агентом Log Analytics, будет прекращена в августе 2024 года. |
| Обнаружение угроз на уровне ОС | Агент Log Analytics | Интеграция агента Defender для конечной точки | Функциональные возможности агента Defender для конечной точки — это общедоступная версия. |
| Адаптивные элементы управления приложениями | Агент Log Analytics (GA), AMA (предварительная версия) | --- | Функция адаптивного управления приложениями не рекомендуется использовать в августе 2024 года. |
| Рекомендации по обнаружению средств защиты конечных точек | Рекомендации, доступные в рамках плана Foundational Cloud Security Posture Management (CSPM) и Defender for Servers, с использованием агента Log Analytics (GA) и AMA (предварительная версия) | Безагентное сканирование компьютеров | — Возможность безагентного сканирования компьютеров стала доступна в режиме предварительной версии в начале 2024 года в рамках плана Defender for Servers Plan 2 и плана Defender CSPM. — Поддерживаются виртуальные машины Azure, экземпляры Google Cloud Platform (GCP) и экземпляры Amazon Web Services (AWS). Локальные компьютеры не поддерживаются. |
| Отсутствует рекомендация по обновлению ОС | Рекомендации, доступные в планах Foundational CSPM и Defender for Servers при использовании агента Log Analytics. | Интеграция с Update Manager, Майкрософт | Новые рекомендации на основе интеграции с Диспетчер обновлений Azure стали общедоступны и не требуют агента. |
| Неправильные конфигурации ОС (Microsoft Cloud Security Benchmark) | Рекомендации, доступные в рамках планов Foundational CSPM и Defender for Servers при использовании агента Log Analytics и расширения Guest Configuration (предварительная версия). | Расширение гостевой конфигурации как часть Defender for Servers Plan 2. | — Функциональность на основе расширения Guest Configuration станет общедоступной в сентябре 2024 г. - Только для клиентов Defender для облака: функциональность, использующая агент Log Analytics, будет объявлена устаревшей в ноябре 2024 года. — Поддержка этой функции для Docker Hub и масштабируемых наборов виртуальных машин Azure будет объявлена устаревшей в августе 2024 года. |
| Мониторинг целостности файлов | Агент Log Analytics (AMA) (предварительная версия) | Интеграция агента Defender для конечной точки | Функции с агентом Defender для конечной точки будут доступны в августе 2024 года. - Только для клиентов Defender для облака: функциональность, использующая агент Log Analytics, будет объявлена устаревшей в ноябре 2024 года. — Функциональность с AMA будет признана устаревшей после выпуска интеграции с Defender for Endpoint. |
Возможности автоматического развертывания агента Log Analytics — план прекращения поддержки
В рамках вывода из эксплуатации агента MMA возможность автоматического развертывания, обеспечивающая установку и настройку агента для клиентов MDC, также будет объявлена устаревшей в 2 этапа:
К концу сентября 2024 года автоматическое подключение MMA будет отключено для клиентов, которые больше не используют эту возможность, а также для вновь созданных подписок:
Существующие подписки, которые отключат автоматическое выделение MMA после конца сентября, впоследствии больше не смогут снова включить эту функцию.
Для вновь созданных подписок автоматическую подготовку ресурсов больше нельзя включить; она отключается автоматически.
Конец ноября 2024 года — функция будет отключена для подписок, для которых её ещё не отключили. Начиная с этого момента, включить эту функцию для существующих подписок больше невозможно.
Льгота 500 МБ на прием данных
Чтобы сохранить квоту в 500 МБ на бесплатную загрузку данных для поддерживаемых типов данных, необходимо перейти с MMA на AMA.
Note
Преимущество предоставляется каждому компьютеру AMA, который входит в подписку с включенным планом Defender для серверов 2.
Льгота предоставляется рабочей области, в которую отчитывается компьютер.
Решение для обеспечения безопасности должно быть установлено в связанной рабочей области. Узнайте больше о как настроить коллекцию событий безопасности с помощью Azure Monitor.
Если компьютер отправляет данные в несколько рабочих пространств, льгота будет предоставлена только для одного из них.
Узнайте больше о том, как развернуть AMA.
Для серверов SQL Server на компьютерах рекомендуется перейти на процесс автоматической подготовки агента мониторинга Azure (AMA), предназначенный для SQL Server.
Изменения в устаревшем способе подключения к Defender for Servers Plan 2 через агент Log Analytics
Устаревший подход к подключению серверов к Defender for Servers Plan 2 на основе агента Log Analytics и с использованием рабочих областей Log Analytics также выводится из эксплуатации:
Интерфейс подключения новых компьютеров, не относящихся к Azure к Defender for Servers с помощью агентов Log Analytics и рабочих областей удален из разделов «Инвентарь» и «Начало работы» на портале Defender для облака.
Чтобы избежать потери охвата средствами безопасности на затронутых компьютерах, подключенных к рабочей области Log Analytics, в связи с прекращением поддержки агента:
Если вы подключили серверы, отличные от Azure (как локальные, так и многооблачные) с помощью устаревшего подхода, теперь необходимо подключить эти компьютеры с помощью серверов с поддержкой Azure Arc к Defender for Server Plan 2 подписок и соединителей Azure. Подробнее о развертывании машин Arc в больших масштабах.
- Если вы использовали устаревший подход для включения Defender для серверов плана 2 на выбранных виртуальных машинах Azure, рекомендуется включить Defender для серверов плана 2 в подписках Azure для этих компьютеров. Затем можно исключить отдельные компьютеры из покрытия Defender для серверов с помощью конфигурации Defender для серверов для каждого ресурса.
Ниже приведено краткое описание требуемых действий для каждого сервера, подключенного к Defender for Servers Plan 2 с использованием устаревшего метода:
| Тип компьютера | Требуется действие для сохранения защиты |
|---|---|
| Локальные серверы | Подключен к Arc и к подписке, в которой включён Defender для серверов, план 2 |
| Виртуальные машины Azure | Подключение к подписке с планом 2 Defender для серверов |
| Многооблачные серверы | Подключитесь к коннектору multicloud с подготовкой Azure Arc и Defender for Servers, план 2 |
Интерфейс рекомендаций по обновлению системы и пакетам исправлений — изменения и руководство по миграции
Обновления системы и исправления важны для обеспечения безопасности и работоспособности компьютеров. Обновления часто содержат исправления безопасности для уязвимостей, которые, если они остаются без исправления, являются эксплуатируемыми злоумышленниками.
Ранее рекомендации по обновлениям системы были предоставлены Defender для облака Foundational CSPM и планами Defender для серверов с помощью агента Log Analytics. Эта возможность заменена рекомендациями по безопасности, собранными с помощью Диспетчера обновлений Azure и созданными из 2 новых рекомендаций:
Узнайте, как устранять проблемы с обновлениями системы и исправлять рекомендации по установке патчей на ваших компьютерах.
Какие рекомендации заменяются?
В следующей таблице приводится сводка расписания устаревших рекомендаций и их замены.
| Recommendation | Агент | Поддерживаемые ресурсы | Дата устаревания | Рекомендация по замене |
|---|---|---|---|---|
| На компьютерах должны быть установлены обновления системы. | Смешанные единоборства | Azure и не Azure (Windows и Linux) | Август 2024 г. | Новая рекомендация с помощью Диспетчер обновлений Azure |
| В масштабируемых наборах виртуальных машин должны быть установлены обновления системы | Смешанные единоборства | Масштабируемые наборы виртуальных машин Azure (Azure Virtual Machine Scale Sets) | Август 2024 г. | Замена не выполнена |
Как мне подготовиться к новым рекомендациям?
Подключение компьютеров, отличных от Azure, к Arc
Убедитесь, что на компьютерах включен параметр периодического обновления оценки . Это можно сделать 2 способами:
- Исправлена рекомендация. Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы (на базе Диспетчера обновлений Azure).
- Включите периодическую оценку в большом масштабе с помощью Политика Azure.
- После завершения диспетчер обновлений может получить последние обновления на компьютерах и просмотреть последнее состояние соответствия компьютера.
Note
Включение периодических оценок для компьютеров с поддержкой Arc, если для связанной с ними подписки или соединителя не включён Defender for Servers Plan 2, тарифицируется в соответствии с ценами Диспетчер обновлений Azure. Компьютеры с поддержкой Arc, для которых Defender for Servers Plan 2 включен в связанной подписке или соединителях, а также любые виртуальные машины Azure, могут использовать эту возможность без дополнительной платы.
Рекомендации по защите конечных точек — рекомендации по изменениям и миграции
Обнаружение конечных устройств и рекомендации ранее были доступны в рамках планов Microsoft Defender для облака Foundational CSPM и Defender for Servers с использованием агента Log Analytics на этапе общедоступности или через агент AMA в предварительной версии. Эти функции были заменены рекомендациями по безопасности, полученными с помощью безагентного сканирования компьютеров.
Рекомендации по защите конечных точек создаются на двух этапах. Первым этапом является обнаружение решения обнаружение и нейтрализация атак на конечные точки. Второй — оценка конфигурации решения. В следующих таблицах приведены сведения о текущих и новых возможностях для каждого этапа.
Узнайте, как управлять новыми безагентными рекомендациями по обнаружению и нейтрализации атак на конечных точках.
Решение для обнаружения и реагирования на конечных точках — обнаружение
| Area | Текущий опыт (на основе AMA/MMA) | Новые возможности (на основе безагентного сканирования машин) |
|---|---|---|
| Что необходимо для классификации ресурса как работоспособного? | Антивирус установлен. | Решение обнаружение и нейтрализация атак на конечные точки выполняется. |
| Что необходимо для получения рекомендации? | Агент Log Analytics | Безагентное сканирование компьютеров |
| Какие планы поддерживаются? | - Базовый CSPM (бесплатный) — Defender для серверов плана 1 и плана 2 |
- Defender CSPM — Defender для серверов, план 2 |
| Какое исправление доступно? | Установите антивредоносную программу Майкрософт. | Установите Defender for Endpoint для выбранных компьютеров или подписок. |
Решение для обнаружения и реагирования конечных точек — оценка конфигурации
| Area | Текущий опыт (на основе AMA/MMA) | Новые возможности (на основе безагентного сканирования машин) |
|---|---|---|
| Ресурсы считаются неисправными, если одна или несколько проверок безопасности неисправны. | Три проверки безопасности: — защита в режиме реального времени отключена — Подписи устарели. — Быстрая проверка и полная проверка не выполняются в течение семи дней. |
Три проверки безопасности: — антивирусная программа отключена или частично настроена — Подписи устарели — Быстрая проверка и полная проверка не выполняются в течение семи дней. |
| Предварительные требования для получения рекомендации | Внедрено решение для защиты от вредоносных программ | Внедрено решение для обнаружения и реагирования на конечных точках. |
Какие рекомендации помечаются как устаревшие?
В следующей таблице приводится сводка расписания устаревших рекомендаций и их замены.
| Recommendation | Агент | Поддерживаемые ресурсы | Дата устаревания | Рекомендация по замене |
|---|---|---|---|---|
| На ваших устройствах должно быть установлено средство защиты конечных устройств (публичное) | ММА/АМА | Azure и не Azure (Windows и Linux) | Июль 2024 г. | Новая рекомендация без агента |
| Проблемы с состоянием защиты конечных точек должны быть устранены на ваших компьютерах (общедоступно) | ММА/АМА | Azure (Windows) | Июль 2024 г. | Новая рекомендация без агента |
| Необходимо устранить сбои работоспособности защиты конечных точек в масштабируемых наборах виртуальных машин. | Смешанные единоборства | Масштабируемые наборы виртуальных машин Azure (Azure Virtual Machine Scale Sets) | Август 2024 г. | Замена не выполнена |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Смешанные единоборства | Масштабируемые наборы виртуальных машин Azure (Azure Virtual Machine Scale Sets) | Август 2024 г. | Замена не выполнена |
| Решение для защиты конечных точек должно находиться на компьютерах | Смешанные единоборства | Ресурсы, отличные от Azure (Windows) | Август 2024 г. | Замена не выполнена |
| Установите решение для защиты конечных точек на своих компьютерах | Смешанные единоборства | Azure и не Azure (Windows) | Август 2024 г. | Новая рекомендация без агента |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Смешанные единоборства | Azure и не Azure (Windows и Linux) | Август 2024 г. | Новая безагентная рекомендация. |
Функция новых рекомендаций, основанная на безагентном сканировании компьютеров, поддерживает ОС Windows и Linux для компьютеров в мультиоблачных средах.
Как будет работать замена?
- Текущие рекомендации, предоставляемые агентом Log Analytics или AMA, будут устарели с течением времени.
- Некоторые из этих существующих рекомендаций будут заменены новыми рекомендациями на основе сканирования без агента.
- Рекомендации, уже находящиеся в статусе общедоступности, будут действовать до тех пор, пока агент Log Analytics не будет выведен из эксплуатации.
- Рекомендации, которые в настоящее время находятся в предварительной версии, будут заменены, когда новая рекомендация доступна в предварительной версии.
Что происходит с оценкой безопасности?
- Рекомендации, которые сейчас находятся в статусе общедоступности (GA), по-прежнему будут влиять на оценку безопасности.
- Текущие и будущие новые рекомендации относятся к одному и тому же элементу управления Microsoft Cloud Security Benchmark, что исключает двойное влияние на оценку безопасности.
Как мне подготовиться к новым рекомендациям?
- Убедитесь, что безагентное сканирование машин включено в рамках Defender for Servers Plan 2 или Defender CSPM.
- Если это подходит для вашей среды, то для оптимальной работы мы рекомендуем удалить устаревшие рекомендации, когда заменяющая их рекомендация станет общедоступной. Для этого отключите рекомендацию во встроенной инициативе Defender для облака в Политика Azure.
Мониторинг целостности файлов — обзор изменений и рекомендации по миграции
План Microsoft Defender для серверов, план 2, теперь включает новое решение для мониторинга целостности файлов (FIM) на базе интеграции с Microsoft Defender для конечной точки (MDE). После того как FIM на базе MDE станет общедоступным, возможность FIM на базе AMA в портале Defender для облака будет удалена. В ноябре FIM на основе MMA будет выведен из эксплуатации.
Миграция из FIM через AMA
Если вы используете FIM в настоящее время через AMA:
Подключение новых подписок или серверов к FIM на основе AMA и расширения отслеживания изменений, а также просмотр изменений больше не будет доступно через портал Defender для облака начиная с 30 мая.
Если вы хотите продолжить использование событий FIM, собранных AMA, можно вручную подключиться к соответствующей рабочей области и просмотреть изменения в таблице Отслеживание изменений со следующим запросом:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeЕсли вы хотите продолжить подключение новых областей или настроить правила мониторинга, вы можете вручную использовать правила подключения к данным для настройки или настройки различных аспектов сбора данных.
Microsoft Defender для облака рекомендует отключить FIM с использованием AMA и после ее выпуска подключить вашу среду к новой версии FIM на основе Defender for Endpoint.
Отключить FIM через AMA
Чтобы отключить FIM через AMA, удалите решение Azure Отслеживание изменений. Дополнительные сведения см. в разделе Удаление решения ChangeTracking.
В качестве альтернативы можно удалить связанные правила сбора данных (DCR) для отслеживания изменений файлов. Дополнительные сведения см. в разделе Remove-AzDataCollectionRuleAssociation или Remove-AzDataCollectionRule.
После отключения коллекции событий файлов с помощью одного из описанных выше методов:
- Новые события перестанут собираться в выбранной области.
- Исторические события, которые уже были собраны, сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе Отслеживание изменений. Эти события останутся доступными в соответствующей рабочей области в соответствии с периодом хранения, определенным в этой рабочей области. Дополнительные сведения см. в статье о работе хранения и архивации.
Переход с FIM с использованием агента Log Analytics (MMA)
Если вы используете FIM в агенте Log Analytics (MMA):
Мониторинг целостности файлов на основе агента Log Analytics (MMA) будет устарел в конце ноября 2024 года.
Microsoft Defender для облака рекомендует отключить FIM на основе MMA и после выпуска новой версии FIM на основе Defender for Endpoint подключить к ней вашу среду.
Отключите FIM через MMA
Чтобы отключить FIM через MMA, удалите решение «Отслеживание изменений в Azure». Дополнительные сведения см. в разделе Удаление решения ChangeTracking.
После отключения коллекции событий файлов:
- Новые события перестанут собираться в выбранной области.
- Исторические события, которые уже были собраны, сохраняются в соответствующей рабочей области в таблице ConfigurationChange в разделе Отслеживание изменений. Эти события останутся доступными в соответствующей рабочей области в соответствии с периодом хранения, определенным в этой рабочей области. Дополнительные сведения см. в статье о работе хранения и архивации.
Базовый пользовательский опыт
Функция выявления отклонений от базовых конфигураций для виртуальных машин предназначена для того, чтобы ваши виртуальные машины соответствовали лучшим практикам безопасности и политикам организации. Проверка конфигурации на соответствие предопределённым базовым показателям безопасности оценивает конфигурацию ваших виртуальных машин и выявляет любые отклонения или ошибки конфигурации, которые могут представлять риск для вашей среды.
Сведения о компьютере собираются для оценки с помощью агента Log Analytics (также известного как агент Microsoft Monitoring Agent (MMA)). MMA будет объявлена устаревшей в ноябре 2024 года, и произойдут следующие изменения:
Сведения о машине будут собираться с помощью гостевой конфигурации Политика Azure.
Следующие политики Azure включены с помощью гостевой конфигурации Политика Azure:
"Компьютеры Windows должны соответствовать требованиям базовых показателей безопасности вычислений Azure"
"Компьютеры Linux должны соответствовать требованиям к базовой системе безопасности вычислений Azure"
Note
Если вы удалите эти политики, вы не сможете воспользоваться преимуществами расширения гостевой конфигурации Политика Azure.
Рекомендации для операционных систем, основанные на базовых параметрах безопасности вычислительных ресурсов, больше не будут включаться в базовый CSPM в Defender для облака. Эти рекомендации будут доступны после включения Defender для серверов, план 2.
Просмотрите страницу с ценами на Defender для облака, чтобы узнать сведения о ценах на план 2 Defender for Servers. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.
Это важно
Помните, что дополнительные возможности гостевой конфигурации Политика Azure, доступные за пределами портала Defender для облака, не входят в состав Defender для облака, и на них распространяются правила ценообразования для гостевой конфигурации Политика Azure. Например устранение и пользовательские политики. Дополнительные сведения см. на странице с ценами на гостевую конфигурацию Политика Azure.
Рекомендации, предоставляемые MCSB, которые не являются частью базовых показателей безопасности вычислений Windows и Linux, будут по-прежнему частью бесплатного базового CSPM.
Установка гостевой конфигурации Политика Azure
Чтобы продолжать пользоваться базовыми возможностями, необходимо включить план Defender for Servers Plan 2 и установить гостевую конфигурацию Политика Azure. Это позволит вам и дальше получать те же рекомендации и указания по усилению защиты, которые вы получали в рамках базового сценария.
В зависимости от среды может потребоваться выполнить следующие действия.
Просмотрите матрицу поддержки гостевой конфигурации Политика Azure.
Установите гостевую конфигурацию Политика Azure на компьютерах.
Компьютеры Azure: на портале Defender для облака на странице рекомендаций найдите и выберите На компьютерах должно быть установлено расширение Guest Configuration, а затем устраните рекомендацию.
(Только виртуальные машины Azure) Необходимо назначить управляемое удостоверение.
- На портале Defender для облака на странице рекомендаций найдите и выберите расширение гостевой конфигурации виртуальных машин должно быть развернуто с помощью управляемого удостоверения, назначаемого системой, и исправьте рекомендацию.
(Только для виртуальных машин Azure) Необязательно: чтобы автоматически подготовить гостевую конфигурацию Политика Azure во всей вашей подписке, можно включить агент Guest Configuration (предварительная версия).
- Чтобы включить агент гостевой конфигурации, выполните следующие действия.
- Войдите на портал Azure.
- Перейдите в раздел «Параметры среды»>Ваша подписка>Настройки и мониторинг.
- Выберите гостевую конфигурацию.
- Переключите агент гостевой конфигурации (предварительная версия) на Вкл.
- Выберите Продолжить.
- Чтобы включить агент гостевой конфигурации, выполните следующие действия.
GCP и AWS: гостевая конфигурация Политика Azure устанавливается автоматически, когда вы подключаете свой проект GCP или подключаете свои учетные записи AWS с включенной автоподготовкой Azure Arc к Microsoft Defender для облака.
Локальные машины: Гостевая конфигурация Политика Azure включается по умолчанию, когда вы подключаете локальные машины в качестве машин с поддержкой Azure Arc или виртуальных машин.
После выполнения необходимых действий для установки гостевой конфигурации Политика Azure вы автоматически получите доступ к базовым возможностям, предоставляемым гостевой конфигурацией Политика Azure. Это позволит вам и дальше получать те же рекомендации и указания по усилению защиты, которые вы получали в рамках базового сценария.
Изменения рекомендаций
При отключении MMA следующие рекомендации на основе MMA будут нерекомендуемыми:
- Компьютеры должны быть настроены в безопасном режиме
- Для подписок должна быть включена автоматическая подготовка агента Log Analytics
Устаревшие рекомендации будут заменены следующими базовыми рекомендациями для гостевой конфигурации Политика Azure:
- Уязвимости в конфигурации безопасности на компьютерах Windows должны быть устранены (на основе гостевой конфигурации)
- Уязвимости в конфигурации безопасности на компьютерах Linux должны быть устранены (на основе гостевой конфигурации)
- На компьютерах должно быть установлено расширение "Гостевая конфигурация"
Повторяющиеся рекомендации
При включении Defender для облака в подписке Azure в качестве стандарта соответствия требованиям по умолчанию включен тест безопасности облака Майкрософт (MCSB), включая базовые показатели безопасности вычислений, которые оценивают соответствие ОС компьютера. Бесплатные базовые возможности Cloud Security Posture Management (CSPM) в Defender для облака формируют рекомендации по безопасности на основе MCSB.
Если на машине одновременно используются MMA и гостевая конфигурация Политика Azure, вы увидите дублирующиеся рекомендации. Дублирование рекомендаций происходит из-за того, что оба метода выполняются одновременно и создают одни и те же рекомендации. Эти повторяющиеся данные повлияют на соответствие требованиям и оценку безопасности.
В качестве временного решения можно отключить рекомендации MMA «Компьютеры должны быть безопасно настроены» и «Автоматическое развертывание агента Log Analytics должно быть включено для подписок», перейдя на страницу «Соответствие нормативным требованиям» в Defender для облака.
После того как вы нашли рекомендацию, следует выбрать соответствующие компьютеры и исключить их.
Некоторые правила базовой конфигурации, реализованные с помощью средства гостевой конфигурации Политика Azure, являются более актуальными и обеспечивают более широкий охват. В результате переход на функцию Baselines, работающую на основе гостевой конфигурации Политика Azure, может повлиять на ваш статус соответствия, поскольку она включает проверки, которые ранее могли не выполняться.
Рекомендации по запросам
После прекращения поддержки MMA Defender для облака больше не запрашивает рекомендации, используя сведения о рабочей области Log Analytics. Вместо этого Defender для облака теперь использует Azure Resource Graph для API и запросов портала для запроса сведений о рекомендациях.
Ниже приведены 2 примера запросов, которые можно использовать:
Запрос всех неработоспособных правил для определенного ресурса
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'Все неработоспособные правила и количество неработоспособных компьютеров для каждого правила
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Планирование миграции
Рекомендуется планировать миграцию агента в соответствии с вашими бизнес-требованиями. В таблице приведены наши рекомендации.
| Вы используете Defender для серверов? | Требуются ли эти функции Defender для серверов в общедоступной версии: мониторинг целостности файлов, рекомендации по защите конечных точек, базовые рекомендации по безопасности? | Вы используете Defender для серверов SQL на компьютерах или в коллекции журналов AMA? | План миграции |
|---|---|---|---|
| Yes | Yes | No | 1. Включите интеграцию с Defender для конечных точек и безагентное сканирование компьютеров. 2. Подождите, пока все функции станут общедоступными в альтернативной платформе (но предварительную версию можно использовать и раньше). 3. Когда функции станут общедоступными, отключите агент Log Analytics. |
| No | --- | No | Теперь можно удалить агент Log Analytics. |
| No | --- | Yes | 1. Теперь вы можете перейти на автоматическую подготовку SQL для AMA . 2. Отключите Агент Log Analytics/Azure Monitor. |
| Yes | Yes | Yes | 1. Включите интеграцию с Defender для конечных точек и безагентное сканирование компьютеров. 2. Вы можете использовать агент Log Analytics и AMA одновременно, чтобы получить доступ ко всем возможностям, доступным в общедоступной версии. Узнайте больше о запуске агентов бок о бок. 3. Перейдите на автоподготовку SQL для AMA в Defender for SQL на компьютерах. Кроме того, запустите миграцию агента Log Analytics в AMA в апреле 2024 года. 4. После завершения миграции отключите агент Log Analytics. |
| Yes | No | Yes | 1. Включите интеграцию с Defender для конечных точек и безагентное сканирование компьютеров. 2. Теперь вы можете перейти на автоматическое развертывание SQL для AMA в Defender for SQL на компьютерах. 3. Отключите агент Log Analytics. |
Процесс миграции MMA
Интерфейс миграции MMA — это средство, которое помогает выполнить миграцию из MMA в AMA. Этот интерфейс содержит пошаговое руководство, которое поможет вам перевести ваши компьютеры с MMA на AMA.
С помощью этого средства можно:
- Перенесите серверы с устаревшего метода подключения через рабочую область Log Analytics.
- Убедитесь, что подписки соответствуют всем предварительным условиям, чтобы получить все преимущества плана 2 Defender для серверов.
- Перейдите на новую версию FIM через MDE.
Войдите на портал Azure.
Перейдите к Microsoft Defender для облака>параметрам среды.
Выберите миграцию MMA.
Выберите Выполнить действие, а затем одно из доступных действий:
Дождитесь загрузки интерфейса и следуйте инструкциям, чтобы завершить миграцию.