Как Microsoft Defender for Cloud собирает данные?
Defender для облака собирает данные из виртуальных машин Azure, Масштабируемые наборы виртуальных машин, контейнеров IaaS и компьютеров, отличных от Azure (включая локальные) для отслеживания уязвимостей и угроз безопасности. Для некоторых планов Defender требуются компоненты мониторинга для сбора данных из рабочих нагрузок.
Сбор данных необходим, чтобы обнаруживать недостающие обновления и неправильно настроенные параметры безопасности ОС, узнавать, включена ли защита конечных точек, а также определять работоспособность и обнаруживать угрозы. Сбор данных необходим только для вычислительных ресурсов, таких как виртуальные машины, Масштабируемые наборы виртуальных машин, контейнеры IaaS и компьютеры, отличные от Azure.
Вы можете воспользоваться функциями и возможностями Microsoft Defender for Cloud даже без подготовки агентов. Однако у вас будет ограниченная безопасность, и перечисленные возможности не поддерживаются.
Для сбора данных используются указанные ниже возможности.
- Агент Azure Monitor (AMA)
- Microsoft Defender для конечной точки (MDE)
- Агент Log Analytics
- Компоненты безопасности, такие как Политика Azure для Kubernetes
Зачем использовать Defender для облака для развертывания компонентов мониторинга?
Видимость безопасности рабочих нагрузок зависит от данных, собираемых компонентами мониторинга. Компоненты обеспечивают покрытие безопасности для всех поддерживаемых ресурсов.
Чтобы сэкономить процесс ручной установки расширений, Defender для облака сократить затраты на управление, установив все необходимые расширения на существующих и новых компьютерах. Defender для облака назначает соответствующие Разверните, если политика не существует для рабочих нагрузок в подписке. чтобы убедиться, что расширение подготовлено на всех существующих и будущих ресурсах этого типа.
Совет
Дополнительные сведения о эффектах Политика Azure, включая развертывание, если оно не существует, см. в разделе "Общие сведения о Политика Azure эффектах".
Какие планы используют компоненты мониторинга?
Эти планы используют компоненты мониторинга для сбора данных:
- Defender для серверов
- Агент Azure Arc (для мультиоблачных и локальных серверов)
- Microsoft Defender для конечной точки
- Оценка уязвимостей
- Агент Azure Monitor или агент Log Analytics
- Defender для серверов SQL на компьютерах
- Агент Azure Arc (для мультиоблачных и локальных серверов)
- Агент Azure Monitor или агент Log Analytics
- Автоматическое обнаружение и регистрация SQL Server
- Defender для контейнеров
- Агент Azure Arc (для мультиоблачных и локальных серверов)
- Датчик Defender, Политика Azure для Kubernetes, данные журнала аудита Kubernetes
Доступность расширений
Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Агент Azure Monitor (AMA)
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Обычно доступно (GA) |
| Соответствующий план Defender: | Defender для SQL Server на компьютерах |
| Обязательные роли и разрешения (уровень подписки): | Ответственное лицо |
| Поддерживаемые назначения: |  Виртуальные машины Azure Компьютеры с поддержкой Azure Arc |
| На основе политик: | Да |
| Облако. | Коммерческие облака Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Узнайте больше об использовании агента Azure Monitor с Defender для облака.
Агент Log Analytics
| Аспект | Виртуальные машины Azure | Компьютеры с поддержкой Azure Arc |
|---|---|---|
| Состояние выпуска: | Обычно доступно (GA) | Обычно доступно (GA) |
| Соответствующий план Defender: | Foundational Cloud Security Posture Management (CSPM) для рекомендаций по безопасности на основе агента Microsoft Defender для серверов Microsoft Defender для SQL |
Foundational Cloud Security Posture Management (CSPM) для рекомендаций по безопасности на основе агента Microsoft Defender для серверов Microsoft Defender для SQL |
| Обязательные роли и разрешения (уровень подписки): | Ответственный | Ответственный |
| Поддерживаемые назначения: | Виртуальные машины Azure |
Компьютеры с поддержкой Azure Arc |
| На основе политик: | Нет |
Да |
| Облако. | Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Поддерживаемые операционные системы для агента Log Analytics
Defender для облака зависит от агента Log Analytics. Убедитесь, что компьютеры работают под управлением одной из операционных систем, поддерживаемых этим агентом, как описано на следующих страницах:
Кроме того, убедитесь, что агент Log Analytics правильно настроен для отправки данных в Defender для облака.
Развертывание агента Log Analytics в случаях установки существующего агента
В следующих случаях объясняется, как развертывание агента Log Analytics работает в случаях, когда уже установлен агент или расширение.
Агент Log Analytics непосредственно установлен на компьютере, но не в качестве расширения (прямой агент). Если агент Log Analytics установлен непосредственно на виртуальной машине (не в качестве расширения Azure), то Microsoft Defender для облака установит расширение агента Log Analytics и сможет обновить агент Log Analytics до последней версии. Установленный агент продолжит передавать данные в уже настроенные рабочие области и в рабочую область, настроенную в Defender для облака. (На компьютерах с Windows поддерживается использование нескольких агентов.)
Если в Log Analytics настроена пользовательская рабочая область, а не рабочая область по умолчанию Defender для облака, вам потребуется установить в ней решение Security или SecurityCenterFree для Defender для облака, чтобы начать обработку событий с виртуальных машин и компьютеров, передающих данные в эту рабочую область.
Для компьютеров с Linux использование нескольких агентов пока не поддерживается. Если обнаружена существующая установка агента, агент Log Analytics не будет развернут.
Для существующих компьютеров в подписках, подключенных к Microsoft Defender для облака до 17 марта 2019 г., при обнаружении существующего агента расширение агента Log Analytics не будет установлено и конфигурация компьютера не будет изменена. Рекомендации по устранению проблем установки агента на таких компьютерах см. в разделе "Устранение проблем работоспособности агента мониторинга на ваших компьютерах".
Агент System Center Operations Manager уже установлен на компьютере. Microsoft Defender for Cloud установит расширение агента Log Analytics параллельно с существующим агентом Operations Manager. Существующий агент Operations Manager продолжит отправлять отчеты на сервер Operations Manager, как обычно. Агент Operations Manager и агент Log Analytics используют общие библиотеки времени выполнения, которые во время этого процесса будут обновлены до последней версии.
Расширение виртуальной машины уже установлено:
- Если агент мониторинга установлен в качестве расширения, конфигурация расширения позволяет создавать отчеты только для одной рабочей области. Microsoft Defender для облака не переопределяет установленные подключения к рабочим областям пользователя. Defender для облака будет хранить данные безопасности из виртуальной машины в рабочей области, уже подключенной, если на ней было установлено решение Security или SecurityCenterFree. Defender для облака может обновить версию расширения до последней версии в этом процессе.
- Чтобы узнать, в какую рабочую область отправляется существующее расширение, запустите средство TestCloudConnection.exe для проверки подключения к Microsoft Defender для облака, как описано в разделе "Проверка подключения агента Log Analytics". Вы также можете открыть рабочие области Log Analytics, выбрать рабочую область и виртуальную машину, а затем проверить подключение агента Log Analytics.
- Если в вашей среде на клиентских рабочих станциях установлен агент Log Analytics, отправляющий отчеты в имеющуюся рабочую область Log Analytics, просмотрите список операционных систем, поддерживаемых Microsoft Defender for Cloud, чтобы убедиться, что ваша операционная система поддерживается.
Дополнительные сведения о работе с агентом Log Analytics.
Microsoft Defender для конечной точки;
| Аспект | Linux | Windows |
|---|---|---|
| Состояние выпуска: | Обычно доступно (GA) | Обычно доступно (GA) |
| Соответствующий план Defender: | Microsoft Defender для серверов | Microsoft Defender для серверов |
| Обязательные роли и разрешения (уровень подписки): | — Включение и отключение интеграции: администратор безопасности или владелец — Просмотр оповещений Defender для конечной точки в Defender для облака: читатель, читатель, участник группы ресурсов, владелец группы ресурсов, администратор безопасности, владелец подписки или участник подписки |
— Включение и отключение интеграции: администратор безопасности или владелец — Просмотр оповещений Defender для конечной точки в Defender для облака: читатель, читатель, участник группы ресурсов, владелец группы ресурсов, администратор безопасности, владелец подписки или участник подписки |
| Поддерживаемые назначения: | Компьютеры с поддержкой Azure Arc Виртуальные машины Azure |
Компьютеры с поддержкой Azure Arc виртуальные машины Azure под управлением Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Виртуального рабочего стола Azure или Windows 10 Корпоративная с поддержкой нескольких сеансов; виртуальные машины Azure под управлением Windows 10. |
| На основе политик: | Нет |
Нет |
| Облако. | Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Дополнительные сведения о Microsoft Defender для конечной точки.
Оценка уязвимостей
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Обычно доступно (GA) |
| Соответствующий план Defender: | Microsoft Defender для серверов |
| Обязательные роли и разрешения (уровень подписки): | Ответственное лицо |
| Поддерживаемые назначения: | Виртуальные машины Azure Компьютеры с поддержкой Azure Arc |
| На основе политик: | Да |
| Облако. | Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Гостевая конфигурация
| Аспект | Сведения |
|---|---|
| Состояние выпуска: | Предварительный просмотр |
| Соответствующий план Defender: | План не требуется |
| Обязательные роли и разрешения (уровень подписки): | Ответственное лицо |
| Поддерживаемые назначения: | Виртуальные машины Azure |
| Облако. | Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Дополнительные сведения о расширении гостевой конфигурации Azure.
Расширения Defender для контейнеров
В этой таблице показаны сведения о доступности компонентов, необходимых для защиты, предоставляемой Microsoft Defender для контейнеров.
По умолчанию необходимые расширения включены при включении Defender для контейнеров из портал Azure.
| Аспект | Кластеры Службы Azure Kubernetes | Кластеры Kubernetes с поддержкой Azure Arc |
|---|---|---|
| Состояние выпуска: | • Датчик Защитника: GA • Политика Azure для Kubernetes: общедоступная версия (GA) |
• Датчик Защитника: предварительная версия • Политика Azure для Kubernetes: предварительная версия |
| Соответствующий план Defender: | Microsoft Defender для контейнеров | Microsoft Defender для контейнеров |
| Обязательные роли и разрешения (уровень подписки): | Владелец или администратор доступа пользователей | Владелец или администратор доступа пользователей |
| Поддерживаемые назначения: | Датчик AKS Defender поддерживает только кластеры AKS с включенным RBAC. | См. список дистрибутивов Kubernetes, поддерживаемых для Kubernetes с поддержкой Arc. |
| На основе политик: | Да |
Да |
| Облако. | Датчик Defender: Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet Политика Azure для Kubernetes: Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Датчик Defender: Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet Политика Azure для Kubernetes: Коммерческие облакаAzure для государственных организаций, Microsoft Azure, управляемый 21Vianet |
Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.
Устранение неполадок
- Требования к сети см. в разделе Устранение неполадок, связанных с требованиями к сети для агента мониторинга.
- Руководство по устранению проблем с подключением вручную см. в статье Устранение неполадок подключения к Operations Management Suite.
Следующие шаги
На этой странице объясняется, какие компоненты мониторинга и как их включить.
См. также:
- Настройка Уведомления по электронной почте для оповещений системы безопасности
- Защита рабочих нагрузок с помощью планов Defender