Автоматизация подключения Microsoft Defender для облака с помощью PowerShell

Вы можете программно защитить рабочие нагрузки Azure с помощью модуля PowerShell Microsoft Defender для облака. Использование PowerShell позволяет автоматизировать задачи и избежать человеческой ошибки, присущей задачам вручную. Это особенно полезно в крупномасштабных развертываниях, которые включают десятки подписок с сотнями и тысячами ресурсов, все из которых должны быть защищены с самого начала.

Подключение Microsoft Defender для облака с помощью PowerShell позволяет программно автоматизировать подключение и управление ресурсами Azure и добавлять необходимые элементы управления безопасностью.

В этой статье представлен пример скрипта PowerShell, который можно изменить и использовать в среде для развертывания Defender для облака в подписках.

В этом примере мы включите Defender для облака в подписке с идентификатором: <Subscription ID> и применим рекомендуемые параметры, обеспечивающие высокий уровень защиты, включив расширенные функции безопасности Microsoft Defender для облака, обеспечивающие расширенную защиту от угроз и возможности обнаружения:

1. Включите улучшенную безопасность в Microsoft Defender для облака.

2. Назначьте КИСО вашей организации в качестве контакта по вопросам безопасности для оповещений Defender для облака и значимых событий.

3. Назначьте политики безопасности по умолчанию Defender для облака.

Предпосылки

Перед выполнением командлетов Defender для облака, необходимо выполнить следующие шаги:

1. Запустите PowerShell от имени администратора.

2. Выполните следующие команды в PowerShell:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned
   

   Install-Module -Name Az.Security -Force
   

Подключение Defender для облака с помощью PowerShell

1. Зарегистрируйте подписки в поставщике ресурсов Defender для облака:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

2. Необязательно: Задайте уровень покрытия (расширенные функции безопасности Microsoft Defender для облака включены/выключены) подписок. Если не определено, эти функции отключены:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
   

3. Необязательно, но настоятельно рекомендуется определить контактные данные системы безопасности для подключаемых подписок, которые будут использоваться в качестве получателей оповещений и уведомлений, созданных Defender для облака.

   Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
   

4. Назначьте инициативу политики по умолчанию Defender для облака:

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
   

   $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
   
   New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
   

Вы успешно подключились Microsoft Defender для облака с помощью PowerShell.

Теперь эти командлеты PowerShell можно использовать со скриптами автоматизации для программного итеративного выполнения по подпискам и ресурсам. Это экономит время и снижает вероятность человеческой ошибки. Этот скрипт sample можно использовать в качестве ссылки.

См. также

Дополнительные сведения о том, как использовать PowerShell для автоматизации подключения к Defender для облака, см. в следующей статье:

• Az.Security

Дополнительные сведения о Defender для облака см. в следующих статьях:

• Настройка политик безопасности в Microsoft Defender для облака. Узнайте, как настроить политики безопасности для Azure подписок и групп ресурсов.
• Манугирование и реагирование на оповещения системы безопасности в Microsoft Defender для облака. Узнайте, как управлять оповещениями системы безопасности и реагировать на них.