A
Настройка автоматической подготовки для агентов и расширений из Microsoft Defender for Cloud
Play

Настройка автоматической подготовки для агентов и расширений из Microsoft Defender for Cloud

Центр безопасности Azure и Azure Defender теперь называются Microsoft Defender для облака. Кроме того, мы переименовали планы Azure Defender в планы Microsoft Defender. Например, Azure Defender для хранилища теперь называется Microsoft Defender для хранилища. Узнайте больше о недавнем переименовании служб безопасности Майкрософт.

Microsoft Defender for Cloud собирает данные с ресурсов с помощью соответствующего агента или расширения для этого ресурса и включенного вами типа коллекции данных. Выполните указанные ниже процедуры, чтобы убедиться, что у ресурсов есть все необходимые агенты и расширения, используемые в Microsoft Defender for Cloud.

При включении автоматической подготовки любого из поддерживаемых расширений вы потенциально повлияет на существующие и будущие компьютеры. Но при отключении автоматической подготовки для расширения вы повлияете только на будущие компьютеры: ничто не удаляется путем отключения автоматической подготовки.

Предварительные требования

Чтобы начать работу с Microsoft Defender for Cloud, вам потребуется подписка на Microsoft Azure. Если у вас нет ее, вы можете зарегистрироваться для получения бесплатной учетной записи.

Доступность

  • Автоматическая подготовка
  • Агент Log Analytics
  • Оценка уязвимостей
  • Defender для конечной точки
  • Конфигурация гостя
  • Защитник для контейнеров

В этой таблице показаны сведения о доступности для самой функции автоматической подготовки.

Аспект Сведения Состояние выпуска: Автоматическая подготовка доступна в общедоступной версии (GA) Цены Автоматическая подготовка бесплатна для использования Требуемые роли и разрешения Зависит от конкретного расширения — см. соответствующую вкладку. Поддерживаемые назначения: Зависит от конкретного расширения — см. соответствующую вкладку. Облако. Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Аспект Виртуальные машины Azure Компьютеры с поддержкой Azure Arc Состояние выпуска: Общедоступная версия (GA) Предварительный просмотр Соответствующий план защитника: Microsoft Defender для серверовMicrosoft Defender для SQL Microsoft Defender для серверовMicrosoft Defender для SQL Обязательные роли и разрешения (уровень подписки): Участник или администратор безопасности Владелец Поддерживаемые назначения: виртуальные машины Azure; Компьютеры с поддержкой Arc Azure На основе политик: Нет Да Облако. Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Аспект Сведения Состояние выпуска: Общедоступная версия (GA) Соответствующий план защитника: Microsoft Defender для серверов Обязательные роли и разрешения (уровень подписки): Владелец Поддерживаемые назначения: виртуальные машины Azure; Компьютеры с поддержкой Arc Azure На основе политик: Да Облако. Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Аспект Linux Windows Состояние выпуска: Общедоступная версия (GA) Общедоступная версия (GA) Соответствующий план защитника: Microsoft Defender для серверов Microsoft Defender для серверов Обязательные роли и разрешения (уровень подписки): Участник или администратор безопасности Участник или администратор безопасности Поддерживаемые назначения: Компьютеры с поддержкой Arc Azure виртуальные машины Azure; Компьютеры с поддержкой Arc Azure виртуальные машины Azure под управлением Windows Server 2022, 2019, 2016, 2012 r2, 2008 r2 с пакетом обновления 1 (SP1 ), Windows виртуальный рабочий стол (ввд), Windows 10 Корпоративная несколько сеансов (ранее Enterprise для виртуальных рабочих столов (евд) виртуальные машины Azure под управлением Windows 10 (кроме EVD и WVD). На основе политик: Нет Нет Облако. Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet) Аспект Сведения Состояние выпуска: Предварительный просмотр Соответствующий план защитника: Microsoft Defender для серверов Обязательные роли и разрешения (уровень подписки): Владелец Поддерживаемые назначения: виртуальные машины Azure; Облако. Коммерческие облака Azure для государственных организаций, Azure для Китая (21Vianet)

В этой таблице показаны сведения о доступности для различных компонентов, которые могут быть подготовлены для автоматической подготовки, чтобы обеспечить защиту, предлагаемую защитником Майкрософт для контейнеров.

Для элементов, помеченных в предварительной версии: дополнительные условия использования предварительных версий Azure включают дополнительные юридические условия, которые применяются к функциям Azure, которые доступны в бета-версии, предварительном просмотре или еще не выпущены в общедоступную версию.

Как Microsoft Defender for Cloud собирает данные?

Microsoft Defender for Cloud собирает данные c ваших виртуальных машин Azure, из масштабируемых наборов виртуальных машин, контейнеров IaaS и компьютеров, не относящихся к Azure (в том числе локальных), чтобы отслеживать уязвимости и угрозы безопасности.

Сбор данных необходим, чтобы обнаруживать недостающие обновления и неправильно настроенные параметры безопасности ОС, узнавать, включена ли защита конечных точек, а также определять работоспособность и обнаруживать угрозы. Сбор данных необходим только для ресурсов вычислительной среды (например, виртуальных машин, масштабируемых наборов виртуальных машин, контейнеров IaaS и компьютеров, не относящихся к Azure).

Вы можете воспользоваться функциями и возможностями Microsoft Defender for Cloud даже без подготовки агентов. Однако защита будет ограничена, а перечисленные выше возможности не будут поддерживаться.

Для сбора данных используются указанные ниже возможности.

  • Агент Log Analytics, который считывает различные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область для анализа. К примерам таких данных относятся тип и версия операционной системы, журналы операционной системы (журналы событий Windows), выполняющиеся процессы, имя компьютера, IP-адреса и имя вошедшего пользователя.
  • Модули безопасности, такие как надстройка Политики Azure для Kubernetes, также могут передавать данные по специализированным типам ресурсов в Microsoft Defender for Cloud.

По мере развития Microsoft Defender for Cloud разве выросло и число типов ресурсов, которые можно отслеживать. Число расширений также увеличивается. Средства автоматической подготовки расширены. Теперь они поддерживают дополнительные типы ресурсов, используя возможности Политики Azure.

Преимущества автоматической подготовки

Любые агенты и расширения, описанные на этой странице, можно установить вручную (см. раздел о ручной установке агента Log Analytics). Однако автоматическая подготовка сокращает расходы на управление, устанавливая все необходимые агенты и расширения на существующих и новых компьютерах, чтобы обеспечить своевременный уровень безопасности для всех поддерживаемых ресурсов.

Рекомендуется включить автоматическую подготовку. По умолчанию она отключена.

Принцип работы автоматической подготовки

Параметры автоматической подготовки Microsoft Defender for Cloud содержат переключатель для каждого поддерживаемого типа расширения. При включении автоматической подготовки расширения вы назначаете соответствующую политику Deploy if not exists (Развернуть, если не существует), чтобы убедиться, что расширение подготовлено на всех существующих и будущих ресурсах этого типа.

Узнайте больше об эффекте Политики Azure, а также политики Deploy if not exists (Развернуть, если не существует), из этой статьи.

Включение автоматической подготовки агента и расширений Log Analytics

Если для агента Log Analytics включена автоматическая подготовка, то Microsoft Defender for Cloud развертывает агент на всех поддерживаемых и вновь создаваемых виртуальных машинах Azure. Список поддерживаемых платформ представлен в статье Поддерживаемые платформы в Microsoft Defender for Cloud.

Чтобы включить автоматическую подготовку агента Log Analytics, выполните указанные ниже действия.

В меню Defender for Cloud выберите Параметры среды.

Выберите соответствующую подписку.

На странице Автоматическая подготовка задайте для параметра состояния автоматический подготовки агента Log Analytics значение Вкл. .

В области параметров конфигурации укажите рабочую область, которая будет использоваться.

Подключение виртуальных машин Azure к рабочим областям по умолчанию, созданным Microsoft Defender for Cloud. Microsoft Defender for Cloud создает группу ресурсов и рабочую область по умолчанию в одной геолокации и подключает агент к этой рабочей области. Если подписка содержит виртуальные машины из нескольких геолокаций, Microsoft Defender for Cloud создает несколько рабочих областей для соответствия требованиям конфиденциальности данных.

Соглашение об именовании для рабочей области и группы ресурсов:

  • рабочая область — DefaultWorkspace-[ИД_подписки]-[географическое_расположение];
  • Группа ресурсов: DefaultResourceGroup-[георасположение]

Решение "Defender для облака" автоматически включено в рабочей области согласно ценовой категории, установленной для подписки.

Информацию по вопросам, касающимся рабочих областей по умолчанию, см. в следующих статьях:

Connect Azure VMs to a different workspace (Подключение виртуальных машин Azure к другой рабочей области). В раскрывающемся списке выберите рабочую область для хранения собранных данных. Раскрывающийся список содержит все рабочие области всех подписок. С помощью этого параметра можно получить данные с виртуальных машин, работающих в разных подписках, и сохранить их в выбранной рабочей области.

Если у вас уже есть рабочая область Log Analytics, вы можете продолжать использовать ее (требуются разрешения на чтение и запись в рабочей области). Это полезно, если в организации используется централизованная рабочая область, которую требуется использовать для сбора данных о безопасности. Дополнительные сведения см. в статье Управление доступом к данным журнала и рабочим областям в Azure Monitor.

Если в выбранной рабочей области уже включено решение Security или SecurityCenterFree, ценовая категория будет задана автоматически. В противном случае установите решение Microsoft Defender for Cloud в рабочей области:

  1. В меню Defender for Cloud выберите Параметры среды.
  2. Выберите рабочую область, к которой будет подключен агент.
  3. Выберите Усиленная безопасность отключена или Включить все планы Microsoft Defender.

В разделе конфигурации События безопасности Windows выберите объем данных необработанных событий для хранения:

  • Отсутствует. Отключение сбора событий безопасности. Это параметр по умолчанию.
  • Минимальный. Меньший набор событий для сокращения количества событий.
  • Общий. Этот набор событий удовлетворяет потребности большинства клиентов и позволяет просмотреть весь журнал аудита.
  • Все события. Для клиентов, которые хотят убедиться, что все события сохранены.

Дополнительные сведения о настройке параметра событий безопасности на уровне рабочей области см. в этом разделе.

Дополнительные сведения о параметрах событий безопасности Windows для агента Log Analytics см. в этом разделе.

В области конфигурации выберите Применить.

Чтобы включить автоматическую подготовку расширения, а не подготовку агента Log Analytics, выполните указанные ниже действия.

Установите для состояния соответствующего расширения значение Вкл.

Щелкните Сохранить. Будет назначено определение Политики Azure и создана задача исправления.

Щелкните Сохранить. Если необходимо подготовить рабочую область, установка агента может занять до 25 минут.

Появится запрос на изменение настроек отслеживаемых виртуальных машин, которые ранее были подключены к рабочей области по умолчанию:

  • Нет. Параметры новой рабочей области применяются только к недавно обнаруженным виртуальным машинам, на которых не был установлен агент Log Analytics.
  • Да. Параметры новой рабочей области применяются ко всем виртуальным машинам. Каждая виртуальная машина, которая в данный момент подключена к рабочей области, созданной Microsoft Defender for Cloud, повторно подключается к новой целевой рабочей области.

Если вы выбрали Да, не удаляйте рабочие области, созданные Microsoft Defender for Cloud, пока все виртуальные машины не подключатся повторно к новой целевой рабочей области. Операция завершится сбоем, если удалить рабочую область слишком рано.

Параметры событий безопасности Windows для Log Analytics Agent

Выбор уровня сбора данных в Microsoft Defender for Cloud повлияет только на хранение событий безопасности в рабочей области Log Analytics. Агент Log Analytics по-прежнему будет собирать и анализировать события безопасности, необходимые для защиты от угроз в Microsoft Defender for Cloud, независимо от того, какой уровень событий безопасности вы хотите сохранить в рабочей области. Выбор хранения событий безопасности позволит проводить расследование, поиск и аудит этих событий в вашей рабочей области.

Требования

Для хранения данных о событиях безопасности Windows необходимы функции усиленной безопасности Microsoft Defender for Cloud. Узнайте больше о планах усиленной защиты.

Сохранение данных в Log Analytics может привести к дополнительным расходам на хранение данных. Дополнительные сведения см. на странице с расценками.

Сведения для пользователей Microsoft Sentinel

Пользователи Microsoft Sentinel: обратите внимание, что сбор событий безопасности в контексте одной рабочей области можно настроить с помощью Microsoft Defender for Cloud или Microsoft Sentinel, но не с помощью обоих решений. Если вы планируете добавить Microsoft Sentinel в рабочую область, которая уже получает оповещения из Microsoft Defender for Cloud и настроена для сбора данных о событиях безопасности, у вас есть два варианта:

  • Не меняйте параметры сбор событий безопасности в Microsoft Defender for Cloud. Так вы сможете запрашивать и анализировать эти события как в Microsoft Sentinel, так и в Microsoft Defender for Cloud. Однако вы не сможете отслеживать состояние подключения соединителя или изменять его конфигурацию в Microsoft Sentinel. Если это важно для вас, рассмотрите второй вариант.
  • Отключите сбор данных о событиях безопасности в Microsoft Defender for Cloud (задав для параметра События безопасности Windows значение Нет в конфигурации агента Log Analytics). Затем добавьте соединитель событий безопасности в Microsoft Sentinel. Как и в первом варианте, вы сможете запрашивать и анализировать события как в Microsoft Sentinel, так и в Microsoft Defender for Cloud, а также отслеживать состояние подключения соединителя или изменять его конфигурацию в Microsoft Sentinel.
Какие типы событий сохраняются для наборов "Общий" и "Минимальный"?

Эти наборы предназначены для стандартных сценариев. Выберите набор, который соответствует вашим требованиям, прежде чем внедрить его.

Для определения событий, которые будут принадлежать к вариантам Общий и Минимальный, мы ознакомились с отзывами клиентов и отраслевыми стандартами, чтобы изучить нефильтрованную частоту каждого события и их использования. В процессе мы использовали приведенные ниже рекомендации.

  • Минимальный. Убедитесь, что этот набор содержит только события, которые могут указывать на брешь в системе безопасности и важные события небольших объемов. Например, этот набор содержит относительно большой объем сведений об успешных и неудачных попытках входа пользователя (идентификаторы события 4624 и 4625), однако не содержит сведений о выходе, что очень важно для аудита и не важно для обнаружения. Большую часть данных этого набора занимают события входа и создания процессов (идентификатор событий 4688).
  • Общий. В этом наборе предоставляется полный журнал аудита пользователя. Например, этот набор содержит данные о входе и выходе пользователя (идентификатор события 4634). Мы добавили действия аудита, такие как изменение группы безопасности, операции основного контроллера домена Kerberos и другие события, рекомендованные отраслевыми организациями.

События небольших объемов были включены в набор "Общий". Основной причиной для его выбора среди всех событий является возможность уменьшить объем и оставить определенные события нефильтрованными.

Ниже приведен полный обзор идентификаторов событий безопасности и событий App Locker для каждого набора.

Уровень данных Собранные индикаторы событий Небольшие 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755, 4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222 Распространенные 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622, 4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697, 4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737, 4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771, 4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902, 4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272, 6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

  • При использовании объекта групповой политики (GPO) мы рекомендуем включить событие создания процессов 4688 политик аудита и поле CommandLine в этом событии. Дополнительные сведения о событии создания процессов 4688 см. в разделе часто задаваемых вопросов Microsoft Defender for Cloud. Дополнительные сведения об этих политиках аудита см. в разделе Audit Policy Recommendations (Рекомендации по политике аудита).
  • Чтобы включить сбор данных для адаптивных элементов управления приложениями, Microsoft Defender for Cloud настраивает локальную политику AppLocker в режиме аудита, что позволяет разрешить все приложения. В результате AppLocker будет генерировать события, которые затем собираются и используются Microsoft Defender for Cloud. Важно отметить, что эта политика не настраивается на компьютерах, где уже настроена политика AppLocker.
  • Чтобы собирать данные о событиях с кодом 5156 на платформе фильтрации Windows, необходимо включить Аудит подключения платформы фильтрации (Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable)
Настройка параметра события безопасности на уровне рабочей области

Вы можете определить уровень данных событий безопасности, которые будут храниться на уровне рабочей области.

В меню Microsoft Defender for Cloud на портале Azure выберите Параметры среды.

Выберите соответствующую рабочую область. Единственными событиями сбора данных для рабочей области являются события безопасности Windows, описанные на этой странице.

Выберите объем необработанных данных события для хранения, а затем — Сохранить.

Подготовка агента вручную

Чтобы вручную установить агент Log Analytics, выполните указанные ниже действия.

Отключите автоматическую подготовку.

При необходимости создайте рабочую область.

Включите Microsoft Defender для облака в рабочей области, в которой устанавливаете агент Log Analytics:

В меню Defender for Cloud выберите Параметры среды.

Укажите рабочую область, в которой устанавливаете агент. Убедитесь, что рабочая область находится в той же подписке, которая используется в Microsoft Defender for Cloud, а у вас есть разрешения на чтение и запись в этой рабочей области.

Выберите Включить Microsoft Defender для облака и Сохранить.

Если в рабочей области уже включено решение Security или SecurityCenterFree, ценовая категория будет задана автоматически.

Чтобы развернуть агенты на новых виртуальных машинах с помощью шаблона Resource Manager, установите агент Log Analytics:

  • см. сведения об установке агента Log Analytics для Windows;
  • см. сведения об установке агента Log Analytics для Linux.

Чтобы развернуть агенты на существующих виртуальных машинах, следуйте инструкциям из статьи Сбор данных о виртуальных машинах Azure (раздел о сборе данных о событиях и производительности является необязательным).

Чтобы развернуть агенты с помощью PowerShell, следуйте инструкциям из документации по виртуальным машинам:

Автоматическая подготовка уже существующей установки агента

В описанных ниже вариантах использования указано, как автоматическая подготовка работает в тех случаях, когда агент или расширение уже установлены.

Агент Log Analytics непосредственно установлен на компьютере, но не в качестве расширения (прямой агент) . Если агент Log Analytics установлен непосредственно на виртуальной машине (не в качестве расширения Azure), Microsoft Defender for Cloud установит расширение агента Log Analytics и сможет обновить агент Log Analytics до последней версии. Установленный агент продолжит передавать данные в уже настроенные рабочие области и в дополнение будет передавать их в рабочую область, настроенную в Microsoft Defender for Cloud (на компьютерах Windows поддерживается одновременная работа с несколькими поставщиками услуг).

Если настроенная рабочая область является пользовательской (не рабочей областью Microsoft Defender for Cloud по умолчанию), вам потребуется установить в ней решение Security или SecurityCenterFree для Microsoft Defender for Cloud, чтобы начать обработку событий с виртуальных машин и компьютеров, передающих данные в эту рабочую область.

Для компьютеров Linux одновременная работа с несколькими поставщиками услуг еще не поддерживается, поэтому при обнаружении существующей установки агента автоматическая подготовка не выполняется, и конфигурация компьютера не будет изменена.

Для существующих компьютеров в подписках, подключенных к Microsoft Defender for Cloud до 17 марта 2019 года, при обнаружении существующего агента расширение агента Log Analytics не будет установлено и конфигурация компьютера не будет изменена. Рекомендации по устранению проблем установки агента на таких компьютерах см. в разделе "Устранение проблем работоспособности агента мониторинга на ваших компьютерах".

Агент System Center Operations Manager уже установлен на компьютере. Microsoft Defender for Cloud установит расширение агента Log Analytics параллельно с существующим агентом Operations Manager. Существующий агент Operations Manager продолжит отправлять отчеты на сервер Operations Manager, как обычно. Агент Operations Manager и агент Log Analytics используют общие библиотеки времени выполнения, которые во время этого процесса будут обновлены до последней версии. Если установлен агент Operations Manager версии 2012, не включайте автоматическую подготовку.

Расширение виртуальной машины уже установлено:

  • Если агент мониторинга установлен в качестве расширения, конфигурация расширения позволяет создавать отчеты только для одной рабочей области. Microsoft Defender for Cloud не переопределяет установленные подключения к рабочим областям пользователя. Microsoft Defender for Cloud будет хранить данные безопасности с виртуальной машины в уже подключенной рабочей области при условии, что в ней установлено решение Security или SecurityCenterFree. В рамках этого процесса Microsoft Defender for Cloud может обновлять расширение до последней версии.
  • Чтобы узнать, в какую рабочую область отправляет данные имеющееся расширение, выполните тест для проверки соединения с Microsoft Defender for Cloud. Вы также можете открыть рабочие области Log Analytics, выбрать рабочую область и виртуальную машину, а затем проверить подключение агента Log Analytics.
  • Если в вашей среде на клиентских рабочих станциях установлен агент Log Analytics, отправляющий отчеты в имеющуюся рабочую область Log Analytics, просмотрите список операционных систем, поддерживаемых Microsoft Defender for Cloud, чтобы убедиться, что ваша операционная система поддерживается. Дополнительные сведения см. в статье Существующие клиенты Log Analytics.

Отключение автоматической подготовки

При отключении автоматической подготовки агенты не будут подготавливаться на новых виртуальных машинах.

Чтобы отключить автоматическую подготовку агента, выполните указанные ниже действия.

В меню Microsoft Defender for Cloud на портале выберите Параметры среды.

Выберите соответствующую подписку.

Выберите Автоматическая подготовка.

Установите для состояния соответствующего агента значение Выкл.

Щелкните Сохранить. Если автоматическая подготовка отключена, раздел конфигурации рабочей области по умолчанию не отображается:

При отключении автоматической подготовки агент Log Analytics не будет удален с виртуальных машин Azure, на которых он был подготовлен. Сведения о том, как удалить расширение OMS, см. в разделе Как удалить расширения OMS, установленные Microsoft Defender for Cloud.

Устранение неполадок

  • Требования к сети см. в разделе Устранение неполадок, связанных с требованиями к сети для агента мониторинга.
  • Руководство по устранению проблем с подключением вручную см. в статье Устранение неполадок подключения к Operations Management Suite.

Дальнейшие действия

На этой странице объясняется, как включить автоматическую подготовку агента Log Analytics и других расширений Microsoft Defender for Cloud. Здесь также описано, как определить рабочую область Log Analytics, в которой будут храниться собранные данные. Чтобы включить сбор данных, необходимо выполнить обе операции. За хранение данных в Log Analytics, будь то новая или существующая рабочая область, может взиматься дополнительная плата. Сведения о ценах в местной валюте или регионе см. на странице с ценами.

📎📎📎📎📎📎📎📎📎📎