Microsoft Defender for Cloud 故障排除指南
本指南适用于其组织需要对与 Microsoft Defender for Cloud 相关问题进行故障排除的 IT 专业人员、信息安全分析师和云管理员。
使用审核日志调查问题
查找故障排除信息的第一个位置是失败组件的审核日志。 在审核日志中,可以看到如下所示的详细信息:
- 执行了哪些操作。
- 谁启动了该操作。
- 操作何时发生。
- 操作的状态。
审核日志包含对资源执行的所有写入操作(PUT
、POST
、DELETE
),但不包含读取操作(GET
)。
排查 Log Analytics 代理的问题
Defender for Cloud 使用 Log Analytics 代理来收集和存储数据。 本文中的信息涉及的是迁移到 Log Analytics 代理后的 Defender for Cloud 功能。
警报类型为:
- 虚拟机行为分析 (VMBA)
- 网络分析
- Azure SQL 数据库和 Azure Synapse Analytics 分析
- 上下文信息
你可以根据警报类型收集所需的信息,以便通过以下资源来调查警报:
- Windows 的虚拟机 (VM) 事件查看器中的安全日志
- Linux 中的审核守护程序 (
auditd
) - 攻击资源上的 Azure 活动日志和已启用的诊断日志
你可以共享有关警报说明和相关性的反馈。 转到警报,选择“这是否有用”按钮,选择原因,然后输入评论,对反馈进行说明。 我们会持续监视此反馈渠道,以便改进我们的警报。
检查 Log Analytics 代理进程和版本
与 Azure Monitor 一样,Defender for Cloud 使用 Log Analytics 代理从 Azure 虚拟机收集安全数据。 启用数据收集并在目标计算机上安装代理后,HealthService.exe
进程应正在运行中。
打开服务管理控制台 (services.msc),确保 Log Analytics 代理服务正在运行。
若要查看你拥有的代理版本,请打开任务管理器。 在“进程”选项卡上,找到 Log Analytics 代理服务,右键单击它,然后选择“属性”。 在“详细信息”选项卡上,查找文件版本。
检查 Log Analytics 代理的安装方案
在计算机上安装 Log Analytics 代理时,有两种可产生不同结果的安装方案。 支持的方案有:
Defender for Cloud 自动安装的代理:可以在 Defender for Cloud 中查看警报和日志搜索。 你会收到电子邮件通知,此类通知发送到的电子邮件地址是在资源所属的订阅的安全策略中配置的。
在位于 Azure 中的 VM 上手动安装代理:在此方案中,如果是在 2017 年 2 月前手动下载并安装的代理,则只有在筛选工作区所属的订阅时,才能在 Defender for Cloud 门户中查看警报。 如果对资源所属订阅进行筛选,则不会看到任何警报。 您会通过工作区所属订阅的安全策略中配置的电子邮件地址收到电子邮件通知。
若要避免筛选问题,请务必下载最新版本的代理。
监视代理的网络连接问题
若要使代理连接到 Defender for Cloud 并注册,他们必须有权访问 Azure 网络资源的 DNS 地址和网络端口。 若要启用此访问,请执行以下操作:
- 使用代理服务器时,请确保在代理设置中正确配置适当的代理服务器资源。
- 将网络防火墙配置为允许访问 Log Analytics。
Azure 网络资源包括:
代理资源 | 端口 | 绕过 HTTPS 检查 |
---|---|---|
*.ods.opinsights.azure.cn |
443 | 是 |
*.oms.opinsights.azure.cn |
443 | 是 |
*.blob.core.chinacloudapi.cn |
443 | 是 |
*.azure-automation.net |
443 | 是 |
如果在载入 Log Analytics 代理时遇到问题,请阅读对运营管理套件的载入问题进行故障排除。
对运行不当的反恶意软件保护进行故障排除
来宾代理是 Microsoft Antimalware 扩展进行的所有操作的父进程。 当来宾代理进程故障时,作为来宾代理子进程运行的 Microsoft 反恶意软件保护也可能发生故障。
下面提供了一些故障排除提示:
- 如果目标 VM 是从自定义映像创建的,请确保 VM 的创建者安装了来宾代理。
- 如果目标是 Linux VM,安装 Windows 版本的反恶意软件扩展将失败。 Linux 来宾代理具有特定的操作系统和软件包要求。
- 如果 VM 是使用旧版本的来宾代理创建的,则旧代理可能无法自动更新到较新版本。 创建自己的映像时,请始终使用最新版本的来宾代理。
- 某些第三方管理软件可能会禁用来宾代理,或阻止对某些文件位置的访问。 如果 VM 上安装有第三方管理软件,请确保反恶意软件代理在排除列表中。
- 确保防火墙设置和网络安全组不会阻止传入和传出来宾代理的网络流量。
- 确保没有访问控制列表阻止磁盘访问。
- 来宾代理需要足够的磁盘空间才能正常运行。
默认情况下,Microsoft Antimalware 用户界面处于禁用状态。 但是,可以在 Azure 资源管理器 VM 上启用 Microsoft Antimalware 用户界面。
对加载仪表板时出现的问题进行故障排除
如果在加载工作负载保护仪表板时遇到问题,请确保首次在订阅上启用 Defender for Cloud 的用户以及想要启用数据收集的用户具有订阅上的“所有者”或“参与者”角色。 如果如此,则在订阅中具有“读取者”角色的用户可以看到仪表板、警报、建议和策略。