Defender for Cloud 如何收集数据?

Defender for Cloud 从 Azure 虚拟机 (VM)、虚拟机规模集、IaaS 容器和非 Azure 计算机(包括本地计算机)收集数据,以监视安全漏洞和威胁。 一些 Defender 计划要求监视组件从工作负载收集数据。

必须收集数据才能深入了解缺少的更新、配置不当的 OS 安全设置、终结点保护状态,以及运行状况和威胁防护结果。 只需对计算资源(例如 VM、虚拟机规模集、IaaS 容器和非 Azure 计算机)启用数据收集。

即使不预配代理,也仍可以从 Microsoft Defender for Cloud 受益。 但是,你的安全性有限,并且不支持上面列出的功能。

使用以下工具收集数据:

为何使用 Defender for Cloud 部署监视组件?

可以查看工作负载的安全性取决于监视组件所收集的数据。 这些组件可确保涵盖了所有受支持的资源的安全性。

为了节省手动安装扩展的过程,Defender for Cloud 通过在现有计算机和新计算机上安装所有必需的扩展来减少管理开销。 Defender for Cloud 为订阅中的工作负载分配适当的“如果不存在则部署”策略。 此策略类型可确保在该类型的所有现有和将来的资源上预配扩展。

提示

请参阅了解 Azure Policy 效果来详细了解 Azure Policy 效果,包括“如果不存在则部署”。

哪些计划使用监视组件?

以下计划使用监视组件来收集数据:

扩展的可用性

Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Log Analytics 代理

方面 Azure 虚拟机 已启用 Azure Arc 的计算机
发布状态: 正式发布 (GA) 正式发布 (GA)
相关的 Defender 计划: 针对基于代理的安全建议的基础云安全态势管理 (CSPM)
适用于服务器的 Microsoft Defender
Microsoft Defender for SQL
针对基于代理的安全建议的基础云安全态势管理 (CSPM)
适用于服务器的 Microsoft Defender
Microsoft Defender for SQL
所需的角色和权限(订阅级别): 负责人 所有者
支持的目标: Azure 虚拟机 已启用 Azure Arc 的计算机
基于策略:
云: 由世纪互联运营的 Microsoft Azure 由世纪互联运营的 Microsoft Azure

Log Analytics 代理支持的操作系统

Defender for Cloud 依赖于 Log Analytics 代理。 请确保计算机正在运行此代理支持的操作系统之一,如以下页面所述:

还需确保 Log Analytics 代理正确配置为将数据发送到 Defender for Cloud

在预先存在代理安装的情况下部署 Log Analytics 代理

以下用例说明在已安装代理或扩展的情况下 Log Analytics 代理的部署如何工作。

  • Log Analytics 代理已安装在计算机上,但不是作为扩展(直接代理)安装的 - 如果 Log Analytics 代理直接安装在 VM 上(而不是作为 Azure 扩展安装),Defender for Cloud 将安装 Log Analytics 代理扩展,可能还会将 Log Analytics 代理升级到最新版本。 安装的代理将继续向其已配置的工作区报告,以及向 Defender for Cloud 中配置的工作区报告。 (Windows 计算机支持多宿主。)

    如果 Log Analytics 配置了用户工作区而不是 Defender for Cloud 的默认工作区,则需要在该工作区上安装“Security”或“SecurityCenterFree”解决方案,以便 Defender for Cloud 开始处理向该工作区报告的 VM 和计算机中的事件。

    对于 Linux 计算机,尚不支持代理多宿主。 如果检测到现有代理安装,不会部署 Log Analytics 代理。

    对于在 2019 年 3 月 17 日之前加入到 Defender for Cloud 的订阅上的现有计算机,检测到现有代理时,将不会安装 Log Analytics 代理扩展,并且计算机将不会受到影响。 对于这些计算机,请参阅“解决计算机上的监视代理运行状况问题”建议,以解决这些计算机上的代理安装问题。

  • 已在计算机上安装 System Center Operations Manager 代理 - Defender for Cloud 会将 Log Analytics 代理扩展并行安装到现有 Operations Manager。 现有 Operations Manager 代理将继续正常向 Operations Manager 服务器报告。 Operations Manager 代理和 Log Analytics 代理共享公共运行时库,在此过程中这些库将更新为最新版本。

  • 存在预先存在的 VM 扩展:

    • 当将监视代理作为扩展安装时,扩展配置仅允许向单个工作区进行报告。 Defender for Cloud 不会替代用户工作区的现有连接。 如果已连接的工作区中安装了“Security”或“SecurityCenterFree”解决方案,Defender for Cloud 会将来自 VM 的安全性数据存储在该工作区中。 在此过程中,Defender for Cloud 可以将扩展版本升级到最新版本。
    • 若要查看现有扩展将数据发送到哪个工作区,请运行 TestCloudConnection.exe 工具来验证与 Microsoft Defender for Cloud 的连接,如验证 Log Analytics 代理连接中所述。 或者,可以打开 Log Analytics 工作区,选择一个工作区,选择 VM,然后查看 Log Analytics 代理连接。
    • 如果环境中的 Log Analytics 代理安装在客户端工作站上并向现有的 Log Analytics 工作区报告,请查看 Microsoft Defender for Cloud 支持的操作系统列表以确保操作系统受支持。

详细了解如何使用 Log Analytics 代理

Defender for Containers 扩展

下表显示了 Microsoft Defender for Containers 提供的保护所需要的组件的可用性详细信息。

默认情况下,从 Azure 门户启用 Defender for Containers 时会启用所需的扩展。

方面 Azure Kubernetes 服务群集 已启用 Azure Arc 的 Kubernetes 群集
发布状态: • Defender 代理:GA
• 适用于 Kubernetes 的 Azure Policy:正式发布 (GA)
• Defender 代理:预览版
• 适用于 Kubernetes 的 Azure Policy:预览版
相关的 Defender 计划: 适用于容器的 Microsoft Defender 适用于容器的 Microsoft Defender
所需的角色和权限(订阅级别): 所有者或用户访问管理员 所有者或用户访问管理员
支持的目标: AKS Defender 代理仅支持已启用 RBAC 的 AKS 群集
基于策略:
云: Defender 代理
由世纪互联运营的 Microsoft Azure
适用于 Kubernetes 的 Azure Policy
由世纪互联运营的 Microsoft Azure
Defender 代理
由世纪互联运营的 Microsoft Azure
适用于 Kubernetes 的 Azure Policy
由世纪互联运营的 Microsoft Azure

详细了解用于预配 Defender for Containers 扩展的角色

疑难解答

后续步骤

本页介绍了监视组件是什么以及如何启用它们。

了解有关以下方面的详细信息: