Open in app

Sign in

Write

Sign in

MS Defender for Cloud連接Azure資產

Microsoft Defender for Cloud 中的Resource protection可以透過autoprovisioning,也可以手動部署。組織可能有一些不屬於autoprovisioning方案的 Azure VM。必須手動設定對這些 Azure 資源的保護。

透過資產清單來探索和管理資源

Microsoft Defender for Cloud 的asset inventory頁面用於查看已連接到 Defender for Cloud 的資源的安全狀況。

Defender for Cloud 會定期分析 Azure 資源的安全狀態,以識別潛在的漏洞。然後,提供有關如何修復這些漏洞的建議。

當任何資源有未完成的recommendations時,它們都會出現在inventory中。

使用此視圖及其filters可以解決下列問題:

  • 哪些啟用了 Microsoft Defender for Cloud 的訂閱有outstanding recommendations?
  • 哪些帶有「Production」標籤的機器缺少 Log Analytics agent?
  • 帶有特定標籤的機器中有多少台具有一定要補的漏洞?
  • 特定資源組中有多少資源具有漏洞評估服務的security findings?

Asset inventory主要功能

Summaries -在定義任何filters之前,inventory view最上方顯示一些數字:

  • Total resources:
    連接到 Defender for Cloud 的資源總數。
  • Unhealthy resources:
    具有主動安全建議的資源。了解有關安全建議的更多資訊。
  • Unmonitored resources:
    存在agent監控問題的資源 — 它們部署了 Log Analytics agent,但agent不發送資料或有其他運行狀況問題

Filters-
頁面上方的多個filter提供了一種根據需要回答的問題快速細化資源清單的方法。例如,如果我想知道哪些帶有「Production」標籤的電腦缺少 Log Analytics agent?套用filters後,summary values就會更新以與查詢結果相關。

Export options —
Inventory提供經過篩選的結果匯出到 CSV 檔案的選項。查詢本身也可以匯出到 Azure 資源圖形資源管理器,以進一步細化、儲存或修改 KQL 查詢。

Asset management選項 —
Inventory可執行複雜的查詢。當找到與查詢相符的資源時,Inventory會提供以下操作的捷徑:

  • Assign tags to the filtered resources — 選取要標記的資源旁的核取方塊。
  • Onboard new servers to Defender for Cloud— 使用「Add non-Azure servers」工具列按鈕。
  • Automate workloads with Azure Logic Apps— 使用「Trigger Logic App」按鈕在一個或多個資源上執行logic apps。logic apps必須提前做好準備並接受相關的觸發器類型(HTTP requests)。

Asset inventory運用 ARG(Asset inventory),這是一項 Azure 服務,可以跨多個訂閱查詢 Defender 以取得雲端的安全性資料。 ARG 旨在提供高效的資源探索以及大規模查詢的能力。 ARG 使用 KQL。Asset inventory可以透過交叉引用 ASC 資料與其他資源屬性來快速產生見解。

如何使用asset inventory

  • 從 Defender for Cloud 的側邊欄中,選擇Inventory
  • 使用「Filter by name」方塊可顯示特定資源,或使用如下所述的filters
  • 在filters中選擇相關選項以建立要執行的特定查詢
  • 若要使用 Security findings contain filter,請輸入漏洞結果的 ID、安全性檢查或 CVE 名稱中的文本,以過濾到受影響的資源:
  • 若要使用 Defender for Cloud 過濾器,請選擇一個或多個選項(關閉、開啟或部分):
    — off
    不受 Defender for Cloud plan保護的資源。可以右鍵點擊任何這些資源並升級它們
    — On
    受 Defender for Cloud plan保護的資源
    — Partial
    此選項適用於停用部分但非全部 Defender for Cloud plan的訂閱

配置auto provisioning

Microsoft Defender for Cloud 從 Azure VM、virtual machine scale sets、IaaS 容器和非 Azure(包括地端)電腦收集數據,以監視安全漏洞和威脅。

需要資料收集來提供對missing updates、misconfigured OS security settings、端點保護狀態以及運作狀況和威脅保護的可見性。只有運算資源需要資料收集。即使不配置agent,也可以使用 Defender for Cloud 。但是,安全性有限,並且不支援上面列出的功能。

資料收集使用:

  • Log Analytics agent,從電腦讀取各種與安全相關的配置和事件日誌,並將資料複製到workspace進行分析。此類資料的範例包括作業系統類型和版本、作業系統日誌(Windows 事件日誌)、正在執行的process、電腦名稱、IP 位址和登入使用者。
  • Security extensions,例如適用於 K8S 的 Azure Policy Add-on,它還可以向Security Center提供有關專門資源類型的資料。

為何使用auto provisioning?

這裡所述的任何agent和extensions都可以手動安裝。然而,auto provisioning透過在現有和新機器上安裝所有必要的agent和extensions來減少管理負擔,以確保更快地覆蓋所有支援的資源。

Defender for Clouds 的auto provisioning setting針對每種支援的extension都有一個切換。當啟用extension的auto provisioning時,可以指派適當的「if not exists policy」政策,以確保在該類型的所有現有和未來資源上配置該extension。

啟用Log Analytics agent的auto provisioning

當 Log Analytics agent啟用auto provisioning時,Defender for Cloud 會在所有支援的 Azure VM 以及建立的任何新 VM 上部署agent。

啟用 Log Analytics agent的auto provisioning:

  1. 從 Defender for Clouds 的選單中,選擇 Environment settings
  2. 選擇相關訂閱
  3. 在「 Auto provisioning」頁面中,將 Log Analytics agent的自動預配狀態設定為「On」
  4. 從configuration options pane中,定義要使用的 workspace

將 Azure VM 連接到 Defender for Cloud 建立的default workspace(s) — Defender for Cloud 在相同地理位置建立新的資源群組和預設工作區,並將agent連接到該工作區。如果訂閱包含來自多個地理位置的VM,Defender for Cloud 會建立多個工作區以確保符合資料隱私要求。

workspace與resource group的命名規則為:

  • Workspace: DefaultWorkspace-[subscription-ID]-[geo]
  • Resource Group: DefaultResourceGroup-[geo]

Defender for Cloud 根據 pricing tier set會自動在工作區上啟用 Defender for Cloud 解決方案。

如果已有 Log Analytics 工作區,則可能需要使用相同的工作區(需要工作區的讀寫權限)。如果在組織中使用集中式工作區並希望將其用於安全資料收集。了解更多信息,請參閱Manage access to log data and workspaces in Azure Monitor。

如果選擇的工作區已啟用 Security 或 Defender for Cloud Free 解決方案,則會自動設定定價。如果沒有,請在工作區上安裝 Defender for Cloud 解決方案。

Log Analytics agent的 Windows security event options

在 Defender for Cloud 中選擇data collection tier只影響 Log Analytics workspace中安全事件的儲存。無論選擇在工作區中儲存的安全事件等級為何,Log Analytics agent仍會收集和分析 Defender for Clouds 威脅防護所需的安全事件。選擇儲存安全事件可以對工作區中的這些事件進行調查、搜尋和審核。

儲存 Windows security event data需要 Defender for Cloud。在 Log Analytics 中儲存資料可能會產生更多資料儲存費用。

面向 Microsoft Sentinel 使用者的資訊

單一工作區脈絡中的安全事件收集可以從 Microsoft Defender for Cloud 或 Microsoft Sentinel 進行配置,但不能同時從兩者進行配置。如果打算將 Microsoft Sentinel 新增至已從 Microsoft Defender for Cloud 取得告警的工作區,並且其設定用於收集安全事件,則有兩個選擇:

  • 將 Defender for Cloud 中的Security Events collection保留原樣。我們將能夠在 Microsoft Sentinel 和 Defender for Cloud 中查詢和分析這些事件。但是,將無法在 Microsoft Sentinel 中監控connector’s connectivity status或變更其設定。如果監控或自訂連接器對我們很重要,請考慮第二個選項。
  • 停用 Defender for Cloud 中的 Security Events collection(透過在 Log Analytics agent的配置中將Windows security events設為「None」)。然後在 Microsoft Sentinel 中新增安全事件連接器。與第一個選項一樣,我們將能夠查詢和分析 Microsoft Sentinel 和 Defender for Cloud 中的事件,但現在可以在(且僅在)Microsoft Sentinel 中監視連接器的連接狀態或變更其配置。

為「Common」和「Minimal」儲存哪些事件類型?

這些集合旨在解決典型場景。在實施之前,請務必評估哪一種適合我們的需求。

為了確定common和minimal選項的事件使用以下準則:

  • Minimal -
    確保這個設定只涵蓋可能呈現成功違規的事件和數量較少的重要事件。例如,這個設定包含使用者成功登入和失敗登入(event ID 4624、4625),但不包含登出,這對於稽核很重要,但對於偵測沒有意義,數量相對較高。這個設定的大部分資料量是login events與process creation event(event ID 4688)。
  • Common -
    這個設定中提供完整的使用者稽核追蹤。例如,包含使用者登入和使用者登出(event ID 4634)。我們包括稽核操作,例如安全性群組變更、關鍵網域控制器 Kerberos 操作以及產業組織建議的其他事件。
資安
雲端運算

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams