Wie sammelt Defender für Cloud Daten?

Defender für Cloud erfasst Daten von Ihren Azure-VMs, VM-Skalierungsgruppen, IaaS-Containern und Nicht-Azure-Computern (auch lokal), um sie auf Sicherheitslücken und Bedrohungen zu überwachen. Einige Defender-Pläne erfordern Überwachungskomponenten, um Daten aus Ihren Workloads zu sammeln.

Die Datensammlung ist erforderlich, um einen Einblick in fehlende Updates, falsch konfigurierte Sicherheitseinstellungen des Betriebssystems, den Status des Endpunktschutzes sowie Integritäts- und Bedrohungsschutz bereitzustellen. Die Datensammlung ist nur für Computeressourcen (etwa virtuelle Computer, VM-Skalierungsgruppen, IaaS-Container und Azure-fremde Computer) erforderlich.

Sie können von Microsoft Defender für Cloud profitieren, auch wenn Sie keine Agents bereitstellen. Allerdings haben Sie dann nur eingeschränkte Sicherheit und die aufgeführten Funktionen werden nicht unterstützt.

Daten werden wie folgt gesammelt:

Gründe für die Verwendung von Defender for Cloud zum Bereitstellen von Überwachungskomponenten

Der Einblick in die Sicherheit Ihrer Workloads hängt von den Daten ab, die die Überwachungskomponenten sammeln. Die Komponenten gewährleisten die Sicherheitsabdeckung für alle unterstützten Ressourcen.

Um Ihnen die manuelle Installation der Erweiterungen zu ersparen, reduziert Defender for Cloud den Verwaltungsaufwand, indem alle erforderlichen Erweiterungen auf vorhandenen und neuen Computern installiert werden. Defender for Cloud weist den Workloads im Abonnement die entsprechende Richtlinie Bereitstellung, falls nicht vorhanden zu. Dieser Richtlinientyp stellt sicher, dass die Erweiterung für alle vorhandenen und zukünftigen Ressourcen dieses Typs bereitgestellt wird.

Tipp

Weitere Informationen zu Azure Policy-Auswirkungen, einschließlich Bereitstellung, falls nicht vorhanden, finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

Welche Pläne verwenden Überwachungskomponenten?

Diese Pläne verwenden Überwachungskomponenten zum Sammeln von Daten:

Verfügbarkeit von Erweiterungen

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Azure Monitor-Agent (AMA)

Aspekt Details
Status des Release: Allgemein verfügbar (Generally Available, GA)
Relevanter Defender-Plan: Defender für SQL-Server auf Computern
Erforderliche Rollen und Berechtigungen (Abonnementebene): Besitzer
Unterstützte Ziele: Virtuelle Azure-Computer
Computer mit Azure Arc-Unterstützung
Richtlinienbasiert: Ja
Clouds: Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Erfahren Sie mehr über die Verwendung des Azure Monitor-Agents mit Defender for Cloud.

Log Analytics-Agent

Aspekt Virtuelle Azure-Computer Computer mit Azure Arc-Unterstützung
Status des Release: Allgemein verfügbar (Generally Available, GA) Allgemein verfügbar (Generally Available, GA)
Relevanter Defender-Plan: Grundlegende Funktionen zur Verwaltung der Cloudsicherheit (Foundational Cloud Security Posture Management, CSPM) für Agent-basierte Sicherheitsempfehlungen
Microsoft Defender für Server
Microsoft Defender für SQL
Grundlegende Funktionen zur Verwaltung der Cloudsicherheit (Foundational Cloud Security Posture Management, CSPM) für Agent-basierte Sicherheitsempfehlungen
Microsoft Defender für Server
Microsoft Defender für SQL
Erforderliche Rollen und Berechtigungen (Abonnementebene): Besitzer Besitzer
Unterstützte Ziele: Virtuelle Azure-Computer Computer mit Azure Arc-Unterstützung
Richtlinienbasiert: Nein Ja
Clouds: Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Unterstützte Betriebssysteme für den Log Analytics-Agent

Defender für Cloud ist vom Log Analytics-Agent abhängig. Stellen Sie sicher, dass auf ihren Computern eines der unterstützten Betriebssysteme für diesen Agent ausgeführt wird, wie auf den folgenden Seiten beschrieben:

Stellen Sie außerdem sicher, dass der Log Analytics-Agent ordnungsgemäß für das Senden von Daten an Defender für Cloud konfiguriert ist.

Bereitstellen des Log Analytics-Agents bei einer bereits vorhandenen Agent-Installation

Die folgenden Anwendungsfälle erklären, wie die Bereitstellung des Log Analytics-Agents funktioniert, wenn bereits ein Agent oder eine Erweiterung installiert ist.

  • Der Log Analytics-Agent ist auf dem Computer installiert, aber nicht als Erweiterung (Direkt-Agent): Wenn der Log Analytics-Agent direkt auf der VM installiert ist (also nicht als Azure-Erweiterung), installiert Defender für Cloud die Log Analytics-Agent-Erweiterung und aktualisiert den Log Analytics-Agent ggf. auf die aktuelle Version. Der installierte Agent sendet weiterhin Berichte an seine bereits konfigurierten Arbeitsbereichen und den in Defender für Cloud konfigurierten Arbeitsbereich. (Multihoming wird auf Windows-Computern unterstützt.)

    Wenn Log Analytics mit einem Benutzerarbeitsbereich konfiguriert ist und nicht dem Standardarbeitsbereich von Defender für Cloud, müssen Sie darin die Lösung „Security“ oder „SecurityCenterFree“ installieren, damit Defender für Cloud mit der Verarbeitung von Ereignissen von VMs und Computern beginnen kann, die ihre Berichte an diesen Arbeitsbereich senden.

    Auf Linux-Computern wird das Agent-Multihoming noch nicht unterstützt. Wenn eine vorhandene Agent-Installation erkannt wird, wird der Log Analytics-Agent nicht bereitgestellt.

    Wenn für vorhandene Computer in Abonnements, die vor dem 17. März 2019 in Defender für Cloud integriert wurden, ein vorhandener Agent erkannt wird, wird die Log Analytics-Agent-Erweiterung nicht installiert, und der Computer ist nicht betroffen. Für diese Computer wird die Empfehlung „Monitoring Agent-Integritätsprobleme auf Ihren Computern beheben“ angezeigt, damit Sie die Installationsprobleme des Agents auf diesen Computern beheben können.

  • Der System Center Operations Manager-Agent ist auf dem Computer installiert: Defender für Cloud installiert die Log Analytics-Agent-Erweiterung parallel zum vorhandenen Operations Manager. Der vorhandene Operations Manager-Agent sendet weiterhin normal Berichte an den Operations Manager-Server. Der Operations Manager-Agent und der Log Analytics-Agent nutzen gemeinsame Laufzeitbibliotheken, die bei diesem Vorgang auf die neueste Version aktualisiert werden.

  • Eine VM-Erweiterung ist bereits vorhanden:

    • Wenn der Monitoring Agent als Erweiterung installiert ist, erlaubt die Konfiguration der Erweiterung auch Berichte an nur einen einzelnen Arbeitsbereich. Bereits vorhandene Verbindungen mit Benutzerarbeitsbereichen werden von Defender für Cloud nicht überschrieben. Defender für Cloud speichert Sicherheitsdaten der VM im bereits verbundenen Arbeitsbereich, sofern darin die Lösung „Security“ oder „SecurityCenterFree“ installiert wurde. Defender for Cloud führt möglicherweise während dieses Vorgangs ein Upgrade der Erweiterungsversion auf die neueste Version durch.
    • Um zu sehen, an welchen Arbeitsbereich die vorhandene Erweiterung Daten sendet, führen Sie dasTool TestCloudConnection.exe aus, um die Konnektivität mit Microsoft Defender für Cloud zu überprüfen, wie unter Überprüfen der Konnektivität des Log Analytics-Agenten beschrieben. Alternativ können Sie Log Analytics-Arbeitsbereiche öffnen, einen Arbeitsbereich und den virtuellen Computer auswählen und sich die Log Analytics-Agent-Verbindung ansehen.
    • Wenn Sie über eine Umgebung verfügen, in der der Log Analytics-Agent auf Clientarbeitsstationen installiert ist und an einen vorhandenen Log Analytics-Arbeitsbereich berichtet, überprüfen Sie die Liste der von Microsoft Defender für Cloud unterstützten Betriebssysteme, um sicherzustellen, dass Ihr Betriebssystem unterstützt wird.

Informieren Sie sich ausführlicher über die Verwendung des Log Analytics-Agents.

Microsoft Defender für den Endpunkt

Aspekt Linux Windows
Status des Release: Allgemein verfügbar (Generally Available, GA) Allgemein verfügbar (Generally Available, GA)
Relevanter Defender-Plan: Microsoft Defender für Server Microsoft Defender für Server
Erforderliche Rollen und Berechtigungen (Abonnementebene): - Zum Aktivieren/Deaktivieren der Integration: Sicherheitsadministrator oder Besitzer
- Zum Anzeigen von Defender for Endpunkt-Warnungen in Defender for Cloud: Sicherheitsleseberechtigter, Leser, Ressourcengruppenmitwirkender, Ressourcengruppenbesitzer, Sicherheitsadministrator, Abonnementbesitzer oder Abonnementmitwirkender
- Zum Aktivieren/Deaktivieren der Integration: Sicherheitsadministrator oder Besitzer
- Zum Anzeigen von Defender for Endpunkt-Warnungen in Defender for Cloud: Sicherheitsleseberechtigter, Leser, Ressourcengruppenmitwirkender, Ressourcengruppenbesitzer, Sicherheitsadministrator, Abonnementbesitzer oder Abonnementmitwirkender
Unterstützte Ziele: Computer mit Azure Arc-Unterstützung
Virtuelle Azure-Computer
Computer mit Azure Arc-Unterstützung
Azure VMs mit Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise mit mehreren Sitzungen
Azure-VMs unter Windows 10
Richtlinienbasiert: Nein Nein
Clouds: Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Erfahren Sie mehr zu Microsoft Defender für Endpunkt.

Sicherheitsrisikobewertung

Aspekt Details
Status des Release: Allgemein verfügbar (Generally Available, GA)
Relevanter Defender-Plan: Microsoft Defender für Server
Erforderliche Rollen und Berechtigungen (Abonnementebene): Besitzer
Unterstützte Ziele: Virtuelle Azure-Computer
Computer mit Azure Arc-Unterstützung
Richtlinienbasiert: Ja
Clouds: Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Gastkonfiguration

Aspekt Details
Status des Release: Vorschau
Relevanter Defender-Plan: Kein Plan erforderlich
Erforderliche Rollen und Berechtigungen (Abonnementebene): Besitzer
Unterstützte Ziele: Virtuelle Azure-Computer
Clouds: Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Erfahren Sie mehr über die Gastkonfigurationserweiterung von Azure.

Defender for Containers-Erweiterungen

Diese Tabelle zeigt die Verfügbarkeitsdetails für die Komponenten, die für die von Microsoft Defender for Containers gebotenen Schutzmaßnahmen erforderlich sind.

Standardmäßig sind die erforderlichen Erweiterungen aktiviert, wenn Sie Defender for Containers über das Azure-Portal aktivieren.

Aspekt Azure Kubernetes Service-Cluster Kubernetes-Cluster mit Azure Arc-Unterstützung
Status des Release: • Defender-Sensor: GA
• Azure Policy für Kubernetes: Allgemein verfügbar (GA)
• Defender-Sensor: Vorschau
• Azure Policy für Kubernetes: Vorschau
Relevanter Defender-Plan: Microsoft Defender für Container Microsoft Defender für Container
Erforderliche Rollen und Berechtigungen (Abonnementebene): Besitzer oder Benutzerzugriffsadministrator Besitzer oder Benutzerzugriffsadministrator
Unterstützte Ziele: Der AKS Defender-Sensor unterstützt nur AKS-Cluster, bei denen RBAC aktiviert wurde. Siehe Kubernetes-Verteilungen, die für Kubernetes mit Arc-Unterstützung unterstützt werden
Richtlinienbasiert: Ja Ja
Clouds: Defender-Sensor:
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet
Azure Policy für Kubernetes:
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet
Defender-Sensor:
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet
Azure Policy für Kubernetes:
Kommerzielle Clouds
Azure Government, Microsoft Azure operated by 21Vianet

Erfahren Sie mehr über die Rollen, die zum Bereitstellen von Defender for Containers-Erweiterungen verwendet werden.

Problembehandlung

Nächste Schritte

Auf dieser Seite wurde erläutert, was Überwachungskomponenten sind und wie sie aktiviert werden können.

Weitere Informationen: