Vorbereiten auf das Ende der Unterstützung des Log Analytics-Agents

Artikel
08/28/2024

Der Log Analytics-Agent (auch bezeichnet als Microsoft Monitoring Agent, MMA) wird im August 2024 außer Betrieb genommen. Daher werden die Pläne für Defender for Servers und Defender for SQL Server auf Computern in Microsoft Defender for Cloud aktualisiert, und die auf dem Log Analytics-Agent basierenden Features werden überarbeitet.

In diesem Artikel werden die Pläne für die Einstellung von Agents zusammengefasst.

Vorbereiten von Microsoft Defender for Servers

Der Defender for Servers-Plan verwendet den Log Analytics-Agent in der allgemeinen Verfügbarkeit (GA) und im Azure Monitor-Agent (AMA) für einige Features (in der Vorschau). Hier erfahren Sie, was mit diesen Features in Zukunft geschieht:

Um das Onboarding zu vereinfachen, werden alle Sicherheitsfeatures und -funktionen von Defender for Servers mit einem einzigen Agent (Microsoft Defender for Endpoint, (MDE)) bereitgestellt und durch die Computerüberprüfung ohne Agent ergänzt, ohne dass dabei eine Abhängigkeit vom Log Analytics-Agent oder AMA besteht.

Defender for Servers-Features, die auf dem AMA basieren, befinden sich derzeit in der Vorschau und werden nicht in der allgemeinen Verfügbarkeit veröffentlicht. 
Funktionen in der Vorschau, die sich auf AMA stützen, werden so lange unterstützt, bis eine alternative Version der Funktion bereitgestellt wird, die sich auf die Defender for Endpoint-Integration oder die agentenlose Rechner-Scan-Funktion stützt.
Durch Aktivieren der Defender für Endpunkt-Integrations- und agentlosen Computerüberprüfungsfunktion, bevor die Deaktivierung stattfindet, wird Ihre Defender für Server-Bereitstellung auf dem neuesten Stand und unterstützt.

Featurefunktionalität

In der folgenden Tabelle wird zusammengefasst, wie Defender for Servers-Features bereitgestellt werden. Die meisten Features sind bereits bei Verwendung der Defender for Endpoint-Integration oder Computerüberprüfung ohne Agent allgemein verfügbar. Die restlichen Features werden allgemein verfügbar, wenn der MMA außer Betrieb genommen wird oder veraltet ist.

Funktion	Aktuelle Unterstützung	Neue Unterstützung	Status der neuen Funktionalität
Defender für Endpoint-Integration für Windows-Rechner der unteren Ebene (Windows Server 2016/2012 R2)	Legacysensor für Defender for Endpoint, basierend auf dem Log Analytics-Agent	Vereinheitlichte Agent-Integration	– Die Funktionalität mit dem in MDE vereinheitlichten Agent ist allgemein verfügbar. – Die Funktionalität mit dem Legacysensor für Defender for Endpoint, der den Log Analytics-Agent verwendet, wird ab August 2024 nicht mehr unterstützt.
Bedrohungserkennung auf Betriebssystemebene	Log Analytics-Agent	Defender for Endpoint-Agent-Integration	Die Funktionalität mit dem Defender for Endpoint-Agent ist allgemein verfügbar.
Adaptive Anwendungssteuerungen	Log Analytics-Agent (GA), AMA (Vorschau)	---	Die adaptive Anwendungssteuerung wird voraussichtlich im August 2024 veraltet sein.
Empfehlungen zur Endpunktschutzermittlung	Empfehlungen, die über den CsPM-Plan (Foundational Cloud Security Posture Management) und Defender für Server verfügbar sind, mithilfe des Log Analytics-Agents (GA), AMA (Preview)	Computerüberprüfung ohne Agent	– Die Funktionalität mit der Computerüberprüfung ohne Agent wurde Anfang 2024 als Teil von Defender for Servers Plan 2 und des Defender CSPM-Plans als Vorschau veröffentlicht. – Azure VMs, Google Cloud Platform (GCP)-Instanzen und Amazon Web Services (AWS)-Instanzen werden unterstützt. Lokale Computer werden nicht unterstützt.
Empfehlung für fehlende Betriebssystemupdates	Empfehlungen, die in den Plänen Foundational CSPM und Defender for Servers unter Verwendung des Log Analytics-Agenten verfügbar sind.	Integration in Azure Update Manager, Microsoft	Neue Empfehlungen, die auf der Azure Update Manager-Integration basieren, sind allgemein verfügbar (ohne Agent-Abhängigkeiten).
Fehlkonfigurationen des Betriebssystems (Microsoft Cloud Security Benchmark)	Empfehlungen, die über die Pläne Foundational CSPM und Defender for Servers unter Verwendung des Log Analytics-Agent, Gastkonfigurationserweiterung (Preview) verfügbar sind.	Gastkonfigurationserweiterung im Rahmen von Defender for Servers Plan 2.	– Auf der Gastkonfigurationserweiterung basierende Funktionalität wird im September 2024 für GA freigegeben - Nur für Defender for Cloud-Kunden: Die Funktionalität mit dem Log Analytics-Agent wird im November 2024 als veraltet gekennzeichnet. – Unterstützung dieses Features für Docker-Hub- und Azure Virtual Machine Scale Sets wird im August 2024 nicht mehr unterstützt.
Dateiintegritätsüberwachung	Log Analytics-Agent, AMA (Vorschau)	Defender for Endpoint-Agent-Integration	– Die Funktionalität mit dem Defender for Endpoint-Agent ist im August 2024 verfügbar. - Nur für Defender for Cloud-Kunden: Die Funktionalität mit dem Log Analytics-Agent wird im November 2024 als veraltet gekennzeichnet. – Die Funktionalität mit dem AMA wird nicht mehr unterstützt, wenn die Defender for Endpoint-Integration veröffentlicht wird.

Der 500-MB-Vorteil für die Datenerfassung

Um die Bewilligung zur kostenlosen Datenerfassung von 500 MB für die unterstützten Datentypen beizubehalten, müssen Sie von MMA zu AMA migrieren.

Hinweis

Dieser Nutzen wird jedem AMA-Computer gewährt, der Teil eines Abonnements ist, für das Defender for Servers Plan 2 aktiviert ist.
Der Nutzen wird dem Arbeitsbereich gewährt, an den der Computer berichtet.
Die Sicherheitslösung sollte im zugehörigen Arbeitsbereich installiert werden. Erfahren Sie hier mehr darüber, wie Sie dies durchführen können.
Wenn der Computer an mehrere Arbeitsbereiche berichtet, wird der Nutzen nur einem dieser Arbeitsbereiche gewährt.

Informieren Sie sich weiter über die Bereitstellung des AMA.

Für SQL Server auf Computern wird die Migration zum Prozess für die automatische Bereitstellung des Azure Monitor-Agents (AMA) für SQL Server empfohlen.

Änderungen am Legacy-Onboarding von Defender for Servers Plan 2 über Log Analytics-Agent

Der Legacy-Ansatz zum Onboarding von Servern für Defender for Servers Plan 2 auf Basis des Log Analytics-Agents und mithilfe von Log Analytics-Arbeitsbereichen wird demnächst ebenfalls eingestellt:

Die Onboarding-Erfahrung für das Onboarding neuer Nicht-Azure-Computer in Defender for Servers mithilfe von Log Analytics-Agents und -Arbeitsbereichen wird aus den Blättern Bestand und Erste Schritte im Defender for Cloud-Portal entfernt.
Um zu vermeiden, dass die Sicherheitsabdeckung mit der Einstellung des Agents auf den betroffenen Computern, die mit einem Log Analytics-Arbeitsbereich verbunden sind, verloren geht:
Wenn Sie für das Onboarding von lokalen und Multi-Cloud-Servern ohne Azure den Legacy-Ansatz verwendet haben, sollten Sie diese Computer jetzt über Server mit Azure Arc-Unterstützung Server mit Azure-Abonnements und Connectors für Plan 2 für Defender for Servers verbinden. Erfahren Sie mehr über die Bereitstellung von ARC-Computern im großen Maßstab.
- Wenn Sie den Legacy-Ansatz verwendet haben, um Defender for Servers Plan 2 für ausgewählte Azure-VMs zu aktivieren, wird empfohlen, Defender for Servers Plan 2 für die Azure-Abonnements dieser Computer zu aktivieren. Sie können dann einzelne Computer von der Abdeckung durch Defender for Servers ausschließen, indem Sie die Konfiguration pro Ressource von Defender for Servers verwenden.

Dies ist eine Zusammenfassung der erforderlichen Aktion für jeden Server, der mit dem Legacyansatz in Defender for Servers Plan 2 integriert ist:

Computertyp	Aktion erforderlich, um die Sicherheitsabdeckung beizubehalten
Lokale Server	In Arc integriert und mit einem Abonnement mit Defender for Servers Plan 2 verbunden
Azure-VMs	Herstellen einer Verbindung mit einem Abonnement mit Defender for Servers Plan 2
Multi-Cloud-Server	Herstellen einer Verbindung mit multicloud Connector mit Azure Arc-Bereitstellung und Defender for Servers Plan 2

Empfehlungen zu Endpunktschutz – Änderungen und Migrationsleitfaden

Die Endpunktermittlung und -empfehlungen werden derzeit von grundlegenden CSPM-Features für Defender for Cloud und dem Defender for Servers-Plan mithilfe des Log Analytics-Agents in allgemeiner Verfügbarkeit oder in der Vorschau über den AMA bereitgestellt. Diese Funktion wird durch Sicherheitsempfehlungen ersetzt, die mithilfe von Computerüberprüfungen ohne Agents gesammelt werden.

Endpunktschutzempfehlungen werden in zwei Phasen erstellt. Die erste Phase stellt die Ermittlung einer Endpunkterkennungs- und Reaktionslösung dar. Die zweite Phase umfasst die Bewertung der Lösungskonfiguration. Die folgenden Tabellen enthalten Details zu den aktuellen und neuen Funktionen für jede Phase.

Erfahren Sie, wie Sie diese neuen Empfehlungen der Endpunkterkennung und -antwort (ohne Agent) verwalten.

Endpunkterkennungs- und Reaktionslösung – Ermittlung

Bereich	Aktuelle Funktion (basierend auf dem AMA/MMA)	Neue Funktion (basierend auf der Computerüberprüfung ohne Agent)
Was ist erforderlich, um eine Ressource als fehlerfrei zu klassifizieren?	Virenschutz vorhanden	Endpunkterkennungs- und Reaktionslösung vorhanden
Was ist erforderlich, um die Empfehlung zu erhalten?	Log Analytics-Agent	Computerüberprüfung ohne Agent
Welche Pläne werden unterstützt?	– Grundlegende CSPM-Features (kostenlos) – Defender for Servers-Plan 1 und 2	– Defender CSPM – Defender for Servers-Plan 2
Welcher Fix ist verfügbar?	Installation von Microsoft-Antischadsoftware	Installation von Defender for Endpoint auf ausgewählten Computern bzw. für ausgewählte Abonnements

Endpunkterkennungs- und Reaktionslösung – Konfigurationsbewertung

Bereich	Aktuelle Funktion (basierend auf dem AMA/MMA)	Neue Funktion (basierend auf der Computerüberprüfung ohne Agent)
Ressourcen werden als fehlerhaft klassifiziert, wenn eine oder mehrere Sicherheitsprüfungen nicht fehlerfrei sind.	Drei Sicherheitsprüfungen: – Der Echtzeitschutz ist deaktiviert. – Signaturen sind veraltet. – Die Schnellüberprüfung und die vollständige Überprüfung wurden seit sieben Tagen nicht ausgeführt.	Drei Sicherheitsprüfungen: – Der Virenschutz ist deaktiviert oder teilweise konfiguriert. – Signaturen sind veraltet. – Die Schnellüberprüfung und die vollständige Überprüfung wurden seit sieben Tagen nicht ausgeführt.
Voraussetzungen, um die Empfehlung zu erhalten	Antischadsoftwarelösung vorhanden	Endpunkterkennungs- und Reaktionslösung vorhanden

Welche Empfehlungen sind veraltet?

In der folgenden Tabelle wird der Zeitplan für Empfehlungen zusammengefasst, die veraltet sind und ersetzt werden.

Empfehlung	Agent	Unterstützte Ressourcen	Einstellungsdatum	Ersatzempfehlung
Endpunktschutz sollte auf Ihren Computern installiert werden (öffentlich)	MMA/AMA	Azure-Ressourcen und Nicht-Azure-Ressourcen (Windows und Linux)	Juli 2024	Neue Empfehlungen ohne Agent
Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden (öffentlich)	MMA/AMA	Azure (Windows)	Juli 2024	Neue Empfehlungen ohne Agent
Endpoint Protection-Integritätsprobleme sollten für VM-Skalierungsgruppen behoben werden	MMA	Azure Virtual Machine Scale Sets	August 2024	Kein Ersatz
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein	MMA	Azure Virtual Machine Scale Sets	August 2024	Kein Ersatz
Auf Computern muss die Endpoint Protection-Lösung installiert sein	MMA	Nicht-Azure-Ressourcen (Windows)	August 2024	Kein Ersatz
Endpoint Protection-Lösung auf Ihren Computern installieren	MMA	Azure-Ressourcen und Nicht-Azure-Ressourcen (Windows)	August 2024	Neue Empfehlungen ohne Agent
Endpoint Protection-Integritätsprobleme auf den Computern müssen gelöst werden.	MMA	Azure-Ressourcen und Nicht-Azure-Ressourcen (Windows und Linux)	August 2024	Neue Empfehlung ohne Agent

Die Funktion für neue Empfehlungen, die auf der Computerüberprüfung ohne Agent basiert, unterstützt Windows- und Linux-Betriebssysteme auf Multi-Cloud-Computern.

Wie funktioniert der Ersatz?

Aktuelle Empfehlungen, die vom Log Analytics-Agent oder AMA bereitgestellt werden, werden im Laufe der Zeit nicht mehr unterstützt.
Einige dieser vorhandenen Empfehlungen werden durch neue Empfehlungen ersetzt, die auf Computerüberprüfungen ohne Agent basieren.
Die derzeit allgemein verfügbaren Empfehlungen bleiben erhalten, bis der Log Analytics-Agent eingestellt wird.
Empfehlungen, die sich derzeit in der Vorschau befinden, werden ersetzt, wenn die neue Empfehlung in der Vorschau verfügbar ist.

Was geschieht mit der Sicherheitsbewertung?

Empfehlungen, die derzeit allgemein verfügbar sind, wirken sich weiterhin auf die Sicherheitsbewertung aus. 
Aktuelle und bevorstehende neue Empfehlungen befinden sich unter demselben Microsoft Cloud Security Benchmark-Steuerelement, um sicherzustellen, dass keine doppelten Auswirkungen auf die Sicherheitsbewertung vorhanden sind.

Wie bereite ich mich auf die neuen Empfehlungen vor?

Stellen Sie sicher, dass die Computerüberprüfung ohne Agent als Teil des Defender for Servers-Plan 2 oder von Defender CSPM aktiviert ist.
Wenn sie für Ihre Umgebung geeignet ist, wird empfohlen, veraltete Empfehlungen zu entfernen, wenn die allgemein verfügbare Ersatzempfehlung verfügbar wird. Deaktivieren Sie dazu die Empfehlung in der integrierten Defender for Cloud-Initiative in Azure Policy.

Dateiintegritätsüberwachung – Änderungen und Migrationsleitfaden

Microsoft Defender for Servers Plan 2 bietet jetzt eine neue Lösung für Dateiintegritätsüberwachung (File Integrity Monitoring, FIM), die von der Microsoft Defender for Endpoint-Integration (MDE) unterstützt wird. Sobald FIM mit MDE öffentlich ist, wird die von der AMA-Erfahrung im Defender for Cloud-Portal unterstützte FIM entfernt. Im November wird FIM, unterstützt von MMA, als veraltet markiert.

Migration von FIM über AMA

Wenn Sie derzeit FIM über AMA verwenden:

Das Onboarding neuer Abonnements oder Server zu FIM auf der Basis von AMA und der Erweiterung zur Änderungsverfolgung sowie die Anzeige von Änderungen wird ab dem 30. Mai nicht mehr über das Defender for Cloud-Portal verfügbar sein.
Wenn Sie die von AMA gesammelten FIM-Ereignisse weiterhin nutzen möchten, können Sie manuell eine Verbindung mit dem entsprechenden Arbeitsbereich herstellen und mit der folgenden Abfrage Änderungen in der Tabelle „Änderungsnachverfolgung“ anzeigen:
```
ConfigurationChange

| where TimeGenerated > ago(14d)

| where ConfigChangeType in ('Registry', 'Files') 

| summarize count() by Computer, ConfigChangeType
```
Wenn Sie das Onboarding neuer Bereiche fortsetzen oder Überwachungsregeln konfigurieren möchten, können Sie Datenverbindungsregeln manuell verwenden, um verschiedene Aspekte der Datensammlung zu konfigurieren oder anzupassen.
Microsoft Defender for Cloud empfiehlt die Deaktivierung von FIM über AMA und das Onboarding Ihrer Umgebung in die neue FIM-Version basierend auf Defender for Endpoint nach der Veröffentlichung.

Deaktivieren von FIM über AMA

Um FIM über AMA zu deaktivieren, entfernen Sie die Azure-Lösung zur Änderungsnachverfolgung. Weitere Informationen finden Sie unter Entfernen der ChangeTracking-Lösung.

Alternativ können Sie die zugehörigen Regeln für die Datensammlung (Data Collection Rules, DCR) von Dateiänderungen entfernen. Weitere Informationen finden Sie unter Remove-AzDataCollectionRuleAssociation oder Remove-AzDataCollectionRule.

Nachdem Sie die Dateiereignissammlung mit einer der oben genannten Methoden deaktiviert haben:

Für den ausgewählten Bereich werden keine neuen Ereignisse mehr gesammelt.
Die bereits gesammelten historischen Ereignisse bleiben im relevanten Arbeitsbereich unter der Tabelle ConfigurationChange im Abschnitt Änderungsnachverfolgung gespeichert. Diese Ereignisse bleiben im relevanten Arbeitsbereich gemäß dem in diesem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Weitere Informationen finden Sie unter Funktionsweise von Aufbewahrung und Archivierung.

Migration von FIM über Log Analytics Agent (MMA)

Wenn Sie derzeit FIM über Log Analytics Agent (MMA) verwenden:

Die Dateiintegritätsüberwachung basierend auf Log Analytics Agent (MMA) wird ab Ende November 2024 nicht mehr unterstützt.
Microsoft Defender for Cloud empfiehlt die Deaktivierung von FIM über MMA und das Onboarding Ihrer Umgebung in die neue FIM-Version basierend auf Defender for Endpoint nach der Veröffentlichung.

Deaktivieren von FIM über MMA

Um FIM über MMA zu deaktivieren, entfernen Sie die Azure-Lösung zur Änderungsnachverfolgung. Weitere Informationen finden Sie unter Entfernen der ChangeTracking-Lösung.

Nachdem Sie die Dateiereignissammlung deaktiviert haben:

Für den ausgewählten Bereich werden keine neuen Ereignisse mehr gesammelt.
Die bereits gesammelten historischen Ereignisse bleiben im relevanten Arbeitsbereich unter der Tabelle ConfigurationChange im Abschnitt Änderungsnachverfolgung gespeichert. Diese Ereignisse bleiben im relevanten Arbeitsbereich gemäß dem in diesem Arbeitsbereich definierten Aufbewahrungszeitraum verfügbar. Weitere Informationen finden Sie unter Funktionsweise von Aufbewahrung und Archivierung.

Baselinenutzung

Das Baselinefehlkonfigurations-Feature für VMs wurde entwickelt, um sicherzustellen, dass Ihre virtuellen Computer den bewährten Methoden für Sicherheit und Organisationsrichtlinien entsprechen. Mit der Baselinefehlkonfiguration wird die Konfiguration Ihrer virtuellen Computer anhand der vordefinierten Sicherheitsbaselines ausgewertet, und es werden alle Abweichungen oder Fehlkonfigurationen identifiziert, die ein Risiko für Ihre Umgebung darstellen könnten.

Computerinformationen für die Bewertung werden mithilfe des Log Analytics-Agents gesammelt, der auch als Microsoft Monitoring Agent (MMA) bekannt ist. Der MMA wird im November 2024 eingestellt, und die folgenden Änderungen treten in Kraft:

Computerinformationen werden mithilfe der Azure Policy-Gastkonfiguration gesammelt.
Die folgenden Azure-Richtlinien werden mit der Azure Policy-Gastkonfiguration aktiviert:
- „Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen“
- „Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen“
Hinweis

Wenn Sie diese Richtlinien entfernen, können Sie nicht auf die Vorteile der Azure Policy-Gastkonfigurationserweiterung zugreifen.
Betriebssystemempfehlungen, die auf Computesicherheitsbaselines basieren, sind nicht mehr in den grundlegenden CSPM-Features von Defender for Cloud enthalten. Diese Empfehlungen stehen zur Verfügung, wenn Sie Plan 2 von Defender for Servers aktivieren.

Lesen Sie die Defender for Cloud-Preisseite, um Informationen zu den Preisinformationen zu Plan 2 von Defender for Servers zu erhalten.

Empfehlungen von der MCSB, die nicht Teil von Windows- und Linux-Computesicherheitsbaselines sind, sind weiterhin Teil der kostenlosen grundlegenden CSPM-Features.

Installieren der Azure Policy-Gastkonfiguration

Um weiterhin die Baseline zu nutzen, müssen Sie Plan 2 von Defender for Servers aktivieren und die Azure Policy-Gastkonfiguration installieren. Dadurch wird sichergestellt, dass Sie weiterhin dieselben Empfehlungen und Härtungsleitfäden wie zuvor erhalten.

Je nach Umgebung müssen Sie möglicherweise die folgenden Schritte ausführen:

Überprüfen Sie die Unterstützungsmatrix für die Azure Policy-Gastkonfiguration.
Installieren Sie die Azure Policy-Gastkonfiguration auf Ihren Computern.
- Azure-Computer: Suchen Sie im Defender for Cloud-Portal auf der Seite „Empfehlungen“ nach Gastkonfigurationserweiterung muss auf Computern installiert sein und Empfehlung korrigieren, und wählen Sie diese Optionen aus.
- (Nur Azure-VMs) Sie müssen eine verwaltete Identität zuweisen.
  - Suchen Sie im Defender for Cloud-Portal auf der Seite „Empfehlungen“ nach Gastkonfigurationserweiterung der virtuellen Computer muss mit systemseitig zugewiesener verwalteter Identität bereitgestellt werden und Empfehlung korrigieren, und wählen Sie diese Optionen aus.
- (Nur Azure-VMs) Optional: Um die Azure Policy-Gastkonfiguration für Ihr gesamtes Abonnement automatisch bereitstellen zu können, können Sie den Gastkonfigurations-Agent (Preview) aktivieren.
  - Aktivieren des Gastkonfigurations-Agents:
    1. Melden Sie sich beim Azure-Portal an.
    2. Navigieren Sie zu Umgebungseinstellungen>Ihr Abonnement>Einstellungen und Überwachung.
    3. Wählen Sie unter Einstellungen die Option Gastkonfiguration aus.
    4. Schalten Sie den Gastkonfigurations-Agent (Preview) auf Ein um.
    5. Wählen Sie Weiter.
- GKP und AWS: Die Azure Policy-Gastkonfiguration wird automatisch installiert, wenn Sie mit Ihrem GKP-Projekt oder Ihren AWS-Konten mit aktivierter automatischer Azure Arc-Bereitstellung eine Verbindung mit Defender for Cloud herstellen.
- Lokale Computer: Die Azure Policy-Gastkonfiguration ist standardmäßig aktiviert, wenn Sie lokale Computer als Computer mit Azure Arc-Unterstützung oder VMs onboarden.

Nachdem Sie die erforderlichen Schritte zum Installieren der Azure Policy-Gastkonfiguration abgeschlossen haben, erhalten Sie darauf basierend automatisch Zugriff auf die Baselinefeatures. Dadurch wird sichergestellt, dass Sie weiterhin dieselben Empfehlungen und Härtungsleitfäden wie zuvor erhalten.

Änderungen an Empfehlungen

Die folgenden MMA-basierten Empfehlungen werden eingestellt, da der MMA eingestellt wird:

Die veralteten Empfehlungen werden durch die folgenden Basisempfehlungen der Azure Policy-Gastkonfiguration ersetzt:

Doppelte Empfehlungen

Wenn Sie Defender for Cloud für ein Azure-Abonnement aktivieren, wird die Microsoft Cloud Security Benchmark (MCSB) einschließlich Computesicherheitsbaselines, mit denen die Betriebssystemcompliance bewertet werden, als Standard für die Compliance aktiviert. Kostenlose grundlegende CSPM-Features (Cloud Security Posture Management) in Defender for Cloud bieten Sicherheitsempfehlungen basierend auf der MCSB.

Wenn auf einem Computer sowohl der MMA als auch die Azure Policy-Gastkonfiguration ausgeführt werden, erhalten Sie doppelte Empfehlungen. Dies geschieht, da beide Methoden gleichzeitig ausgeführt und dieselben Empfehlungen erstellt werden. Diese Duplikate wirken sich auf Ihre Compliance- und Sicherheitsbewertung aus.

Als Umgehung können Sie die folgenden MMA-Empfehlungen deaktivieren, indem Sie zur Seite „Einhaltung gesetzlicher Vorschriften“ navigieren: „Computer müssen sicher konfiguriert werden“ und „Die automatische Bereitstellung des Log Analytics-Agents muss für Abonnements aktiviert sein“.

Nachdem Sie die Empfehlung gefunden haben, sollten Sie die relevanten Computer auswählen und Ausnahmen für sie festlegen.

Einige der Baselinekonfigurationsregeln, die vom Azure Policy-Gastkonfigurationstool unterstützt werden, sind aktueller und bieten mehr Möglichkeiten. Daher kann sich der Übergang zum Baselinefeature der Azure Policy-Gastkonfiguration auf Ihren Compliancestatus auswirken, da dabei Prüfungen enthalten sind, die zuvor möglicherweise nicht ausgeführt wurden.

Abfrageempfehlungen

Mit der Einstellung des MMA fragt Defender for Cloud keine Empfehlungen mehr mit den Log Analytic-Arbeitsbereichsinformationen ab. Stattdessen verwendet Defender for Cloud Azure Resource Graph für API- und Portalabfragen, um Empfehlungsinformationen abzufragen.

Hier sind zwei Beispielabfragen, die Sie verwenden können:

Abfragen aller fehlerhaften Regeln für eine bestimmte Ressource

Securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| where machineId  == '{machineId}'

Alle fehlerhaften Regeln und die fehlerhaften Computer der Regeln

securityresources 
| where type == "microsoft.security/assessments/subassessments" 
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
| where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
| parse-where id with * '/subassessments/' subAssessmentId:string 
| parse-where id with machineId:string '/providers/Microsoft.Security/' * 
| extend status = tostring(properties.status.code) 
| summarize count() by subAssessmentId, status

Vorbereiten von Defender for SQL Server auf Computern

Weitere Informationen finden Sie unter Defender for SQL Server auf Computern.

Wenn Sie den aktuellen automatischen Bereitstellungsprozess des Log Analytics-Agents bzw. Azure Monitor-Agents verwenden, sollten Sie zum neuen automatischen Bereitstellungsprozess für den Azure Monitor-Agent für SQL Server auf Computern migrieren. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.

Migration zum automatischen AMA-Bereitstellungsprozess für SQL-Server

Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Wählen Sie unter dem Datenbankenplan die Option Aktion erforderlich aus.
Wählen Sie im Popupfenster Aktivieren aus.
Wählen Sie Speichern.

Nachdem der automatische Bereitstellungsprozess für den AMA für SQL Server aktiviert wurde, sollten Sie den automatischen Bereitstellungsprozess des Log Analytics-Agents bzw. Azure Monitor-Agents deaktivieren und den MMA auf allen SQL Server-Instanzen deinstallieren:

Führen Sie die folgenden Schritte aus, um den Log Analytics-Agent zu deaktivieren:

Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das relevante Abonnement aus.
Wählen Sie unter dem Datenbankplan die Option Einstellungen aus.
Schalten Sie den Log Analytics-Agent auf Aus.
Wählen Sie Continue (Weiter) aus.
Wählen Sie Speichern.

Migrationsplanung

Es wird empfohlen, die Agent-Migration gemäß Ihren geschäftlichen Anforderungen zu planen. Die Tabelle fasst die Anleitungen zusammen.

Verwenden Sie Defender for Servers?	Sind diese Defender for Servers-Features in der allgemein verfügbaren Version erforderlich: Dateiintegritätsüberwachung, Endpunktschutzempfehlungen, Empfehlungen zur Sicherheitsbaseline?	Verwenden Sie Defender for SQL Server auf Computern oder die AMA-Protokollsammlung?	Migrationsplan
Ja	Ja	No	1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Warten Sie auf die allgemeine Verfügbarkeit aller Features für die Plattform der Alternative (Vorschauversion kann früher verwendet werden). 3. Sobald die Features allgemein verfügbar sind, deaktivieren Sie den Log Analytics-Agent.
Nein	---	Nein	Sie können den Log Analytics-Agent jetzt entfernen.
Nein	---	Ja	1. Sie können jetzt zur automatischen SQL-Bereitstellung für AMA migrieren. 2. Deaktivieren Sie den Log Analytics- bzw. Azure Monitor-Agent.
Ja	Ja	Ja	1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Sie können den Log Analytics-Agent und AMA parallel verwenden, um alle Features in der allgemeinen Verfügbarkeit zu erhalten. Informieren Sie sich weiter über die parallele Ausführung von Agents. 3. Migrieren Sie zur automatischen SQL-Bereitstellung für den AMA in Defender for SQL auf Computern. Alternativ können Sie die Migration vom Log Analytics-Agent zum AMA im April 2024 starten. 4. Deaktivieren Sie nach Abschluss der Migration den Log Analytics-Agent.
Ja	Keine	Ja	1. Aktivieren Sie die Defender for Endpoint-Integration und Computerüberprüfung ohne Agent. 2. Sie können jetzt zur automatischen SQL-Bereitstellung für den AMA in Defender for SQL auf Computern migrieren. 3. Deaktivieren Sie den Log Analytics-Agent.

Nächster Schritt

Anstehende Änderungen am Defender for Cloud-Plan und Strategie für die Einstellung des Log Analytics-Agents

Freigeben über