¿Cómo recopila Defender for Cloud los datos?

Defender for Cloud recopila datos de las máquinas virtuales de Azure, los conjuntos de escalado de máquinas virtuales, los contenedores de IaaS y máquinas que no son de Azure (incluidas las del entorno local) para supervisar las amenazas y vulnerabilidades de seguridad. Algunos planes de Defender requieren componentes de supervisión para recopilar datos de las cargas de trabajo.

La recopilación de datos es necesaria para proporcionar visibilidad sobre actualizaciones que faltan, valores de seguridad del sistema operativo mal configurados, estado de la protección de punto de conexión y protección contra amenazas y del mantenimiento. La recopilación de datos solo es necesaria para los recursos de proceso, como máquinas virtuales, conjuntos de escalado de máquinas virtuales, contenedores de IaaS y equipos que no son de Azure.

Puede beneficiarse de Microsoft Defender for Cloud aunque no aprovisione agentes. Sin embargo, tendrá una seguridad limitada y no se admitirán las funcionalidades indicadas.

Los datos se recopilan mediante:

¿Por qué usar Defender for Cloud para implementar componentes de supervisión?

La visibilidad sobre la seguridad de las cargas de trabajo depende de los datos que recopilan los componentes de supervisión. Los componentes garantizan la cobertura de seguridad de todos los recursos admitidos.

Para evitar que tenga que hacer de forma manual el proceso de instalación de las extensiones, Defender for Cloud reduce la sobrecarga de administración mediante la instalación de todas las extensiones necesarias en máquinas nuevas y existentes. Defender for Cloud asigna la directiva de implementación adecuada si no existe a las cargas de trabajo de la suscripción. Este tipo de directiva garantiza que la extensión esté aprovisionada en todos los recursos existentes y futuros de ese tipo.

Sugerencia

Obtenga más información sobre los efectos de Azure Policy, incluida la directiva Implementar si no existe en Comprender los efectos de Azure Policy.

¿Qué planes usan los componentes de supervisión?

Estos planes usan componentes de supervisión para recopilar datos:

Disponibilidad de extensiones

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Agente de Azure Monitor (AMA)

Aspecto Detalles
Estado de la versión: Disponible con carácter general
Plan de Defender pertinente: Defender para servidores SQL en máquinas
Roles y permisos necesarios (nivel de suscripción): Propietario
Destinos admitidos: Máquinas virtuales de Azure
Máquinas habilitadas para Azure Arc
Basada en directivas:
Nubes: Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Obtenga más información sobre el uso del agente de Azure Monitor con Defender for Cloud.

Agente de Log Analytics

Aspecto Azure Virtual Machines Máquinas habilitadas para Azure Arc
Estado de la versión: Disponible con carácter general Disponible con carácter general
Plan de Defender pertinente: Administración de la posición de seguridad en la nube (CSPM) básica para recomendaciones de seguridad basadas en agentes
Microsoft Defender para servidores
Microsoft Defender para SQL
Administración de la posición de seguridad en la nube (CSPM) básica para recomendaciones de seguridad basadas en agentes
Microsoft Defender para servidores
Microsoft Defender para SQL
Roles y permisos necesarios (nivel de suscripción): Propietario Propietario
Destinos admitidos: Máquinas virtuales de Azure Máquinas habilitadas para Azure Arc
Basada en directivas: No
Nubes: Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Sistemas operativos compatibles con el agente de Log Analytics

Defender for Cloud depende del agente de Log Analytics. Asegúrese de que las máquinas ejecutan uno de los sistemas operativos compatibles con este agente, como se describe en las siguientes páginas:

Asegúrese también de que el agente de Log Analytics esté configurado correctamente para enviar datos a Defender for Cloud.

Implementación del agente de Log Analytics en casos en los que haya una instalación de agente preexistente

Los siguientes casos de uso especifican cómo funciona la implementación del agente de Log Analytics en aquellos casos en que ya hay un agente o una extensión instalados.

  • El agente de Log Analytics está instalado en la máquina, pero no como una extensión (Agente directo): si el agente de Log Analytics está instalado directamente en la máquina virtual (no como una extensión de Azure), Defender for Cloud instalará la extensión del agente de Log Analytics y puede que la actualice a la versión más reciente. El agente instalado continuará informando a las áreas de trabajo que ya tiene configuradas y, además, al área de trabajo configurada en Defender for Cloud (las máquinas Windows admiten el hospedaje múltiple).

    Si Log Analytics está configurado con un área de trabajo de usuario, no el área de trabajo predeterminada de Defender for Cloud, deberá instalar la solución "Security" o "SecurityCenterFree" para que Defender for Cloud empiece a procesar eventos de las máquinas virtuales y los equipos que informan a esa área de trabajo.

    En el caso de las máquinas Linux, aún no se admite el hospedaje múltiple del agente. Si se detecta la instalación de un agente existente, el agente de Log Analytics no se implementará.

    En el caso de las máquinas existentes en suscripciones incorporadas a Defender for Cloud antes del 17 de marzo de 2019, cuando se detecte un agente existente, no se instalará la extensión del agente de Log Analytics y la máquina no se modificará. Para estas máquinas, consulte la recomendación "Resolver incidencias de supervisión de estado del agente en las máquinas" con el fin de resolver las incidencias de instalación del agente en estas máquinas.

  • El agente de System Center Operations Manager está instalado en la máquina: Defender for Cloud instalará la extensión del agente de Log Analytics en paralelo a la versión existente de Operations Manager. El agente de Operations Manager existente continuará enviando informes con normalidad al servidor de Operations Manager. El agente de Operations Manager y el agente de Log Analytics comparten bibliotecas en tiempo de ejecución, las cuales se actualizarán a la versión más reciente durante este proceso.

  • Está presente una extensión de máquina virtual existente:

    • Cuando se instala Monitoring Agent como una extensión, la configuración de extensión permite enviar informes a una sola área de trabajo. Defender for Cloud no invalida las conexiones existentes con áreas de trabajo de usuario. Defender for Cloud almacenará datos de seguridad de la máquina virtual en el área de trabajo que ya está conectada, si se ha instalado en ella la solución "Security" o "SecurityCenterFree". Durante este proceso, Defender for Cloud podría actualizar la versión de la extensión a la más reciente.
    • Para ver a qué área de trabajo envía datos la extensión existente, ejecute la herramienta TestCloudConnection.exe para validar la conectividad con Microsoft Defender for Cloud, como se describe en Verificar la conectividad del agente de Log Analytics. También puede abrir las áreas de trabajo de Log Analytics, seleccionar un área de trabajo, seleccionar la máquina virtual y examinar la conexión del agente de Log Analytics.
    • Si tiene un entorno donde esté instalado el agente de Log Analytics en estaciones de trabajo de cliente y esté informando a un área de trabajo de Log Analytics existente, revise la lista de sistemas operativos compatibles con Microsoft Defender for Cloud para asegurarse de que el sistema operativo es compatible.

Obtenga más información sobre el funcionamiento del agente de Log Analytics.

Microsoft Defender para punto de conexión

Aspecto Linux Windows
Estado de la versión: Disponible con carácter general Disponible con carácter general
Plan de Defender pertinente: Microsoft Defender para servidores Microsoft Defender para servidores
Roles y permisos necesarios (nivel de suscripción): - Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario
- Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción
- Para habilitar o deshabilitar la integración: Administrador de seguridad o Propietario
- Para ver las alertas de Defender para punto de conexión en Defender for Cloud: Lector de seguridad, Lector, Colaborador de grupo de recursos, Propietario de grupo de recursos, Administrador de seguridad, Propietario de suscripción o Colaborador de suscripción
Destinos admitidos: Máquinas habilitadas para Azure Arc
Máquinas virtuales de Azure
Máquinas habilitadas para Azure Arc
Máquinas virtuales de Azure que ejecutan Windows 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, la sesión múltiple de Azure Virtual Desktop o de Windows 10 Enterprise
Máquinas virtuales de Azure que ejecutan Windows 10
Basada en directivas: No No
Nubes: Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Obtenga más información acerca de Microsoft Defender for Endpoint.

Evaluación de vulnerabilidades

Aspecto Detalles
Estado de la versión: Disponible con carácter general
Plan de Defender pertinente: Microsoft Defender para servidores
Roles y permisos necesarios (nivel de suscripción): Propietario
Destinos admitidos: Máquinas virtuales de Azure
Máquinas habilitadas para Azure Arc
Basada en directivas:
Nubes: Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Configuración de invitado

Aspecto Detalles
Estado de la versión: Versión preliminar
Plan de Defender pertinente: No se requiere ningún plan
Roles y permisos necesarios (nivel de suscripción): Propietario
Destinos admitidos: Máquinas virtuales de Azure
Nubes: Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Obtenga más información sobre la extensión de configuración de invitado de Azure.

Extensiones de Defender para contenedores

En esta tabla se muestran los detalles de disponibilidad de los componentes necesarios para proporcionar las protecciones que ofrece Microsoft Defender para contenedores.

De forma predeterminada, las extensiones requeridas se habilitan cuando habilita Defender para contenedores desde Azure Portal.

Aspecto Clústeres de Azure Kubernetes Service Clústeres de Kubernetes habilitados para Azure Arc
Estado de la versión: • Sensor de Defender: disponibilidad general
• Azure Policy para Kubernetes (disponibilidad general)
• Sensor de Defender: versión preliminar
• Azure Policy para Kubernetes (versión preliminar)
Plan de Defender pertinente: Microsoft Defender para contenedores Microsoft Defender para contenedores
Roles y permisos necesarios (nivel de suscripción): Propietario o Administrador de acceso de usuario Propietario o Administrador de acceso de usuario
Destinos admitidos: El sensor de AKS Defender solo admite clústeres de AKS que tienen RBAC habilitado. Consulte Distribuciones de Kubernetes compatibles con Kubernetes habilitado para Arc.
Basada en directivas:
Nubes: Sensor de Defender:
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet
Azure Policy para Kubernetes:
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet
Sensor de Defender:
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet
Azure Policy para Kubernetes:
Nubes comerciales
Azure Government, Microsoft Azure operado por 21Vianet

Obtenga más información sobre los roles que se usan para aprovisionar extensiones de Defender para contenedores.

Solución de problemas

Pasos siguientes

En esta página se explica qué son los componentes de supervisión y cómo puede habilitarlos.

Más información sobre: