Preparare il ritiro dell'agente di Log Analytics
L'agente di Log Analytics, anche detto Microsoft Monitoring Agent (MMA), verrà ritirato a novembre 2024. Di conseguenza, i piani defender per server e Defender per SQL nei computer in Microsoft Defender per il cloud verranno aggiornate e le funzionalità che si basano sull'agente di Log Analytics verranno riprogettati.
Questo articolo riepiloga i piani per il ritiro dell'agente.
Preparazione di Defender per server
Il piano Defender per server usa l'agente di Log Analytics nella disponibilità generale (GA) e in AMA per alcune funzionalità (in anteprima). Ecco cosa accade con queste funzionalità in futuro:
Per semplificare l'onboarding, tutte le funzionalità di sicurezza di Defender per server verranno fornite con un singolo agente (Microsoft Defender per endpoint), integrato dall'analisi automatica senza agente, senza alcuna dipendenza dall'agente di Log Analytics o da AMA.
- Le funzionalità di Defender per server, basate su AMA, sono attualmente in anteprima e non verranno rilasciate a livello generale.
- Le funzionalità in anteprima che si basano su AMA rimangono supportate fino a quando non viene fornita una versione alternativa della funzionalità, che si basa sull'integrazione di Defender per endpoint o sulla funzionalità di analisi del computer senza agente.
- Abilitando l'integrazione di Defender per endpoint e la funzionalità di analisi automatica senza agente prima che venga eseguita la deprecazione, la distribuzione di Defender per server sarà aggiornata e supportata.
Funzionalità
La tabella seguente riepiloga il modo in cui verranno fornite le funzionalità di Defender per server. La maggior parte delle funzionalità è già disponibile a livello generale usando l'integrazione di Defender per endpoint o l'analisi automatica senza agente. Il resto delle funzionalità sarà disponibile a livello generale al momento del ritiro dell'MMA o sarà deprecato.
| Funzionalità | Supporto corrente | Nuovo supporto | Nuovo stato dell'esperienza |
|---|---|---|---|
| Integrazione di Defender per endpoint per computer Windows di livello inferiore (Windows Server 2016/2012 R2) | Sensore Legacy Defender per endpoint, basato sull'agente di Log Analytics | Integrazione dell'agente unificata | - La funzionalità con l'agente unificato di MDE è disponibile a livello generale. - La funzionalità con il sensore legacy defender per endpoint che usa l'agente di Log Analytics sarà deprecata nel mese di agosto 2024. |
| Rilevamento delle minacce a livello di sistema operativo | Agente di Log Analytics | Integrazione dell'agente Defender per endpoint | La funzionalità con l'agente defender per endpoint è disponibile a livello generale. |
| Controlli adattivi delle applicazioni | Agente di Log Analytics (GA), AMA (anteprima) | --- | La funzionalità di controllo applicazioni adattivo è impostata per essere deprecata nell'agosto 2024. |
| Raccomandazioni per l'individuazione di Endpoint Protection | Raccomandazioni disponibili tramite il piano CSPM (Foundational Cloud Security Posture Management) e Defender per server, usando l'agente di Log Analytics (GA), AMA (anteprima) | Analisi automatica senza agente | - La funzionalità con l'analisi dei computer senza agente è stata rilasciata in anteprima all'inizio del 2024 come parte del piano Defender per server 2 e del piano Defender CSPM. - Le VM di Azure, le istanze di Google Cloud Platform (GCP) e le istanze di Amazon Web Services (AWS) sono supportate. I computer locali non sono supportati. |
| Raccomandazione per l'aggiornamento del sistema operativo mancante | Raccomandazioni disponibili nei piani di base di CSPM e Defender per server che usano l'agente di Log Analytics. | Integrazione con Update Manager, Microsoft | Nuove raccomandazioni basate sull'integrazione di Gestore aggiornamenti di Azure sono disponibili a livello generale e non hanno dipendenze dall'agente. |
| Configurazioni errate del sistema operativo (Microsoft Cloud Security Benchmark) | Consigli disponibili tramite i piani CSPM di base e Defender per server usando l'agente di Log Analytics, estensione Configurazione guest (anteprima). | Estensione configurazione guest, come parte del piano Defender per server 2. | - La funzionalità basata sull'estensione Configurazione guest verrà rilasciata a livello generale a settembre 2024 - Solo per i clienti di Defender per il cloud: la funzionalità con l'agente di Log Analytics sarà deprecata a novembre 2024. - Il supporto di questa funzionalità per Docker-hub e set di scalabilità di macchine virtuali di Azure sarà deprecato nell'agosto 2024. |
| Monitoraggio dell'integrità dei file | Agente di Log Analytics, AMA (anteprima) | Integrazione dell'agente Defender per endpoint | La funzionalità con l'agente di Defender per endpoint sarà disponibile intorno ad agosto 2024. - Solo per i clienti di Defender per il cloud: la funzionalità con l'agente di Log Analytics sarà deprecata a novembre 2024. - La funzionalità con AMA verrà deprecata quando viene rilasciata l'integrazione di Defender per endpoint. |
Esperienza di provisioning automatico dell'agente di Analisi dei log - Piano di deprecazione
Come parte del ritiro dell'agente MMA, la funzionalità di provisioning automatico che fornisce l'installazione e la configurazione dell'agente per i clienti MDC sarà deprecata anch'essa in 2 fasi:
Entro la fine di settembre 2024, il provisioning automatico di MMA verrà disabilitato per i clienti che non usano più questa funzionalità, nonché per le nuove sottoscrizioni:
- Le sottoscrizioni esistenti che disattivano il provisioning automatico MMA dopo la fine di settembre non saranno più in grado di abilitare la funzionalità in seguito.
- Nelle sottoscrizioni appena create, non sarà più possibile abilitare il provisioning automatico, che verrà automaticamente disattivato.
- Alla fine di novembre 2024, la funzionalità verrà disabilitata nelle sottoscrizioni in cui non è stata ancora disabilitata. Da quel momento in poi, non sarà più possibile abilitare la funzionalità nelle sottoscrizioni esistenti.
Vantaggio da 500 MB per l'inserimento dati
Per mantenere i 500 MB di abbuono di inserimento dati gratuito per i tipi di dati supportati, è necessario eseguire la migrazione da MMA ad AMA.
Nota
Il vantaggio è concesso a ogni computer AMA che fa parte di una sottoscrizione con il piano Defender per server 2 abilitato.
Il vantaggio è concesso all'area di lavoro in cui sta segnalando il computer.
La soluzione di sicurezza deve essere installata nell'area di lavoro correlata. Per altre informazioni su come eseguire questa operazione, vedere qui.
Se il computer segnala più di un'area di lavoro, il vantaggio verrà concesso solo a uno di essi.
Altre informazioni su come distribuire AMA.
Per i server SQL nei computer è consigliabile seguire la migrazione al processo di provisioning automatico dell'agente di Monitoraggio di Azure (AMA) SQL server-targeted.
Modifiche all'onboarding legacy di Defender per server piano 2 tramite l'agente di log Analitica
L'approccio legacy per eseguire l'onboarding dei server in Defender per server piano 2 in base all'agente di log Analitica e l'uso delle aree di lavoro log analitica è impostato anche per il ritiro:
L'esperienza di onboarding per l'onboarding di nuovi computer non Azure a Defender per server tramite agenti e aree di lavoro log Analitica viene rimossa dai pannelli inventario e Introduzione nel portale di Defender for Cloud.
Per evitare di perdere la copertura di sicurezza nei computer interessati connessi a un'area di lavoro Log Analytics, con il ritiro dell'agente:
Se è stato eseguito l'onboarding di server non Azure (sia locali che multicloud) usando l'approccio legacy, ora è necessario connettere questi computer tramite server abilitati per Azure Arc alle sottoscrizioni e ai connettori di Azure di Defender per server Piano 2. Altre informazioni sulla distribuzione di computer Arc su larga scala.
- Se è stato usato l'approccio legacy per abilitare Defender per server Piano 2 nelle macchine virtuali di Azure selezionate, è consigliabile abilitare Defender per server Piano 2 nelle sottoscrizioni di Azure per questi computer. È quindi possibile escludere singoli computer dalla copertura di Defender per server usando la configurazione di Defender per server per risorsa.
Ecco un riepilogo dell'azione necessaria per ognuno dei server di cui è stato eseguito l'onboarding in Defender per server Piano 2 tramite l'approccio legacy:
| Tipo di computer | Azione necessaria per mantenere la copertura di sicurezza |
|---|---|
| Server locali | Caricato su Arc e connesso a una sottoscrizione con Defender per server Piano 2 |
| Macchine virtuali di Azure | Connettersi alla sottoscrizione con Defender per server Piano 2 |
| Server multicloud | Connettersi al connettore multicloud con il provisioning di Azure Arc e Defender per server Piano 2 |
Esperienza di aggiornamento e patch del sistema - Linee guida per le modifiche e la migrazione
Gli aggiornamenti e le patch di sistema sono fondamentali per mantenere la sicurezza e l'integrità dei computer. Gli aggiornamenti contengono spesso patch di sicurezza per le vulnerabilità che, se lasciate senza prefisso, sono sfruttabili dagli utenti malintenzionati.
Le raccomandazioni per gli aggiornamenti di sistema sono state fornite in precedenza dai piani CSPM di base per Defender per il cloud e Defender per server usando l'agente di Analisi dei log. Questa esperienza è stata sostituita da raccomandazioni sulla sicurezza raccolte con Gestione aggiornamenti di Azure e costruite su 2 nuove raccomandazioni:
Maggiori informazioni su come Correggere gli aggiornamenti del sistema e le raccomandazioni dei patch nei computer.
Quali raccomandazioni verranno sostituite?
La tabella seguente riepiloga il calendario delle raccomandazioni deprecate e sostituite.
| Elemento consigliato | Agente | Risorse supportate | Data di deprecazione | Raccomandazione di sostituzione |
|---|---|---|---|---|
| Gli aggiornamenti di sistema devono essere installati nelle macchine | MMA | Azure & non Azure (Windows & Linux) | Agosto 2024 | Nuova raccomandazione basata su Azure Update Manager |
| Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | MMA | Set di scalabilità di macchine virtuali di Azure | Agosto 2024 | Nessuna sostituzione |
Come si preparano le nuove raccomandazioni?
Connettere i computer non Azure ad Arc
Assicurarsi che l'impostazione di aggiornamento della valutazione periodica sia abilitata sui computer. È possibile farlo in 2 modi:
- Risolvere la raccomandazione: i computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti (basati su Gestore aggiornamenti di Azure).
- Abilitare la valutazione periodica su larga scala con Criteri di Azure.
- Una volta atto, Gestore aggiornamenti potrà recuperare gli aggiornamenti più recenti ai computer e sarà possibile visualizzare lo stato di conformità del computer più recente.
Nota
L'abilitazione delle valutazioni periodiche per i computer con abilitazione Arc per cui Defender per server - Piano 2 non è abilitato nella sottoscrizione o nel connettore correlato, è soggetta ai prezzi di Gestore aggiornamenti di Azure. I computer abilitati per Arc per cui è abilitato Defender per server - Piano 2 nella sottoscrizione o nei connettori correlati o in qualsiasi VM di Azure, sono idonei per questa funzionalità senza costi aggiuntivi.
Esperienza di raccomandazioni di Endpoint Protection - Linee guida per le modifiche e la migrazione
L'individuazione degli endpoint e le raccomandazioni erano precedentemente fornite dai piani CSPM di base per Defender per il cloud e Defender per server usando l'agente di Analisi dei log in disponibilità generale o in anteprima tramite AMA. Questa esperienza è stata sostituita da raccomandazioni di sicurezza raccolte tramite l'analisi automatica senza agente.
Le raccomandazioni di Endpoint Protection vengono create in due fasi. La prima fase è l'individuazione di una soluzione di rilevamento e risposta degli endpoint. La seconda è la valutazione della configurazione della soluzione. Le tabelle seguenti forniscono informazioni dettagliate sulle esperienze correnti e nuove per ogni fase.
Informazioni su come gestire questi nuovi consigli di rilevamento e risposta degli endpoint (senza agente).
Soluzione di Rilevamento e risposta degli endpoint - Individuazione
| Area | Esperienza corrente (basata su AMA/MMA) | Nuova esperienza (basata sull'analisi automatica senza agente) |
|---|---|---|
| Cosa serve per classificare una risorsa come integra? | È in atto un antivirus. | È disponibile una soluzione di rilevamento e risposta degli endpoint. |
| Cosa serve per ottenere la raccomandazione? | Agente di Log Analytics | Analisi automatica senza agente |
| Quali piani sono supportati? | - Foundational CSPM (gratuito) - Defender per server Piano 1 e Piano 2 |
- Defender CSPM - Defender per i server Piano 2 |
| Quale correzione è disponibile? | Installare microsoft antimalware. | Installare Defender per endpoint in computer/sottoscrizioni selezionati. |
Soluzione di Rilevamento e risposta degli endpoint - Valutazione della configurazione
| Area | Esperienza corrente (basata su AMA/MMA) | Nuova esperienza (basata sull'analisi automatica senza agente) |
|---|---|---|
| Le risorse vengono classificate come non integre se uno o più controlli di sicurezza non sono integri. | Tre controlli di sicurezza: - La protezione in tempo reale è disattivata - Le firme non sono aggiornate. - Sia l'analisi rapida che l'analisi completa non vengono eseguite per sette giorni. |
Tre controlli di sicurezza: - L'antivirus è disattivato o parzialmente configurato - Le firme non sono aggiornate - Sia l'analisi rapida che l'analisi completa non vengono eseguite per sette giorni. |
| Prerequisiti per ottenere la raccomandazione | Una soluzione antimalware sul posto | Soluzione di rilevamento e risposta degli endpoint. |
Quali raccomandazioni sono deprecate?
La tabella seguente riepiloga il calendario delle raccomandazioni deprecate e sostituite.
Le nuove raccomandazioni basate sull'analisi automatica senza agente supportano sia il sistema operativo Windows che Linux nei computer multi-cloud.
Come funzionerà la sostituzione?
- Le raccomandazioni correnti fornite dall'agente di Log Analytics o dall'AMA verranno deprecate nel tempo.
- Alcune di queste raccomandazioni esistenti verranno sostituite da nuove raccomandazioni basate sull'analisi automatica senza agente.
- Le raccomandazioni attualmente disponibili nella disponibilità generale rimangono invariate fino al ritiro dell'agente di Log Analytics.
- Le raccomandazioni attualmente in anteprima verranno sostituite quando la nuova raccomandazione è disponibile in anteprima.
Cosa succede con il punteggio di sicurezza?
- Le raccomandazioni attualmente disponibili a livello generale continueranno a influire sul punteggio di sicurezza.
- Le nuove raccomandazioni attuali e future si trovano nello stesso controllo di Microsoft Cloud Security Benchmark, assicurandosi che non vi sia alcun impatto duplicato sul punteggio di sicurezza.
Come si preparano le nuove raccomandazioni?
- Assicurarsi che l'analisi dei computer senza agente sia abilitata come parte di Defender per server Piano 2 o Defender CSPM.
- Se adatto per l'ambiente in uso, per un'esperienza ottimale è consigliabile rimuovere le raccomandazioni deprecate quando la raccomandazione di sostituzione GA diventa disponibile. A tale scopo, disabilitare la raccomandazione nell'iniziativa predefinita Defender per il cloud in Criteri di Azure.
Esperienza di monitoraggio dell'integrità dei file - Linee guida per le modifiche e la migrazione
Microsoft Defender per server Piano 2 offre ora una nuova soluzione FIM (File Integrity Monitoring) basata sull'integrazione di Microsoft Defender per endpoint (MDE). Una volta che FIM basato su MDE è pubblico, l'esperienza FIM basata su AMA nel portale di Defender per il cloud verrà rimossa. A novembre, FIM basato su MMA sarà deprecato.
Migrazione da FIM su AMA
Se attualmente si usa FIM su AMA:
L'onboarding di nuove sottoscrizioni o server in FIM in base ad AMA e all'estensione di rilevamento delle modifiche, oltre a visualizzare le modifiche, non sarà più disponibile tramite il portale di Defender per il cloud a partire dal 30 maggio.
Se si desidera continuare a usare gli eventi FIM raccolti da AMA, è possibile connettersi manualmente all'area di lavoro pertinente e visualizzare le modifiche nella tabella Rilevamento modifiche con la query seguente:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeSe si desidera continuare l'onboarding di nuovi ambiti o configurare le regole di monitoraggio, è possibile usare manualmente le Regole di connessione dati per configurare o personalizzare vari aspetti della raccolta dati.
Microsoft Defender per il cloud consiglia di disabilitare FIM su AMA e di eseguire l'onboarding dell'ambiente nella nuova versione FIM basata su Defender per endpoint al rilascio.
Disabilitazione di FIM su AMA
Per disabilitare FIM su AMA, rimuovere la soluzione Rilevamento modifiche di Azure. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.
In alternativa, è possibile rimuovere le regole di raccolta dei dati di rilevamento modifiche dei file correlate. Per altre informazioni, vedere Remove-AzDataCollectionRuleAssociation o Remove-AzDataCollectionRule.
Dopo aver disabilitato la raccolta di eventi di file usando uno dei metodi precedenti:
- I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
- Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange nella sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.
Migrazione da FIM tramite l'agente di Log Analytics (MMA)
Se attualmente si usa FIM tramite l'agente di Log Analytics (MMA):
FIM (File Integrity Monitoring) basato sull'agente di Log Analytics (MMA) verrà deprecato alla fine di novembre 2024.
Microsoft Defender per il cloud consiglia di disabilitare FIM su MMA e di eseguire l'onboarding dell'ambiente nella nuova versione FIM basata su Defender per endpoint al momento del rilascio.
Disabilitazione di FIM su MMA
Per disabilitare FIM su MMA, rimuovere la soluzione Rilevamento modifiche di Azure. Per altre informazioni, vedere Rimuovere la soluzione ChangeTracking.
Dopo aver disabilitato la raccolta di eventi di file:
- I nuovi eventi smetteranno di essere raccolti nell'ambito selezionato.
- Gli eventi cronologici già raccolti rimangono archiviati nell'area di lavoro pertinente nella tabella ConfigurationChange nella sezione Rilevamento modifiche. Questi eventi rimarranno disponibili nell'area di lavoro pertinente in base al periodo di conservazione definito in questa area di lavoro. Per altre informazioni, vedere Funzionamento della conservazione e dell'archiviazione.
Esperienza di baseline
La funzionalità di configurazione errata delle baseline nelle VM è progettata per garantire che le VM rispettino le best practice di sicurezza per la sicurezza e i criteri dell'organizzazione. La configurazione errata delle baseline valuta la configurazione delle VM rispetto alle baseline di sicurezza predefinite e identifica eventuali deviazioni o configurazioni errate che potrebbero mettere a rischio l'ambiente.
Le informazioni sul computer vengono raccolte per la valutazione tramite l'agente di Log Analytics (anche detto Microsoft Monitoring agent (MMA)). L'MMA è destinato ad essere deprecato a novembre 2024, con le seguenti modifiche:
Le informazioni sul computer verranno raccolte usando la configurazione guest di Criteri di Azure.
I seguenti criteri di Azure sono abilitati con la configurazione guest di Criteri di Azure:
"I computer Windows devono soddisfare i requisiti della baseline di sicurezza del calcolo Azure"
"I computer Linux devono soddisfare i requisiti per la baseline di sicurezza del calcolo Azure"
Nota
Se si rimuovono questi criteri, non sarà possibile accedere ai vantaggi dell'estensione di configurazione guest di Criteri di Azure.
Le raccomandazioni del sistema operativo basate sulle baseline di sicurezza del calcolo non saranno più incluse nel piano CSPM di base di Defender per il cloud. Queste raccomandazioni saranno disponibili quando si abilita Defender per server Piano 2.
Controllare la pagina dei prezzi di Defender per il cloud per informazioni sui prezzi di Defender per server Piano 2.
Importante
Tenere presente che le funzionalità aggiuntive fornite dalla configurazione guest di Criteri di Azure esistente all'esterno del portale Defender per il cloud non sono incluse in Defender per il cloud e sono soggette ai criteri di determinazione dei prezzi delle configurazioni guest di Criteri di Azure. Ad esempio i criteri di correzione e personalizzati. Per altre informazioni, vedere la pagina dei prezzi della configurazione guest di Criteri di Azure..
Le raccomandazioni fornite da MCSB che non fanno parte delle baseline di sicurezza del calcolo di Windows e Linux continueranno a far parte del piano CSPM di base gratuito.
Installare la configurazione guest di Criteri di Azure
Per continuare a ricevere l'esperienza di baseline, è necessario abilitare Defender per server Piano 2 e installare la configurazione guest di Criteri di Azure. In questo modo si continueranno a ricevere le stesse raccomandazioni e linee guida per la protezione avanzata ricevute tramite l'esperienza di baseline.
A seconda dell'ambiente, potrebbe essere necessario eseguire i passaggi seguenti:
Esaminare la matrice di supporto di per la configurazione guest di Criteri di Azure.
Installare la configurazione guest di Criteri di Azure sui computer.
Computer Azure: nel portale Defender per il cloud, alla pagina delle raccomandazioni, cercare e selezionare L'estensione Configurazione guest deve essere installata nelle macchine virtuali e correggere la raccomandazione.
(Solo VM Azure) è necessario assegnare un'identità gestita.
- Nel portale Defender per il cloud, alla pagina raccomandazioni, cercare e selezionare L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con identità gestita assegnata dal sistema e correggere la raccomandazione.
(Solo VM Azure) Facoltativo: per effettuare il provisioning automatico della configurazione guest di Criteri di Azure nell'intera sottoscrizione, si può abilitare l'agente di Configurazione guest (anteprima).
- Per abilitare l'agente di Configurazione guest:
- Accedere al portale di Azure.
- Passare a Impostazioni ambiente>Sottoscrizione>Impostazioni & monitoraggio.
- Selezionare Configurazione guest.
- Spostare l'interruttore dell'agente di Configurazione guest (anteprima) su On.
- Selezionare Continua.
- Per abilitare l'agente di Configurazione guest:
GCP e AWS: la configurazione guest di Criteri di policy è automaticamente installata quando si connette il progetto GCP (o si connettono gli account AWS con il provisioning automatico di Azure Arc abilitato autoprovisioning enabled) a Defender per il cloud.
Computer locali: la configurazione guest di Criteri di Azure è abilitata per impostazione predefinita quando si caricano computer locali come computer abilitati per Azure Arc o VM.
Dopo aver completato i passaggi necessari per installare la configurazione guest di Criteri di Azure, si otterrà automaticamente l'accesso alle funzionalità di baseline in base alla configurazione guest di Criteri di Azure. In questo modo si continueranno a ricevere le stesse raccomandazioni e linee guida per la protezione avanzata ricevute tramite l'esperienza di baseline.
Modifiche alle raccomandazioni
Con la deprecazione dell'MMA, le seguenti raccomandazioni basate sull'MMA sono destinate ad essere deprecate:
- I computer devono essere configurati in modo sicuro
- È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni
Le raccomandazioni deprecate verranno sostituite dalle seguenti raccomandazioni di base della configurazione guest di Criteri di Azure:
- È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Windows (con Configurazione guest)
- È consigliabile correggere le vulnerabilità della configurazione della sicurezza nei computer Linux (con Configurazione guest)
- L'estensione Configurazione guest deve essere installata sui computer
Duplicati delle raccomandazioni
Quando si abilita Defender per il cloud in una sottoscrizione di Azure, Microsoft cloud security benchmark (MCSB),incluse le baseline di sicurezza del calcolo che valutano la conformità del sistema operativo del computer, è abilitato come standard di conformità predefinito. Il piano gratuito di base Cloud Security Posture Management (CSPM) in Defender per il cloud fornisce raccomandazioni di sicurezza basate su MCSB.
Se un computer esegue sia l'MMA che la configurazione guest di Criteri di Azure, verranno visualizzate raccomandazioni duplicate. La duplicazione delle raccomandazioni si verifica perché entrambi i metodi vengono eseguiti contemporaneamente e producono le stesse raccomandazioni. Questi duplicati influiranno sul punteggio di conformità e sicurezza.
Come soluzione alternativa, è possibile disabilitare le raccomandazioni MMA, "I computer devono essere configurati in modo sicuro" e "Il provisioning automatico dell'agente di Log Analytics deve essere abilitato nelle sottoscrizioni", passando alla pagina Conformità alle normative in Defender per il cloud.
Una volta individuata la raccomandazione, è necessario selezionare i computer pertinenti ed esentarli.
Alcune delle regole di configurazione di baseline basate sullo strumento di configurazione guest di Criteri di Azure sono più aggiornate e offrono una copertura più ampia. Di conseguenza, la transizione alla potenza della funzionalità Baseline della configurazione guest di Criteri di Azure può influire sullo stato di conformità perché includono verifiche che potrebbero non essere state eseguite in precedenza.
Elementi consigliati per le query
Con il ritiro dell'MMA, Defender per il cloud non esegue più query sulle raccomandazioni tramite le informazioni dell'area di lavoro Log Analytics. Ora Defender per il cloud usa Azure Resource Graph per l'API ( e le query del portale) per eseguire query sulle informazioni relative alle raccomandazioni.
Ecco 2 query di esempio che è possibile utilizzare:
Eseguire query su tutte le regole non integre per una risorsa specifica
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'Tutte le regole non integre e la quantità se i computer non integri per ogni
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
Preparazione di Defender per SQL nei computer
Per altre informazioni su Defender per SQL Server nei computer, vedere il piano di deprecazione dell'agente di Log Analytics.
Se si usa il processo di provisioning automatico dell'agente di Log Analytics/agente di Monitoraggio di Azure, è consigliabile eseguire la migrazione al nuovo agente di monitoraggio di Azure per SQL Server nei computer che eseguono il provisioning automatico. Il processo di migrazione è facile e offre protezione continua per tutti i computer.
Eseguire la migrazione al processo di provisioning automatico AMA SQL server-targeted
Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
Nel piano Database selezionare Azione richiesta.
Nella finestra a comparsa selezionare Abilita.
Seleziona Salva.
Dopo aver abilitato il processo di provisioning automatico AMA SQL server-targeted, è necessario disabilitare il processo di provisioning automatico dell'agente di Log Analytics/agente di Monitoraggio di Azure e disinstallare MMA in tutti i server SQL:
Per disabilitare l'agente di Log Analytics:
Accedere al portale di Azure.
Cercare e selezionare Microsoft Defender per il cloud.
Scegliere Impostazioni ambiente dal menu di Defender per il cloud.
Selezionare la sottoscrizione pertinente.
In Piano di database selezionare Impostazioni.
Impostare l'agente di Log Analytics su Off.
Seleziona Continua.
Seleziona Salva.
Pianificazione della migrazione
È consigliabile pianificare la migrazione dell'agente in base ai requisiti aziendali. La tabella riepiloga le linee guida.
| Si usa Defender per server? | Queste funzionalità di Defender per server sono necessarie in disponibilità generale: monitoraggio dell'integrità dei file, raccomandazioni sulla protezione degli endpoint, raccomandazioni sulla baseline di sicurezza? | Si usa Defender per i server SQL nei computer o nella raccolta di log AMA? | Piano di migrazione |
|---|---|---|---|
| Sì | Sì | No | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. Attendere la disponibilità generale di tutte le funzionalità con la piattaforma alternativa (è possibile usare la versione di anteprima precedente). 3. Quando le funzionalità sono disponibili a livello generale, disabilitare l'agente di Log Analytics. |
| No | --- | No | È ora possibile rimuovere l'agente di Log Analytics. |
| No | --- | Sì | 1. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA. 2. Disabilitare l'agente di Log Analytics/Monitoraggio di Azure. |
| Sì | Sì | Sì | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. È possibile usare l'agente di Log Analytics e AMA side-by-side per ottenere tutte le funzionalità nella disponibilità generale. Altre informazioni sull'esecuzione affiancata di agenti. 3. Eseguire la migrazione al provisioning automatico di SQL per AMA in Defender per SQL nei computer. In alternativa, avviare la migrazione dall'agente di Log Analytics ad AMA nel mese di aprile 2024. 4. Al termine della migrazione, disabilitare l'agente di Log Analytics. |
| Sì | No | Sì | 1. Abilitare l'integrazione di Defender per endpoint e l'analisi dei computer senza agente. 2. È ora possibile eseguire la migrazione al provisioning automatico di SQL per AMA in Defender per SQL nei computer. 3. Disabilitare l'agente di Log Analytics. |
Esperienza di migrazione MMA
L'esperienza di migrazione MMA è uno strumento che consente di eseguire la migrazione da MMA ad Ama. L'esperienza offre una guida dettagliata che consente di eseguire la migrazione dei computer dall'MMA all'AMA.
Questo strumento consente di:
- Eseguire la migrazione dei server dall'onboarding legacy tramite l'area di lavoro Analisi log.
- Assicurarsi che le sottoscrizioni soddisfino tutti i prerequisiti per ricevere tutti i vantaggi di Defender per server piano 2.
- Eseguire la migrazione alla nuova versione di FIM tramite MDE.
Accedere al portale di Azure.
Passare alle impostazioni di Microsoft Defender per il cloud> Environment.
Selezionare Migrazione MMA.
Selezionare Azione per una delle azioni disponibili:
Consentire all'esperienza di caricare e seguire la procedura per completare la migrazione.