Como o Defender para Nuvem coleta dados?
O Defender para Nuvem coleta dados das VMs (máquinas virtuais) do Azure, dos Conjuntos de Dimensionamento de Máquinas Virtuais, dos contêineres de IaaS e de computadores não Azure (inclusive nos locais) para monitorar as vulnerabilidades e ameaças de segurança. Alguns planos do Defender exigem componentes de monitoramento para coletar dados de suas cargas de trabalho.
É necessário coletar dados para dar visibilidade às atualizações ignoradas, às configurações de segurança de SO incorretas, ao status de proteção do ponto de extremidade, à integridade e à proteção contra ameaças. A coleta de dados será necessária somente para recursos de computação, como VMs, conjuntos de dimensionamento de máquinas virtuais, contêineres de IaaS e computadores não Azure.
Você pode se beneficiar do Microsoft Defender para Nuvem mesmo que não provisione agentes. No entanto, você terá uma segurança limitada. Além disso, as funcionalidades listadas não terão suporte.
Os dados são coletados usando:
- Agente do Azure Monitor (AMA)
- Microsoft Defender para Ponto de Extremidade (MDE)
- Agente do Log Analytics
- Componentes de segurança, como a Azure Policy para Kubernetes
Por que usar o Defender para Nuvem para implantar componentes de monitoramento?
A visibilidade da segurança das cargas de trabalho depende dos dados coletados pelos componentes de monitoramento. Os componentes garantem a cobertura de segurança para todos os recursos com suporte.
Para poupar o processo de instalação manual das extensões, o Defender para Nuvem reduz a sobrecarga de gerenciamento instalando todas as extensões necessárias em computadores novos e existentes. O Defender para Nuvem atribui a política Implantar se não existir apropriada às cargas de trabalho na assinatura. Essa política garantirá que a extensão seja provisionada em todos os recursos existentes e futuros desse tipo.
Dica
Saiba mais sobre os efeitos do Azure Policy, incluindo a política Implantar se não existir em Noções básicas sobre os efeitos do Azure Policy.
Quais planos usam componentes de monitoramento?
Esses planos usam componentes de monitoramento para coletar dados:
- Defender para Servidores
- Agente do Azure Arc (para servidores locais e multinuvem)
- Microsoft Defender para ponto de extremidade
- Avaliação de vulnerabilidade
- Agente do Azure Monitor ou Agente do Log Analytics
- Defender para servidores SQL em computadores
- Agente do Azure Arc (para servidores locais e multinuvem)
- Agente do Azure Monitor ou Agente do Log Analytics
- Descoberta e registro automáticos do servidor SQL
- Defender para contêineres
- Agente do Azure Arc (para servidores locais e multinuvem)
- Sensor Defender, Azure Policy for Kubernetes, dados de log de auditoria do Kubernetes
Disponibilidade das extensões
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Agente do Azure Monitor (AMA)
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | GA (em disponibilidade geral) |
| Plano do Defender relevante: | Defender para SQL Servers em Computadores |
| Funções e permissões necessárias (nível da assinatura): | Proprietário |
| Destinos compatíveis: |  Máquinas virtuais do AzureComputadores habilitados para Azure Arc |
| Baseada em política: | Sim |
| Nuvens: | Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre como usar o Agente do Azure Monitor com o Defender para Nuvem.
Agente do Log Analytics
| Aspecto | Máquinas virtuais do Azure | Computadores habilitados para Azure Arc |
|---|---|---|
| Estado da versão: | GA (em disponibilidade geral) | GA (em disponibilidade geral) |
| Plano do Defender relevante: | GPSN (gerenciamento da postura de segurança na nuvem) básico para recomendações de segurança baseadas em agente Microsoft Defender para Servidores Microsoft Defender para SQL |
GPSN (gerenciamento da postura de segurança na nuvem) básico para recomendações de segurança baseadas em agente Microsoft Defender para Servidores Microsoft Defender para SQL |
| Funções e permissões necessárias (nível da assinatura): | Proprietário | Proprietário |
| Destinos compatíveis: | Máquinas virtuais do Azure |
Computadores habilitados para Azure Arc |
| Baseada em política: | Não |
Sim |
| Nuvens: | Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Sistemas operacionais suportados para o agente do Log Analytics
O Defender para Nuvem depende do agente do Log Analytics. Verifique se os computadores estão sendo executados um dos sistemas operacionais compatíveis com esse agente, conforme descrito nas seguintes páginas:
- Agente do Log Analytics para sistemas operacionais compatíveis com o Windows
- Agente do Log Analytics para sistemas operacionais compatíveis com o Linux
Verifique também se o agente de Análise de logs está configurado corretamente para enviar dados ao Defender para Nuvem.
Implantar o agente do Log Analytics nos casos de uma instalação de agente pré-existente
Os casos de uso a seguir explicam como a implantação do agente do Log Analytics funciona quando já existe um agente ou extensão instalada.
O agente do Log Analytics está instalado no computador, mas não como uma extensão (agente direto) – se o agente do Log Analytics estiver instalado diretamente na VM (e não como uma extensão do Azure), o Defender para Nuvem instalará a extensão do agente do Log Analytics e poderá atualizá-lo para a última versão. O agente instalado continuará emitindo relatórios para os workspaces já configurados, bem como para o workspace configurado no Defender para Nuvem. (Há suporte para várias home pages em computadores Windows.)
Se o Log Analytics estiver configurado com um workspace do usuário, e não o padrão do workspace do Defender para Nuvem, você precisará instalar a solução "Security" ou "SecurityCenterFree" nele para que o Defender para Nuvem inicie o processamento de eventos de VMs e computadores que geram relatórios para o workspace.
Para computadores Linux, ainda não há suporte para várias home pages do Agente. Se uma instalação de agente existente for detectada, o agente do Log Analytics não será implantado.
Em computadores com assinaturas integradas ao Defender para Nuvem antes de 17 de março de 2019, quando um agente for detectado, a extensão do agente do Log Analytics não será instalada e o computador não será afetado. No caso desses computadores, confira a recomendação "Resolver problemas de integridade do agente de monitoramento nos seus computadores" para solucionar problemas de instalação de agente.
O agente do System Center Operations Manager está instalado no computador: o Defender para Nuvem instalará a extensão do agente do Log Analytics lado a lado com o Operations Manager existente. O agente existente do Operations Manager continuará a gerar relatórios para o servidor do Operations Manager normalmente. O agente do Operations Manager e o agente do Log Analytics compartilham bibliotecas comuns em tempo de execução, que serão atualizadas para a versão mais recente durante esse processo.
Já há uma extensão de VM existente:
- Quando o Agente de Monitoramento está instalado como uma extensão, a configuração de extensão permite gerar relatórios somente para um workspace. O Defender para Nuvem não substitui as conexões atuais com os workspaces do usuário. O Defender para Nuvem armazenará dados de segurança da VM no workspace já conectado, se a solução "Security" ou "SecurityCenterFree" estiver instalada nele. O Defender para Nuvem pode atualizar a versão da extensão para a versão mais recente nesse processo.
- Para ver para qual workspace a extensão existente está enviando dados, execute a ferramenta TestCloudConnection.exe para validar a conectividade com o Microsoft Defender para Nuvem, conforme descrito em Verificar a conectividade do agente do Log Analytics. Outra opção é abrir workspaces do Log Analytics, selecionar um workspace, selecionar a VM e examinar a conexão do agente do Log Analytics.
- Se você tiver um ambiente em que o agente do Log Analytics está instalado nas estações de trabalho do cliente e envia relatórios para um workspace do Log Analytics existente, veja a lista de sistemas operacionais compatíveis com o Microsoft Defender para Nuvem para verificar se seu sistema operacional é compatível.
Saiba mais sobre como trabalhar com o Agente do Log Analytics.
Microsoft Defender para ponto de extremidade
| Aspecto | Linux | Windows |
|---|---|---|
| Estado da versão: | GA (em disponibilidade geral) | GA (em disponibilidade geral) |
| Plano do Defender relevante: | Microsoft Defender para Servidores | Microsoft Defender para Servidores |
| Funções e permissões necessárias (nível da assinatura): | - Para habilitar/desabilitar a integração: Administrador de segurança ou Proprietário - Para visualizar alertas do Defender para Ponto de Extremidade no Defender para Nuvem: Leitor de segurança, Leitor, Colaborador do grupo de recursos, Proprietário do grupo de recursos, Administrador de segurança, Proprietário da assinatura ou Contribuidor de assinatura |
- Para habilitar/desabilitar a integração: Administrador de segurança ou Proprietário - Para visualizar alertas do Defender para Ponto de Extremidade no Defender para Nuvem: Leitor de segurança, Leitor, Colaborador do grupo de recursos, Proprietário do grupo de recursos, Administrador de segurança, Proprietário da assinatura ou Contribuidor de assinatura |
| Destinos compatíveis: | Computadores habilitados para Azure ArcMáquinas virtuais do Azure |
Computadores habilitados para Azure Arc VMs do Azure que executam o Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Área de Trabalho Virtual do Azure, Windows 10 Enterprise para multissessão VMs do Azure que executam o Windows 10 |
| Baseada em política: | Não |
Não |
| Nuvens: | Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre o Microsoft Defender para Ponto de Extremidade.
Avaliação de vulnerabilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | GA (em disponibilidade geral) |
| Plano do Defender relevante: | Microsoft Defender para Servidores |
| Funções e permissões necessárias (nível da assinatura): | Proprietário |
| Destinos compatíveis: | Máquinas virtuais do AzureComputadores habilitados para Azure Arc |
| Baseada em política: | Sim |
| Nuvens: | Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Configuração de convidado
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Versão Prévia |
| Plano do Defender relevante: | Nenhum plano necessário |
| Funções e permissões necessárias (nível da assinatura): | Proprietário |
| Destinos compatíveis: | Máquinas virtuais do Azure |
| Nuvens: | Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre a extensão de Configuração de Convidado do Azure.
Extensões do Defender para Contêineres
Esta tabela mostra os detalhes de disponibilidade dos componentes exigidos pelas proteções oferecidas pelo Microsoft Defender para Contêineres.
Por padrão, as extensões necessárias são habilitadas ao se habilitar o Defender para Contêineres no portal do Azure.
| Aspecto | Clusters do Serviço de Kubernetes do Azure | Cluster do Kubernetes habilitados para Azure Arc |
|---|---|---|
| Estado da versão: | • Sensor de defesa: GA • Azure Policy para Kubernetes: GA (disponibilidade geral) |
• Sensor Defender: Visualização • Azure Policy para Kubernetes: versão prévia |
| Plano do Defender relevante: | Microsoft Defender para Contêineres | Microsoft Defender para Contêineres |
| Funções e permissões necessárias (nível da assinatura): | Proprietário ou Administrador de Acesso do Usuário | Proprietário ou Administrador de Acesso do Usuário |
| Destinos compatíveis: | O sensor AKS Defender suporta apenas clusters AKS que tenham RBAC ativado. | Confira as distribuições do Kubernetes com suporte para o Kubernetes habilitado para Arc |
| Baseada em política: | Sim |
Sim |
| Nuvens: | Sensor Defensor: Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet Azure Policy para Kubernetes: Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Sensor Defensor: Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet Azure Policy para Kubernetes: Nuvens comerciais Azure Governamental, Microsoft Azure operado pela 21Vianet |
Saiba mais sobre as funções usadas para provisionar extensões do Defender para contêineres.
Solução de problemas
- Para identificar os requisitos de rede do agente de monitoramento, veja Solução de problemas dos requisitos de rede do agente de monitoramento.
- Para identificar problemas de integração manual, consulte Como solucionar problemas de integração do Operations Management Suite.
Próximas etapas
Esta página explicou o que são componentes de monitoramento e como habilitá-los.
Saiba mais sobre:
- Configurar notificações por email para alertas de segurança
- Proteção de cargas de trabalho com os planos do Defender