Preparar a descontinuação do agente da análise de registos

O agente do Log Analytics, também conhecido como Microsoft Monitoring Agent (MMA), será aposentado em novembro de 2024. Como resultado, os planos Defender for Servers e Defender for SQL em máquinas no Microsoft Defender for Cloud serão atualizados e os recursos que dependem do agente do Log Analytics serão redesenhados.

Este artigo resume os planos para a aposentadoria do agente.

Preparando o Defender para servidores

O plano do Defender for Servers usa o agente do Log Analytics em disponibilidade geral (GA) e no AMA para alguns recursos (em visualização). Veja o que está acontecendo com esses recursos no futuro:

Para simplificar a integração, todos os recursos e capacidades de segurança do Defender for Servers serão fornecidos com um único agente (Microsoft Defender for Endpoint), complementado pela verificação de máquina sem agente, sem qualquer dependência do agente do Log Analytics ou da AMA.

  • Os recursos do Defender for Servers, que são baseados no AMA, estão atualmente em visualização e não serão lançados no GA. 
  • Os recursos na visualização que dependem do AMA permanecem suportados até que uma versão alternativa do recurso seja fornecida, que dependerá da integração do Defender for Endpoint ou do recurso de verificação de máquina sem agente.
  • Ao habilitar a integração do Defender for Endpoint e o recurso de verificação de máquina sem agente antes que a descontinuação ocorra, sua implantação do Defender for Servers estará atualizada e terá suporte.

Funcionalidade do recurso

A tabela a seguir resume como os recursos do Defender for Servers serão fornecidos. A maioria dos recursos já está disponível em geral usando a integração do Defender for Endpoint ou a verificação de máquina sem agente. O restante dos recursos estará disponível no GA quando o MMA for aposentado ou será preterido.

Caraterística Suporte atual Novo suporte Novo status de experiência
Integração do Defender for Endpoint para máquinas Windows de nível inferior (Windows Server 2016/2012 R2) Sensor Legacy Defender for Endpoint, baseado no agente do Log Analytics Integração unificada de agentes - A funcionalidade com o agente unificado MDE é GA.
- A funcionalidade com o sensor legado do Defender for Endpoint usando o agente do Log Analytics será preterida em agosto de 2024.
Deteção de ameaças ao nível do SO Agente do Log Analytics Integração do agente Defender for Endpoint A funcionalidade com o agente do Defender for Endpoint é GA.
Controlos de aplicações adaptáveis Agente do Log Analytics (GA), AMA (Pré-visualização) --- O recurso de controle de aplicativo adaptável está definido para ser preterido em agosto de 2024.
Recomendações de descoberta de proteção de endpoint Recomendações que estão disponíveis através do plano CSPM (Foundational Cloud Security Posture Management) e do Defender for Servers, usando o agente do Log Analytics (GA), AMA (Preview) Verificação de máquina sem agente - A funcionalidade com varredura de máquina sem agente foi lançada para visualização no início de 2024 como parte do Defender for Servers Plan 2 e do plano Defender CSPM.
- As VMs do Azure, as instâncias do Google Cloud Platform (GCP) e as instâncias da Amazon Web Services (AWS) são suportadas. Não há suporte para máquinas locais.
Recomendação de atualização do SO ausente Recomendações disponíveis nos planos Foundational CSPM e Defender for Servers usando o agente do Log Analytics. Integração com o Update Manager, Microsoft Novas recomendações baseadas na integração do Azure Update Manager são GA, sem dependências de agente.
Configurações incorretas do sistema operacional (Microsoft Cloud Security Benchmark) Recomendações que estão disponíveis por meio dos planos CSPM Foundational e Defender for Servers usando o agente do Log Analytics, extensão de Configuração de Convidado (Visualização). Extensão de Configuração de Convidado, como parte do Plano 2 do Defender for Servers. - Funcionalidade baseada na extensão Configuração de Convidado será lançada para GA em setembro de 2024
- Apenas para clientes do Defender for Cloud: a funcionalidade com o agente do Log Analytics será descontinuada em novembro de 2024.
- O suporte a esse recurso para Docker-hub e Conjuntos de Escala de Máquina Virtual do Azure será preterido em agosto de 2024.
Monitorização da integridade do ficheiro Agente do Log Analytics, AMA (Pré-visualização) Integração do agente Defender for Endpoint A funcionalidade com o agente do Defender for Endpoint estará disponível em agosto de 2024.
- Apenas para clientes do Defender for Cloud: a funcionalidade com o agente do Log Analytics será descontinuada em novembro de 2024.
- A funcionalidade com AMA será substituída quando a integração do Defender for Endpoint for lançada.

Experiência de autoprovisionamento do agente de análise de log - plano de substituição

Como parte da desativação do agente MMA, o recurso de provisionamento automático que fornece a instalação e a configuração do agente para clientes MDC também será preterido em 2 estágios:

  1. Até o final de setembro de 2024 , o provisionamento automático do MMA será desativado para clientes que não estão mais usando o recurso, bem como para assinaturas recém-criadas:

    • As assinaturas existentes que desativarem o provisionamento automático do MMA após o final de setembro não poderão mais habilitar o recurso posteriormente.
  • Em assinaturas recém-criadas , o provisionamento automático não pode mais ser habilitado e é desativado automaticamente.
  1. Final de novembro de 2024 - o recurso será desativado em assinaturas que ainda não o desativaram. A partir desse ponto, não será mais possível habilitar o recurso em assinaturas existentes.

O benefício de 500 MB para ingestão de dados

Para preservar os 500 MB de permissão de ingestão de dados gratuitos para os tipos de dados suportados, você precisa migrar do MMA para o AMA.

Nota

  • O benefício é concedido a todas as máquinas AMA que fazem parte de uma assinatura com o plano 2 do Defender for Servers habilitado.

  • O benefício é concedido ao espaço de trabalho ao qual a máquina está se reportando.

  • A solução de segurança deve ser instalada no espaço de trabalho relacionado. Saiba mais sobre como realizá-lo aqui.

  • Se a máquina estiver reportando para mais de um espaço de trabalho, o benefício será concedido a apenas um deles.

Saiba mais sobre como implantar o AMA.

Para servidores SQL em máquinas, recomendamos migrar para o processo de autoprovisionamento do Azure Monitoring Agent (AMA) direcionado ao SQL Server.

Alterações na integração do Plano 2 do Defender for Servers herdado por meio do agente do Log Analytics

A abordagem herdada para integrar servidores ao Defender for Servers Plan 2 com base no agente do Log Analytics e usando espaços de trabalho do Log Analytics também está definida para desativação:

  • A experiência de integração para integrar novas máquinas que não sejam do Azure ao Defender for Servers usando agentes e espaços de trabalho do Log Analytics é removida das folhas Inventário e Introdução no portal do Defender for Cloud.

  • Para evitar perder a cobertura de segurança nas máquinas afetadas conectadas a um espaço de trabalho do Log Analytics, com a desativação do agente:

  • Se você integrou servidores que não são do Azure (locais e multicloud) usando a abordagem herdada, agora deve conectar essas máquinas por meio de servidores habilitados para Azure Arc às assinaturas e conectores do Azure do Defender for Servers Plan 2. Saiba mais sobre como implantar máquinas Arc em escala.

    • Se você usou a abordagem herdada para habilitar o Defender for Servers Plan 2 em VMs do Azure selecionadas, recomendamos habilitar o Defender for Servers Plan 2 nas assinaturas do Azure para essas máquinas. Em seguida, você pode excluir máquinas individuais da cobertura do Defender for Servers usando a configuração por recurso do Defender for Servers.

Este é um resumo da ação necessária para cada um dos servidores integrados ao Defender for Servers Plan 2 por meio da abordagem herdada:

Tipo de máquina Medidas necessárias para preservar a cobertura de segurança
Servidores locais Integrado ao Arc e conectado a uma assinatura com o Defender for Servers Plan 2
Máquinas virtuais do Azure Conecte-se à assinatura com o Plano 2 do Defender for Servers
Servidores Multicloud Conectar-se ao conector multicloud com o provisionamento do Azure Arc e o plano 2 do Defender for Servers

Experiência de recomendações de atualizações e patches do sistema - orientações sobre alterações e migração

As atualizações e patches do sistema são cruciais para manter a segurança e a saúde das suas máquinas. As atualizações geralmente contêm patches de segurança para vulnerabilidades que, se não forem corrigidas, podem ser exploradas por invasores.

As recomendações de atualizações do sistema foram fornecidas anteriormente pelos planos Defender for Cloud Foundational CSPM e Defender for Servers usando o agente do Log Analytics. Essa experiência foi substituída por recomendações de segurança coletadas usando o Azure Update Manager e construídas a partir de 2 novas recomendações:

  1. As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes

  2. As atualizações do sistema devem ser instaladas em suas máquinas (com tecnologia do Azure Update Manager)

Saiba como corrigir atualizações do sistema e recomendações de patches em suas máquinas.

Que recomendações estão a ser substituídas?

A tabela a seguir resume o cronograma para recomendações que estão sendo preteridas e substituídas.

Recomendação Agente Recursos suportados Data de preterição Recomendação de substituição
As atualizações do sistema devem ser instaladas em suas máquinas MMA Azure & não-Azure (Windows & Linux) Agosto de 2024 Nova recomendação fornecida pelo Azure Update Manager
As atualizações do sistema em conjuntos de dimensionamento de máquinas virtuais devem ser instaladas MMA Conjuntos de Dimensionamento de Máquinas Virtuais do Azure Agosto de 2024 Sem substituição

Como me preparo para as novas recomendações?

  1. Corrija a recomendação: as máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes (com tecnologia do Azure Update Manager).
  2. Habilite a avaliação periódica em escala com a Política do Azure.
  • Uma vez cúpula, o Update Manager pode buscar as atualizações mais recentes para as máquinas e você pode visualizar o status de conformidade mais recente da máquina.

Nota

A habilitação de avaliações periódicas para máquinas habilitadas para Arc que o Defender for Servers Plan 2 não está habilitado em sua Assinatura ou Conector relacionado está sujeita aos preços do Azure Update Manager. As máquinas habilitadas para Arc que o Defender for Servers Plan 2 está habilitado em sua Assinatura ou Conectores relacionados, ou qualquer VM do Azure, são qualificadas para esse recurso sem custo adicional.

Experiência em recomendações de proteção de endpoint - alterações e orientações de migração

A descoberta e as recomendações de endpoint foram fornecidas anteriormente pelo Defender for Cloud Foundational CSPM e pelos planos do Defender for Servers usando o agente do Log Analytics no GA, ou em visualização via AMA. Essa experiência foi substituída por recomendações de segurança que são coletadas usando a verificação de máquina sem agente.

As recomendações de proteção de endpoint são construídas em dois estágios. O primeiro estágio é a descoberta de uma solução de deteção e resposta de endpoint. O segundo é a avaliação da configuração da solução. As tabelas a seguir fornecem detalhes das experiências atuais e novas para cada etapa.

Saiba como gerenciar as novas recomendações de deteção e resposta de endpoint (sem agente).

Solução de deteção e resposta de endpoint - descoberta

Área Experiência atual (baseada em AMA/MMA) Nova experiência (baseada na digitalização de máquinas sem agente)
O que é necessário para classificar um recurso como saudável? Existe um antivírus. Está em vigor uma solução de deteção e resposta de pontos finais.
O que é necessário para obter a recomendação? Agente do Log Analytics Verificação de máquina sem agente
Que planos são suportados? - CSPM Fundamental (gratuito)
- Defensoria de Servidores Plano 1 e Plano 2
- Defensor CSPM
- Plano 2 do Defensor de Servidores
Que correção está disponível? Instale o antimalware da Microsoft. Instale o Defender for Endpoint em máquinas/assinaturas selecionadas.

Solução de deteção e resposta de endpoint - avaliação de configuração

Área Experiência atual (baseada em AMA/MMA) Nova experiência (baseada na digitalização de máquinas sem agente)
Os recursos são classificados como não íntegros se uma ou mais verificações de segurança não estiverem íntegras. Três controlos de segurança:
- A proteção em tempo real está desativada
- As assinaturas estão desatualizadas.
- Tanto a verificação rápida quanto a verificação completa não são executadas por sete dias.
Três controlos de segurança:
- O antivírus está desligado ou parcialmente configurado
- As assinaturas estão desatualizadas
- Tanto a verificação rápida quanto a verificação completa não são executadas por sete dias.
Pré-requisitos para obter a recomendação Uma solução antimalware em vigor Uma solução de deteção e resposta de endpoint em vigor.

Que recomendações estão a ser preteridas?

A tabela a seguir resume o cronograma para recomendações que estão sendo preteridas e substituídas.

Recomendação Agente Recursos suportados Data de preterição Recomendação de substituição
A proteção de ponto final deve ser instalada em suas máquinas (pública) MMA/AMA Azure & não-Azure (Windows & Linux) Julho de 2024 Nova recomendação sem agente
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas (público) MMA/AMA Azure (Windows) Julho de 2024 Nova recomendação sem agente
Falhas de integridade da proteção de ponto de extremidade em conjuntos de dimensionamento de máquina virtual devem ser resolvidas MMA Conjuntos de Dimensionamento de Máquinas Virtuais do Azure Agosto de 2024 Sem substituição
A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual MMA Conjuntos de Dimensionamento de Máquinas Virtuais do Azure Agosto de 2024 Sem substituição
Solução de proteção de endpoint deve estar em máquinas MMA Recursos que não são do Azure (Windows) Agosto de 2024 Sem substituição
Instale a solução de proteção de terminais nas suas máquinas MMA Azure e não Azure (Windows) Agosto de 2024 Nova recomendação sem agente
Problemas de integridade da proteção de endpoint em máquinas devem ser resolvidos MMA Azure e não Azure (Windows e Linux) Agosto de 2024 Nova recomendação sem agente.

A nova experiência de recomendações baseada na verificação de máquinas sem agente suporta sistemas operacionais Windows e Linux em máquinas multicloud.

Como funcionará a substituição?

  • As recomendações atuais fornecidas pelo Log Analytics Agent ou pelo AMA serão preteridas ao longo do tempo.
  • Algumas dessas recomendações existentes serão substituídas por novas recomendações baseadas na varredura de máquinas sem agente.
  • As recomendações atualmente em GA permanecem em vigor até que o agente do Log Analytics se aposente.
  • As recomendações que estão atualmente em pré-visualização serão substituídas quando a nova recomendação estiver disponível na pré-visualização.

O que está acontecendo com a pontuação segura?

  • As recomendações que estão atualmente em AG continuarão a afetar a pontuação segura. 
  • As novas recomendações atuais e futuras estão localizadas sob o mesmo controle do Microsoft Cloud Security Benchmark, garantindo que não haja impacto duplicado na pontuação segura.

Como me preparo para as novas recomendações?

Experiência em monitoramento de integridade de arquivos - alterações e diretrizes de migração

O Microsoft Defender for Servers Plan 2 agora oferece uma nova solução de monitoramento de integridade de arquivos (FIM) alimentada pela integração do Microsoft Defender for Endpoint (MDE). Assim que o FIM powered by MDE for público, a experiência FIM powered by AMA no portal Defender for Cloud será removida. Em novembro, o FIM powered by MMA será preterido.

Migração da FIM sobre AMA

Se você usa atualmente FIM sobre AMA:

  • A integração de novas assinaturas ou servidores no FIM com base no AMA e na extensão de controle de alterações, bem como a visualização de alterações, não estarão mais disponíveis no portal do Defender for Cloud a partir de 30 de maio.

  • Se quiser continuar consumindo eventos FIM coletados pela AMA, você pode se conectar manualmente ao espaço de trabalho relevante e exibir as alterações na tabela Controle de Alterações com a seguinte consulta:

    ConfigurationChange
    
    | where TimeGenerated > ago(14d)
    
    | where ConfigChangeType in ('Registry', 'Files') 
    
    | summarize count() by Computer, ConfigChangeType
    
  • Se quiser continuar a integrar novos escopos ou configurar regras de monitoramento, você pode usar manualmente as Regras de Conexão de Dados para configurar ou personalizar vários aspetos da coleta de dados.

  • O Microsoft Defender for Cloud recomenda desativar o FIM sobre AMA e integrar seu ambiente à nova versão do FIM baseada no Defender for Endpoint após o lançamento.

Desativando a MIF sobre AMA

Para desabilitar o FIM sobre AMA, remova a solução de Controle de Alterações do Azure. Para obter mais informações, consulte Remover a solução ChangeTracking.

Como alternativa, você pode remover as regras de coleta de dados (DCR) de controle de alterações de arquivo relacionadas. Para obter mais informações, consulte Remove-AzDataCollectionRuleAssociation ou Remove-AzDataCollectionRule.

Depois de desativar a coleção de eventos de arquivo usando um dos métodos acima:

  • Novos eventos deixarão de ser coletados no escopo selecionado.
  • Os eventos históricos que já foram coletados permanecem armazenados no espaço de trabalho relevante na tabela ConfigurationChange na seção Controle de Alterações . Esses eventos permanecerão disponíveis no espaço de trabalho relevante de acordo com o período de retenção definido neste espaço de trabalho. Para obter mais informações, consulte Como a retenção e o arquivamento funcionam.

Migração do FIM sobre o Log Analytics Agent (MMA)

Se você usa atualmente o FIM sobre o Log Analytics Agent (MMA):

  • O monitoramento da integridade de arquivos com base no Log Analytics Agent (MMA) será preterido no final de novembro de 2024.

  • O Microsoft Defender for Cloud recomenda desativar o FIM sobre MMA e integrar seu ambiente à nova versão do FIM baseada no Defender for Endpoint após o lançamento.

Desativando a MIF sobre o MMA

Para desabilitar o FIM sobre MMA, remova a solução de Controle de Alterações do Azure. Para obter mais informações, consulte Remover a solução ChangeTracking.

Depois de desativar a coleção de eventos de arquivo:

  • Novos eventos deixarão de ser coletados no escopo selecionado.
  • Os eventos históricos que já foram coletados permanecem armazenados no espaço de trabalho relevante na tabela ConfigurationChange na seção Controle de Alterações . Esses eventos permanecerão disponíveis no espaço de trabalho relevante de acordo com o período de retenção definido neste espaço de trabalho. Para obter mais informações, consulte Como a retenção e o arquivamento funcionam.

Experiência inicial

O recurso de configuração incorreta de linhas de base em VMs foi projetado para garantir que suas VMs adiram às práticas recomendadas de segurança e às políticas organizacionais. A configuração incorreta das linhas de base avalia a configuração de suas VMs em relação às linhas de base de segurança predefinidas e identifica quaisquer desvios ou configurações incorretas que possam representar um risco para seu ambiente.

As informações da máquina são coletadas para avaliação usando o agente do Log Analytics (também conhecido como agente de monitoramento da Microsoft (MMA)). O MMA está programado para ser preterido em novembro de 2024, e as seguintes mudanças ocorrerão:

  • As informações da máquina serão coletadas usando a configuração de convidado da Política do Azure.

  • As seguintes políticas do Azure são habilitadas com a configuração de convidado do Azure Policy:

    • "As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure"

    • "As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure"

      Nota

      Se você remover essas políticas, não poderá acessar os benefícios da extensão de configuração de convidado da Política do Azure.

  • As recomendações do sistema operacional baseadas em linhas de base de segurança de computação não serão mais incluídas no CSPM básico do Defender for Cloud. Essas recomendações estarão disponíveis quando você ativar o Plano 2 do Defender for Servers.

Consulte a página de preços do Defender for Cloud para saber mais sobre as informações de preços do Plano 2 do Defender Servers.

Importante

Lembre-se de que os recursos adicionais fornecidos pela configuração de convidado do Azure Policy que existem fora do portal do Defender for Cloud não estão incluídos no Defender for Cloud e estão sujeitos às políticas de preços de configurações de convidado do Azure Policy. Por exemplo, remediação e políticas personalizadas. Para obter mais informações, consulte a página de preços de configuração de convidado do Azure Policy.

As recomendações fornecidas pelo MCSB que não fazem parte das linhas de base de segurança computacional do Windows e Linux continuarão a fazer parte do CSPM básico gratuito.

Instalar a configuração de convidado da Política do Azure

Para continuar recebendo a experiência da linha de base, você precisa habilitar o Plano 2 do Defender for Servers e instalar a configuração de convidado da Política do Azure. Isso garantirá que você continue a receber as mesmas recomendações e orientações de proteção que tem recebido através da experiência inicial.

Dependendo do seu ambiente, talvez seja necessário seguir as seguintes etapas:

  1. Analise a matriz de suporte para a configuração de convidado da Política do Azure.

  2. Instale a configuração de convidado da Política do Azure em suas máquinas.

    • Máquinas do Azure: no portal do Defender for Cloud, na página de recomendações, procure e selecione a extensão Configuração de Convidado deve ser instalada em máquinas e corrija a recomendação.

    • (Somente VMs do Azure) Você deve Atribuir identidade gerenciada.

    • (Somente VMs do Azure) Opcional: para provisionar automaticamente a configuração de convidado da Política do Azure em toda a sua assinatura, você pode habilitar o agente de Configuração de Convidado (visualização).

      • Para habilitar o agente de Configuração de Convidado:
        1. Inicie sessão no portal do Azure.
        2. Navegue até Configurações de>ambiente Suas configurações de assinatura>& Monitoramento.
        3. Selecione Configuração do convidado. Captura de tela que mostra a localização das configurações e do botão de monitoramento.
        4. Alterne o agente de Configuração de Convidado (visualização) para Ativado. Captura de tela que mostra o local do botão de alternância para habilitar o agente de Configuração de Convidado.
        5. Selecione Continuar.
    • GCP e AWS: a configuração de convidado do Azure Policy é instalada automaticamente quando você conecta seu projeto GCP ou conecta suas contas da AWS com o provisionamento automático do Azure Arc habilitado ao Defender for Cloud.

    • Máquinas locais: a configuração de convidado da Política do Azure é habilitada por padrão quando você integra máquinas locais como VMs ou máquinas habilitadas para Azure Arc.

Depois de concluir as etapas necessárias para instalar a configuração de convidado da Política do Azure, você obterá automaticamente acesso aos recursos de linha de base com base na configuração de convidado da Política do Azure. Isso garantirá que você continue a receber as mesmas recomendações e orientações de proteção que tem recebido através da experiência inicial.

Alterações às recomendações

Com a preterição do MMA, as seguintes recomendações baseadas em MMA devem ser preteridas:

As recomendações preteridas serão substituídas pelas seguintes recomendações de base de configuração de convidado da Política do Azure:

Recomendações duplicadas

Quando você habilita o Defender for Cloud em uma assinatura do Azure, o benchmark de segurança na nuvem da Microsoft (MCSB), incluindo linhas de base de segurança de computação que avaliam a conformidade do sistema operacional da máquina, é habilitado como um padrão de conformidade padrão. O CSPM (gerenciamento básico de postura de segurança na nuvem) gratuito no Defender for Cloud faz recomendações de segurança com base no MCSB.

Se uma máquina estiver executando o MMA e a configuração de convidado da Política do Azure, você verá recomendações duplicadas. A duplicação de recomendações ocorre porque ambos os métodos estão sendo executados ao mesmo tempo e produzindo as mesmas recomendações. Essas duplicatas afetarão sua Conformidade e Pontuação de Segurança.

Como solução alternativa, você pode desativar as recomendações do MMA, "As máquinas devem ser configuradas com segurança" e "O provisionamento automático do agente do Log Analytics deve ser habilitado em assinaturas", navegando até a página Conformidade regulatória no Defender for Cloud.

Captura de tela do painel de conformidade regulatória que mostra onde existe uma das recomendações do MMA.

Depois de localizar a recomendação, você deve selecionar as máquinas relevantes e isentá-las.

Captura de tela que mostra como selecionar máquinas e isentá-las.

Algumas das regras de configuração de linha de base fornecidas pela ferramenta de configuração de convidado da Política do Azure são mais atuais e oferecem uma cobertura mais ampla. Como resultado, a transição para o poder do recurso Linhas de Base pela configuração de convidado da Política do Azure pode afetar seu status de conformidade, pois eles incluem verificações que podem não ter sido executadas anteriormente.

Recomendações de consulta

Com a aposentadoria do MMA, o Defender for Cloud não consulta mais recomendações por meio das informações do espaço de trabalho do Log Analytic. Em vez disso, o Defender for Cloud agora usa o Azure Resource Graph for API e consultas de portal para consultar informações de recomendação.

Aqui estão 2 consultas de exemplo que você pode usar:

  • Consultar todas as regras não íntegras para um recurso específico

    Securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | where machineId  == '{machineId}'
    
  • Todas as regras insalubres e a quantidade se máquinas insalubres para cada uma

    securityresources 
    | where type == "microsoft.security/assessments/subassessments" 
    | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) 
    | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey ==  '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' 
    | parse-where id with * '/subassessments/' subAssessmentId:string 
    | parse-where id with machineId:string '/providers/Microsoft.Security/' * 
    | extend status = tostring(properties.status.code) 
    | summarize count() by subAssessmentId, status
    

Preparando o Defender para SQL em máquinas

Você pode saber mais sobre o plano de substituição do agente do Defender for SQL Server em máquinas do Log Analytics.

Se você estiver usando o processo atual de autoprovisionamento do agente do Log Analytics/agente do Azure Monitor, deverá migrar para o novo processo de autoprovisionamento do Agente de Monitoramento do Azure para SQL Server em máquinas. O processo de migração é contínuo e fornece proteção contínua para todas as máquinas.

Migrar para o processo de autoprovisionamento AMA direcionado ao SQL Server

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Defender para a Cloud.

  3. No menu do Defender for Cloud, selecione Configurações do ambiente.

  4. Selecione a subscrição relevante.

  5. No plano Bancos de dados, selecione Ação necessária.

    Captura de tela que mostra onde selecionar Ação necessária.

  6. Na janela pop-up, selecione Ativar.

    Captura de tela que mostra a seleção de ativar na janela pop-up.

  7. Selecione Guardar.

Depois que o processo de provisionamento automático AMA direcionado ao SQL Server estiver habilitado, você deverá desabilitar o processo de autoprovisionamento do agente do Log Analytics/agente do Azure Monitor e desinstalar o MMA em todos os servidores SQL:

Para desativar o agente do Log Analytics:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Microsoft Defender para a Cloud.

  3. No menu do Defender for Cloud, selecione Configurações do ambiente.

  4. Selecione a subscrição relevante.

  5. No plano Banco de dados, selecione Configurações.

  6. Alterne o agente do Log Analytics para Desativado.

    Captura de tela que mostra a alternância do Log Analytics para Desativado.

  7. Selecione Continuar.

  8. Selecione Guardar.

Planeamento da migração

Recomendamos que você planeje a migração do agente de acordo com seus requisitos de negócios. A tabela resume as nossas orientações.

Você está usando o Defender for Servers? Esses recursos do Defender for Servers são necessários no GA: monitoramento de integridade de arquivos, recomendações de proteção de endpoint, recomendações de linha de base de segurança? Você está usando servidores Defender for SQL em máquinas ou coleta de logs AMA? Plano de migração
Sim Sim No 1. Habilite a integração do Defender for Endpoint e a verificação de máquinas sem agente.
2. Aguarde o GA de todos os recursos com a plataforma da alternativa (você pode usar a versão de visualização mais cedo).
3. Quando os recursos estiverem GA, desative o agente do Log Analytics.
No --- Não Você pode remover o agente do Log Analytics agora.
Não --- Sim 1. Você pode migrar para o provisionamento automático de SQL para AMA agora.
2. Desative o Log Analytics/Azure Monitor Agent.
Sim Sim Sim 1. Habilite a integração do Defender for Endpoint e a verificação de máquinas sem agente.
2. Você pode usar o agente do Log Analytics e o AMA lado a lado para obter todos os recursos do GA. Saiba mais sobre como executar agentes lado a lado.
3. Migre para o autoprovisionamento SQL para AMA no Defender for SQL em máquinas. Como alternativa, inicie a migração do agente do Log Analytics para o AMA em abril de 2024.
4. Quando a migração estiver concluída, desative o agente do Log Analytics.
Sim No Sim 1. Habilite a integração do Defender for Endpoint e a verificação de máquinas sem agente.
2. Você pode migrar para o provisionamento automático de SQL para AMA no Defender for SQL em máquinas agora.
3. Desative o agente do Log Analytics.

Experiência de migração de MMA

A experiência de migração do MMA é uma ferramenta que ajuda você a migrar do MMA para o AMA. A experiência fornece um guia passo a passo para ajudá-lo a migrar suas máquinas do MMA para o AMA.

Com esta ferramenta, você pode:

  • Migre servidores da integração herdada por meio do espaço de trabalho analítico Log.
  • Certifique-se de que as assinaturas atendam a todos os pré-requisitos para receber todos os benefícios do Plano 2 do Defender for Servers.
  • Migre para a nova versão da FIM através do MDE.
  1. Inicie sessão no portal do Azure.

  2. Navegue até as configurações do Microsoft Defender for Cloud>Environment.

  3. Selecione Migração de MMA.

    Captura de tela que mostra onde o botão de migração do MMA está localizado.

  4. Selecione Executar ação para uma das ações disponíveis:

    Captura de tela que mostra onde o botão de ação está localizado para todas as opções.

Permita que a experiência seja carregada e siga as etapas para concluir a migração.

Próximo passo