Perguntas comuns sobre recolha de dados, agentes e espaços de trabalho

O Defender for Cloud coleta dados de suas máquinas virtuais (VMs) do Azure, Conjuntos de Dimensionamento de Máquinas Virtuais, contêineres IaaS e computadores que não são do Azure (incluindo máquinas locais) para monitorar vulnerabilidades e ameaças à segurança. O agente do Log Analytics coleta dados, que lê várias configurações relacionadas à segurança e logs de eventos da máquina e copia os dados para seu espaço de trabalho para análise.

Recolha de dados

Como faço para habilitar a coleta de dados?

A coleta de dados é ativada automaticamente quando você habilita um plano do Defender que requer um componente de monitoramento.

O que acontece quando a recolha de dados está ativada?

Quando o provisionamento automático está habilitado, o Defender for Cloud usa o agente do Log Analytics em todas as VMs do Azure com suporte e em quaisquer novas que sejam criadas. O provisionamento automático é recomendado, mas a instalação manual do agente também está disponível. Saiba como instalar a extensão do agente do Log Analytics.

O agente habilita o evento de criação de processo 4688 e o campo CommandLine dentro do evento 4688. Novos processos criados na VM são registrados pelo EventLog e monitorados pelos serviços de deteção do Defender for Cloud. Para obter mais informações sobre os detalhes registrados para cada novo processo, consulte os campos de descrição em 4688. O agente também coleta os 4688 eventos criados na VM e os armazena na pesquisa.

O Defender for Cloud configura uma política local do AppLocker no modo de Auditoria para permitir todos os aplicativos. Essa política faz com que o AppLocker gere eventos, que são coletados e usados pelo Defender for Cloud. É importante observar que essa política não está configurada em nenhuma máquina na qual já haja uma política do AppLocker configurada.

Quando o Defender for Cloud deteta atividades suspeitas na VM, o cliente recebe uma notificação por e-mail se as informações de contato de segurança tiverem sido fornecidas. Um alerta também é visível no painel de alertas de segurança do Defender for Cloud.

Agentes

O que é o agente do Log Analytics?

Para monitorar vulnerabilidades e ameaças de segurança, o Microsoft Defender for Cloud depende do Agente do Log Analytics - esse agente é o mesmo usado pelo serviço Azure Monitor.

O agente às vezes é chamado de Microsoft Monitoring Agent (ou "MMA").

O agente coleta vários detalhes de configuração relacionados à segurança e logs de eventos de máquinas conectadas e, em seguida, copia os dados para o espaço de trabalho do Log Analytics para análise posterior. Exemplos desses dados são: tipo e versão do sistema operacional, logs do sistema operacional (logs de eventos do Windows), processos em execução, nome da máquina, endereços IP e usuário conectado.

Verifique se suas máquinas estão executando um dos sistemas operacionais suportados pelo agente, conforme descrito nas páginas a seguir:

Saiba mais sobre os dados coletados pelo agente do Log Analytics.

O que qualifica uma VM para provisionamento automático da instalação do agente do Log Analytics?

As VMs IaaS do Windows ou Linux se qualificam se:

  • A extensão do agente do Log Analytics não está instalada atualmente na VM.
  • A VM está em estado de execução.
  • O Windows ou Linux Azure Virtual Machine Agent está instalado.
  • A VM não é usada como um dispositivo, como firewall de aplicativo Web ou firewall de próxima geração.

Quais eventos de segurança o agente do Log Analytics coleta?

Para obter uma lista completa dos eventos de segurança coletados pelo agente, consulte Que tipos de eventos são armazenados para as configurações de eventos de segurança "Comum" e "Mínimo"?.

Importante

Para alguns serviços, como o Firewall do Azure, o registro em log de um recurso que produz vários logs pode consumir armazenamento em seu espaço de trabalho do Log Analytics. Certifique-se de usar o registro detalhado somente quando necessário.

E se o agente do Log Analytics já estiver instalado como uma extensão na VM?

Quando o Monitoring Agent é instalado como uma extensão, a configuração da extensão permite a geração de relatórios para apenas um único espaço de trabalho. O Defender for Cloud não substitui as conexões existentes com os espaços de trabalho do usuário. O Defender for Cloud armazena dados de segurança de uma VM em um espaço de trabalho que já está conectado quando a solução "Security" ou "SecurityCenterFree" é instalada nele. O Defender for Cloud pode atualizar a versão de extensão para a versão mais recente neste processo.

Para obter mais informações, consulte Provisionamento automático em casos de uma instalação de agente pré-existente.

E se um agente do Log Analytics estiver instalado diretamente na máquina, mas não como uma extensão (Direct Agent)?

Se o agente do Log Analytics estiver instalado diretamente na VM (não como uma extensão do Azure), o Defender for Cloud instalará a extensão do agente do Log Analytics e poderá atualizar o agente do Log Analytics para a versão mais recente.

O agente instalado continua a relatar para seus espaços de trabalho já configurados e relatórios para o espaço de trabalho configurado no Defender for Cloud. (Multi-homing é suportado em máquinas Windows.)

Para espaços de trabalho de usuário personalizados, você precisa instalar a solução "Security" ou "SecurityCenterFree" nele para que o Defender for Cloud possa processar eventos de VMs e computadores que relatam para esse espaço de trabalho.

Para máquinas Linux, o agente multi-homing ainda não é suportado. Se uma instalação de agente existente for detetada, o Defender for Cloud não usará automaticamente um agente nem alterará a configuração da máquina.

Para máquinas existentes em assinaturas integradas ao Defender for Cloud antes de 17 de março de 2019, o multi-homing de agente ainda não é suportado. Se uma instalação de agente existente for detetada, o Defender for Cloud não usará automaticamente um agente nem alterará a configuração da máquina. Para essas máquinas, consulte a recomendação "Resolver problemas de integridade do agente de monitoramento em suas máquinas" para resolver os problemas de instalação do agente nessas máquinas

Para obter mais informações, consulte a próxima seção O que acontece se um agente direto do System Center Operations Manager ou do OMS já estiver instalado na minha VM?

E se um agente do System Center Operations Manager já estiver instalado na minha VM?

O Defender for Cloud implementa uma Política do Azure que não permite que o agente do Log Analytics seja instalado enquanto o Agente do System Center Operations Manager estiver instalado no computador. Ambos os agentes têm a capacidade de multi-home e relatórios para o System Center Operations Manager e o espaço de trabalho do Log Analytics. O agente do Operations Manager e o agente do Log Analytics compartilham bibliotecas comuns de tempo de execução. Observação - Se a versão 2012 do agente do Operations Manager estiver instalada, não ative o provisionamento automático (os recursos de gerenciamento podem ser perdidos quando o servidor do Operations Manager também for a versão 2012).

Qual é o efeito da remoção dessas extensões?

Se você remover a Extensão de Monitoramento da Microsoft, o Defender for Cloud não poderá coletar dados de segurança da VM e algumas recomendações e alertas de segurança não estarão disponíveis. Dentro de 24 horas, o Defender for Cloud determina que a VM está faltando a extensão e reinstala a extensão.

Como faço para parar a instalação automática do agente e a criação do espaço de trabalho?

A implantação de extensões com o Defender for Cloud é altamente recomendada para obter alertas de segurança e recomendações sobre atualizações do sistema, vulnerabilidades do sistema operacional e proteção de endpoints. Desativar extensões limita esses alertas e recomendações. No entanto, você pode desabilitar o provisionamento automático para um agente ou extensão específico:

Para desativar o provisionamento automático para um agente ou extensão específica:

  1. No portal do Azure, abra o Defender for Cloud e selecione Configurações de ambiente.

  2. Selecione a subscrição relevante.

  3. Na coluna Cobertura de monitoramento do plano Defender for Server, selecione Configurações.

    Captura de tela mostrando a seleção das configurações do plano de serviço para o servidor.

  4. Desative a extensão que você deseja parar de ser provisionada automaticamente.

    Captura de tela mostrando como desativar um agente específico.

  5. Selecione Guardar.

Devo desativar a instalação automática do agente e a criação do espaço de trabalho?

Nota

Certifique-se de revisar as seções Quais são as implicações da desativação? e as etapas recomendadas ao optar por não participar se você optar por desativar o provisionamento automático.

Talvez você queira desativar o provisionamento automático se estes cenários se aplicarem a você:

  • A instalação automática do agente pelo Defender for Cloud aplica-se a toda a subscrição. Não é possível aplicar a instalação automática a um subconjunto de VMs. Se houver VMs críticas que não podem ser instaladas com o agente do Log Analytics, você deve desativar o provisionamento automático.

  • A instalação da extensão do agente do Log Analytics atualiza a versão do agente. Isso se aplica a um agente direto e a um agente do System Center Operations Manager (neste último, o agente do Operations Manager e do Log Analytics compartilham bibliotecas comuns de tempo de execução - que são atualizadas no processo). Se o agente do Operations Manager instalado for a versão 2012 e for atualizado, os recursos de gerenciamento poderão ser perdidos quando o servidor do Operations Manager também for a versão 2012. Considere desativar o provisionamento automático se o agente do Operations Manager instalado for a versão 2012.

  • Se você quiser evitar a criação de vários espaços de trabalho por assinatura e tiver seu próprio espaço de trabalho personalizado dentro da assinatura, terá duas opções:

    • Você pode desativar o provisionamento automático. Após a migração, defina as configurações padrão do espaço de trabalho conforme descrito em Como posso usar meu espaço de trabalho existente do Log Analytics?

    • Ou, você pode permitir que a migração seja concluída, o agente do Log Analytics seja instalado nas VMs e as VMs conectadas ao espaço de trabalho criado. Em seguida, selecione seu próprio espaço de trabalho personalizado definindo a configuração padrão do espaço de trabalho com a opção de reconfigurar os agentes já instalados. Para obter mais informações, consulte Como posso usar meu espaço de trabalho existente do Log Analytics?

Quais são as implicações da exclusão do provisionamento automático?

Quando a migração estiver concluída, o Defender for Cloud não poderá coletar dados de segurança da VM e algumas recomendações e alertas de segurança não estarão disponíveis. Se optar por não participar, instale o agente do Log Analytics manualmente. Consulte os passos recomendados ao optar por não participar.

Quais são as etapas recomendadas ao desativar o provisionamento automático?

Instale manualmente a extensão do agente do Log Analytics para que o Defender for Cloud possa coletar dados de segurança de suas VMs e fornecer recomendações e alertas. Consulte Instalação do agente para VM do Windows ou Instalação do agente para VM do Linux para obter orientação sobre a instalação.

Você pode conectar o agente a qualquer espaço de trabalho personalizado existente ou ao espaço de trabalho criado pelo Defender for Cloud. Se um espaço de trabalho personalizado não tiver as soluções "Security" ou "SecurityCenterFree" habilitadas, você precisará aplicar uma solução. Para se candidatar, selecione o espaço de trabalho personalizado e aplique um nível de preço na página Configurações de ambiente>Planos do Defender.

O Defender for Cloud permite a solução correta no espaço de trabalho com base nas opções selecionadas.

Como faço para remover as extensões do OMS instaladas pelo Defender for Cloud?

Você pode remover manualmente o agente do Log Analytics, mas isso não é recomendado. A remoção das extensões do OMS limita as recomendações e alertas do Defender for Cloud.

Nota

Se a coleta de dados estiver ativada, o Defender for Cloud reinstalará o agente depois de removê-lo. Você deve desabilitar a coleta de dados antes de remover manualmente o agente. Consulte Como interromper a instalação automática do agente e a criação do espaço de trabalho? para obter instruções sobre como desativar a recolha de dados.

Para remover manualmente o agente:

  1. No portal, abra o Log Analytics.

  2. Na página Log Analytics, selecione um espaço de trabalho:

  3. Selecione as VMs que você não deseja monitorar e selecione Desconectar.

    Remover o agente

Nota

Se uma VM Linux já tiver um agente OMS que não seja de extensão, remover a extensão também removerá o agente e você terá que reinstalá-lo.

O Defender for Cloud funcionará usando um gateway OMS?

Sim. O Microsoft Defender for Cloud usa o Azure Monitor para coletar dados de VMs e servidores do Azure, usando o agente do Log Analytics. Para coletar os dados, cada VM e servidor deve se conectar à Internet usando HTTPS. A conexão pode ser direta, usando um proxy, ou através do Gateway OMS.

O agente do Log Analytics afeta o desempenho dos meus servidores?

O agente consome uma quantidade nominal de recursos do sistema e deve ter pouco efeito sobre o desempenho. Para obter mais informações sobre o efeito de desempenho e o agente e a extensão, consulte o guia de planejamento e operações.

Sem agente

A verificação sem agente verifica VMs desalocadas?

N.º A verificação sem agente não verifica VMs desalocadas.

A verificação sem agente verifica o disco do sistema operacional e os discos de dados?

Sim. A verificação sem agente verifica o disco do sistema operacional e os discos de dados.

A que horas do dia a minha VM é verificada, incluindo a hora de início e de fim?

A hora do dia é dinâmica e pode mudar em diferentes contas e subscrições.

Existe alguma telemetria em relação ao snapshot copiado?

Na AWS, as operações na conta do cliente são rastreáveis por meio do CloudTrail.

Quais dados são coletados de instantâneos?

A verificação sem agente coleta dados semelhantes aos dados que um agente coleta para executar a mesma análise. Dados brutos, PIIs ou dados comerciais confidenciais não são coletados e apenas os resultados de metadados são enviados para o Defender for Cloud.

Onde os instantâneos de disco são copiados?

Sem agenteA análise dos snapshots ocorre em ambientes seguros gerenciados pelo Defender for Cloud.

Os ambientes são regionais em multicloud, de modo que os snapshots permanecem na mesma região de nuvem da VM de onde se originaram (por exemplo, um snapshot de uma instância do EC2 no oeste dos EUA será analisado na mesma região, sem ser copiado para outra região ou nuvem).

O ambiente de varredura onde os discos são analisados é volátil, isolado e altamente seguro.

Como o instantâneo de disco é tratado na Conta da Microsoft? A Microsoft pode compartilhar os princípios de segurança e privacidade da plataforma de varredura sem agente?

A plataforma de verificação sem agente é auditada e está em conformidade com os rigorosos padrões de segurança e privacidade da Microsoft. Algumas das medidas tomadas são (não uma lista exaustiva):

  • Isolamento físico por região, isolamento adicional por cliente e subscrição
  • Encriptação E2E em repouso e trânsito
  • Instantâneos de disco imediatamente limpos após a verificação
  • Apenas metadados (ou seja, descobertas de segurança) saem do ambiente de varredura isolado
  • O ambiente de digitalização é autónomo
  • Todas as operações são auditadas internamente

Quais são os custos relacionados à varredura sem agente?

A verificação sem agente está incluída nos planos Defender Cloud Security Posture Management (CSPM) e Defender for Servers P2. Nenhum outro custo incorre para o Defender for Cloud ao ativá-lo.

Nota

A AWS cobra pela retenção de snapshots de disco. O processo de verificação do Defender for Cloud tenta ativamente minimizar o período durante o qual um instantâneo é armazenado na sua conta (normalmente até alguns minutos). A AWS pode cobrar um custo geral pelo armazenamento de snapshots de disco. Consulte a AWS para ver quais custos se aplicam a você.

Como posso acompanhar os custos da AWS incorridos com os snapshots de disco criados pela verificação sem agente do Defender for Cloud?

Os instantâneos de disco são criados com a chave da CreatedBy tag e o valor da Microsoft Defender for Cloud tag. A CreatedBy tag rastreia quem criou o recurso.

Você precisa ativar as tags no console de Gerenciamento de Faturamento e Custos. Pode levar até 24 horas para que as tags sejam ativadas.

Depois de ativar as tags, a AWS gera um relatório de alocação de custos como um valor separado por vírgulas (. CSV) com seu uso e custo agrupados por suas tags ativas.

Áreas de Trabalho

Sou cobrado pelos logs do Azure Monitor nos espaços de trabalho criados pelo Defender for Cloud?

Há uma ingestão de dados gratuitos de 500 MB para cada espaço de trabalho. É calculado por nó, por espaço de trabalho relatado, por dia e está disponível para cada espaço de trabalho que tenha uma solução de 'Segurança' ou 'AntiMalware' instalada. Você será cobrado por todos os dados ingeridos acima do limite de 500 MB.

Os espaços de trabalho criados pelo Defender for Cloud, embora configurados para logs do Azure Monitor por faturamento de nó, não incorrem em cobranças de logs do Azure Monitor. A faturação do Defender for Cloud baseia-se sempre na sua política de segurança do Defender for Cloud e nas soluções instaladas num espaço de trabalho:

  • Segurança melhorada desativada – O Defender for Cloud ativa a solução "SecurityCenterFree" na área de trabalho predefinida. Não há cobranças quando não há planos Defender habilitados.

  • Todos os planos do Microsoft Defender for Cloud habilitados – o Defender for Cloud habilita a solução "Segurança" no espaço de trabalho padrão.

Para obter detalhes de preços na sua moeda ou região local, consulte a página de preços.

Nota

A camada de preços de análise de log dos espaços de trabalho criados pelo Defender for Cloud não afeta a cobrança do Defender for Cloud.

Nota

Este artigo foi atualizado recentemente para usar o termo logs do Azure Monitor em vez de Log Analytics. Os dados de log ainda são armazenados em um espaço de trabalho do Log Analytics e ainda são coletados e analisados pelo mesmo serviço do Log Analytics. Estamos atualizando a terminologia para refletir melhor a função dos logs no Azure Monitor. Consulte Alterações de terminologia do Azure Monitor para obter detalhes.

Onde o espaço de trabalho padrão do Log Analytics é criado?

A localização da área de trabalho predefinida depende da sua região do Azure:

  • Para VMs nos Estados Unidos e no Brasil, o local do espaço de trabalho é os Estados Unidos
  • Para VMs no Canadá, o local do espaço de trabalho é o Canadá
  • Para VMs na Europa, o local do espaço de trabalho é Europa
  • Para VMs no Reino Unido, o local do espaço de trabalho é o Reino Unido
  • Para VMs no Leste Asiático e Sudeste Asiático, o local do espaço de trabalho é Ásia
  • Para VMs na Coreia, o local do espaço de trabalho é Coreia
  • Para VMs na Índia, o local do espaço de trabalho é Índia
  • Para VMs no Japão, o local do espaço de trabalho é Japão
  • Para VMs na China, o local do espaço de trabalho é China
  • Para VMs na Austrália, o local do espaço de trabalho é Austrália

Posso excluir os espaços de trabalho padrão criados pelo Defender for Cloud?

A exclusão do espaço de trabalho padrão não é recomendada. O Defender for Cloud usa os espaços de trabalho padrão para armazenar dados de segurança de suas VMs. Se você excluir um espaço de trabalho, o Defender for Cloud não poderá coletar esses dados e algumas recomendações e alertas de segurança não estarão disponíveis.

Para recuperar, remova o agente do Log Analytics nas VMs conectadas ao espaço de trabalho excluído. O Defender for Cloud reinstala o agente e cria novos espaços de trabalho padrão.

Como posso utilizar a minha área espaço de trabalho do Log Analytics existente?

Você pode selecionar um espaço de trabalho existente do Log Analytics para armazenar dados coletados pelo Defender for Cloud. Para usar seu espaço de trabalho existente do Log Analytics:

  • O espaço de trabalho deve ser associado à sua assinatura do Azure selecionada.
  • No mínimo, você deve ter permissões de leitura para acessar o espaço de trabalho.

Nota

Para obter alertas de segurança desse agente, certifique-se de que o agente do Log Analytics e a máquina na qual o agente está executando reportem para um espaço de trabalho do Log Analytics no mesmo locatário.

Para selecionar um espaço de trabalho existente do Log Analytics:

  1. No menu do Defender for Cloud, abra Configurações de ambiente.

  2. Selecione a subscrição relevante.

  3. Na coluna Cobertura de monitoramento do plano Defender for Server, selecione Configurações.

  4. Para o agente do Log Analytics, selecione Editar configuração.

    Captura de tela da configuração do agente do Log Analytics a ser usado ao usar a implantação automática.

  5. Selecione Espaço de trabalho personalizado e selecione seu espaço de trabalho existente.

    Captura de tela mostrando a seleção de um espaço de trabalho não padrão para o agente do Log Analytics relatar.

    Gorjeta

    A lista inclui apenas espaços de trabalho aos quais você tem acesso e que estão em sua assinatura do Azure.

  6. Selecione Aplicar.

  7. Selecione Continuar.

  8. Selecione Salvar e confirme que deseja reconfigurar VMs monitoradas.

    Importante

    Essa opção só é relevante se você estiver alterando a configuração do espaço de trabalho padrão para um espaço de trabalho personalizado. Se você estiver alterando a configuração de um espaço de trabalho personalizado para outro ou de um espaço de trabalho personalizado para o espaço de trabalho padrão, a alteração não está sendo aplicada a máquinas existentes.

    • Selecione Não se desejar que as novas configurações do espaço de trabalho sejam aplicadas apenas em novas VMs. As novas configurações do espaço de trabalho só se aplicam a novas instalações de agentes; VMs recém-descobertas que não têm o agente do Log Analytics instalado.
    • Selecione Sim se desejar que as novas configurações do espaço de trabalho sejam aplicadas em todas as VMs. Além disso, cada VM conectada a um espaço de trabalho criado pelo Defender for Cloud é reconectada ao novo espaço de trabalho de destino.

    Nota

    Se você selecionar Sim, não exclua nenhum espaço de trabalho criado pelo Defender for Cloud até que todas as VMs tenham sido reconectadas ao novo espaço de trabalho de destino. Esta operação falhará se um espaço de trabalho for excluído muito cedo.

O Defender for Cloud substitui as conexões existentes entre VMs e espaços de trabalho?

Se uma VM já tiver o agente do Log Analytics instalado como uma extensão do Azure, o Defender for Cloud não substituirá a conexão de espaço de trabalho existente. Em vez disso, o Defender for Cloud usa o espaço de trabalho existente. A VM estará protegida se a solução "Security" ou "SecurityCenterFree" tiver sido instalada na área de trabalho para a qual está a reportar.

Uma solução do Defender for Cloud é instalada no espaço de trabalho selecionado na tela Coleta de dados, se ainda não estiver presente, e a solução é aplicada apenas às VMs relevantes. Quando você adiciona uma solução, ela é implantada automaticamente por padrão em todos os agentes Windows e Linux conectados ao seu espaço de trabalho do Log Analytics. O Solution Targeting permite que você aplique um escopo às suas soluções.

Gorjeta

Se o agente do Log Analytics estiver instalado diretamente na VM (não como uma extensão do Azure), o Defender for Cloud não instalará o agente do Log Analytics e o monitoramento de segurança será limitado.

O Defender for Cloud instala soluções nos meus espaços de trabalho existentes do Log Analytics? Quais são as implicações da faturação?

Quando o Defender for Cloud identifica que uma VM já está conectada a um espaço de trabalho que você criou, o Defender for Cloud habilita soluções nesse espaço de trabalho de acordo com sua configuração de preço. As soluções são aplicadas apenas aos recursos relevantes, através do direcionamento da solução, pelo que a faturação permanece a mesma.

  • Nenhum plano Defender está ativado – o Defender for Cloud instala a solução "SecurityCenterFree" no espaço de trabalho e você não é cobrado por isso.

  • Ativar todos os planos do Microsoft Defender – O Defender for Cloud instala a solução 'Segurança' no espaço de trabalho.

    Soluções no espaço de trabalho padrão

Já tenho espaços de trabalho no meu ambiente, posso usá-los para coletar dados de segurança?

Se uma VM já tiver o agente do Log Analytics instalado como uma extensão do Azure, o Defender for Cloud usará o espaço de trabalho conectado existente. Uma solução do Defender for Cloud é instalada no espaço de trabalho, se ainda não estiver presente, e a solução é aplicada apenas às VMs relevantes por meio do direcionamento da solução.

Quando o Defender for Cloud instala o agente do Log Analytics em VMs, ele usa os espaços de trabalho padrão criados pelo Defender for Cloud se não estiver apontado para um espaço de trabalho existente.

Já tenho uma solução de segurança nos meus espaços de trabalho. Quais são as implicações da faturação?

A solução Security & Audit é usada para habilitar o Microsoft Defender for Servers. Se a solução Security & Audit já estiver instalada em um espaço de trabalho, o Defender for Cloud usará a solução existente. Não há alteração na cobrança.