Automatize a integração do Microsoft Defender for Cloud usando o PowerShell

Você pode proteger suas cargas de trabalho do Azure programaticamente, usando o módulo Microsoft Defender for Cloud PowerShell. O uso do PowerShell permite automatizar tarefas e evitar o erro humano inerente às tarefas manuais. Isso é especialmente útil em implantações em grande escala que envolvem dezenas de assinaturas com centenas e milhares de recursos, todos os quais devem ser protegidos desde o início.

A integração do Microsoft Defender for Cloud usando o PowerShell permite automatizar programaticamente a integração e o gerenciamento de seus recursos do Azure e adicionar os controles de segurança necessários.

Este artigo fornece um exemplo de script do PowerShell que pode ser modificado e usado em seu ambiente para implantar o Defender for Cloud em suas assinaturas.

Neste exemplo, ativaremos o Defender for Cloud em uma assinatura com ID: <Subscription ID> e aplicaremos as configurações recomendadas que fornecem um alto nível de proteção, habilitando os recursos de segurança aprimorados do Microsoft Defender for Cloud, que fornecem recursos avançados de proteção e deteção de ameaças:

  1. Habilite a segurança aprimorada no Microsoft Defender for Cloud.

  2. Defina o espaço de trabalho do Log Analytics para o qual o agente do Log Analytics enviará os dados coletados nas VMs associadas à assinatura – neste exemplo, um espaço de trabalho definido pelo usuário existente (myWorkspace).

  3. Ative o provisionamento automático de agentes do Defender for Cloud, que implanta o agente do Log Analytics.

  4. Defina o CISO da organização como o contato de segurança para alertas e eventos notáveis do Defender for Cloud.

  5. Atribua as políticas de segurança padrão do Defender for Cloud.

Pré-requisitos

Estas etapas devem ser executadas antes de executar os cmdlets do Defender for Cloud:

  1. Execute o PowerShell como administrador.

  2. Execute os seguintes comandos no PowerShell:

    Set-ExecutionPolicy -ExecutionPolicy AllSigned
    
    Install-Module -Name Az.Security -Force
    

Defender for Cloud integrado usando o PowerShell

  1. Registe as suas subscrições no Provedor de Recursos do Defender for Cloud:

    Set-AzContext -Subscription "<Subscription ID>"
    
    Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
    
  2. Opcional: defina o nível de cobertura (recursos de segurança aprimorados do Microsoft Defender for Cloud ativados/desativados) das assinaturas. Se indefinido, esses recursos estão desativados:

    Set-AzContext -Subscription "<Subscription ID>"
    
    Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
    
  3. Configure um espaço de trabalho do Log Analytics ao qual os agentes se reportarão. Você deve ter um espaço de trabalho do Log Analytics que já tenha criado, ao qual as VMs da assinatura se reportarão. Você pode definir várias assinaturas para relatar para o mesmo espaço de trabalho. Se não estiver definido, o espaço de trabalho padrão será usado.

    Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
    
  4. Instalação de provisionamento automático do agente do Log Analytics em suas VMs do Azure:

    Set-AzContext -Subscription "<Subscription ID>"
    
    Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
    

    Nota

    Recomendamos que você habilite o provisionamento automático para garantir que suas máquinas virtuais do Azure sejam protegidas automaticamente pelo Microsoft Defender for Cloud.
    Como parte da estratégia atualizada do Defender for Cloud, o Azure Monitor Agent (AMA) não será mais necessário para a oferta do Defender for Servers. No entanto, ele ainda será necessário para o Defender for SQL Server em máquinas. Como resultado, a implantação do Azure Monitor Agent (AMA) com o portal do Defender for Cloud está disponível para servidores SQL em máquinas, com uma nova política de implantação. Saiba mais sobre como migrar para o processo de provisionamento automático do Azure Monitoring Agent (AMA) direcionado ao SQL Server.

  5. Opcional: é altamente recomendável que você defina os detalhes de contato de segurança para as assinaturas que você integra, que serão usados como destinatários de alertas e notificações gerados pelo Defender for Cloud:

    Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
    
  6. Atribua a iniciativa de política padrão do Defender for Cloud:

    Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
    
    $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
    
    New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
    

Você integrou com êxito o Microsoft Defender for Cloud com o PowerShell.

Agora você pode usar esses cmdlets do PowerShell com scripts de automação para iterar programaticamente entre assinaturas e recursos. Isso economiza tempo e reduz a probabilidade de erro humano. Você pode usar esse script de exemplo como referência.

Consulte também

Para saber mais sobre como você pode usar o PowerShell para automatizar a integração no Defender for Cloud, consulte o seguinte artigo:

Para saber mais sobre o Defender for Cloud, consulte os seguintes artigos: