Guia de solução de problemas do Microsoft Defender for Cloud
Este guia destina-se a profissionais de TI, analistas de segurança da informação e administradores de nuvem cujas organizações precisam solucionar problemas relacionados ao Microsoft Defender for Cloud.
Gorjeta
Quando você está enfrentando um problema ou precisa de conselhos de nossa equipe de suporte, a seção Diagnosticar e resolver problemas do portal do Azure é um bom lugar para procurar soluções.
Usar o log de auditoria para investigar problemas
O primeiro lugar para procurar informações de solução de problemas é o log de auditoria do componente com falha. No log de auditoria, você pode ver detalhes como:
- Que operações foram realizadas.
- Quem iniciou a operação.
- Quando ocorreu a operação.
- O estado da operação.
O log de auditoria contém todas as operações de gravação (PUT
, POST
, DELETE
) executadas em seus recursos, mas não as operações de leitura (GET
).
Resolver problemas com conectores
O Defender for Cloud usa conectores para coletar dados de monitoramento de contas da Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP). Se você estiver tendo problemas com os conectores ou não vir dados da AWS ou do GCP, consulte as dicas de solução de problemas a seguir.
Dicas para problemas comuns do conector
- Verifique se a assinatura associada ao conector está selecionada no filtro de assinatura localizado na seção Diretórios + assinaturas do portal do Azure.
- Devem ser atribuídas normas no conector de segurança. Para verificar, vá para Configurações de ambiente no menu esquerdo do Defender for Cloud, selecione o conector e, em seguida, selecione Configurações. Se nenhum padrão for atribuído, selecione os três pontos para verificar se você tem permissões para atribuir padrões.
- Um recurso de conector deve estar presente no Azure Resource Graph. Use a seguinte consulta do Gráfico de Recursos para verificar:
resources | where ['type'] =~ "microsoft.security/securityconnectors"
. - Certifique-se de que o envio de logs de auditoria do Kubernetes esteja habilitado no conector AWS ou GCP para que você possa receber alertas de deteção de ameaças para o plano de controle.
- Verifique se o sensor do Microsoft Defender e a Política do Azure para extensões do Kubernetes habilitadas para Azure Arc foram instaladas com êxito nos clusters do Amazon Elastic Kubernetes Service (EKS) e do Google Kubernetes Engine (GKE). Você pode verificar e instalar o agente com as seguintes recomendações do Defender for Cloud:
- Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada
- Os clusters GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada
- Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
- Os clusters GKE devem ter a extensão Azure Policy instalada
- Se você estiver tendo problemas com a exclusão do conector AWS ou GCP, verifique se você tem um bloqueio. Um erro no log de atividades do Azure pode sugerir a presença de um bloqueio.
- Verifique se existem cargas de trabalho na conta da AWS ou no projeto GCP.
Dicas para problemas com o conector da AWS
- Certifique-se de que a implantação do modelo do CloudFormation tenha sido concluída com êxito.
- Aguarde pelo menos 12 horas após a criação da conta raiz da AWS.
- Verifique se os clusters EKS estão conectados com êxito ao Kubernetes habilitado para Azure Arc.
- Se você não vir os dados da AWS no Defender for Cloud, verifique se os recursos da AWS necessários para enviar dados para o Defender for Cloud existem na conta da AWS.
Impacto no custo das chamadas de API para a AWS
Quando você integra sua conta única ou de gerenciamento da AWS, o serviço de descoberta no Defender for Cloud inicia uma verificação imediata do seu ambiente. O serviço de descoberta executa chamadas de API para vários pontos de extremidade de serviço para recuperar todos os recursos que o Azure ajuda a proteger.
Após essa verificação inicial, o serviço continua a verificar periodicamente seu ambiente no intervalo que você configurou durante a integração. Na AWS, cada chamada de API para a conta gera um evento de pesquisa que é registrado no recurso CloudTrail. O recurso CloudTrail incorre em custos. Para obter detalhes de preços, consulte a página Definição de preço do AWS CloudTrail no site da Amazon AWS.
Se você conectou seu CloudTrail ao GuardDuty, também será responsável pelos custos associados. Você pode encontrar esses custos na documentação do GuardDuty no site da Amazon AWS.
Obtendo o número de chamadas de API nativas
Há duas maneiras de obter o número de chamadas que o Defender for Cloud fez:
- Use uma tabela existente do Athena ou crie uma nova. Para obter mais informações, consulte Consultar logs do AWS CloudTrail no site da Amazon AWS.
- Use um armazenamento de dados de evento existente ou crie um novo. Para obter mais informações, consulte Trabalhar com o AWS CloudTrail Lake no site da Amazon AWS.
Ambos os métodos dependem da consulta de logs do AWS CloudTrail.
Para obter o número de chamadas, vá para a tabela do Athena ou para o armazenamento de dados do evento e use uma das seguintes consultas predefinidas, de acordo com suas necessidades. Substitua <TABLE-NAME>
pela ID da tabela do Athena ou do armazenamento de dados de eventos.
Liste o número geral de chamadas de API pelo Defender for Cloud:
SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>'
Liste o número geral de chamadas de API do Defender for Cloud agregadas por dia:
SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)
Liste o número geral de chamadas de API do Defender for Cloud agregadas pelo nome do evento:
SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventName
Liste o número geral de chamadas de API do Defender for Cloud agregadas por região:
SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::120589537074:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion
Dicas para problemas do conector GCP
- Certifique-se de que o script do GCP Cloud Shell foi concluído com êxito.
- Certifique-se de que os clusters GKE estejam conectados com êxito ao Kubernetes habilitado para Azure Arc.
- Verifique se os pontos de extremidade do Azure Arc estão na lista de permissões do firewall. O conector GCP faz chamadas de API para esses pontos de extremidade para buscar os arquivos de integração necessários.
- Se a integração de projetos GCP falhar, verifique se você tem
compute.regions.list
permissão e permissão do Microsoft Entra para criar a entidade de serviço para o processo de integração. Certifique-se de que os recursosWorkloadIdentityPoolId
do GCP ,WorkloadIdentityProviderId
eServiceAccountEmail
são criados no projeto GCP.
Chamadas da API do Defender para o GCP
Quando você integra seu único projeto ou organização do GCP, o serviço de descoberta no Defender for Cloud inicia uma verificação imediata do seu ambiente. O serviço de descoberta executa chamadas de API para vários pontos de extremidade de serviço para recuperar todos os recursos que o Azure ajuda a proteger.
Após essa verificação inicial, o serviço continua a verificar periodicamente seu ambiente no intervalo que você configurou durante a integração.
Para obter o número de chamadas de API nativas que o Defender for Cloud executou:
Vá para Logging>Log Explorer.
Filtre as datas como quiser (por exemplo, 1d).
Para mostrar chamadas de API que o Defender for Cloud executou, execute esta consulta:
protoPayload.authenticationInfo.principalEmail : "microsoft-defender"
Consulte o histograma para ver o número de chamadas ao longo do tempo.
Solucionar problemas do agente do Log Analytics
O Defender for Cloud usa o agente do Log Analytics para coletar e armazenar dados. As informações neste artigo representam a funcionalidade do Defender for Cloud após a transição para o agente do Log Analytics.
Os tipos de alerta são:
- Análise Comportamental de Máquinas Virtuais (VMBA)
- Análise de rede
- Banco de Dados SQL do Azure e análise do Azure Synapse Analytics
- Informações contextuais
Dependendo do tipo de alerta, você pode coletar as informações necessárias para investigar um alerta usando os seguintes recursos:
- Logs de segurança no visualizador de eventos da máquina virtual (VM) no Windows
- O daemon de auditoria (
auditd
) no Linux - Os logs de atividade do Azure e os logs de diagnóstico habilitados no recurso de ataque
Pode partilhar feedback sobre a descrição e a relevância do alerta. Vá para o alerta, selecione o botão Foi Útil , selecione o motivo e insira um comentário para explicar o feedback. Nós monitorizamos consistentemente este canal de feedback para melhorar os nossos alertas.
Verifique os processos e versões do agente do Log Analytics
Assim como o Azure Monitor, o Defender for Cloud usa o agente do Log Analytics para coletar dados de segurança de suas máquinas virtuais do Azure. Depois de habilitar a coleta de dados e instalar corretamente o agente na máquina de destino, o HealthService.exe
processo deve estar em execução.
Abra o console de gerenciamento de serviços (services.msc) para verificar se o serviço do agente do Log Analytics está em execução.
Para ver qual versão do agente você tem, abra o Gerenciador de Tarefas. Na guia Processos, localize o serviço do agente do Log Analytics, clique com o botão direito do mouse nele e selecione Propriedades. Na guia Detalhes, procure a versão do arquivo.
Verifique os cenários de instalação do agente do Log Analytics
Há dois cenários de instalação que podem produzir resultados diferentes quando você instala o agente do Log Analytics no computador. Os cenários suportados são:
Agente instalado automaticamente pelo Defender for Cloud: você pode visualizar os alertas no Defender for Cloud e fazer a pesquisa de logs. Você recebe notificações por e-mail no endereço de e-mail que você configurou na política de segurança para a assinatura à qual o recurso pertence.
Agente instalado manualmente em uma VM localizada no Azure: nesse cenário, se você estiver usando agentes baixados e instalados manualmente antes de fevereiro de 2017, poderá exibir os alertas no portal do Defender for Cloud somente se filtrar a assinatura à qual o espaço de trabalho pertence. Se você filtrar a assinatura à qual o recurso pertence, não verá nenhum alerta. Você recebe notificações por e-mail no endereço de email configurado na política de segurança para a assinatura à qual o espaço de trabalho pertence.
Para evitar o problema de filtragem, certifique-se de baixar a versão mais recente do agente.
Monitorar problemas de conectividade de rede para o agente
Para que os agentes se conectem e se registrem no Defender for Cloud, eles devem ter acesso aos endereços DNS e às portas de rede dos recursos de rede do Azure. Para habilitar esse acesso, execute estas ações:
- Ao usar servidores proxy, certifique-se de que os recursos apropriados do servidor proxy estejam configurados corretamente nas configurações do agente.
- Configure seus firewalls de rede para permitir o acesso ao Log Analytics.
Os recursos de rede do Azure são:
Recursos do agente | Porta | Inspeção de HTTPS direto |
---|---|---|
*.ods.opinsights.azure.com |
443 | Sim |
*.oms.opinsights.azure.com |
443 | Sim |
*.blob.core.windows.net |
443 | Sim |
*.azure-automation.net |
443 | Sim |
Se você estiver tendo problemas para integrar o agente do Log Analytics, leia Solucionar problemas de integração do Operations Management Suite.
Solucionar problemas de proteção antimalware funcionando incorretamente
O agente convidado é o processo pai de tudo o que a extensão Microsoft Antimalware faz. Quando o processo do agente convidado falha, a proteção antimalware da Microsoft que é executada como um processo filho do agente convidado também pode falhar.
Aqui estão algumas dicas de solução de problemas:
- Se a VM de destino foi criada a partir de uma imagem personalizada, certifique-se de que o criador da VM instalou um agente convidado.
- Se o destino for uma VM Linux, a instalação da versão Windows da extensão antimalware falhará. O agente convidado Linux tem requisitos específicos de SO e pacote.
- Se a VM foi criada com uma versão antiga do agente convidado, o agente antigo pode não ter a capacidade de atualizar automaticamente para a versão mais recente. Use sempre a versão mais recente do agente convidado ao criar suas próprias imagens.
- Alguns softwares de administração de terceiros podem desativar o agente convidado ou bloquear o acesso a determinados locais de arquivos. Se o software de administração de terceiros estiver instalado na sua VM, certifique-se de que o agente antimalware está na lista de exclusão.
- Certifique-se de que as configurações de firewall e um grupo de segurança de rede não estão bloqueando o tráfego de rede de e para o agente convidado.
- Certifique-se de que nenhuma lista de controle de acesso está impedindo o acesso ao disco.
- O agente convidado precisa de espaço em disco suficiente para funcionar corretamente.
Por padrão, a interface do usuário do Microsoft Antimalware está desabilitada. Mas você pode habilitar a interface do usuário do Microsoft Antimalware em VMs do Azure Resource Manager.
Solucionar problemas com o carregamento do painel
Se você tiver problemas com o carregamento do painel de proteção de carga de trabalho, verifique se o usuário que ativou o Defender for Cloud pela primeira vez na assinatura e o usuário que deseja ativar a coleta de dados têm a função de Proprietário ou Colaborador na assinatura. Em caso afirmativo, os usuários com a função Leitor na assinatura poderão ver o painel, os alertas, as recomendações e a política.
Solucionar problemas de conector para a organização do Azure DevOps
Se você não puder integrar sua organização do Azure DevOps, tente as seguintes dicas de solução de problemas:
Certifique-se de que está a utilizar uma versão não pré-visualizada do portal do Azure; o passo autorizar não funciona no portal de pré-visualização do Azure.
É importante saber em qual conta você está conectado quando autorizar o acesso, porque essa será a conta que o sistema usará para integração. Sua conta pode ser associada ao mesmo endereço de e-mail, mas também associada a diferentes locatários. Certifique-se de selecionar a combinação correta de conta/locatário. Se precisar de alterar a combinação:
Na página de perfil do Azure DevOps, use o menu suspenso para selecionar outra conta.
Depois de selecionar a combinação correta de conta/locatário, vá para Configurações de ambiente no Defender for Cloud e edite seu conector de DevOps do Azure. Reautorize o conector a atualizá-lo com a combinação correta de conta/locatário. Em seguida, você verá a lista correta de organizações no menu suspenso.
Certifique-se de ter a função de Administrador da Coleção de Projetos na organização do Azure DevOps que deseja integrar.
Verifique se a alternância Acesso a aplicativos de terceiros via OAuth está Ativada para a organização do Azure DevOps. Saiba mais sobre como habilitar o acesso OAuth.
Contacte o Suporte da Microsoft
Você também pode encontrar informações de solução de problemas do Defender for Cloud na página de perguntas e respostas do Defender for Cloud.
Se precisar de mais assistência, você pode abrir uma nova solicitação de suporte no portal do Azure. Na página Ajuda + suporte, selecione Criar uma solicitação de suporte.
Consulte também
- Saiba como gerir e responder a alertas de segurança no Defender for Cloud.
- Saiba mais sobre a validação de alertas no Defender for Cloud.
- Reveja as perguntas comuns sobre a utilização do Defender for Cloud.