編輯

使用 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 監視混合式安全性

Azure Log Analytics
Azure 監視器
適用於雲端的 Microsoft Defender
Microsoft Sentinel
Azure Stack

此參考架構說明如何使用 適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 來監視內部部署、Azure 和 Azure Stack 工作負載的安全性設定和遙測。

架構

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

下載此架構的 Visio 檔案

工作流程

  • 適用於雲端的 Microsoft Defender。 這是 Microsoft 提供給所有 Azure 訂閱者的進階統一安全性管理平臺。 適用於雲端的 Defender 會分割為雲端安全性狀態管理 (CSPM) 和雲端工作負載保護平臺 (CWPP)。 CWPP 是由以工作負載為中心的安全性保護解決方案所定義,這些解決方案通常是以代理程式為基礎。 適用於雲端的 Microsoft Defender 為內部部署和其他雲端中的 Azure 工作負載提供威脅防護,包括 Windows 和 Linux 虛擬機(VM)、容器、資料庫和物聯網(IoT)。 啟用時,Log Analytics 代理程式會自動部署到 Azure 虛擬機器。 針對內部部署 Windows 和 Linux 伺服器和 VM,您可以手動部署代理程式、使用組織的部署工具,例如 Microsoft Endpoint Protection Manager,或使用腳本式部署方法。 適用於雲端的 Defender會開始評估所有 VM、網路、應用程式和資料的安全性狀態。
  • Microsoft Sentinel。 這是雲端原生安全性資訊與事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案,其使用進階 AI 和安全性分析來協助您偵測、搜捕、預防及回應整個企業的威脅。
  • Azure Stack。 這是將 Azure 服務和功能延伸至您選擇的環境的產品群組,包括資料中心、邊緣位置和遠端辦公室。 Azure Stack 實作通常會利用由受信任硬體合作夥伴所建置的四到十六部伺服器的機架,並傳遞到您的數據中心。
  • Azure 監視器。 從各種內部部署和 Azure 來源收集監視遙測資料。 管理工具 (例如適用於雲端的 Microsoft Defender 和 Azure 自動化中的工具) 也會將記錄資料發送至 Azure 監視器。
  • Log Analytics 工作區。 Azure 監視器會將記錄資料儲存在 Log Analytics 工作區 (內含資料和設定資訊的容器)。
  • Log Analytics 代理程式。 Log Analytics 代理程式會從 Azure 中的客體作業系統和 VM 工作負載、來自其他雲端提供者,以及從內部部署收集監視數據。 Log Analytics 代理程式支援 Proxy 設定,以及 (特別是在此案例中) 作為 Proxy 使用的 Microsoft Operations Management Suite (OMS) 閘道。
  • 內部部署網路。 此為防火牆,設定用來支援已定義系統的 HTTPS 輸出。
  • 內部部署的 Windows 和 Linux 系統。 已安裝 Log Analytics 代理程式的系統。
  • Azure Windows and Linux VM。 已安裝適用於雲端的 Microsoft Defender 監視代理程式的系統。

元件

案例詳細資料

潛在的使用案例

此結構的一般用法包括:

  • 整合內部部署安全性和遙測監視與以 Azure 為基礎的工作負載的最佳做法
  • 適用於雲端的 Microsoft Defender 與 Azure Stack 整合
  • 適用於雲端的 Microsoft Defender 與 Microsoft Sentinel 整合

建議

下列建議適用於大部分案例。 除非您有覆寫建議的特定需求,否則請遵循這些建議。

適用於雲端的 Microsoft Defender 升級

此參考架構會使用 適用於雲端的 Microsoft Defender 來監視內部部署系統、Azure VM、Azure 監視器資源,甚至是由其他雲端提供者裝載的 VM。 如需 適用於雲端的 Microsoft Defender 定價的詳細數據,請參閱這裡

自訂Log Analytics工作區

Microsoft Sentinel 需要存取 Log Analytics 工作區。 在此案例中,您無法搭配使用 Microsoft Sentinel 和預設之適用於雲端的 Defender Log Analytics 工作區。 相反地,您會建立自定義工作區。 自定義工作區的數據保留是以工作區定價層為基礎,您可以在這裡找到監視記錄的定價模式。

注意

Microsoft Sentinel 可以在 Log Analytics 任何正式運作 (GA) 區域的工作區上執行,但中國和德國 (主權) 區域除外。 Microsoft Sentinel 產生的數據,例如事件、書籤和警示規則,這些規則可能包含來自這些工作區的一些客戶數據,會儲存在歐洲(適用於歐洲工作區)、澳大利亞(適用於澳大利亞工作區),或在美國東部(適用於位於任何其他區域的工作區)。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

安全性

安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱 安全性要素概觀。

安全 策略 會定義針對指定訂用帳戶內資源建議的一組控件。 在 適用於雲端的 Microsoft Defender 中,您會根據公司的安全性需求,以及每個訂用帳戶的應用程式類型或數據敏感度來定義 Azure 訂用帳戶的原則。

您在 適用於雲端的 Microsoft Defender 啟用的安全策略會推動安全性建議和監視。 若要深入瞭解安全策略,請參閱使用 適用於雲端的 Microsoft Defender 加強安全策略。您只能在管理或訂用帳戶群組層級指派 適用於雲端的 Microsoft Defender 中的安全策略。

注意

參考架構的第一部分詳細說明如何啟用 適用於雲端的 Microsoft Defender 來監視 Azure 資源、內部部署系統和 Azure Stack 系統。

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素概觀。

如先前所述,Azure 訂用帳戶以外的成本可能包括:

  1. 適用於雲端的 Microsoft Defender 成本。 如需詳細資訊,請參閱 適用於雲端的 Defender 定價
  2. Azure 監視器工作區提供計費粒度。 如需詳細資訊,請參閱 使用 Azure 監視器記錄管理使用量和成本。
  3. Microsoft Sentinel 為付費服務。 如需詳細資訊,請參閱 Microsoft Sentinel 定價

卓越營運

卓越營運涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。 如需詳細資訊,請參閱 營運卓越支柱概觀。

適用於雲端的 Microsoft Defender 角色

適用於雲端的 Defender 評估資源的設定,以識別安全性問題和弱點,並在您獲指派資源所屬訂用帳戶或資源群組的擁有者、參與者或讀取者角色時顯示與資源相關的資訊。

除了這些角色之外,還有兩個特定的 適用於雲端的 Defender 角色:

  • 安全性讀取器。 屬於此角色的使用者具有 適用於雲端的 Defender 的唯讀許可權。 用戶可以觀察建議、警示、安全策略和安全性狀態,但無法進行變更。

  • 安全性 管理員。屬於此角色的使用者具有與安全性讀取者相同的許可權,也可以更新安全策略,並關閉警示和建議。 一般而言,這些是管理工作負載的使用者。

  • 安全性角色安全性讀取器和安全性 管理員 只能在 適用於雲端的 Defender 中存取。 安全性角色無法存取其他 Azure 服務區域,例如記憶體、Web、行動或 IoT。

Microsoft Sentinel 訂用帳戶

  • 若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者權限。
  • 若要使用 Microsoft Sentinel,您需要工作區所屬資源群組的參與者或讀取者許可權。
  • Microsoft Sentinel 為付費服務。 如需詳細資訊,請參閱 Microsoft Sentinel 定價

效能效益

效能效率是工作負載以有效率的方式調整的能力,以符合使用者放置的需求。 如需詳細資訊,請參閱 效能效率要素概觀

適用於 Windows 和 Linux 的 Log Analytics 代理程式設計為對 VM 或實體系統的效能影響極小。

適用於雲端的 Microsoft Defender 作業程式不會干擾您的一般作業程式。 相反地,它會被動地監視您的部署,並根據您啟用的安全策略提供建議。

部署此案例

在 Azure 入口網站中建立 Log Analytics 工作區 (機器翻譯)

  1. 以具有安全性 管理員許可權的使用者身分登入 Azure 入口網站。
  2. 在 Azure 入口網站中,選取所有服務。 在資源清單中,輸入 Log Analytics。 當您開始輸入時,清單會根據您的輸入進行篩選。 選取 [Log Analytics 工作區]
  3. 選取 [Log Analytics] 頁面上的 [新增 ]。
  4. 提供新 Log Analytics 工作區的名稱,例如 適用於雲端的 Defender-SentinelWorkspace。 此名稱在所有 Azure 監視器訂用帳戶中必須全域是唯一的。
  5. 如果預設選取項目不合適,請從下拉式清單中選取 ,以選取訂用帳戶。
  6. 針對 [資源群組],選擇使用現有的資源群組或建立新的資源群組。
  7. 針對 [ 位置],選取可用的地理位置。
  8. 選取 [確定] 以完成設定。 New Workspace created for the architecture

啟用 適用於雲端的 Defender

當您仍以具有安全性 管理員 許可權的使用者身分登入 Azure 入口網站 時,請在面板中選取 [適用於雲端的 Defender]。 適用於雲端的 Defender - 概觀隨即開啟:

Defender for Cloud Overview dashboard blade opens

適用於雲端的 Defender 會自動為您或其他訂用帳戶使用者先前未上線的任何 Azure 訂用帳戶啟用免費層。

升級 適用於雲端的 Microsoft Defender

  1. 在 適用於雲端的 Defender 主功能表上,選取 [用戶入門]。
  2. 選取 [ 立即 升級] 按鈕。 適用於雲端的 Defender 列出符合使用資格的訂用帳戶和工作區。
  3. 您可以選取合格的工作區和訂用帳戶,以開始試用。 從下拉功能表中, 選取先前建立的工作區 ASC-SentinelWorkspace
  4. 在 適用於雲端的 Defender 主功能表中,選取 [開始試用]。
  5. [ 安裝代理程式 ] 對話框應該會顯示。
  6. 選取 [ 安裝代理程式] 按鈕。 [適用於雲端的 Defender - 涵蓋範圍] 刀鋒視窗隨即顯示,您應該觀察選取的訂用帳戶。 Security Coverage blade showing your subscriptions should be open

您現在已啟用自動布建,適用於雲端的 Defender 會在所有支援的 Azure VM 和您建立的任何新 VM 上安裝適用於 Windows 的 Log Analytics 代理程式 (HealthService.exe) 和適用於 Linux 的 omsagent。 您可以關閉此原則並手動管理它,但我們強烈建議自動布建。

若要深入瞭解 Windows 和 Linux 中可用的特定 適用於雲端的 Defender 功能,請參閱機器的功能涵蓋範圍。

啟用內部部署 Windows 電腦的 適用於雲端的 Microsoft Defender 監視

  1. 在 [適用於雲端的 Defender - 概觀] 刀鋒視窗的 [Azure 入口網站] 中,選取 [開始使用] 索引標籤。
  2. 選取 [新增非 Azure 計算機] 底下的 [設定]。 Log Analytics 工作區的清單隨即顯示,且應該包含 適用於雲端的 Defender-SentinelWorkspace
  3. 選取此工作區。 [ 直接代理程式 ] 刀鋒視窗隨即開啟,其中包含下載您工作區識別 (ID) 的 Windows 代理程式和密鑰的連結,以供設定代理程式時使用。
  4. 選取適用於電腦處理器類型的 [下載 Windows 代理程式] 連結,以下載安裝程式檔案。
  5. 在 [工作區標識符] 右側,選取 [複製],然後將標識符貼到 記事本。
  6. 在 [主要金鑰] 右側,選取 [複製],然後將密鑰貼到 記事本。

安裝 Windows 代理程式

若要在目標計算機上安裝代理程式,請遵循下列步驟。

  1. 將檔案複製到目標計算機,然後 執行安裝程式
  2. 請在 [歡迎使用]頁面,選取 [下一步]
  3. 請在 [授權條款] 頁面上閱讀授權,然後選取 [我同意]
  4. 請在 [目標資料夾]分頁上,變更或保留預設安裝資料夾,然後按 [下一步]
  5. 在 [ 代理程式安裝選項 ] 頁面上,選擇將代理程序連線至 Azure Log Analytics,然後選取 [ 下一步]。
  6. 在 [Azure Log Analytics] 頁面上,貼上您在上一個程式中複製到 記事本 的工作區標識符工作區密鑰(主鍵)。
  7. 如果計算機應該向 Azure Government 雲端中的 Log Analytics 工作區報告,請從 [Azure 雲端] 下拉式清單中選取 [Azure US Government]。 如果計算機需要透過 Proxy 伺服器與 Log Analytics 服務通訊,請選取 [進階],然後提供 Proxy 伺服器的 URL 和埠號碼。
  8. 提供必要的組態設定之後,請選取 [ 下一步]。 Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. 在 [ 準備安裝 ] 頁面上,檢閱您的選擇,然後選取 [ 安裝]。
  10. 在 [成功完成組態] 頁面上,選取 [完成]

完成時,Log Analytics 代理程式會出現在 Windows 控制台 中,您可以檢閱您的設定,並確認代理程式已連線。

如需安裝和設定代理程式的詳細資訊,請參閱 在 Windows 電腦上安裝 Log Analytics 代理程式。

Log Analytics 代理程式服務會收集事件和效能數據、執行工作,以及管理元件中定義的其他工作流程。 適用於雲端的 Defender與整合來擴充其雲端工作負載保護平臺適用於伺服器的 Microsoft Defender。 兩者搭配運作下,可提供完整的端點偵測及回應 (EDR) 功能。

如需適用於伺服器的 Microsoft Defender 詳細資訊,請參閱 將伺服器上線至適用於伺服器的 Microsoft Defender 服務。

啟用內部部署Linux電腦的適用於雲端的 Microsoft Defender監視

  1. 如先前所述,返回 [ 用戶入門] 索引 標籤。
  2. 選取 [新增非 Azure 計算機] 底下的 [設定]。 Log Analytics 工作區的清單隨即顯示。 清單應該包含您所建立的 適用於雲端的 Defender-SentinelWorkspace
  3. 在 [下載和上線代理程式 FOR LINUX] 下的 [ 直接代理程式 ] 刀鋒視窗上 選取 [複製 ] 以複製 wget 命令。
  4. 開啟 記事本,然後貼上此命令。 將此檔案儲存到您可以從 Linux 計算機存取的位置。

注意

在 Unix 和 Linux 作業系統上, wget 是從 Web 下載非互動式檔案的工具。 它支援 HTTPS、FTP 和 Proxy。

Linux 代理程式會使用Linux稽核精靈架構。 適用於雲端的 Defender Log Analytics 代理程式內整合此架構的功能,讓稽核記錄能夠使用 Log Analytics Agent for Linux 收集、擴充及匯總到事件。 適用於雲端的 Defender 會持續新增分析,以使用 Linux 訊號來偵測雲端和內部部署 Linux 電腦上的惡意行為。

如需 Linux 警示的清單,請參閱 警示的參考數據表。

安裝Linux代理程式

若要在目標 Linux 電腦上安裝代理程式,請遵循下列步驟:

  1. 在您的 Linux 電腦上,開啟您先前儲存的檔案。 選取並複製整個內容、開啟終端機控制台,然後貼上命令。
  2. 安裝完成後,您可以執行 pgrep 命令來驗證 omsagent 是否已安裝。 此命令會傳回 omsagent 進程標識碼 (PID)。 您可以在下列位置找到代理程序的記錄: /var/opt/microsoft/omsagent/“workspace id”/log/

新 Linux 電腦最多可能需要 30 分鐘的時間才會顯示在 適用於雲端的 Defender 中。

啟用 Azure Stack VM 的 適用於雲端的 Microsoft Defender 監視

將 Azure 訂用帳戶上線之後,您可以啟用 適用於雲端的 Defender,藉由從 Azure Stack 市集新增 Azure 監視器、更新和設定管理 VM 擴充功能來保護在 Azure Stack 上執行的 VM。 若要這樣做:

  1. 如先前所述,返回 [ 用戶入門] 索引 標籤。
  2. 選取 [新增非 Azure 計算機] 底下的 [設定]。 Log Analytics 工作區的清單隨即顯示,且應該包含您所建立的 適用於雲端的 Defender-SentinelWorkspace
  3. 在 [ 直接代理程式 ] 刀鋒視窗上,有一個連結可供下載代理程式和密鑰,讓工作區標識碼在代理程式設定期間使用。 您不需要手動下載代理程式。 在下列步驟中,它會安裝為 VM 擴充功能。
  4. 在 [工作區標識符] 右側,選取 [複製],然後將標識符貼到 記事本。
  5. 在 [主要金鑰] 右側,選取 [複製],然後將密鑰貼到 記事本。

啟用 Azure Stack VM 的 適用於雲端的 Defender 監視

適用於雲端的 Microsoft Defender 使用Azure 監視器、更新和組態管理 VM 擴充功能隨附於 Azure Stack。 若要啟用 Azure 監視器、更新和組態管理 延伸模組,請遵循下列步驟:

  1. 在新的瀏覽器索引標籤中,登入您的 Azure Stack 入口網站。
  2. 請參閱 [虛擬機] 頁面,然後選取您想要使用 適用於雲端的 Defender 保護的虛擬機。
  3. 選取 [擴充功能]。 此 VM 上安裝的 VM 擴充功能清單隨即顯示。
  4. 選取 [ 新增 ] 索引標籤。[ 新增資源] 功能表刀鋒視窗隨即開啟,並顯示可用的 VM 擴充功能清單。
  5. 選取 [ Azure 監視器]、[更新和組態管理 ] 擴充功能,然後選取 [ 建立]。 [ 安裝擴充功能組態] 刀鋒視窗隨即開啟。
  6. 在 [安裝擴充功能組態] 刀鋒視窗中,貼上您在上一個程式中複製到 記事本 的 [工作區標識符] 和 [工作區密鑰]。
  7. 當您完成提供必要的組態設定時,請選取 [ 確定]。
  8. 延伸模組安裝完成之後,其狀態會顯示為 [布建成功]。 最多可能需要一個小時,VM 才會出現在 適用於雲端的 Defender 入口網站中。

如需安裝和設定 Windows 代理程式的詳細資訊,請參閱 使用安裝精靈安裝代理程式。

如需 Linux 代理程式的疑難解答問題,請參閱 如何針對適用於 Linux 的 Log Analytics 代理程式問題進行疑難解答。

現在,您可以在一個地方監視 Azure VM 和非 Azure 計算機。 Azure Compute 提供所有 VM 和電腦的概觀,以及建議。 每個數據行都代表一組建議,而色彩代表 VM 或計算機,以及該建議的目前安全性狀態。 適用於雲端的 Defender 也會針對安全性警示中的這些計算機提供任何偵測。 Defender for Cloud list of systems monitored on the Compute blade

計算刀鋒視窗上有兩種類型的圖示:

Purple computer icon that represents a non-azure monitored computer 非 Azure 電腦

Blue terminal icon that represents an Azure monitored computer Azure 電腦

注意

參考架構的第二部分會連接來自 適用於雲端的 Microsoft Defender的警示,並將其串流至 Microsoft Sentinel。

Microsoft Sentinel 的角色是內嵌來自不同數據源的數據,並跨這些數據源執行數據相互關聯。 Microsoft Sentinel 利用機器學習和 AI,讓威脅搜捕、警示偵測和威脅回應更聰明。

若要將 Microsoft Sentinel 上線,您需要將其啟用,然後連線至您的資料來源。 Microsoft Sentinel 隨附許多適用於 Microsoft 解決方案的連接器,這些連接器現成可用並提供即時整合,包括 適用於雲端的 Microsoft Defender、Microsoft 威脅防護解決方案、Microsoft 365 來源(包括 Office 365)、Microsoft Entra ID、適用於伺服器的 Microsoft Defender,適用於雲端的 Microsoft Defender應用程式等等。 此外,還有適用於非 Microsoft 解決方案其更廣泛安全性生態系統的內建連接器。 您也可以使用 Common Event Format、syslog 或 Representational State Transfer API,將數據源與 Microsoft Sentinel 連線。

整合 Microsoft Sentinel 與 適用於雲端的 Microsoft Defender 的需求

  1. Microsoft Azure 訂用帳戶
  2. Log Analytics 工作區,不是您在啟用 適用於雲端的 Microsoft Defender 時建立的預設工作區。
  3. 適用於雲端的 Microsoft Defender。

如果您已完成上一節,則這三個需求都應該就緒。

全域必要條件

  • 若要啟用 Microsoft Sentinel,您需要 Microsoft Sentinel 工作區所在訂用帳戶的參與者權限。
  • 若要使用 Microsoft Sentinel,您需要工作區所屬資源群組的參與者或讀取者許可權。
  • 您可能需要其他許可權才能連接特定的數據來源。 您不需要其他許可權才能連線到 適用於雲端的 Defender。
  • Microsoft Sentinel 為付費服務。 如需詳細資訊,請參閱 Microsoft Sentinel 定價

啟用 Microsoft Sentinel

  1. 使用具有 適用於雲端的 Defender-Sentinelworkspace 參與者許可權的使用者登入 Azure 入口網站。
  2. 搜尋並選取 [Microsoft Sentinel]In the Azure portal search for the term
  3. 選取新增
  4. 在 [Microsoft Sentinel] 刀鋒視窗中,選取 [適用於雲端的 Defender-Sentinelworkspace]。
  5. 在 Microsoft Sentinel 中,從導覽功能表中選取 [資料連接器]。
  6. 從數據連接器資源庫,選取 [適用於雲端的 Microsoft Defender],然後選取 [開啟連接器] 頁面按鈕。 In Microsoft Sentinel showing the open Collectors page
  7. 在 [設定]下,選取 [連線 您要警示串流至 Microsoft Sentinel 的訂用帳戶旁。 只有在您具有必要的許可權和 適用於雲端的 Defender 訂用帳戶時,才能使用 [連線] 按鈕。
  8. 您現在應該會將 連線 狀態觀察連線。 聯機之後,它會切換至 連線
  9. 確認連線之後,您可以關閉 適用於雲端的 Defender Data 連線 or 設定,然後重新整理頁面以觀察 Microsoft Sentinel 中的警示。 記錄可能需要一些時間才能開始與 Microsoft Sentinel 同步處理。 連線之後,您會在 [收到的數據] 圖表中觀察數據摘要,以及數據類型的連線狀態。
  10. 您可以選取是否要 適用於雲端的 Microsoft Defender 警示在 Microsoft Sentinel 中自動產生事件。 在 [建立事件] 下,選取 [已啟用] 以開啟自動從警示建立事件的預設分析規則。 然後,您可以在 [使用中規則] 索引標籤的 [分析] 底下編輯此規則
  11. 若要在Log Analytics中使用 適用於雲端的 Microsoft Defender 警示的相關架構,請搜尋 SecurityAlert

使用 Microsoft Sentinel 作為 SIEM 的優點之一,就是它提供跨多個來源的數據相互關聯,這可讓您取得組織安全性相關事件的端對端可見度。

若要深入瞭解 Microsoft Sentinel,請參閱下列文章:

下一步

Azure 監視器

適用於雲端的 Microsoft Defender

Microsoft Sentinel

Azure Stack