Tire partido do benefício de ingestão de dados

Ao ativar o Defender for Servers Plan 2 no Microsoft Defender for Cloud, você aproveita 500 MB de ingestão de dados gratuitos diariamente. Veja como funciona.

• O Plano 2 do Defender for Servers fornece uma franquia de 500 MB por nó diariamente para tipos de dados de segurança específicos coletados diretamente pelo Defender for Cloud.
• A ingestão de dados é calculada por máquina, por espaço de trabalho relatado e diariamente.
• O limite total diário livre é igual a [número de máquinas] x 500 MB.
• O subsídio é uma quantia diária média para todas as máquinas.
• Você não será cobrado extra se o total não exceder seu limite diário gratuito, mesmo que algumas máquinas enviem 100 MB e outras enviem 800 MB.
• O benefício é concedido ao espaço de trabalho do Log Analytics onde a máquina reporta.
• O benefício pode não aparecer na sua fatura, uma vez que tem custo zero. O benefício é visível no produto e nas exportações do Microsoft Cost Management. Saiba como visualizar os benefícios da alocação de dados.

Pré-requisitos

• Cada máquina que executa o agente do Azure Monitor (AMA) em uma assinatura com o Defender for Servers Plan 2 habilitado obtém o benefício.
• Cada espaço de trabalho onde as máquinas relatam deve ter o Defender for Servers Plan 2 habilitado.
• Cada máquina que se reporta a mais de um espaço de trabalho recebe o benefício concedido a apenas um deles.

O seguinte subconjunto de tipos de dados de segurança é suportado para o benefício:

• Alerta de Segurança
• SecurityBaseline
• SecurityBaselineSummary
• Deteção de Segurança
• SecurityEvent
• Firewall do Windows
• Status de proteção
• Update e UpdateSummary quando a solução de Gerenciamento de Atualizações não está em execução no espaço de trabalho ou a segmentação da solução está habilitada.
• Eventos de Monitorização de Integridade de Ficheiros MDC
• Evento do Windows
• LinuxAuditLog

Criar uma Regra de Coleta de Dados (DCR) personalizada para Eventos de Segurança (benefício de 500 MB/dia)

Os Eventos de Segurança são gratuitos, até 500 MB por servidor por dia, mas apenas quando chegam à tabela SecurityEvent . Um DCR deve, portanto, usar o fluxo Microsoft-SecurityEvent para garantir a conformidade com o benefício de ingestão de dados.

Passos rápidos para criar um DCR

1. Vá para o portal do Azure ▸ Monitor ▸ Regras de Coleta de Dados ▸ + Criar.

2. Adicionar fonte de dados

   • Tipo: logs de eventos do Windows

   • Nome do registo: Security

   • Transmissão: Microsoft-SecurityEvent

   • Filtro (opcional) com XPath, por exemplo:

     *[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
     

3. Destino ▸ Selecione o espaço de trabalho do Log Analytics que tem o Plano 2 do Defender for Servers habilitado.

4. Rever + criar ▸ Atribua a regra a máquinas Windows que executam o Azure Monitor Agent (AMA).

Exemplo de fragmento JSON

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

Lista de verificação de conformidade

Implementar à escala

Automatize a criação e a atribuição de um DCR compatível entre assinaturas com a iniciativa de Política do Azure Implantar a coleção AMA DCR for Security Events.

Configurar um espaço de trabalho

O Azure Monitor descreve como criar um espaço de trabalho do Log Analytics.

Habilitar o Plano 2 do Defender for Servers no espaço de trabalho

1. No portal do Azure, procure e selecione Microsoft Defender for Cloud.

2. No menu do Defender for Cloud, selecione Configurações do ambiente e selecione o espaço de trabalho relevante.

3. Selecionar o espaço de trabalho relevante.

4. Alterne o plano de servidores para Ativado e selecione Salvar.