Usare il vantaggio di inserimento dati

Quando si abilita Defender per server piano 2 in Microsoft Defender for Cloud, si sfruttano 500 MB di inserimento dati gratuito ogni giorno. e funziona nel modo seguente:

• Defender per server piano 2 offre una quota di 500 MB per nodo ogni giorno per tipi di dati di sicurezza specifici raccolti direttamente da Defender for Cloud.
• L'inserimento dati viene calcolato per computer, per area di lavoro segnalata e ogni giorno.
• Il limite totale giornaliero gratuito è uguale a [numero di computer] x 500 MB.
• L'indennità è una tariffa giornaliera mediata in tutti i computer.
• Non vengono addebitati costi aggiuntivi se il totale non supera il limite gratuito giornaliero, anche se alcuni computer inviano 100 MB e altri inviano 800 MB.
• Il vantaggio viene concesso all'area di lavoro Log Analytics in cui il computer segnala.
• Il vantaggio potrebbe non essere visualizzato nella fattura, perché ha un costo zero. Il vantaggio è visibile nel prodotto e nelle esportazioni di Microsoft Cost Management. Informazioni su come visualizzare i vantaggi dell'allocazione dei dati.

Prerequisiti

• Ogni computer che esegue l'agente di Monitoraggio di Azure in una sottoscrizione con Defender per Server Piano 2 abilitato ottiene i benefici.
• Ogni area di lavoro in cui le macchine riportano deve avere Defender per Server Piano 2 abilitato.
• Ogni computer assegnato a più di un'area di lavoro ottiene il vantaggio concesso solamente a una di esse.

Per il vantaggio sono supportati i seguenti subset di tipi di dati di sicurezza:

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• ProtectionStatus
• Update e UpdateSummary quando la soluzione Gestione aggiornamenti non è in esecuzione nell'area di lavoro o nella destinazione della soluzione è abilitata.
• MDCFileIntegrityMonitoringEvents
• WindowsEvent
• LinuxAuditLog

Creare una regola di raccolta dati personalizzata (DCR) per gli eventi di sicurezza (vantaggio 500 MB/giorno)

Gli eventi di sicurezza sono gratuiti, fino a 500 MB per server al giorno, ma solo quando raggiungono la tabella SecurityEvent . Per garantire la conformità al vantaggio di inserimento dei dati, una regola di raccolta dati (DCR) deve pertanto usare il flusso Microsoft-SecurityEvent.

Passaggi rapidi per creare un record di controllo di dominio

1. Passare al portale di Azure — Monitoraggio — Regole di raccolta dati — + Crea.

2. Aggiungere un'origine dati

   • Tipo: Registri eventi di Windows

   • Nome log: Security

   • Flusso: Microsoft-SecurityEvent

   • (Facoltativo) filtro con XPath, ad esempio:

     *[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
     

3. Destinazione : selezionare l'area di lavoro Log Analytics con Defender per Server Piano 2 abilitato.

4. Rivedi e crea ▸ Assegna la regola ai computer Windows che eseguono l'Azure Monitor Agent (AMA).

Frammento JSON di esempio

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

Elenco di controllo per la conformità

Distribuire su larga scala

Automatizzare la creazione e l'assegnazione di un DCR conforme tra le sottoscrizioni con l'iniziativa di criteri di Azure Deploy AMA DCR for Security Events collection (Distribuisci AMA DCR per gli eventi di sicurezza).

Configurare un'area di lavoro

Azure Monitor descrive come creare un'area di lavoro Log Analytics.

Abilitare Defender per server piano 2 nell'area di lavoro

1. Nella portale di Azure cercare e selezionare Microsoft Defender per il cloud.

2. Nel menu Defender per il cloud selezionare Impostazioni ambiente e selezionare l'area di lavoro pertinente.

3. Selezionare l'area di lavoro appropriata.

4. Attivare o disattivare i server e quindi selezionare Salva.