Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Defender for Cloud fornece um sistema de gerenciamento de segurança unificado que ajuda você a proteger seus recursos de nuvem. Ele suporta vários provedores de nuvem, incluindo Amazon Web Services (AWS) e Google Cloud Platform (GCP). Este guia destina-se a profissionais de TI, analistas de segurança e administradores de nuvem que precisam solucionar problemas relacionados aos conectores do Microsoft Defender for Cloud.
Resolver problemas de conectores
O Defender for Cloud usa conectores para coletar dados de monitoramento de contas da Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP). Se você estiver tendo problemas com os conectores ou não vir dados da AWS ou do GCP, consulte as dicas de solução de problemas a seguir.
Dicas para problemas comuns do conector
- Verifique se a assinatura associada ao conector está selecionada no filtro de assinatura localizado na seção Diretórios + assinaturas do portal do Azure.
- Devem ser atribuídas normas no conector de segurança. Para verificar, vá para Configurações de ambiente no menu esquerdo do Defender for Cloud, selecione o conector e, em seguida, selecione Configurações. Se nenhum padrão for atribuído, selecione os três pontos para verificar se você tem permissões para atribuir padrões.
- Um recurso de conector deve estar presente no Azure Resource Graph. Use a seguinte consulta do Gráfico de Recursos para verificar:
resources | where ['type'] =~ "microsoft.security/securityconnectors". - Certifique-se de que o envio de logs de auditoria do Kubernetes esteja habilitado no conector AWS ou GCP para que você possa receber alertas de deteção de ameaças para o plano de controle.
- Verifique se o sensor do Microsoft Defender e a Política do Azure para extensões do Kubernetes habilitadas para Azure Arc foram instaladas com êxito nos clusters do Amazon Elastic Kubernetes Service (EKS) e do Google Kubernetes Engine (GKE). Você pode verificar e instalar o agente com as seguintes recomendações do Defender for Cloud:
- Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada
- Os clusters GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada
- Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada
- Os clusters GKE devem ter a extensão Azure Policy instalada
- Se você estiver tendo problemas com a exclusão do conector AWS ou GCP, verifique o log de atividades do Azure para operações de exclusão com falha causadas por bloqueios de recursos. Se houver um bloqueio, saiba como Gerenciar bloqueios para evitar que os recursos sejam excluídos ou alterados para removê-los e tentar novamente.
- Verifique se existem cargas de trabalho na conta da AWS ou no projeto GCP.
Dicas para problemas com o conector da AWS
- Certifique-se de que a implantação do modelo do CloudFormation tenha sido concluída com êxito.
- Aguarde pelo menos 12 horas após a criação da conta raiz da AWS.
- Verifique se os clusters EKS estão conectados com êxito ao Kubernetes habilitado para Azure Arc.
- Se você não vir os dados da AWS no Defender for Cloud, verifique se os recursos da AWS necessários para enviar dados para o Defender for Cloud existem na conta da AWS.
Conectado ao Sentinel primeiro
Se você conectou sua conta da AWS ao Microsoft Sentinel primeiro, o conector do Defender for Cloud não funcionará. Para corrigir esse problema, você precisa editar o modelo do CloudFormation e aplicar etapas de correção em sua conta da AWS.
Saiba como conectar uma conta da AWS conectada ao Microsoft Sentinel ao Defender for Cloud.
Impacto no custo das chamadas de API para a AWS
Quando você integra sua conta única ou de gerenciamento da AWS, o serviço de descoberta no Defender for Cloud inicia uma verificação imediata do seu ambiente. O serviço de descoberta executa chamadas de API para vários pontos de extremidade de serviço para recuperar todos os recursos que o Azure ajuda a proteger.
Após essa verificação inicial, o serviço continua a verificar periodicamente seu ambiente no intervalo que você configurou durante a integração. Na AWS, cada chamada de API para a conta gera um evento de pesquisa que é registrado no recurso CloudTrail. O recurso CloudTrail incorre em custos. Para obter detalhes de preços, consulte a página Definição de preço do AWS CloudTrail no site da Amazon AWS.
Se você conectou seu CloudTrail ao GuardDuty, também será responsável pelos custos associados. Você pode encontrar esses custos na documentação do GuardDuty no site da Amazon AWS.
Obter o número de chamadas de API nativas
Há duas maneiras de obter o número de chamadas que o Defender for Cloud fez:
- Use uma tabela existente do Athena ou crie uma nova. Para obter mais informações, consulte Consultar logs do AWS CloudTrail no site da Amazon AWS.
- Use um armazenamento de dados de evento existente ou crie um novo. Para obter mais informações, consulte Trabalhar com o AWS CloudTrail Lake no site da Amazon AWS.
Ambos os métodos dependem da consulta de logs do AWS CloudTrail.
Para obter o número de chamadas, vá para a tabela do Athena ou para o armazenamento de dados do evento e use uma das seguintes consultas predefinidas, de acordo com suas necessidades. Substitua <TABLE-NAME> pela ID da tabela do Athena ou do armazenamento de dados de eventos.
Liste o número geral de chamadas de API pelo Defender for Cloud:
SELECT COUNT(*) AS overallApiCallsCount FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>'Liste o número geral de chamadas de API do Defender for Cloud agregadas por dia:
SELECT DATE(eventTime) AS apiCallsDate, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts:: <YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY DATE(eventTime)Liste o número geral de chamadas de API do Defender for Cloud agregadas pelo nome do evento:
SELECT eventName, COUNT(*) AS apiCallsCountByEventName FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY eventNameListe o número geral de chamadas de API do Defender for Cloud agregadas por região:
SELECT awsRegion, COUNT(*) AS apiCallsCountByRegion FROM <TABLE-NAME> WHERE userIdentity.arn LIKE 'arn:aws:sts::<YOUR-ACCOUNT-ID>:assumed-role/CspmMonitorAws/MicrosoftDefenderForClouds_<YOUR-AZURE-TENANT-ID>' AND eventTime > TIMESTAMP '<DATETIME>' GROUP BY awsRegion
Dicas para problemas do conector GCP
- Certifique-se de que o script do GCP Cloud Shell foi concluído com êxito.
- Certifique-se de que os clusters GKE estejam conectados com êxito ao Kubernetes habilitado para Azure Arc.
- Verifique se os pontos de extremidade do Azure Arc estão na lista de permissões do firewall. O conector GCP faz chamadas de API para esses pontos de extremidade para buscar os arquivos de integração necessários.
- Se a integração de projetos GCP falhar, verifique se você tem
compute.regions.listpermissão e permissão do Microsoft Entra para criar a entidade de serviço para o processo de integração. Certifique-se de que os recursosWorkloadIdentityPoolIddo GCP ,WorkloadIdentityProviderIdeServiceAccountEmailsão criados no projeto GCP.
Chamadas da API do Defender para o GCP
Quando você integra seu único projeto ou organização do GCP, o serviço de descoberta no Defender for Cloud inicia uma verificação imediata do seu ambiente. O serviço de descoberta executa chamadas de API para vários pontos de extremidade de serviço para recuperar todos os recursos que o Azure ajuda a proteger.
Após essa verificação inicial, o serviço continua a verificar periodicamente seu ambiente no intervalo que você configurou durante a integração.
Para obter o número de chamadas de API nativas que o Defender for Cloud executou:
Vá para Logging>Log Explorer.
Filtre as datas como quiser (por exemplo, 1d).
Para mostrar chamadas de API que o Defender for Cloud executou, execute esta consulta:
protoPayload.authenticationInfo.principalEmail : "microsoft-defender"
Consulte o histograma para ver o número de chamadas ao longo do tempo.
Ver também
- Conecte uma conta da AWS conectada ao Microsoft Sentinel ao Defender for Cloud.
- Resolva a política de Compartilhamento Restrito de Domínio.
- Resolva o erro de verificação sem agente.
- Resolva problemas de controles de serviço da VPC.
- Reveja as perguntas comuns sobre a utilização do Defender for Cloud.