添加链接 注册    登录
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
慷慨大方的乌龙茶  ·  PHP ...·  1 年前    · 
失恋的仙人掌  ·  Web服务器---TinyWebServer ...·  1 年前    · 
痴情的人字拖  ·  无法使用Jenkins管道登录到Github ...·  1 年前    · 
从容的大脸猫  ·  Eclipse rcp ...·  1 年前    · 
睡不着的跑步鞋  ·  快速编码URL - 问答 - ...·  1 年前    · 
link之家  ›  Microsoft Defender for Cloud 故障排除指南 | Microsoft Learn
azure aws
https://learn.microsoft.com/zh-cn/azure/defender-for-cloud/troubleshooting-guide
完美的杯子
1 年前

审核日志包含针对资源执行的所有写入操作(PUT、POST、DELETE),但不包含读取属性 (GET)。

对本机多云连接器进行故障排除

Defender for Cloud 使用连接器从 AWS 帐户和 GCP 项目收集监视数据。 如果连接器出现问题,或者看不到 AWS 或 GCP 中的数据,建议查看这些故障排除提示:

常见的连接器问题:

  • 请确保在“订阅筛选器”中选择与连接器关联的订阅,该订阅位于Azure 门户的“目录 + 订阅”部分。
  • 应在安全连接器上分配标准。 若要检查,请转到 Defender for Cloud 左侧菜单中的“环境设置”,选择连接器,然后选择“设置”。 应分配有标准。 可以选择三个点来检查你是否有分配标准的权限。
  • 连接器资源应在 Azure Resource Graph (ARG) 中。 使用以下 ARG 查询进行检查: resources | where ['type'] =~ "microsoft.security/securityconnectors"
  • 请确保在 AWS 或 GCP 连接器上启用了发送 Kubernetes 审核日志,以便你可以获取 控制平面的威胁检测警报
  • 确保已成功安装 Azure Arc 和 Azure Policy Arc 扩展。
  • 确保代理已安装到 Elastic Kubernetes 服务 (EKS) 群集。 可以使用 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 加载项 建议,或者 应在群集上安装并启用适用于 Kubernetes 的 Azure Policy 扩展 建议来安装代理。 下载建议中提供的给定脚本,并在群集上运行。 建议应在运行脚本后的一小时内消失。
  • 如果删除 AWS 或 GCP 连接器时遇到问题,请检查是否锁定(在这种情况下,Azure 活动日志中可能存在错误,提示存在锁定)。
  • 检查 AWS 帐户或 GCP 项目中是否存在工作负荷。

    • AWS 连接器问题:

  • 确保 CloudFormation 模板部署成功完成。
  • 创建 AWS 根帐户后,至少需要等待 12 小时。
  • 确保 EKS 群集已成功连接到已启用 Arc 的 Kubernetes。
  • 如果在 Defender for Cloud 中看不到 AWS 数据,请确保 AWS 帐户中存在将数据发送到 Defender for Cloud 所需的 AWS 资源。

    • GCP 连接器问题:

  • 确保 GCP Cloud Shell 脚本成功完成。
  • 确保 GKE 群集已成功连接到已启用 Arc 的 Kubernetes。
  • 确保 Azure Arc 终结点位于防火墙允许列表中。 GCP 连接器对这些终结点进行 API 调用,以提取必要的载入文件。
  • 如果 GCP 项目载入失败,请确保具有“compute.regions.list”权限和 Azure AD 权限,以创建用作一部分载入过程的服务原则。 确保在 GCP 项目中创建了 GCP 资源 WorkloadIdentityPoolId WorkloadIdentityProviderId ServiceAccountEmail

    • 排查 Log Analytics 代理的问题

    Defender for Cloud 使用 Log Analytics 代理来 收集和存储数据 。 本文中的信息涉及的是迁移到 Log Analytics 代理后的 Defender for Cloud 功能。

    警报类型:

  • 虚拟机行为分析 (VMBA)
  • SQL 数据库和 Azure Synapse Analytics 分析
  • 上下文信息

    • 客户可以根据警报类型收集所需的信息,以便通过以下资源来调查警报:

  • Windows 的虚拟机 (VM) 事件查看器中的安全日志
  • Linux 中的 AuditD
  • Azure 活动日志,以及有关攻击资源的启用诊断日志。

    • 客户可以共享有关警报说明和相关性的反馈。 导航到警报本身,选择“这是否有用”按钮,选择原因,然后输入评论,对反馈进行说明。 我们会持续监视此反馈渠道,以便改进我们的警报。

    检查 Log Analytics 代理进程和版本

    和 Azure Monitor 一样,Defender for Cloud 使用 Log Analytics 代理从 Azure 虚拟机收集安全数据。 启用数据收集并在目标计算机中正确安装代理后,应运行 HealthService.exe 进程。

    打开服务管理控制台 (services.msc),确保 Log Analytics 代理服务正在运行,如下所示:

    若要查看你拥有的代理版本,请打开“任务管理器”,在“进程”选项卡中找到“Log Analytics 代理服务”,右键单击该服务,然后选择“属性”。 在“详细信息”选项卡中,查看文件版本,如下所示:

    Log analytics 代理安装方案

    在计算机上安装 Log Analytics 代理时,有两种可产生不同结果的安装方案。 支持的方案有:

  • Defender for Cloud 自动安装的代理:可以在 Defender for Cloud 和日志搜索中查看警报。 系统将向在资源所属订阅的安全策略中配置的电子邮件地址发送电子邮件通知。

  • 在位于 Azure 中的 VM 上手动安装代理:在此方案中,如果使用 2017 年 2 月前手动下载和安装的代理,则仅当基于工作区所属订阅进行筛选时,才可在 Defender for Cloud 门户中查看警报。 如果基于资源所属订阅进行筛选,则无法看到任何警报。 系统将向在工作区所属订阅的安全策略中配置的电子邮件地址发送电子邮件通知。

    若要避免第二个方案中所述的行为,请确保下载最新版本的代理。

    监视代理网络连接问题

    若要使代理连接到 Defender for Cloud 并注册,他们必须有权访问 Azure 网络资源的 DNS 地址和网络端口。

  • 使用代理服务器时,需要确保在 代理设置 中正确配置相应的代理服务器资源。
  • 需要将网络防火墙配置为允许访问 Log Analytics。

    • Azure 网络资源包括:

    绕过 HTTPS 检查

    如果在载入 Log Analytics 代理时遇到问题,请确保阅读 如何排查 Operations Management Suite 载入问题

    反恶意软件保护无法正常工作

    来宾代理是 Microsoft 反恶意软件 扩展进行的所有操作的父进程。 当来宾代理进程故障时,作为来宾代理子进程运行的 Microsoft 反恶意软件保护也可能发生故障。

    下面提供了一些其他的故障排除提示:

  • 如果目标 VM 是从自定义映像创建的,请确保 VM 的创建者安装了来宾代理。
  • 如果目标是 Linux VM,则安装 Windows 版反恶意软件扩展将会失败。 Linux 来宾代理具有特定的操作系统和软件包要求。
  • 如果 VM 是使用旧版本的来宾代理创建的,则旧代理可能无法自动更新到较新版本。 创建自己的映像时,请始终使用最新版本的来宾代理。
  • 某些第三方管理软件可能会禁用来宾代理,或阻止对某些文件位置的访问。 如果 VM 上安装有第三方管理软件,请确保反恶意软件代理在排除列表中。
  • 确保防火墙设置和网络安全组 (NSG) 不会阻止往返来宾代理的网络流量。
  • 请确保没有阻止磁盘访问的访问控制列表 (ACL)。
  • 来宾代理需要足够的磁盘空间才能正常运行。

    • 默认情况下禁用 Microsoft Antimalware 用户界面,但可以在 Azure 资源管理器 VM 上 启用 Microsoft Antimalware 用户界面

    排查加载仪表板的问题

    如果在加载工作负荷保护仪表板时遇到问题,请确保首次在订阅上启用 Defender for Cloud 的用户以及想要打开数据收集的用户具有订阅的所有者或参与者角色。 如果是这种情况,订阅中具有“读者”角色的用户可以看到仪表板、警报、建议和策略。

    排查 Azure DevOps 组织连接器问题

    创建 Azure DevOps 组织 (ADO) 连接器时,如果登录到了错误的帐户,并为帐户授予了对 Microsoft 安全 DevOps 应用的访问权限,则会出现 Unable to find Azure DevOps Organization 错误。 这还可能导致 Failed to create Azure DevOps connectorFailed to create Azure DevOps connector. Error: 'Unable to find Azure DevOps organization : OrganizationX in available organizations: Organization1, Organization2, Organization3.' 错误。

    授予访问权限时,必须了解已登录到了哪个帐户,因为这是使用的帐户。 帐户可与相同的电子邮件地址相关联,但也可与不同的租户相关联。

    检查 当前登录到的帐户,并确保选择了正确的帐户和租户组合。

    若要更改当前帐户,请执行以下操作:

  • 选择配置文件页。

  • 在配置文件页上,选择下拉菜单以选择另一个帐户。

    如果此过程无法解决问题,应该撤销 Azure DevOps 中所有租户的 Microsoft 安全 DevOps 权限,然后重复上述步骤。 然后,在授权连接器时应该可以再次看到授权弹出窗口。

    请联系 Microsoft 支持人员

    还可以在 Defender for Cloud 问题解答页 中找到 Defender for Cloud 的故障排除信息。 但如果需要进一步故障排除,则可使用 Azure 门户打开新的支持请求,如下所示:

    在本页中,你了解了 Defender for Cloud 的故障排除步骤。 详细了解 Microsoft Defender for Cloud:

  • 了解如何在 Microsoft Defender for Cloud 中 管理和响应安全警报
  • Microsoft Defender for Cloud 中的 警报验证
  • 查看有关使用 Microsoft Defender for Cloud 的 常见问题解答
    •  
    推荐文章
    慷慨大方的乌龙茶  ·  PHP str_replace抓取带有通配符的内容?-腾讯云开发者社区-腾讯云
    1 年前
    失恋的仙人掌  ·  Web服务器---TinyWebServer代码详细讲解(timer模块)_void utils::show_error(int connfd, const char *inf_才文嘉的博客-CSDN博客
    1 年前
    痴情的人字拖  ·  无法使用Jenkins管道登录到Github - 问答 - 腾讯云开发者社区-腾讯云
    1 年前
    从容的大脸猫  ·  Eclipse rcp 动态更新Label控件中文字 - margo - 博客园
    1 年前
    睡不着的跑步鞋  ·  快速编码URL - 问答 - 腾讯云开发者社区-腾讯云
    1 年前
    今天看啥   ·   Py中国   ·   codingpro   ·   藏经阁   ·   小百科   ·   link之家   ·   卧龙AI搜索
    删除内容请联系邮箱 2879853325@qq.com
    link之家 - 链接快照平台
    © 2024 ~ 沪ICP备11025650号