Automatizzare l'onboarding di Microsoft Defender per il cloud con PowerShell
È possibile proteggere i carichi di lavoro di Azure a livello di codice usando il modulo Microsoft Defender per il cloud PowerShell. PowerShell consente di automatizzare le attività ed evitare l'errore umano insito nelle attività manuali. Ciò è particolarmente utile nelle distribuzioni su larga scala che coinvolgono decine di sottoscrizioni con centinaia e migliaia di risorse, tutte protette dall'inizio.
L'onboarding Microsoft Defender per il cloud tramite PowerShell consente di automatizzare a livello di codice l'onboarding e la gestione delle risorse di Azure e aggiungere i controlli di sicurezza necessari.
Questo articolo fornisce uno script di PowerShell di esempio che può essere modificato e usato nell'ambiente per implementare Defender per il cloud tra le sottoscrizioni.
In questo esempio si abiliterà Defender per il cloud in una sottoscrizione con ID: d07c0080-170c-4c24-861d-9c817742786c e si applicheranno le impostazioni consigliate che forniscono un livello elevato di protezione, abilitando le funzionalità di sicurezza avanzate di Microsoft Defender per il cloud, che offre funzionalità avanzate di protezione dalle minacce e rilevamento:
Abilitare la sicurezza avanzata in Microsoft Defender per il cloud.
Impostare l'area di lavoro Log Analytics a cui l'agente di Log Analytics invierà i dati raccolti nelle VM associate alla sottoscrizione, in questo esempio un'area di lavoro esistente definita dall'utente (myWorkspace).
Attivare il provisioning automatico dell'agente di Defender per il cloud, che distribuisce l'agente di Log Analytics.
Impostare il CISO dell'organizzazione come contatto di sicurezza per gli avvisi Defender per il cloud e gli eventi rilevanti.
Assegnare i criteri di sicurezza predefiniti di Defender per il cloud.
Prerequisiti
Questi passaggi devono essere eseguiti prima di eseguire i cmdlet Defender per il cloud:
Eseguire PowerShell come amministratore.
Eseguire i comandi seguenti in PowerShell:
Set-ExecutionPolicy -ExecutionPolicy AllSignedInstall-Module -Name Az.Security -Force
Eseguire l'onboarding di Defender per il cloud con PowerShell
Registrare le sottoscrizioni nel provider di risorse Defender per il cloud:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'Facoltativo: impostare il livello di copertura (funzionalità di sicurezza avanzate di Microsoft Defender per il cloud attivato/disattivato) delle sottoscrizioni. Se non definito, queste funzionalità sono disattivate:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"Configurare un'area di lavoro Log Analytics a cui gli agenti invieranno i report. È necessario avere già creato un'area di lavoro Log Analytics a cui le VM della sottoscrizione invieranno i report. È possibile definire l'invio di report alla stessa area di lavoro da più sottoscrizioni. Se non è specificata, verrà usata l'area di lavoro predefinita.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c" -WorkspaceId "/subscriptions/d07c0080-170c-4c24-861d-9c817742786c/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"Effettuare il provisioning automatico dell'installazione dell'agente di Log Analytics nelle VM di Azure:
Set-AzContext -Subscription "d07c0080-170c-4c24-861d-9c817742786c"Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvisionNota
È consigliabile abilitare il provisioning automatico per assicurarsi che le macchine virtuali di Azure siano protette automaticamente da Microsoft Defender per il cloud.
Nell'ambito della strategia aggiornata Defender per il cloud, l'agente di Monitoraggio di Azure non sarà più necessario per l'offerta Defender per server. Tuttavia, sarà comunque necessario per Defender per SQL Server nei computer. Di conseguenza, la distribuzione dell'agente di Monitoraggio di Azure con il portale di Defender per il cloud è disponibile per i server SQL nei computer, con un nuovo criterio di distribuzione. Altre informazioni su come eseguire la migrazione al processo di provisioning automatico di Azure Monitoring Agent (AMA) di SQL Server.Facoltativo: è consigliabile definire i dettagli dei contatti di sicurezza per le sottoscrizioni di cui si esegue l'onboarding, che verranno usati come destinatari di avvisi e notifiche generati da Defender per il cloud:
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlertAssegnare l'iniziativa di criteri di Defender per il cloud predefinita:
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
L'onboarding di Microsoft Defender per il cloud è stato eseguito correttamente con PowerShell.
È ora possibile usare i cmdlet di PowerShell con gli script di automazione per eseguire l'iterazione a livello di codice nelle sottoscrizioni e nelle risorse. Ciò consente di risparmiare tempo e riduce la probabilità di errori umani. È possibile usare questo script di esempio come riferimento.
Vedi anche
Per altre informazioni su come usare PowerShell per automatizzare l'onboarding in Defender per il cloud, vedere l'articolo seguente:
Per altre informazioni su Defender per il cloud, vedere gli articoli seguenti:
- Impostazione dei criteri di sicurezza in Microsoft Defender per il cloud. informazioni su come configurare i criteri di sicurezza per le sottoscrizioni e i gruppi di risorse di Azure.
- Gestione e risposta agli avvisi di sicurezza in Microsoft Defender per il cloud. Informazioni su come gestire e rispondere agli avvisi di sicurezza.