Samouczek: monitorowanie maszyn wirtualnych przy użyciu usługi Azure Security Center

Usługa Azure Security Center może pomóc w uzyskaniu wglądu w praktyki zabezpieczeń zasobów platformy Azure. Usługa Security Center oferuje zintegrowane monitorowanie zabezpieczeń. Może wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone. Z tego samouczka dowiesz się więcej o usłudze Azure Security Center i o tym, jak wykonywać następujące działania:

Omówienie usługi Security Center

Usługa Security Center identyfikuje potencjalne problemy z konfiguracją maszyny wirtualnej i ukierunkowane zagrożenia bezpieczeństwa. Mogą to być maszyny wirtualne, które nie mają sieciowych grup zabezpieczeń, niezaszyfrowanych dysków i ataków protokołu Remote Desktop Protocol (RDP). Informacje są wyświetlane na pulpicie nawigacyjnym usługi Security Center w łatwych do odczytania grafach.

Aby uzyskać dostęp do pulpitu nawigacyjnego usługi Security Center, w witrynie Azure Portal w menu wybierz pozycję Security Center. Na pulpicie nawigacyjnym możesz zobaczyć kondycję zabezpieczeń środowiska platformy Azure, znaleźć liczbę bieżących zaleceń i wyświetlić bieżący stan alertów zagrożeń. Możesz rozwinąć każdy wykres wysokiego poziomu, aby wyświetlić więcej szczegółów.

pulpitu

Usługa Security Center wykracza poza odnajdywanie danych, aby udostępnić zalecenia dotyczące wykrytych problemów. Jeśli na przykład maszyna wirtualna została wdrożona bez dołączonej sieciowej grupy zabezpieczeń, usługa Security Center wyświetli zalecenie z krokami korygowania, które można wykonać. Automatyczne korygowanie jest uzyskiwane bez opuszczania kontekstu usługi Security Center.

Konfigurowanie zbierania danych

Aby uzyskać wgląd w konfiguracje zabezpieczeń maszyn wirtualnych, należy skonfigurować zbieranie danych usługi Security Center. Obejmuje to włączenie zbierania danych, które automatycznie instaluje program Microsoft Monitoring Agent na wszystkich maszynach wirtualnych w ramach subskrypcji.

1. Na pulpicie nawigacyjnym usługi Security Center kliknij pozycję Zasady zabezpieczeń, a następnie wybierz subskrypcję.
2. Dla zbierania danychw automatycznym provisionowaniu wybierz Włącz.
3. W przypadku domyślnej konfiguracji obszaru roboczego pozostaw ją jako Użyj obszarów roboczych utworzonych przez Security Center (domyślnie).
4. W obszarze Zdarzenia zabezpieczeń zachowaj domyślną opcję Common.
5. Kliknij Zapisz w górnej części strony.

Agent zbierania danych usługi Security Center jest następnie instalowany na wszystkich maszynach wirtualnych i rozpoczyna się zbieranie danych.

Konfigurowanie zasad zabezpieczeń

Zasady zabezpieczeń służą do definiowania elementów, dla których usługa Security Center zbiera dane i udostępnia zalecenia. Różne zasady zabezpieczeń można stosować do różnych zestawów zasobów platformy Azure. Mimo że domyślnie zasoby platformy Azure są oceniane względem wszystkich elementów zasad, można wyłączyć poszczególne elementy zasad dla wszystkich zasobów platformy Azure lub dla grupy zasobów. Aby uzyskać szczegółowe informacje na temat zasad zabezpieczeń usługi Security Center, zobacz Ustawianie zasad zabezpieczeń w usłudze Azure Security Center.

Aby skonfigurować zasady zabezpieczeń dla całej subskrypcji:

1. Na pulpicie nawigacyjnym usługi Security Center wybierz pozycję Zasady zabezpieczeń, a następnie wybierz subskrypcję.
2. W bloku zasad zabezpieczeń wybierz pozycję zasady zabezpieczeń .
3. W bloku Zasady zabezpieczeń — Zasady zabezpieczeń, włącz lub wyłącz ustawienia, które chcesz zastosować do subskrypcji.
4. Kiedy zakończysz wybieranie ustawień, wybierz pozycję Zapisz w górnej części bloku.

Wyświetlanie kondycji konfiguracji maszyny wirtualnej

Po włączeniu zbierania danych i ustawieniu zasad zabezpieczeń usługa Security Center zacznie dostarczać alerty i zalecenia. W miarę wdrażania maszyn wirtualnych agent zbierania danych jest instalowany. Usługa Security Center jest następnie wypełniana danymi dla nowych maszyn wirtualnych. Aby uzyskać szczegółowe informacje na temat kondycji konfiguracji maszyny wirtualnej, zobacz Ochrona maszyn wirtualnych w usłudze Security Center.

W miarę zbierania danych kondycja zasobów dla każdej maszyny wirtualnej i powiązanych zasobów platformy Azure jest agregowana. Informacje są wyświetlane na łatwym do odczytania wykresie.

Aby wyświetlić kondycję zasobów:

1. Na pulpicie usługi Security Center w obszarze Zapobieganiewybierz pozycję Compute.
2. W bloku Compute wybierz pozycję maszyny wirtualne i komputery. Ten widok zawiera podsumowanie stanu konfiguracji wszystkich maszyn wirtualnych.

Aby wyświetlić wszystkie zalecenia dotyczące maszyny wirtualnej, wybierz maszynę wirtualną.

Rozwiązywanie problemów z konfiguracją

Gdy usługa Security Center zacznie wypełniać dane konfiguracji, zalecenia są tworzone na podstawie skonfigurowanych zasad zabezpieczeń. Jeśli na przykład maszyna wirtualna została skonfigurowana bez skojarzonej sieciowej grupy zabezpieczeń, zaleca się utworzenie tej maszyny wirtualnej.

Aby wyświetlić listę wszystkich zaleceń:

1. Na pulpicie nawigacyjnym usługi Security Center wybierz pozycję Zalecenia.
2. Wybierz określoną rekomendację. Zostanie wyświetlona lista wszystkich zasobów, dla których zostanie wyświetlone zalecenie.
3. Aby zastosować zalecenie, wybierz zasób.
4. Postępuj zgodnie z instrukcjami dotyczącymi kroków korygowania.

W wielu przypadkach usługa Security Center udostępnia kroki umożliwiające podjęcie działań, aby rozwiązać problem z zaleceniem bez opuszczania usługi Security Center. W poniższym przykładzie usługa Security Center wykrywa sieciową grupę zabezpieczeń, która ma nieograniczoną regułę ruchu przychodzącego. Na stronie z rekomendacjami możesz wybrać przycisk Edytuj reguły ruchu przychodzącego. Zostanie wyświetlony interfejs użytkownika potrzebny do zmodyfikowania reguły.

W miarę korygowania rekomendacji są one oznaczone jako rozwiązane.

Wyświetlanie wykrytych zagrożeń

Oprócz zaleceń dotyczących konfiguracji zasobów usługa Security Center wyświetla alerty wykrywania zagrożeń. Funkcja alertów zabezpieczeń agreguje dane zebrane z każdej maszyny wirtualnej, dzienników sieci platformy Azure i połączonych rozwiązań partnerskich w celu wykrywania zagrożeń bezpieczeństwa dla zasobów platformy Azure. Aby uzyskać szczegółowe informacje o możliwościach wykrywania zagrożeń w usłudze Security Center, zobacz Jak usługa Security Center wykrywa zagrożenia?.

Funkcja alertów zabezpieczeń wymaga zwiększenia warstwy cenowej usługi Security Center z Bezpłatna do Standard. bezpłatna wersja próbna jest dostępna po przejściu do tej wyższej warstwy cenowej.

Aby zmienić warstwę cenową:

1. Na pulpicie nawigacyjnym usługi Security Center kliknij pozycję Zasady zabezpieczeń, a następnie wybierz subskrypcję.
2. Wybierz warstwę cenową.
3. Wybierz opcję Standard, a następnie kliknij opcję Zapisz w górnej części panelu.

Po zmianie warstwy cenowej wykres alertów zabezpieczeń zaczyna wypełniać się w miarę wykrywania zagrożeń bezpieczeństwa.

Security alertsalertów zabezpieczeń

Wybierz alert, aby wyświetlić informacje. Na przykład można zobaczyć opis zagrożenia, czas wykrywania, wszystkie próby zagrożenia i zalecane korygowanie. W poniższym przykładzie wykryto atak typu brute-force na protokół RDP z 294 nieudanymi próbami. Zalecana rozdzielczość została dostarczona.

Następne kroki

W tym samouczku skonfigurujesz usługę Azure Security Center, a następnie zapoznasz się z maszynami wirtualnymi w usłudze Security Center. Nauczyłeś się, jak:

Przejdź do następnego samouczka, aby dowiedzieć się więcej na temat tworzenia pipeline'u CI/CD za pomocą narzędzi Jenkins, GitHub i Docker.