Conexión de servidores habilitados para Azure Arc a Microsoft Sentinel

Este artículo proporciona una guía sobre cómo incorporar servidores habilitados para Azure Arc a Microsoft Sentinel. Esto le permite empezar a recopilar eventos relacionados con la seguridad y a correlacionarlos con otros orígenes de datos.

Los procedimientos siguientes habilitan y configuran Microsoft Sentinel en la suscripción de Azure. Este proceso incluye:

• Configuración de un área de trabajo de Log Analytics donde se agregan registros y eventos para su análisis y correlación.
• Habilitación de Microsoft Sentinel en el área de trabajo.
• Incorporación de servidores habilitados para Azure Arc a Microsoft Sentinel mediante la característica de administración de extensiones y Azure Policy.

Importante

En los procedimientos de este artículo se da por supuesto que ya ha implementado máquinas virtuales o bien servidores que se ejecutan en el entorno local o en otras nubes y que los ha conectado a Azure Arc. Si no lo ha hecho, la siguiente información puede ayudarle a automatizar este proceso.

• Instancia de GCP Ubuntu
• Instancia de GCP Windows
• Instancia de EC2 de AWS para Ubuntu
• Instancia de Linux 2 en Amazon EC2 de AWS
• Instancia de VMware vSphere para Ubuntu
• VM de VMware vSphere Windows Server
• Cuadro de Vagrant para Ubuntu
• Caja de Vagrant para Windows

Requisitos previos

1. Clone el repositorio Jumpstart de Azure Arc.

   git clone https://github.com/microsoft/azure_arc
   

2. Como se ha mencionado, esta guía comienza en el punto en que ya se han implementado y conectado máquinas virtuales o servidores sin sistema operativo a Azure Arc. En este escenario se usa una instancia de Google Cloud Platform (GPC) que ya se ha conectado a Azure Arc y que está visible como recurso en Azure. Esto se muestra en las capturas de pantalla siguientes:

   

   

3. Instale o actualice la CLI de Azure. La CLI de Azure debe tener la versión 2.7 o posterior. Use az --version para comprobar la versión instalada actual.

4. Cree una entidad de servicio de Azure.

   Para conectar una máquina virtual o un servidor sin sistema operativo a Azure Arc se necesita una entidad de servicio de Azure con el rol Colaborador. Para su creación, inicie sesión en la cuenta de Azure y ejecute el siguiente comando. También se puede hacer en Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Por ejemplo:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   El resultado debe ser similar al siguiente:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Nota:

Se recomienda encarecidamente que el ámbito de la entidad de servicio se establezca en un grupo de recursos y una suscripción de Azure específicos.

Incorporación a Microsoft Azure Sentinel

Microsoft Sentinel usa el agente de Log Analytics para recopilar archivos de registro de los servidores Windows y Linux y los reenvía a Microsoft Sentinel. Los datos recopilados se almacenan en un área de trabajo de Log Analytics. Puesto que no se puede usar el área de trabajo predeterminada que creó Microsoft Defender for Cloud, se requiere una personalizada. Podría tener eventos y alertas sin procesar de Defender for Cloud en la misma área de trabajo personalizada que Microsoft Sentinel.

1. Cree un área de trabajo de Log Analytics dedicada y habilite la solución de Microsoft Sentinel en la parte superior. Use esta plantilla de Azure Resource Manager (plantilla de ARM) para crear una nueva área de trabajo de Log Analytics, definir la solución de Microsoft Sentinel y habilitarla para el área de trabajo. Para automatizar la implementación, puede editar el archivo de parámetros de la plantilla de ARM y proporcionar un nombre y una ubicación para el área de trabajo.

   

2. Implementar la plantilla de Resource Manager. Vaya a la carpeta de implementación y ejecute el comando siguiente.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Por ejemplo:

Incorporación de máquinas virtuales habilitadas para Azure Arc a Microsoft Sentinel

Después de haber implementado Microsoft Sentinel en el área de trabajo de Log Analytics, debe conectarle los orígenes de datos.

Hay conectores para servicios de Microsoft y soluciones de terceros del ecosistema de productos de seguridad. También puede usar el formato de evento común (CEF), Syslog o API REST para conectar los orígenes de datos a Microsoft Sentinel.

En el caso de los servidores y las máquinas virtuales, puede instalar el agente de Log Analytics o el agente de Microsoft Sentinel, que recopila los registros y los envía a Microsoft Sentinel. Puede implementar el agente de varias maneras con Azure Arc:

• Administración de extensiones: esta característica de los servidores habilitados para Azure Arc permite implementar las extensiones de VM del agente de MMA en máquinas virtuales Windows o Linux que no son de Azure. Puede usar Azure Portal, la CLI de Azure, una plantilla de ARM y un script de PowerShell para administrar la implementación de extensiones en servidores habilitados para Azure Arc.

• Azure Policy: puede asignar una directiva para auditar si el servidor habilitado para Azure Arc tiene instalado el agente de MMA. Si el agente no está instalado, puede usar la característica de extensiones para implementarlo automáticamente en la máquina virtual mediante una tarea de corrección, una experiencia de inscripción comparable a las máquinas virtuales de Azure.

Limpieza del entorno

Realice los pasos siguientes para limpiar el entorno.

1. Quite las máquinas virtuales de cada entorno mediante las instrucciones de eliminación de cada una de las siguientes guías.

   • Instancia de GCP Ubuntu e Instancia de GCP Windows
   • Instancia de EC2 de AWS para Ubuntu
   • VM de VMware vSphere Ubuntu y VM de VMware vSphere Windows Server
   • Caja Vagrant Ubuntu y Caja Vagrant Windows

2. Para quitar el área de trabajo de Log Analytics, ejecute el siguiente script en la CLI de Azure. Proporcione el nombre del área de trabajo que ha usado al crear el área de trabajo de Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes