Conexión de servidores habilitados para Azure Arc a Microsoft Defender for Cloud

En este artículo, se proporcionan instrucciones sobre cómo incorporar un servidor habilitado para Azure Arc a Microsoft Defender for Cloud. Esto le ayuda a empezar a recopilar configuraciones y registros de eventos relacionados con la seguridad para poder recomendar acciones y mejorar su postura general de seguridad en Azure.

En los siguientes procedimientos, habilitará y configurará el nivel Estándar de Microsoft Defender for Cloud en la suscripción de Azure. Esto proporciona funciones de detección y protección avanzada contra amenazas. Este proceso incluye:

• Configurar un área de trabajo de Log Analytics donde se agregan registros y eventos para su análisis.
• Asigne las directivas de seguridad predeterminadas de Defender for Cloud.
• Repase las recomendaciones para Defender for Cloud.
• Aplicar las configuraciones recomendadas en los servidores habilitados para Azure Arc con las correcciones de tipo Corrección rápida.

Importante

En los procedimientos de este artículo se da por supuesto que ya ha implementado máquinas virtuales o bien servidores que se ejecutan en el entorno local o en otras nubes y que los ha conectado a Azure Arc. Si no lo ha hecho, la siguiente información puede ayudarle a automatizar este proceso.

• Instancia de GCP Ubuntu
• Instancia de GCP Windows
• Instancia de EC2 de AWS para Ubuntu
• Instancia de Linux 2 en Amazon EC2 de AWS
• Instancia de VMware vSphere para Ubuntu
• VM de VMware vSphere Windows Server
• Cuadro de Vagrant para Ubuntu
• Caja de Vagrant para Windows

Requisitos previos

1. Clone el repositorio Jumpstart de Azure Arc.

   git clone https://github.com/microsoft/azure_arc
   

2. Como se ha mencionado, esta guía comienza en el punto en que ya se han implementado y conectado máquinas virtuales o servidores sin sistema operativo a Azure Arc. En este escenario se usa una instancia de Google Cloud Platform (GPC) que ya se ha conectado a Azure Arc y que está visible como recurso en Azure. Esto se muestra en las capturas de pantalla siguientes:

   

   

3. Instale o actualice la CLI de Azure. La CLI de Azure debe tener la versión 2.7 o posterior. Use az --version para comprobar la versión instalada actual.

4. Cree una entidad de servicio de Azure.

   Para conectar una máquina virtual o un servidor sin sistema operativo a Azure Arc se necesita una entidad de servicio de Azure con el rol Colaborador. Para crearla, inicie sesión en su cuenta de Azure y ejecute el siguiente comando. También puede ejecutar este comando en Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Por ejemplo:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   El resultado debe ser similar al siguiente:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Nota:

Se recomienda encarecidamente que el ámbito de la entidad de servicio se establezca en un grupo de recursos y una suscripción de Azure específicos.

Incorporación a Microsoft Defender for Cloud

1. Los datos que recopila Microsoft Defender for Cloud se almacenan en un área de trabajo de Log Analytics. Puede usar el valor predeterminado creado por Defender for Cloud o uno personalizado creado por el usuario. Si desea crear un área de trabajo dedicada, puede automatizar la implementación editando el archivo de parámetros de la plantilla de Azure Resource Manager (plantilla de ARM) y proporcionando un nombre y una ubicación para el área de trabajo:

   

2. Para implementar la plantilla de Resource Manager, vaya a la carpeta de implementación y ejecute el siguiente comando:

   az deployment group create --resource-group <Name of the Azure resource group> \
   --template-file <The `log_analytics-template.json` template file location> \
   --parameters <The `log_analytics-template.parameters.json` template file location>
   

3. Si va a crear un área de trabajo definida por el usuario, debe indicar a Defender for Cloud que la use en lugar de la predeterminada mediante el siguiente comando:

   az security workspace-setting create --name default \
   --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
   

4. Seleccione un nivel de Microsoft Defender for Cloud. El nivel Gratis está habilitado en todas las suscripciones de Azure de manera predeterminada y proporcionará recomendaciones de evaluación continua de la seguridad y de seguridad que requieren acción. En esta guía, usará el nivel Estándar de Azure Virtual Machines que amplía estas capacidades, lo que proporciona una administración de seguridad unificada y protección contra amenazas en las cargas de trabajo de nube híbrida. Para habilitar el nivel Estándar de Microsoft Defender for Cloud para máquinas virtuales, ejecute el siguiente comando:

   az security pricing create -n VirtualMachines --tier 'standard'
   

5. Asigne la iniciativa de directiva predeterminada de Microsoft Defender for Cloud. Defender for Cloud realiza sus recomendaciones de seguridad en función de las directivas. Existe una iniciativa específica que agrupa las directivas de Defender for Cloud con el identificador de definición 1f3afdf9-d0c9-4c3d-847f-89da613e70a8. El siguiente comando asignará la iniciativa de Microsoft Defender for Cloud a su suscripción.

   az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
   --scope '/subscriptions/<Your subscription ID>' \
   --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
   

Integración de Azure Arc y Microsoft Defender for Cloud

Después de incorporar Microsoft Defender for Cloud correctamente, obtendrá recomendaciones para ayudarle a proteger los recursos, incluidos los servidores habilitados para Azure Arc. Defender for Cloud analizará periódicamente el estado de seguridad de los recursos de Azure para identificar posibles vulnerabilidades de seguridad.

En la sección Proceso y aplicaciones, en VM y servidores, Microsoft Defender for Cloud proporciona una visión general de todas las recomendaciones de seguridad detectadas para las máquinas virtuales y los equipos, incluidas las máquinas virtuales de Azure, las máquinas virtuales de Azure clásicas, los servidores y las máquinas de Azure Arc.

En los servidores habilitados para Azure Arc, Microsoft Defender for Cloud recomienda instalar el agente de Log Analytics. Cada recomendación también incluye:

• Una breve descripción de la recomendación.
• Un impacto de la puntuación de seguridad, en este caso, con el estado Alta.
• Los pasos de corrección que se deben llevar a cabo para implementar la recomendación.

En el caso de las recomendaciones específicas, como en la siguiente captura de pantalla, también obtendrá una Corrección rápida que le permite corregir rápidamente una recomendación en varios recursos.

La siguiente Corrección rápida utiliza una plantilla de ARM para implementar la extensión de agente de Log Analytics en la máquina con Azure Arc.

Puede desencadenar la corrección con la plantilla de Resource Manager desde el panel de protección de cargas de trabajo; para ello, seleccione el área de trabajo de Log Analytics que se usa para Microsoft Defender for Cloud y, a continuación, Corregir 1 recurso.

Después de aplicar la recomendación en el servidor habilitado para Azure Arc, el recurso se marcará como correcto.

Limpieza del entorno

Realice los pasos siguientes para limpiar el entorno.

1. Quite las máquinas virtuales de cada entorno mediante las instrucciones de eliminación de cada guía.

   • Instancia de GCP Ubuntu e Instancia de GCP Windows
   • Instancia de EC2 de AWS para Ubuntu
   • Máquina virtual de VMware vSphere para Ubuntu / Máquina virtual de VMware vSphere para Windows Server
   • Caja de Vagrant para Ubuntu / Caja de Vagrant para Windows

2. Para quitar el área de trabajo de Log Analytics, ejecute el siguiente script en la CLI de Azure. Proporcione el nombre del área de trabajo que ha usado al crear el área de trabajo de Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes