Connettere i server abilitati per Azure Arc a Microsoft Sentinel

Questo articolo fornisce indicazioni su come eseguire l'onboarding di server abilitati per Azure Arc in Microsoft Sentinel. In questo modo è possibile iniziare a raccogliere gli eventi correlati alla sicurezza e metterli in correlazione con altre origini dati.

Le procedure seguenti abiliteranno e configureranno Microsoft Sentinel nella sottoscrizione di Azure. Questo processo include:

• Configurare un'area di lavoro Log Analytics in cui aggregare log ed eventi per l'analisi e la correlazione.
• Abilitare Microsoft Sentinel nell'area di lavoro.
• Eseguire l'onboarding dei server abilitati per Azure Arc in Microsoft Sentinel usando la funzionalità di gestione delle estensioni e Criteri di Azure.

Importante

Le procedure descritte in questo articolo presuppongono che siano già state distribuite macchine virtuali o server in esecuzione in locale o in altri cloud e che siano stati connessi ad Azure Arc. In caso contrario, le informazioni seguenti possono risultare utili per automatizzare questa procedura.

• Istanza di GCP Ubuntu
• Istanza di GCP Windows
• Istanza di AWS Ubuntu EC2
• Istanza di AWS Amazon Linux 2 EC2
• VM VMware vSphere Ubuntu
• VM VMware vSphere Windows Server
• Box di Vagrant Ubuntu
• Box di Vagrant Windows

Prerequisiti

1. Clonare il repository delle risorse introduttive per Azure Arc.

   git clone https://github.com/microsoft/azure_arc
   

2. Come accennato, questa guida inizia dal punto in cui sono già state distribuite e connesse macchine virtuali o server bare metal ad Azure Arc. Per questo scenario si usa un'istanza di Google Cloud Platform (GCP) già connessa ad Azure Arc e visibile come risorsa in Azure. Come illustrato negli screenshot seguenti:

   

   

3. Installare o aggiornare l'interfaccia della riga di comando di Azure. L'interfaccia della riga di comando di Azure deve essere la versione 2.7 o successiva. Usare az --version per verificare la versione attualmente installata.

4. Creare un'entità servizio di Azure.

   Per connettere una macchina virtuale o un server bare metal ad Azure Arc, è necessario che un'entità servizio di Azure sia assegnata con il ruolo Collaboratore. Per crearla, accedere al proprio account Azure ed eseguire il comando seguente. In alternativa, questa operazione può essere eseguita anche in Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Ad esempio:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   L'output dovrebbe essere simile al seguente:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Nota

È consigliabile impostare l'ambito dell'entità servizio su una sottoscrizione e un gruppo di risorse di Azure specifici.

Eseguire l'onboarding in Microsoft Sentinel

Microsoft Sentinel usa l'agente di Log Analytics per raccogliere i file di log per i server Windows e Linux e inoltrarli a Microsoft Sentinel. I dati raccolti vengono archiviati in un'area di lavoro Log Analytics. Poiché non è possibile usare l'area di lavoro predefinita creata da Microsoft Defender for Cloud, è necessario creare un'area di lavoro personalizzata. È possibile avere eventi e avvisi non elaborati per Defender for Cloud nella stessa area di lavoro personalizzata di Microsoft Sentinel.

1. Creare un'area di lavoro Log Analytics dedicata e abilitare la soluzione Microsoft Sentinel al suo interno. Usare questo modello di Azure Resource Manager (modello di ARM) per creare una nuova area di lavoro Log Analytics, definire la soluzione Microsoft Sentinel e abilitarla per l'area di lavoro. Per automatizzare la distribuzione, è possibile modificare il file dei parametri del modello di ARM, quindi specificare un nome e un percorso per l'area di lavoro.

   

2. Distribuire il modello di Azure Resource Manager. Passare alla cartella della distribuzione ed eseguire il comando seguente.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Ad esempio:

Eseguire l'onboarding delle VM abilitate per Azure Arc in Microsoft Sentinel

Dopo aver distribuito Microsoft Sentinel nell'area di lavoro Log Analytics, è necessario connettervi le origini dati.

Sono disponibili connettori per i servizi Microsoft e soluzioni di terze parti dell'ecosistema di prodotti di sicurezza. Per connettere le origini dati con Microsoft Sentinel, è anche possibile usare CEF (Common Event Format), syslog o API REST.

Per i server e le macchine virtuali, è possibile installare l'agente di Log Analytics (MMA) o l'agente di Microsoft Sentinel che raccoglie i log e li invia a Microsoft Sentinel. È possibile distribuire l'agente in più modi con Azure Arc:

• Gestione delle estensioni: questa funzionalità dei server abilitati per Azure Arc consente di distribuire le estensioni macchina virtuale dell'agente MMA in macchine virtuali Windows o Linux non Azure. Per gestire la distribuzione delle estensioni nei server abilitati per Azure Arc, è possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure, un modello di ARM e uno script di PowerShell.

• Criteri di Azure: è possibile assegnare un criterio per controllare se nel server abilitato per Azure Arc è installato l'agente MMA. Se l'agente non è installato, è possibile usare la funzionalità delle estensioni per distribuirlo automaticamente nella macchina virtuale usando un'attività di correzione, un'esperienza di registrazione paragonabile a quella delle VM di Azure.

Pulizia dell'ambiente

Completare la procedura seguente per pulire l'ambiente.

1. Rimuovere le macchine virtuali da ogni ambiente seguendo le istruzioni di ognuna delle guide seguenti.

   • Istanza di GCP Ubuntu e Istanza di GCP Windows
   • Istanza di AWS Ubuntu EC2
   • VM VMware vSphere Ubuntu e VM VMware vSphere Windows Server
   • Box di Vagrant Ubuntu e Box di Vagrant Windows

2. Rimuovere l'area di lavoro Log Analytics eseguendo lo script seguente nell'interfaccia della riga di comando di Azure. Specificare il nome dell'area di lavoro usato per la creazione dell'area di lavoro Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes