Panoramica del monitoraggio dell'integrità dell'avvio

Per aiutare l'avvio attendibile a prevenire meglio gli attacchi rootkit dannosi nelle macchine virtuali, l'attestazione guest tramite l'endpoint microsoft attestazione di Azure (MAA) viene usata per monitorare l'integrità della sequenza di avvio. Questa attestazione è fondamentale per fornire la validità degli stati di una piattaforma. Se l'Macchine virtuali attendibile di Azure dispone di estensioni di avvio protetto e vTPM abilitate e attestazioni, Microsoft Defender per il cloud verifica che lo stato e l'integrità di avvio della macchina virtuale siano configurati correttamente. Per altre informazioni sull'integrazione di MDC, vedere l'integrazione dell'avvio attendibile con Microsoft Defender per il cloud.

Importante

L'aggiornamento automatico dell'estensione è ora disponibile per l'estensione monitoraggio dell'integrità dell'avvio - Attestazione guest. Altre informazioni sull'aggiornamento automatico dell'estensione.

Prerequisiti

Una sottoscrizione di Azure attiva e una macchina virtuale di avvio attendibile

Abilitare il monitoraggio dell'integrità

Azure portal

1. Accedere al portale di Azure.

2. Selezionare la risorsa (Macchine virtuali).

3. In Impostazioni selezionare configurazione. Nel pannello tipo di sicurezza selezionare Monitoraggio dell'integrità.

   

4. Salvare le modifiche.

Nella pagina di panoramica delle macchine virtuali, il tipo di sicurezza per il monitoraggio dell'integrità dovrebbe ora abilitare lo stato.

In questo modo viene installata l'estensione di attestazione guest, a cui è possibile fare riferimento tramite le impostazioni all'interno della scheda estensioni e applicazioni.

Modello

È possibile distribuire l'estensione di attestazione guest per le macchine virtuali di avvio attendibile usando un modello di avvio rapido:

Windows

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.WindowsAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

Linux

 {
    "name": "[concat(parameters('virtualMachineName1'),'/GuestAttestation')]",
    "type": "Microsoft.Compute/virtualMachines/extensions",
    "apiVersion": "2018-10-01",
    "location": "[parameters('location')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security.LinuxAttestation",
        "type": "GuestAttestation",
        "typeHandlerVersion": "1.0",
        "autoUpgradeMinorVersion":true, 
        "enableAutomaticUpgrade":true,
        "settings": {
            "AttestationConfig": {
                "MaaSettings": {
                    "maaEndpoint": "",
                    "maaTenantName": "GuestAttestation"
                },
                "AscSettings": {
                    "ascReportingEndpoint": "",
                    "ascReportingFrequency": ""
                },
                "useCustomToken": "false",
                "disableAlerts": "false"
            }
        }
    },
    "dependsOn": [
        "[concat('Microsoft.Compute/virtualMachines/', parameters('virtualMachineName1'))]"
    ]
}       

CLI

1. Creare una macchina virtuale con avvio attendibile con funzionalità di avvio protetto e vTPM tramite la distribuzione iniziale della macchina virtuale di avvio attendibile. Per distribuire l'estensione di attestazione guest usare (--enable_integrity_monitoring). La configurazione delle macchine virtuali è personalizzabile dal proprietario della macchina virtuale (az vm create).
2. Per le macchine virtuali esistenti, è possibile abilitare le impostazioni di monitoraggio dell'integrità di avvio aggiornando per assicurarsi che il monitoraggio dell'integrità sia attivato (--enable_integrity_monitoring).

Nota

L'estensione di attestazione guest deve essere configurata in modo esplicito.

PowerShell

Se l'avvio protetto e vTPM sono ON, l'integrità dell'avvio sarà ATTIVATA.

1. Creare una macchina virtuale con avvio attendibile con funzionalità di avvio protetto e vTPM tramite la distribuzione iniziale della macchina virtuale di avvio attendibile. La configurazione delle macchine virtuali è personalizzabile dal proprietario della macchina virtuale.
2. Per le macchine virtuali esistenti, è possibile abilitare le impostazioni di monitoraggio dell'integrità dell'avvio aggiornando per assicurarsi che secureBoot e vTPM siano attivi.

Per altre informazioni sulla creazione o sull'aggiornamento di una macchina virtuale per includere il monitoraggio dell'integrità di avvio tramite l'estensione di attestazione guest, vedere Distribuire una macchina virtuale con avvio attendibile abilitato (PowerShell).

Guida alla risoluzione dei problemi per l'installazione dell'estensione di attestazione guest

Sintomi

Le estensioni di Microsoft attestazione di Azure non funzioneranno correttamente quando i clienti configurano un gruppo di sicurezza di rete o un proxy. Errore simile al provisioning microsoft.Azure.Security.WindowsAttestation.GuestAttestation non riuscito.

Soluzioni

In Azure, i gruppi di sicurezza di rete (NSG) vengono usati per filtrare il traffico di rete tra le risorse di Azure. I gruppi di sicurezza di rete contengono regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita da diversi tipi di risorse di Azure. Per l'endpoint di Microsoft attestazione di Azure, deve essere in grado di comunicare con l'estensione di attestazione guest. Senza questo endpoint, Avvio attendibile non può accedere all'attestazione guest, che consente Microsoft Defender per il cloud di monitorare l'integrità della sequenza di avvio delle macchine virtuali.

Sbloccare il traffico di Microsoft attestazione di Azure nei gruppi di sicurezza di rete usando i tag del servizio.

1. Passare alla macchina virtuale che si vuole consentire il traffico in uscita.
2. In "Rete" nella barra laterale sinistra selezionare la scheda Impostazioni di rete.
3. Selezionare quindi create port rule (Crea regola porta) e Add outbound port rule (Aggiungi regola porta in uscita).
   
4. Per consentire a Microsoft attestazione di Azure, impostare come destinazione un tag di servizio. Ciò consente all'intervallo di indirizzi IP di aggiornare e impostare automaticamente le regole di autorizzazione per Microsoft attestazione di Azure. Il tag del servizio di destinazione è AzureAttestation e l'azione è impostata su Consenti.

I firewall proteggono una rete virtuale che contiene più macchine virtuali di avvio attendibile. Per sbloccare il traffico di Microsoft attestazione di Azure in Firewall tramite la raccolta di regole dell'applicazione.

1. Passare alla Firewall di Azure con traffico bloccato dalla risorsa macchina virtuale Avvio attendibile.
2. In Impostazioni selezionare Regole (versione classica) per iniziare a sbloccare l'attestazione guest dietro il firewall.
3. Selezionare una raccolta di regole di rete e aggiungere una regola di rete.
4. L'utente può configurare il nome, la priorità, il tipo di origine, le porte di destinazione in base alle proprie esigenze. Il nome del tag di servizio è il seguente: AzureAttestation e l'azione deve essere impostata come consentito.

Per sbloccare il traffico di Microsoft attestazione di Azure in Firewall tramite la raccolta di regole dell'applicazione.

1. Passare alla Firewall di Azure con traffico bloccato dalla risorsa macchina virtuale Avvio attendibile. La raccolta regole deve contenere almeno una regola, passare a FQDN di destinazione (nomi di dominio completi).
2. Selezionare Raccolta regole applicazione e aggiungere una regola dell'applicazione.
3. Selezionare un nome, una priorità numerica per le regole dell'applicazione. L'azione per la raccolta di regole è impostata su ALLOW. Per altre informazioni sull'elaborazione e sui valori dell'applicazione, leggere qui.
4. Nome, origine, protocollo, sono tutti configurabili dall'utente. Tipo di origine per un singolo indirizzo IP, selezionare Gruppo IP per consentire più indirizzi IP tramite il firewall.

Provider condivisi a livello di area

attestazione di Azure fornisce un provider condiviso a livello di area in ogni area disponibile. I clienti possono scegliere di usare il provider condiviso a livello di area per l'attestazione o creare provider personalizzati con criteri personalizzati. È possibile accedere ai provider condivisi da qualsiasi utente di Azure AD e i criteri associati a tale utente non possono essere modificati.

Nota

Gli utenti possono configurare il tipo di origine, il servizio, gli intervalli di porte di destinazione, il protocollo, la priorità e il nome.

Passaggi successivi

Altre informazioni sull'avvio attendibile e sulla distribuzione di una macchina virtuale attendibile.