Połączenie serwerów z obsługą usługi Azure Arc w usłudze Microsoft Sentinel

Ten artykuł zawiera wskazówki dotyczące dołączania serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel. Umożliwia to rozpoczęcie zbierania zdarzeń związanych z zabezpieczeniami i rozpoczynanie korelowania ich z innymi źródłami danych.

Poniższe procedury umożliwią i skonfigurują usługę Microsoft Sentinel w ramach subskrypcji platformy Azure. Ten proces obejmuje:

• Konfigurowanie obszaru roboczego usługi Log Analytics, w którym dzienniki i zdarzenia są agregowane na potrzeby analizy i korelacji.
• Włączanie usługi Microsoft Sentinel w obszarze roboczym.
• Dołączanie serwerów z obsługą usługi Azure Arc do usługi Microsoft Sentinel przy użyciu funkcji zarządzania rozszerzeniami i usługi Azure Policy.

Ważne

W procedurach opisanych w tym artykule założono, że już wdrożono maszyny wirtualne lub serwery, które działają lokalnie lub w innych chmurach, i połączono je z usługą Azure Arc. Jeśli jeszcze tego nie zrobisz, poniższe informacje mogą pomóc ci zautomatyzować tę czynność.

• Wystąpienie GCP Ubuntu
• Wystąpienie GCP systemu Windows
• Wystąpienie usługi AWS Ubuntu EC2
• Wystąpienie usługi AWS Amazon Linux 2 EC2
• Maszyna wirtualna VMware vSphere Ubuntu
• Maszyna wirtualna VMware vSphere z systemem Windows Server
• Pole Vagrant Ubuntu
• Vagrant Windows box

Wymagania wstępne

1. Sklonuj repozytorium Azure Arc Jumpstart.

   git clone https://github.com/microsoft/azure_arc
   

2. Jak wspomniano, ten przewodnik rozpoczyna się od momentu, w którym już wdrożono i połączono maszyny wirtualne lub serwery bez systemu operacyjnego w usłudze Azure Arc. W tym scenariuszu używamy wystąpienia platformy Google Cloud Platform (GCP), które zostało już połączone z usługą Azure Arc i jest widoczne jako zasób na platformie Azure. Jak pokazano na poniższych zrzutach ekranu:

   

   

3. Instalowanie lub aktualizowanie interfejsu wiersza polecenia platformy Azure. Interfejs wiersza polecenia platformy Azure powinien działać w wersji 2.7 lub nowszej. Użyj az --version polecenia , aby sprawdzić bieżącą zainstalowaną wersję.

4. Utwórz jednostkę usługi platformy Azure.

   Aby połączyć maszynę wirtualną lub serwer bez systemu operacyjnego z usługą Azure Arc, wymagana jest jednostka usługi platformy Azure przypisana z rolą Współautor. Aby go utworzyć, zaloguj się do konta platformy Azure i uruchom następujące polecenie. Alternatywnie można to zrobić w usłudze Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Na przykład:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   Dane wyjściowe powinny wyglądać podobnie do poniższych:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Uwaga

Zdecydowanie zalecamy określanie zakresu jednostki usługi do określonej subskrypcji platformy Azure i grupy zasobów.

Dołączanie do usługi Microsoft Sentinel

Usługa Microsoft Sentinel używa agenta usługi Log Analytics do zbierania plików dziennika dla serwerów z systemami Windows i Linux i przekazywania ich do usługi Microsoft Sentinel. Zebrane dane są przechowywane w obszarze roboczym usługi Log Analytics. Ponieważ nie można użyć domyślnego obszaru roboczego utworzonego przez Microsoft Defender dla Chmury wymagany jest niestandardowy obszar roboczy. Nieprzetworzone zdarzenia i alerty dla Defender dla Chmury w tym samym niestandardowym obszarze roboczym co usługa Microsoft Sentinel.

1. Utwórz dedykowany obszar roboczy usługi Log Analytics i włącz rozwiązanie Usługi Microsoft Sentinel w górnej części. Użyj tego szablonu usługi Azure Resource Manager (szablonu usługi ARM), aby utworzyć nowy obszar roboczy usługi Log Analytics, zdefiniować rozwiązanie usługi Microsoft Sentinel i włączyć go dla obszaru roboczego. Aby zautomatyzować wdrożenie, możesz edytować plik parametrów szablonu usługi ARM, podaj nazwę i lokalizację obszaru roboczego.

   

2. Wdróż szablon usługi ARM. Przejdź do folderu wdrożenia i uruchom następujące polecenie.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Na przykład:

Dołączanie maszyn wirtualnych z obsługą usługi Azure Arc do usługi Microsoft Sentinel

Po wdrożeniu usługi Microsoft Sentinel w obszarze roboczym usługi Log Analytics należy połączyć ze sobą źródła danych.

Istnieją łączniki dla usługi firmy Microsoft i rozwiązań innych firm z ekosystemu produktów zabezpieczeń. Do łączenia źródeł danych z usługą Microsoft Sentinel można również użyć formatu Common Event Format (CEF), dziennika systemu lub interfejsu API REST.

W przypadku serwerów i maszyn wirtualnych można zainstalować agenta usługi Log Analytics (MMA) lub agenta usługi Microsoft Sentinel, który zbiera dzienniki i wysyła je do usługi Microsoft Sentinel. Agent można wdrożyć na wiele sposobów za pomocą usługi Azure Arc:

• Zarządzanie rozszerzeniami: ta funkcja serwerów z obsługą usługi Azure Arc umożliwia wdrażanie rozszerzeń maszyn wirtualnych agenta MMA na maszynach wirtualnych z systemem Windows lub Linux spoza platformy Azure. Za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, szablonu usługi ARM i skryptu programu PowerShell można zarządzać wdrażaniem rozszerzeń na serwerach z obsługą usługi Azure Arc.

• Azure Policy: zasady można przypisać do inspekcji, jeśli serwer z włączoną usługą Azure Arc ma zainstalowanego agenta MMA. Jeśli agent nie jest zainstalowany, możesz użyć funkcji rozszerzeń, aby automatycznie wdrożyć ją na maszynie wirtualnej przy użyciu zadania korygowania, środowiska rejestracji, które porównuje się z maszynami wirtualnymi platformy Azure.

Czyszczenie środowiska

Wykonaj poniższe kroki, aby wyczyścić środowisko.

1. Usuń maszyny wirtualne z każdego środowiska przy użyciu instrukcji usuwania z każdego z poniższych przewodników.

   • Wystąpienie GCP Ubuntu i wystąpienie systemu Windows GCP
   • Wystąpienie usługi AWS Ubuntu EC2
   • Maszyna wirtualna VMware vSphere Ubuntu i maszyna wirtualna VMware vSphere z systemem Windows Server
   • Vagrant Ubuntu box i Vagrant Windows box

2. Usuń obszar roboczy usługi Log Analytics, uruchamiając następujący skrypt w interfejsie wiersza polecenia platformy Azure. Podaj nazwę obszaru roboczego użytą podczas tworzenia obszaru roboczego usługi Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes