Połączenie serwerów z obsługą usługi Azure Arc do Microsoft Defender dla Chmury

Ten artykuł zawiera wskazówki dotyczące dołączania serwera z obsługą usługi Azure Arc do Microsoft Defender dla Chmury. Ułatwia to rozpoczęcie zbierania konfiguracji i dzienników zdarzeń związanych z zabezpieczeniami, dzięki czemu można zalecić akcje i poprawić ogólny stan zabezpieczeń platformy Azure.

W poniższych procedurach włączysz i skonfigurujesz warstwę Microsoft Defender dla Chmury Standardowa w ramach subskrypcji platformy Azure. Zapewnia to zaawansowaną ochronę przed zagrożeniami i możliwości wykrywania. Proces obejmuje:

• Skonfiguruj obszar roboczy usługi Log Analytics, w którym dzienniki i zdarzenia są agregowane na potrzeby analizy.
• Przypisz domyślne zasady zabezpieczeń Defender dla Chmury.
• Przejrzyj zalecenia dotyczące Defender dla Chmury.
• Zastosuj zalecane konfiguracje na serwerach z obsługą usługi Azure Arc przy użyciu korygowania szybkich poprawek .

Ważne

W procedurach opisanych w tym artykule założono, że już wdrożono maszyny wirtualne lub serwery, które działają lokalnie lub w innych chmurach, i połączono je z usługą Azure Arc. Jeśli jeszcze tego nie zrobisz, poniższe informacje mogą pomóc ci zautomatyzować tę czynność.

• Wystąpienie GCP Ubuntu
• Wystąpienie GCP systemu Windows
• Wystąpienie usługi AWS Ubuntu EC2
• Wystąpienie usługi AWS Amazon Linux 2 EC2
• Maszyna wirtualna VMware vSphere Ubuntu
• Maszyna wirtualna VMware vSphere z systemem Windows Server
• Pole Vagrant Ubuntu
• Vagrant Windows box

Wymagania wstępne

1. Sklonuj repozytorium Azure Arc Jumpstart.

   git clone https://github.com/microsoft/azure_arc
   

2. Jak wspomniano, ten przewodnik rozpoczyna się od momentu, w którym już wdrożono i połączono maszyny wirtualne lub serwery bez systemu operacyjnego w usłudze Azure Arc. W tym scenariuszu używamy wystąpienia platformy Google Cloud Platform (GCP), które zostało już połączone z usługą Azure Arc i jest widoczne jako zasób na platformie Azure. Jak pokazano na poniższych zrzutach ekranu:

   

   

3. Instalowanie lub aktualizowanie interfejsu wiersza polecenia platformy Azure. Interfejs wiersza polecenia platformy Azure powinien działać w wersji 2.7 lub nowszej. Użyj az --version polecenia , aby sprawdzić bieżącą zainstalowaną wersję.

4. Utwórz jednostkę usługi platformy Azure.

   Aby połączyć maszynę wirtualną lub serwer bez systemu operacyjnego z usługą Azure Arc, wymagana jest jednostka usługi platformy Azure przypisana z rolą Współautor. Aby go utworzyć, zaloguj się do konta platformy Azure i uruchom następujące polecenie. To polecenie można również uruchomić w usłudze Azure Cloud Shell.

   az login
   az account set -s <Your Subscription ID>
   az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
   

   Na przykład:

   az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
   

   Dane wyjściowe powinny wyglądać podobnie do poniższych:

   {
     "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "displayName": "http://AzureArcServers",
     "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
     "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
   }
   

Uwaga

Zdecydowanie zalecamy określanie zakresu jednostki usługi do określonej subskrypcji platformy Azure i grupy zasobów.

Dołączanie Microsoft Defender dla Chmury

1. Dane zbierane przez Microsoft Defender dla Chmury są przechowywane w obszarze roboczym usługi Log Analytics. Możesz użyć domyślnego utworzonego przez Defender dla Chmury lub niestandardowego utworzonego przez Ciebie. Jeśli chcesz utworzyć dedykowany obszar roboczy, możesz zautomatyzować wdrożenie, edytując plik parametrów szablonu usługi Azure Resource Manager (szablon usługi ARM), podaj nazwę i lokalizację obszaru roboczego:

   

2. Aby wdrożyć szablon usługi ARM, przejdź do folderu wdrożenia i uruchom następujące polecenie:

   az deployment group create --resource-group <Name of the Azure resource group> \
   --template-file <The `log_analytics-template.json` template file location> \
   --parameters <The `log_analytics-template.parameters.json` template file location>
   

3. Jeśli zamierzasz korzystać z obszaru roboczego zdefiniowanego przez użytkownika, należy poinstruować Defender dla Chmury, aby używała go zamiast domyślnego za pomocą następującego polecenia:

   az security workspace-setting create --name default \
   --target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'
   

4. Wybierz warstwę Microsoft Defender dla Chmury. Warstwa Bezpłatna jest domyślnie włączona we wszystkich subskrypcjach platformy Azure i zapewni ciągłą ocenę zabezpieczeń i zalecenia dotyczące zabezpieczeń z możliwością działania. W tym przewodniku użyjesz warstwy Standardowa dla usługi Azure Virtual Machines, która rozszerza te możliwości, zapewniając ujednolicone zarządzanie zabezpieczeniami i ochronę przed zagrożeniami w ramach obciążeń chmury hybrydowej. Aby włączyć warstwę Standardowa Microsoft Defender dla Chmury dla maszyn wirtualnych, uruchom następujące polecenie:

   az security pricing create -n VirtualMachines --tier 'standard'
   

5. Przypisz domyślną inicjatywę zasad Microsoft Defender dla Chmury. Defender dla Chmury sprawia, że zalecenia dotyczące zabezpieczeń są oparte na zasadach. Istnieje określona inicjatywa, która grupuje Defender dla Chmury zasady z identyfikatorem 1f3afdf9-d0c9-4c3d-847f-89da613e70a8definicji . Następujące polecenie przypisze inicjatywę Defender dla Chmury do subskrypcji.

   az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
   --scope '/subscriptions/<Your subscription ID>' \
   --policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
   

Integracja usług Azure Arc i Microsoft Defender dla Chmury

Po pomyślnym dołączeniu Microsoft Defender dla Chmury uzyskasz zalecenia ułatwiające ochronę zasobów, w tym serwerów z obsługą usługi Azure Arc. Defender dla Chmury okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach.

W sekcji Obliczenia i aplikacje w obszarze Maszyny wirtualne i serwery Microsoft Defender dla Chmury zawiera omówienie wszystkich odnalezionych zaleceń dotyczących zabezpieczeń maszyn wirtualnych i komputerów, w tym maszyn wirtualnych platformy Azure, klasycznych maszyn wirtualnych platformy Azure, serwerów i maszyn usługi Azure Arc.

Na serwerach z obsługą usługi Azure Arc Microsoft Defender dla Chmury zaleca zainstalowanie agenta usługi Log Analytics. Każde zalecenie obejmuje również następujące zalecenia:

• Krótki opis zalecenia.
• Wpływ wskaźnika bezpieczeństwa, w tym przypadku ze stanem Wysoki.
• Kroki korygowania, które należy wykonać w celu wdrożenia zalecenia.

W przypadku konkretnych zaleceń, takich jak na poniższym zrzucie ekranu, uzyskasz również szybką poprawkę, która umożliwia szybkie korygowanie zalecenia dotyczącego wielu zasobów.

Poniższa poprawka szybkiego korygowania używa szablonu usługi ARM do wdrażania rozszerzenia agenta usługi Log Analytics na maszynie usługi Azure Arc.

Korygowanie można wyzwolić za pomocą szablonu usługi ARM z poziomu pulpitu nawigacyjnego ochrony obciążenia, wybierając obszar roboczy usługi Log Analytics używany do Microsoft Defender dla Chmury, a następnie wybierając pozycję Koryguj 1 zasób.

Po zastosowaniu zalecenia na serwerze z obsługą usługi Azure Arc zasób zostanie oznaczony jako w dobrej kondycji.

Czyszczenie środowiska

Wykonaj poniższe kroki, aby wyczyścić środowisko.

1. Usuń maszyny wirtualne z każdego środowiska, postępując zgodnie z instrukcjami usuwania z każdego przewodnika.

   • Wystąpienie GCP Ubuntu i wystąpienie systemu Windows GCP
   • Wystąpienie usługi AWS Ubuntu EC2
   • Maszyna wirtualna / VMware vSphere z systemem Ubuntu VMware vSphere z systemem Windows Server
   • Vagrant Ubuntu box / Vagrant Windows box

2. Usuń obszar roboczy usługi Log Analytics, wykonując następujący skrypt w interfejsie wiersza polecenia platformy Azure. Podaj nazwę obszaru roboczego użytą podczas tworzenia obszaru roboczego usługi Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes