Conectar servidores habilitados para Azure Arc ao Microsoft Sentinel

Artigo
12/19/2023

Este artigo fornece orientação sobre como integrar servidores habilitados para Azure Arc ao Microsoft Sentinel. Isso permite que você comece a coletar eventos relacionados à segurança e comece a correlacioná-los com outras fontes de dados.

Os procedimentos a seguir habilitarão e configurarão o Microsoft Sentinel em sua assinatura do Azure. Este processo inclui:

Configurar um espaço de trabalho do Log Analytics onde os logs e eventos são agregados para análise e correlação.
Habilitando o Microsoft Sentinel no espaço de trabalho.
Integração de servidores habilitados para Azure Arc ao Microsoft Sentinel usando o recurso de gerenciamento de extensões e a Política do Azure.

Importante

Os procedimentos neste artigo pressupõem que você já implantou VMs, ou servidores que estão sendo executados no local ou em outras nuvens, e os conectou ao Azure Arc. Se ainda não o fez, as seguintes informações podem ajudá-lo a automatizar isso.

Pré-requisitos

Clone o repositório do Azure Arc Jumpstart.

git clone https://github.com/microsoft/azure_arc

Como mencionado, este guia começa no ponto em que você já implantou e conectou VMs ou servidores bare-metal ao Azure Arc. Para esse cenário, usamos uma instância do Google Cloud Platform (GCP) que já foi conectada ao Azure Arc e está visível como um recurso no Azure. Como mostrado nas seguintes capturas de tela:
Instale ou atualize a CLI do Azure. A CLI do Azure deve estar executando a versão 2.7 ou posterior. Use az --version para verificar sua versão instalada atual.

Crie uma entidade de serviço do Azure.

Para conectar uma VM ou um servidor bare-metal ao Azure Arc, a entidade de serviço do Azure atribuída com a função de Colaborador é necessária. Para criá-lo, entre em sua conta do Azure e execute o seguinte comando. Como alternativa, isso também pode ser feito no Azure Cloud Shell.

az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"

Por exemplo:

az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"

A saída deverá ter o seguinte aspeto:

{
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}

Nota

É altamente recomendável que você defina o escopo da entidade de serviço para uma assinatura específica do Azure e um grupo de recursos.

Integrado ao Microsoft Sentinel

O Microsoft Sentinel usa o agente do Log Analytics para coletar arquivos de log para servidores Windows e Linux e encaminhá-los para o Microsoft Sentinel. Os dados coletados são armazenados em um espaço de trabalho do Log Analytics. Como não é possível usar o espaço de trabalho padrão criado pelo Microsoft Defender for Cloud, é necessário um espaço personalizado. Você pode ter eventos brutos e alertas para o Defender for Cloud no mesmo espaço de trabalho personalizado do Microsoft Sentinel.

Crie um espaço de trabalho dedicado do Log Analytics e habilite a solução Microsoft Sentinel na parte superior. Use este modelo do Azure Resource Manager (modelo ARM) para criar um novo espaço de trabalho do Log Analytics, definir a solução Microsoft Sentinel e habilitá-la para o espaço de trabalho. Para automatizar a implantação, você pode editar o arquivo de parâmetros de modelo ARM, fornecer um nome e um local para seu espaço de trabalho.
Implemente o modelo do Resource Manager. Navegue até a pasta de implantação e execute o seguinte comando.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Por exemplo:

A screenshot of the az deployment group create command.

Integre VMs habilitadas para Azure Arc ao Microsoft Sentinel

Depois de implantar o Microsoft Sentinel em seu espaço de trabalho do Log Analytics, você precisa conectar fontes de dados a ele.

Existem conectores para serviços Microsoft e soluções de terceiros do ecossistema de produtos de segurança. Você também pode usar o Common Event Format (CEF), syslog ou API REST para conectar suas fontes de dados ao Microsoft Sentinel.

Para servidores e VMs, você pode instalar o agente do Log Analytics (MMA) ou o agente do Microsoft Sentinel que coleta os logs e os envia para o Microsoft Sentinel. Você pode implantar o agente de várias maneiras com o Azure Arc:

Gerenciamento de extensões: esse recurso dos servidores habilitados para Azure Arc permite implantar as extensões de VM do agente MMA em VMs Windows ou Linux que não sejam do Azure. Você pode usar o portal do Azure, a CLI do Azure, um modelo ARM e o script do PowerShell para gerenciar a implantação de extensão em servidores habilitados para Azure Arc.
Política do Azure: você pode atribuir uma política para auditoria se o servidor habilitado para Arco do Azure tiver o agente MMA instalado. Se o agente não estiver instalado, você poderá usar o recurso de extensões para implantá-lo automaticamente na VM usando uma tarefa de correção, uma experiência de registro que se compara às VMs do Azure.

Limpe o seu ambiente

Conclua as etapas a seguir para limpar seu ambiente.

Remova as máquinas virtuais de cada ambiente usando as instruções de desmontagem de cada um dos guias a seguir.
Remova o espaço de trabalho do Log Analytics executando o seguinte script na CLI do Azure. Forneça o nome do espaço de trabalho usado ao criar o espaço de trabalho do Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes

Share via