Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel

Статья
04/07/2023

В этой статье описано, как подключить серверы с поддержкой Azure Arc к Microsoft Sentinel. С помощью этого решения можно начать сбор событий, связанных с безопасностью, и их сопоставление с другими источниками данных.

Для включения и настройки Microsoft Sentinel в подписке Azure необходимо выполнить определенную процедуру. Процедура включает следующие операции:

Настройка рабочей области Log Analytics, в которой выполняется статистическое вычисление журналов и событий для анализа и корреляции.
Включение Microsoft Sentinel в рабочей области.
Подключение серверов с поддержкой Azure Arc к Microsoft Sentinel с помощью функции управления расширениями и политики Azure.

Важно!

В процедурах в этой статье предполагается, что вы уже развернули виртуальные машины или серверы, работающие локально или в других облаках, и подключили их к Azure Arc. Если вы этого еще не сделали, воспользуйтесь приведенными ниже сведениями для автоматизации данного процесса.

Необходимые компоненты

Клонируйте репозиторий Azure Arc Jumpstart.
```
git clone https://github.com/microsoft/azure_arc
```
Как уже упоминалось, перед началом на Azure Arc должны быть развернуты и подключены виртуальные машины или серверы без операционной системы. В этом сценарии используется экземпляр Google Cloud Platform (GCP), подключенный к службе Azure Arc и отображаемый как ресурс в Azure. Эти действия показаны на приведенных ниже снимках экрана.
Установите или обновите Azure CLI. Azure CLI должен работать под управлением версии 2.7 или более поздней. Для проверки установленной версии используйте команду az --version.
Создайте субъект-службу Azure.

Чтобы подключить виртуальную машину или сервер без операционной системы к Azure Arc, требуется субъект-служба Azure с назначенной ролью участника. Чтобы создать его, войдите в учетную запись Azure и выполните приведенную ниже команду. Или это можно сделать в Azure Cloud Shell.
```
az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"
```
Например:
```
az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"
```
Выходные данные должны выглядеть так:
```
{
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}
```

Примечание.

Мы настоятельно рекомендуем ограничить субъект-службу определенной подпиской Azure и группой ресурсов.

Подключение к Microsoft Sentinel

Microsoft Sentinel собирает и пересылает файлы журналов Windows и серверов Linux с помощью агента Log Analytics. Собранные данные хранятся в рабочей области Log Analytics. Вы не можете использовать рабочую область по умолчанию, созданную защитником Microsoft Defender для облака, поэтому требуется специальное приложение. Необработанные события и оповещения Defender для облака могут отображаться в одной рабочей области с Microsoft Sentinel.

Создайте выделенную рабочую область Log Analytics и включите Microsoft Sentinel в ее верхней части. Для создания новой рабочей области Log Analytics, определения решения Microsoft Sentinel и включения его для рабочей области используйте этот шаблон Azure Resource Manager (шаблон ARM). Чтобы автоматизировать развертывание, можно изменить файл параметровшаблона ARM, указать имя и расположение рабочей области.
Разверните шаблон Resource Manager. Перейдите в папку развертывания и выполните приведенную ниже команду.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

Например:

A screenshot of the az deployment group create command.

Подключение виртуальных машин с поддержкой Azure Arc к Microsoft Sentinel

После развертывания Microsoft Sentinel в рабочей области Log Analytics необходимо подключить к ней источники данных.

Для служб Майкрософт и сторонних решений экосистемы средств безопасности существуют соединители. Чтобы подключить источники данных к Microsoft Sentinel, вы также можете использовать общий формат событий, Syslog или REST API.

Для серверов и виртуальных машин можно установить агент Log Analytics (MMA) или агент Microsoft Sentinel, который собирает журналы и отправляет их в Microsoft Sentinel. С помощью службы Azure Arc агента можно развернуть несколькими способами:

Управление расширениями. С помощью этой функция серверов с поддержкой Azure Arc можно развертывать расширения виртуальных машин агента MMA на виртуальных машинах, не использующих Azure для Windows или Linux. Для управления развертыванием расширения на серверах с поддержкой Azure Arc можно использовать портал Azure, Azure CLI, шаблон ARM и скрипт PowerShell.
Политика Azure. Вы можете назначить политику для проверки присутствия установленного агента MMA на сервере с поддержкой Azure Arc. Если агент не установлен, можно использовать функцию расширения, чтобы автоматически развернуть его на виртуальной машине с помощью задачи исправления, которая представляет собой процесс регистрации, сопоставляющий виртуальные машины Azure.

Очистка среды

Чтобы очистить среду, выполните указанные ниже действия.

Удалите виртуальные машины из каждой среды, используя инструкции по удалению, приведенные в следующих руководствах.
Удалите рабочую область Log Analytics, выполнив следующий скрипт в интерфейсе командной строки Azure. Укажите имя рабочей области, которое использовалось при создании рабочей области Log Analytics.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes